Risiko/Bereitschaft: Unterschied zwischen den Versionen
K Textersetzung - „BSI//“ durch „BSI/“ |
|||
(9 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
'''Risikoappetit''' - Neigung einer Institution, wie sie Risiken einschätzt, bewertet und mit ihnen umgeht | '''Risikoappetit''' - Neigung einer Institution, wie sie Risiken einschätzt, bewertet und mit ihnen umgeht | ||
=== Risikoappetit | == Beschreibung == | ||
; Es hängt von der Risikoeinstellung eines (potenziellen) [[Risikoträger]]s ab, wie er mit Risiken umgeht. | |||
* Der [[Risikofreude|Risikofreudige]] wird das höchste Risiko mit der größtmöglichen [[Gewinnchance]] eingehen oder behalten, der gegensätzliche [[Risikoaversion|Risikoaverse]] das geringste Risiko mit der geringstmöglichen Verlustgefahr bevorzugen. | |||
* Dazwischen liegt die [[Risikoneutralität]], bei der weder sichere noch unsichere Alternativen bevorzugt werden, sondern allein der mathematische [[Erwartungswert]] eine Rolle spielt. | |||
[[Datei:Risikoeinstellung.svg|thumb|400px|Die drei Arten von Risikoeinstellung in drei verschiedenen Diagrammen: Risikoneutralität (gelb), Risikoaversion (rot), Risikofreude (orange).]] | |||
Unter '''Risikoeinstellung''' (oder ''Risikopräferenz''; {{enS|risk attitude}}) versteht man in den [[Wirtschaftswissenschaft]]en die subjektive Bereitschaft eines [[Entscheidungsträger]]s, bei der Auswahl einer Handlungsalternative [[Unsicherheit|unsichere]] [[Ereignis]]möglichkeiten in Kauf zu nehmen. | |||
== Allgemeines == | |||
Die Entscheidungsträger von [[Wirtschaftssubjekt]]en ([[Privathaushalt]]e, [[Unternehmen]] oder der [[Staat]] mit seinen Untergliederungen) sehen sich bei ihren [[Entscheidung]]en mit bestimmten [[Risiko|Risiken]] konfrontiert. Bei der [[Entscheidung unter Risiko]] kennt der Entscheidungsträger die [[Wahrscheinlichkeit]]en für das Eintreten der möglichen [[Umweltzustand|Umweltzustände]], bei der [[Entscheidung unter Ungewissheit]] sind die möglichen Umweltzustände und die Ergebnisse bei Wahl einer bestimmten Alternative und Eintritt eines bestimmten Umweltzustandes bekannt, in denen aber die [[Eintrittswahrscheinlichkeit]]en der Umweltzustände unbekannt sind. | |||
Es gibt teils erhebliche Überschneidungen zwischen diesen Begriffen und ihren Synonymen. So kann ''Risikoneigung'' im Speziellen bereits für ein zum Risiko neigendes Verhalten stehen oder ganz allgemein als Oberbegriff für eine Neigung zum Risiko, die mehr oder weniger oder gar nicht ausgeprägt ist. Dieser Aspekt kann auch kippen, wenn ein Kontinuum von ''Risikoneigung'' bis ''Risikoabneigung'' betrachtet wird. | |||
== Arten == | |||
Je nach der Bereitschaft des Entscheidungsträgers, ein bestimmtes Risiko zu übernehmen, werden drei Arten unterschieden: | |||
* [[Risikoneutralität]] (auch ''Risikoindifferenz'') ist das Verhalten eines Entscheiders, das sich ausschließlich am (mathematischen) [[Erwartungswert]] orientiert. | |||
* [[Risikoaversion]] (auch ''Risikoscheu'') ist die Eigenschaft eines [[Marktteilnehmer]]s, bei der Wahl zwischen mehreren Alternativen gleichen Erwartungswerts stets die Alternativen mit dem geringeren Risiko zu wählen. Er meidet [[Gefahr]]en oder [[Gewinn|Verluste]]. | |||
* [[Risikofreude]] (auch ''Risikoaffinität''): Bei gleichem Erwartungswert führt mehr Risiko zu mehr [[Nutzen (Wirtschaft)|Nutzen]] für den Entscheider. | |||
Von einer risikoscheuen Einstellung wird gesprochen, wenn der Entscheider das Risiko negativ bewertet; entsprechend ist der Entscheider risikofreudig, wenn er das Risiko positiv bewertet.<ref>[https://books.google.de/books?id=543USGzgjykC&pg=PA129&dq=Risikoeinstellung&hl=de&sa=X&ved=0ahUKEwi43MPzvbflAhUC86YKHT_zDG0Q6AEIOjAC#v=onepage&q=Risikoeinstellung&f=false Rüdiger von Nitzsch, ''Entscheidungslehre'', 2006, S. 129]</ref> Gelegentlich wird auch eine strengere Unterscheidung zwischen der ''Risikoeinstellung'' und dem tatsächlichen ''Risikoverhalten'' vorgenommen.<ref>Rüdiger von Nitzsch, ''Entscheidungslehre'', 2006, S. 129, ISBN 978-3860737866</ref> | |||
== Wirtschaftliche Aspekte == | |||
Die Risikoeinstellung spielt bei [[Entscheidung]]en jeder Art eine große Rolle. Der ''risikoneutrale'' [[Entscheidungsträger]] wird diejenige Alternative wählen, bei welcher er den maximalen [[Barwert]] der [[Erwartungswert]]e der [[Einzahlung]]süberschüsse erzielt. Er bewertet ausschließlich den Erwartungswert, so dass das Risiko keine Rolle spielt;<ref>William R. Scott, ''Financial Accounting Theory'', 1997, S. 46 f.</ref> die [[Risikoprämie]] ist Null. Der ''risikoscheue'' trifft ausschließlich [[Entscheidung unter Sicherheit|Entscheidungen unter Sicherheit]], wobei sein erwarteter [[Nutzen (Wirtschaft)|Nutzen]] dem [[Nutzwert]] eines sicheren Einzahlung entspricht, der niedriger als der Nutzwert ist (''positive Risikoprämie''). Der ''risikofreudige'' trifft vorzugsweise [[Entscheidung unter Risiko|Entscheidungen unter Risiko]], wobei der erwartete Nutzen und der Nutzen einer sicheren Einzahlung nur dann gleich sind, wenn die risikolose Zahlung größer als der Erwartungswert der unsicheren Zahlung ist (''negative Risikoprämie''). | |||
Von großer Bedeutung ist die Risikoeinstellung im [[Bankwesen|Bank-]] und [[Versicherungswesen]]. [[Kreditinstitut]]e müssen das von [[Privatanleger]]n einzugehende [[Finanzrisiko]] aus einer [[Kapitalanlage]] im Rahmen einer [[Geeignetheitserklärung]] vor Abschluss einer [[Wertpapierorder]] gemäß {{§|64|wphg|juris}} Abs. 4 [[WpHG]] als mit der Risikoeinstellung des Anlegers vereinbar bestätigen, wobei sie die [[Anlageklasse]] und [[Risikoklasse]] zu berücksichtigen haben. Auf dem [[Versicherungsmarkt]] ist die Risikoeinstellung eines potenziellen [[Versicherungsnehmer]]s von Bedeutung, ob und inwieweit er bereit ist, ein bestehendes Risiko einem [[Versicherungsschutz]] unterwerfen möchte oder nicht. Ein risikofreudiger Kunde wird lediglich bereit sein, eine [[Versicherungsprämie]] <math>V</math> zu zahlen, die unter dem Erwartungswert <math>E_w</math> des [[Schaden]]s liegt: <math>V < E_w</math>, ein risikoaverser ist bereit, auch eine über dem Erwartungswert liegende Prämie zu zahlen: <math>V > E_w</math>, während ein risikoneutrales [[Wirtschaftssubjekt]] eine Versicherungsprämie aufzuwenden bereit sein wird, die genau dem Erwartungswert des Risikos entspricht: <math>V = E_w</math>.<ref>[https://books.google.de/books?id=AniLBwAAQBAJ&pg=PA257&dq=Versicherungspr%C3%A4mie&hl=de&sa=X&ved=0ahUKEwiHqLf1qezlAhURU1AKHVvZDTs4ChDoAQg-MAM#v=onepage&q=Versicherungspr%C3%A4mie&f=false Hans-Bernd Schäfer/Claus Ott, ''Lehrbuch der ökonomischen Analyse des Zivilrechts'', 1986, S. 257]</ref> Der Erwartungswert des Schadens (<math>E_w \cdot Eintrittswahrscheinlichkeit</math>) ist der Entscheidungsparameter für den Versicherungsnehmer. | |||
== Risikoappetit == | |||
Risikoappetit (Risikobereitschaft) bezeichnet die durch kulturelle, interne, externe oder wirtschaftliche Einflüsse entstandene Neigung einer Institution, wie sie Risiken einschätzt, bewertet und mit ihnen umgeht. | Risikoappetit (Risikobereitschaft) bezeichnet die durch kulturelle, interne, externe oder wirtschaftliche Einflüsse entstandene Neigung einer Institution, wie sie Risiken einschätzt, bewertet und mit ihnen umgeht. | ||
* Die Neigung, innerhalb einer Institution Risiken einzugehen, wird durch eine Vielzahl von Faktoren beeinflusst, sodass eine quantitative Einstufung des Risikoappetits recht komplex werden kann. | * Die Neigung, innerhalb einer Institution Risiken einzugehen, wird durch eine Vielzahl von Faktoren beeinflusst, sodass eine quantitative Einstufung des Risikoappetits recht komplex werden kann. | ||
Zeile 200: | Zeile 226: | ||
* Entscheidungen einer Institution, Risiken auf jeden Fall zu tragen, obwohl bei seriöser Betrachtung die Kapitaldecke dafür nicht ausreichen würde, werden durch Vorschriften der Finanzaufsicht unterbunden oder mit entsprechenden Sanktionen belegt. | * Entscheidungen einer Institution, Risiken auf jeden Fall zu tragen, obwohl bei seriöser Betrachtung die Kapitaldecke dafür nicht ausreichen würde, werden durch Vorschriften der Finanzaufsicht unterbunden oder mit entsprechenden Sanktionen belegt. | ||
# https://de.wikipedia.org/wiki/Risikoeinstellung | # https://de.wikipedia.org/wiki/Risikoeinstellung | ||
[[Kategorie:BSI/200-3]] | |||
[[Kategorie:Risiko]] | [[Kategorie:Risiko]] | ||
</noinclude> | </noinclude> |
Aktuelle Version vom 3. Oktober 2024, 09:22 Uhr
Risikoappetit - Neigung einer Institution, wie sie Risiken einschätzt, bewertet und mit ihnen umgeht
Beschreibung
- Es hängt von der Risikoeinstellung eines (potenziellen) Risikoträgers ab, wie er mit Risiken umgeht.
- Der Risikofreudige wird das höchste Risiko mit der größtmöglichen Gewinnchance eingehen oder behalten, der gegensätzliche Risikoaverse das geringste Risiko mit der geringstmöglichen Verlustgefahr bevorzugen.
- Dazwischen liegt die Risikoneutralität, bei der weder sichere noch unsichere Alternativen bevorzugt werden, sondern allein der mathematische Erwartungswert eine Rolle spielt.
Unter Risikoeinstellung (oder Risikopräferenz; ) versteht man in den Wirtschaftswissenschaften die subjektive Bereitschaft eines Entscheidungsträgers, bei der Auswahl einer Handlungsalternative unsichere Ereignismöglichkeiten in Kauf zu nehmen.
Allgemeines
Die Entscheidungsträger von Wirtschaftssubjekten (Privathaushalte, Unternehmen oder der Staat mit seinen Untergliederungen) sehen sich bei ihren Entscheidungen mit bestimmten Risiken konfrontiert. Bei der Entscheidung unter Risiko kennt der Entscheidungsträger die Wahrscheinlichkeiten für das Eintreten der möglichen Umweltzustände, bei der Entscheidung unter Ungewissheit sind die möglichen Umweltzustände und die Ergebnisse bei Wahl einer bestimmten Alternative und Eintritt eines bestimmten Umweltzustandes bekannt, in denen aber die Eintrittswahrscheinlichkeiten der Umweltzustände unbekannt sind.
Es gibt teils erhebliche Überschneidungen zwischen diesen Begriffen und ihren Synonymen. So kann Risikoneigung im Speziellen bereits für ein zum Risiko neigendes Verhalten stehen oder ganz allgemein als Oberbegriff für eine Neigung zum Risiko, die mehr oder weniger oder gar nicht ausgeprägt ist. Dieser Aspekt kann auch kippen, wenn ein Kontinuum von Risikoneigung bis Risikoabneigung betrachtet wird.
Arten
Je nach der Bereitschaft des Entscheidungsträgers, ein bestimmtes Risiko zu übernehmen, werden drei Arten unterschieden:
- Risikoneutralität (auch Risikoindifferenz) ist das Verhalten eines Entscheiders, das sich ausschließlich am (mathematischen) Erwartungswert orientiert.
- Risikoaversion (auch Risikoscheu) ist die Eigenschaft eines Marktteilnehmers, bei der Wahl zwischen mehreren Alternativen gleichen Erwartungswerts stets die Alternativen mit dem geringeren Risiko zu wählen. Er meidet Gefahren oder Verluste.
- Risikofreude (auch Risikoaffinität): Bei gleichem Erwartungswert führt mehr Risiko zu mehr Nutzen für den Entscheider.
Von einer risikoscheuen Einstellung wird gesprochen, wenn der Entscheider das Risiko negativ bewertet; entsprechend ist der Entscheider risikofreudig, wenn er das Risiko positiv bewertet.[1] Gelegentlich wird auch eine strengere Unterscheidung zwischen der Risikoeinstellung und dem tatsächlichen Risikoverhalten vorgenommen.[2]
Wirtschaftliche Aspekte
Die Risikoeinstellung spielt bei Entscheidungen jeder Art eine große Rolle. Der risikoneutrale Entscheidungsträger wird diejenige Alternative wählen, bei welcher er den maximalen Barwert der Erwartungswerte der Einzahlungsüberschüsse erzielt. Er bewertet ausschließlich den Erwartungswert, so dass das Risiko keine Rolle spielt;[3] die Risikoprämie ist Null. Der risikoscheue trifft ausschließlich Entscheidungen unter Sicherheit, wobei sein erwarteter Nutzen dem Nutzwert eines sicheren Einzahlung entspricht, der niedriger als der Nutzwert ist (positive Risikoprämie). Der risikofreudige trifft vorzugsweise Entscheidungen unter Risiko, wobei der erwartete Nutzen und der Nutzen einer sicheren Einzahlung nur dann gleich sind, wenn die risikolose Zahlung größer als der Erwartungswert der unsicheren Zahlung ist (negative Risikoprämie).
Von großer Bedeutung ist die Risikoeinstellung im Bank- und Versicherungswesen. Kreditinstitute müssen das von Privatanlegern einzugehende Finanzrisiko aus einer Kapitalanlage im Rahmen einer Geeignetheitserklärung vor Abschluss einer Wertpapierorder gemäß Vorlage:§ Abs. 4 WpHG als mit der Risikoeinstellung des Anlegers vereinbar bestätigen, wobei sie die Anlageklasse und Risikoklasse zu berücksichtigen haben. Auf dem Versicherungsmarkt ist die Risikoeinstellung eines potenziellen Versicherungsnehmers von Bedeutung, ob und inwieweit er bereit ist, ein bestehendes Risiko einem Versicherungsschutz unterwerfen möchte oder nicht. Ein risikofreudiger Kunde wird lediglich bereit sein, eine Versicherungsprämie zu zahlen, die unter dem Erwartungswert des Schadens liegt: , ein risikoaverser ist bereit, auch eine über dem Erwartungswert liegende Prämie zu zahlen: , während ein risikoneutrales Wirtschaftssubjekt eine Versicherungsprämie aufzuwenden bereit sein wird, die genau dem Erwartungswert des Risikos entspricht: .[4] Der Erwartungswert des Schadens () ist der Entscheidungsparameter für den Versicherungsnehmer.
Risikoappetit
Risikoappetit (Risikobereitschaft) bezeichnet die durch kulturelle, interne, externe oder wirtschaftliche Einflüsse entstandene Neigung einer Institution, wie sie Risiken einschätzt, bewertet und mit ihnen umgeht.
- Die Neigung, innerhalb einer Institution Risiken einzugehen, wird durch eine Vielzahl von Faktoren beeinflusst, sodass eine quantitative Einstufung des Risikoappetits recht komplex werden kann.
- Ein Ziel dieses Kapitels ist es, die Komplexität zu verringern und eine beherrschbare Zahl von Risikoneigungstypen zu definieren, denen Empfehlungen für einen sinnvollen Umgang mit Risiken gegeben werden können.
Einflussfaktoren
Zu den äußeren Bedingungen, die die Risikoneigung einer Institution beeinflussen, gehören:
- Kulturelle Einflüsse (Je nach Land und Mentalität gibt es unterschiedliche Bereitschaften, Risiken einzugehen.)
Interne Faktoren (Organisationskultur, Einstellung des Managements, Risiken als Problem oder Chance sehen) Konservative Institutionen neigen eher zur Risikovermeidung (z. B. Behörden oder Unternehmen, die um ein besonders seriöses Image bemüht sind).
- Schnell wachsende Unternehmen sind eher bereit, Risiken zu tragen, wohingegen etablierte Großunternehmen Risiken eher meiden.
- Bei Großunternehmen ist es manchmal jedoch auch sinnvoll, das Risikomanagement für unterschiedliche
Unternehmensbereiche unterschiedlich aufzusetzen, je nachdem, ob es sich bei den Bereichen um neue, technologieintensive Bereiche (mit hoher Risikoneigung) oder „Cash Cows“ (mit niedriger Risikoneigung) handelt.
- Großunternehmen haben hier den Vorteil, dass sie Risiken über verschiedene Bereiche streuen können.
- Daher kann der Risikoappetit in den diversen Unternehmensteilen auch unterschiedlich sein.
- Je klarer Visionen und strategische Ziele der Institution sind, desto direkter ergibt sich daraus auch eine Einstellung zu Risiken.
- Marktumfeld (z. B. konservatives oder innovatives Umfeld)
Das Marktumfeld und interne Faktoren stehen in einem engen Zusammenhang.
- Wer in neue Märkte einsteigt, muss sich auf die dort geltenden Regeln und insbesondere auf Wettbewerb einstellen, auch wenn dies eventuell der Tradition der Institution zuwiderläuft.
- Es ist sinnvoll, konkurrierende Institutionen zu beobachten und die eigene Handlungsweise (z. B. nach den Regeln der Spieltheorie) danach auszurichten.
- Die Strategie kann (hier wiederum nach der Kultur innerhalb der Institution) darauf hinauslaufen, an der Spitze des Marktes stehen zu wollen: In diesem Fall wird Bereitschaft gezeigt werden müssen, hohe Risiken einzugehen.
- Im anderen Fall kann sich die Institution entscheiden, als „Fast Follower“ zu agieren.
- Dies bedeutet, dass sie versucht, der Konkurrenz die Risiken zu überlassen und trotzdem einen attraktiven Marktanteil zu erringen.
- Bei der Entscheidung, ob eine Institution bestimmte Maßnahmen umsetzt oder nicht, spielt auch häufig eine Rolle, was die Konkurrenz macht (sofern deren Maßnahmen bekannt sind).
Risikotragfähigkeit (Finanzierung der Institution [Haftung, Kapitaldecke usw.]) Obwohl Großunternehmen, wie schon erwähnt, eher zur Risikovermeidung neigen, haben sie üblicherweise eine Kapitaldecke, die es zumindest bei Teilbereichen erlaubt, Risiken zu tragen.
- Kleine Unternehmen, die über eine eher geringe Kapitaldecke verfügen, aber trotzdem aus Gründen des
Marktumfeldes signifikante Risiken eingehen müssen, arbeiten aus demselben Grund manchmal mit Risikokapitalgebern zusammen.
Quantifizierung von Risikoneigung
- Vereinfacht dargestellt, läuft das Risikomanagement in folgenden Schritten ab
- Präzise Definitionen können z. B. ISO/IEC 31000 (siehe [31000]) oder NIST SP 800-30 (siehe [NIST800-30]) entnommen werden:
- Identifikation von Risiken
- Risikoeinschätzung (Ermittlung von Eintrittshäufigkeit und Schadenshöhe)
- Risikobewertung (Ermittlung der Risikokategorie)
- Bestimmung von Maßnahmen zur Behandlung von Risiken
- Vergleich der Kosten jeder Maßnahme mit zu erwartenden Schäden und Entscheidung für oder gegen die Umsetzung der Maßnahme
- Restrisikobetrachtung: Festlegung von Handlungsoptionen
- Abgleich mit Chancen (erwartete Einnahmen und Nutzen des Geschäftsfeldes)
- Verfolgung der Risiken und Anpassung der Maßnahmen bzw. Handlungsoptionen im laufenden Betrieb
- In mehreren dieser Schritte kann sich die Risikoneigung einer Institution widerspiegeln.
- Kriterien für Risikoneigung
Beim Versuch, Kriterien für die Risikoneigung festzulegen, ergeben sich mehrere mögliche Ansätze.
- Höchstmögliches akzeptables Risiko
- Höchstmögliche akzeptable Eintrittshäufigkeit für Risiken
- Akzeptanz von Risiken bei gleichzeitig hohen Marktchancen
- Akzeptanz von Unvorhersagbarkeit (z. B. wenn sich Risiken nur schwer einer Häufigkeit oder Schadenssumme zuordnen lassen)
- Auswahl von Behandlungsalternativen ab einem bestimmten Restrisiko
- Nicht immer lassen sich Einstellungen gegenüber Risiken rational begründen.
- Ein Beispiel wäre die pauschale Abneigung einer Institution, Risiken mit hoher Eintrittshäufigkeit einzugehen, denn wenn mit diesen Risiken keine hohen Schäden einhergingen, müssten sie nicht unbedingt vermieden werden.
- Eine derartige Entscheidung könnte aber trotzdem intuitiv gefällt werden, wenn die Institution sich bei der Bestimmung der Schadenshöhe nicht ausreichend sicher ist.
- Ein analoges Argument träfe bezüglich der Einstellung gegenüber einer maximal akzeptierten Schadenssumme zu.
- Unpräzises Datenmaterial führt dazu, dass sich Institutionen in der einen oder anderen Weise entscheiden müssen.
Dabei wird die Entscheidung von der Risikoneigung stark beeinflusst.
- Optimale Strategie und Unsicherheit
Wenn sich alle Parameter, die in das Risikomanagement eingehen, exakt bestimmen ließen, wäre auch ein optimaler Umgang mit diesen Risiken ermittelbar.
- Diese Parameter sind beispielsweise die Eintrittshäufigkeiten und Schadenssummen (vor und nach Behandlung durch Maßnahmen), die Kosten von Maßnahmen, die Kosten von Behandlungsalternativen und die erwarteten Chancen, also z. B. Einnahmen aus einem Geschäft.
- Risiken müssen immer gegen Chancen abgewogen werden
- Typisch wäre beispielsweise bei einem Geschäftsfeld, mit dem Risiken verbunden sind, dass risikoscheue Institutionen das Risiko vermeiden und gleichzeitig die entsprechende Chance verpassen, während weniger risikoscheue Institutionen das Risiko eingehen, aber damit gleichzeitig die Chance wahrnehmen.
- Wenn sich die oben erwähnten Parameter alle exakt ermitteln ließen, könnte ein präziser Erwartungswert für die erzielten Gewinne oder Verluste der Institution ermittelt werden, abhängig davon, ob das
Risiko eingegangen wird oder nicht.
- In diesem Falle gäbe es eine optimale Strategie für die Institution und die Frage der Risikoneigung würde keine Rolle mehr spielen.
Daran wird deutlich, dass die Risikoneigung deswegen bedeutsam ist, weil die Eingangsdaten für das Risikomanagement mit Unsicherheiten behaftet sind.
- Die Frage ist, wie man die Unsicherheiten bewertet und wie die Institution für einen hohen Schadensfall gerüstet ist.
- Mögliche Maßzahlen
Unabhängig von eher intuitiv begründeten Risikoneigungen, wie sie oben beschrieben wurden, soll versucht werden, Maßzahlen für die Risikoneigung zu ermitteln.
- Dabei wird von den Schritten ausgegangen, die oben zum grundsätzlichen Vorgehen beim Risikomanagement beschrieben wurden, und es soll eine rationale Vorgehensweise bei der Beurteilung der Risiken angestrebt werden.
Die einfachste Maßzahl orientiert sich am Erwartungswert für die Schadenshöhe, definiert als Produkt aus der Eintrittshäufigkeit für das Risiko und der Schadenshöhe.
- Risiken werden oft als Matrix dargestellt, bei der auf der einen Achse die Eintrittshäufigkeit und auf der anderen die Schadenshöhe angeführt wird.
- Die hohen Risiken befinden sich in der Matrix in einem rot eingefärbten Bereich.
- Ein
„hoher Risikoappetit“ könnte also im einfachsten Falle als Bereitschaft definiert werden, auch Risiken in diesem Bereich zu akzeptieren.
- Ein „niedriger Risikoappetit“ hieße Vermeidung, also möglicherweise gleichzeitig Verzicht auf eine Einnahmechance.
- Die Abbildung 4 zeigt eine beispielhafte Risikomatrix mit definierten Risikokategorien.
Um die Schwellwerte festzulegen, mittels derer die Eintrittshäufigkeiten und Auswirkungen als „hoch“ eingestuft werden, orientieren sich Institutionen typischerweise an ihren finanziellen Kennzahlen.
- Die Leitungsebene entscheidet, welche Schwellwerte sie als „hoch“ einstuft.
- Die Schwelle könnte sich an den finanziellen Rücklagen orientieren, aber auch am Umsatz der Institution.
- So kann die Schwelle als ein bestimmter Prozentsatz des Umsatzes festgelegt werden.
- Sie kann sich aber auch daran orientieren, ob die Institution bei Eintritt eines bestimmten Risikos noch liquide wäre.
- Je nach der Höhe des Risikos müssen Entscheidungen normalerweise von verschiedenen Führungsebenen genehmigt werden, hohe Risiken sollten demnach nicht ohne Erlaubnis des Topmanagements eingegangen werden.
- Abbildung 4
- Beispielhafte Risikomatrix mit Risikokategorien
Wenn also Risiken eingeschätzt und in die oben dargestellte Risikomatrix eingetragen werden, ergibt sich eine Darstellung wie in Abbildung 5, innerhalb derer sechs verschiedene Risiken ermittelt wurden und als Kreise mit Nummern eingetragen sind.
- Hier würde eine Institution mit hohem Risikoappetit (die obere der zwei schwarzen Linien) die Risiken 1 und 3 unterhalb der Linie noch tragen, während eine Institution mit niedrigem Risikoappetit nur die Risiken 4, 5 und 6 tragen würde (untere Linie).
- Risiko 2 würde in diesem Fall keine der Institutionen tragen.
Wie oben schon erwähnt, gäbe es aber auch für Institutionen mit einem geringen Risikoappetit keinen Grund, auf Chancen zu verzichten, wenn verlässliche Daten Einnahmen erwarten ließen, die die Kosten durch eingetretene Risiken überträfen.
- Einzig und allein die Unsicherheiten bei den erhobenen Daten sind der Grund dafür, dass Institutionen mit einem geringeren Risikoappetit in derartigen Situationen zur Risikovermeidung neigen.
Eine andere Definition für Risikoappetit besteht in der Akzeptanz von Unsicherheiten bei der Interpretation des Datenmaterials.
- Gerade bei innovativen Branchen können Institutionen nicht auf viel vorhandenes Datenmaterial bei der Ermittlung von Eintrittshäufigkeiten und Schadenshöhen von Risiken zurückgreifen.
- Unwägbarkeiten kommen bei Risiken im Bereich der Informationssicherheit nahezu immer ins Spiel, im Gegensatz zu statistisch gut vorhersagbaren Risiken, wie sie beispielsweise zu Elementarschäden in der Versicherungswirtschaft vorliegen.
Die Unsicherheiten lassen sich in einem Risikodiagramm beispielsweise mit Fehlerbalken darstellen, die die Unsicherheit der Daten repräsentieren.
- Auch die Längen dieser Fehlerbalken sind bei größerer Unsicherheit nur intuitiv zu ermitteln.
- Abbildung 6 zeigt eine Risikomatrix mit Fehlerbalken.
Sie sind in diesem Beispiel vertikal ausgerichtet, geben also eine Unsicherheit bei der Schadenshöhe an.
- Fehlerbalken in horizontaler Ausrichtung wären genauso denkbar.
- Institutionen mit einem geringen Risikoappetit würden sich in dieser Darstellung eher am oberen Rand der Werte für die Eintrittshäufigkeit und Schadenshöhe orientieren, Institutionen mit einem hohen Risikoappetit in der Mitte (nicht am unteren Rand, weil das wiederum bedeuten würde, Risiken systematisch zu unterschätzen).
Interessant ist ein Vergleich der Risiken 4 und 5: Eine Institution mit niedriger Risikoneigung würde in dieser Situation vielleicht eher das Risiko 4 als das Risiko 5 akzeptieren, obwohl es einen höheren Erwartungswert für den Schaden trägt.
- Hier ist die Unsicherheit bei der Schadenshöhe ausschlaggebend, die bei Risiko 5 höher liegt, gekennzeichnet durch den Fehlerbalken, der bei Risiko 5 in größere
Schadenshöhen hineinragt als der von Risiko 4.
- Abbildung 6
- Risikomatrix mit Unsicherheiten
Zuletzt gibt es auch noch die Möglichkeit, Risiken in unterschiedliche Kategorien einzuteilen und einen unterschiedlichen Risikoappetit pro Kategorie zu entwickeln.
- Beispielsweise könnte eine Institution Rufschädigungen scheuen, aber bereit sein, hohe finanzielle Risiken einzugehen.
- Dadurch ändert sich prinzipiell nichts am Vorgehen, sondern die unterschiedlichen Kategorien werden einfach gesondert voneinander betrachtet.
- Risikotypen
In einem einfachen Modell kann man Institutionen je nach ihrem Umgang mit Risiken in verschiedene Typen unterteilen.
Eine beispielhafte Unterteilung wäre die folgende:
- „Cowboy“ – entspricht einer Institution, die Risiken prinzipiell bereitwillig in Kauf nimmt
- „Risk-Eater“ – nimmt hohe Risiken in Kauf, wenn diesen auch hohe Chancen gegenüberstehen
- „Konservativer“ – versucht, alle Risiken durch Maßnahmen so weit wie möglich zu minimieren
Wenn unter „Cowboy“ eine Institution verstanden wird, die Risiken einfach ignoriert, widerspricht das den Prinzipien des Risikomanagements und verlässliche Angaben über zu erwartende Konsequenzen, also Schäden oder Chancen, sind schwer möglich. Für die folgende Betrachtung soll angenommen werden, dass eine Institution ein professionelles Risikomanagement betreibt.
- Auch wenn ein professionelles Risikomanagement nicht immer verhindern kann, dass schlechte Entscheidungen getroffen werden, so stellt es dennoch sicher, dass diese bewusst aufgrund vorhandener Analysen getroffen werden.
- Die Risikoneigung sollte keinen Einfluss darauf haben, ob überhaupt eine Risikoanalyse durchgeführt wird und mit welcher Sorgfalt dies geschieht.
- Sie kann allerdings Einfluss darauf haben, wie viele Ressourcen die Institution in
Risikoanalyse und -behandlung investiert.
- Dabei sollte es sich jedoch um eine bewusste Entscheidung handeln.
- Für den Rest dieses Kapitels werden folgende Kategorien benutzt
- Konservativer
Der Konservative scheut Risiken, die sich in der Risikomatrix im roten (und eventuell auch gelben) Bereich befinden (siehe Abbildung 4) und meidet diese.
- Die damit verbundenen Chancen sind ihm zu unsicher, um sich auf die Gefahren einzulassen.
- Risikoaffiner
Der Risikoaffine sieht stets die Chancen, die mit hohen Risiken verbunden sind.
- Wenn diese vielversprechend ausfallen – aber auch nur dann – ist er bereit, das Risiko einzugehen.
- Institutionen, die jedes Risiko eingehen, auch wenn ihnen keine gleichwertigen Chancen gegenüberstehen, handeln selbstzerstörerisch und werden im Folgenden nicht weiter betrachtet.
- Unsicherheitsvermeider
Der Unsicherheitsvermeider versucht, möglichst verlässliche Daten über seine Risiken zu sammeln.
- Er neigt eher zur Vermeidung von Risiken, wenn diese sich quantitativ schwer einschätzen lassen, als wenn diese hoch, aber gut kontrollierbar und durch eine solide Finanzierung oder zu erwartende Einnahmen abgedeckt sind.
- Im letzteren Punkt unterscheidet er sich vom Konservativen.
Risikoneigung als Eingangsgröße im ISMS
Da die Risikoanalyse ein wichtiger Bestandteil des ISMS ist, sollten die Grundvoraussetzungen dafür vom Management der Institution vorgegeben werden.
- Die Leitungsebene gibt die Risikoneigung vor.
Das Sicherheitsmanagement muss die Risikoneigung kennen und sie entsprechend umsetzen. Möglicherweise ist sich eine Institution ihrer eigenen Risikoneigung nicht bewusst oder hat ungenaue Vorstellungen von diesem Begriff.
- In diesem Fall sollte das Management eine Klärung und Entscheidung herbeiführen, gegebenenfalls unter Beratung durch eine Fachkraft (z. B. durch den Informationssicherheitsbeauftragten bzw. ISB oder Risikomanager).
- Dabei werden die oben genannten Einflussfaktoren berücksichtigt.
- Die für das Anforderungsmanagement (Corporate Compliance) zuständige Organisationseinheit sollte ebenfalls gehört werden.
Die vom Management vorgegebene Aussage zur Risikoneigung kann zu Beginn der Risikoanalyse präzisiert werden, im Sinne der oben definierten Kategorien oder Maßzahlen.
- Wichtig ist es, diese
Vorgabe einerseits regelmäßig zu überprüfen und an den Zielen der Institution auszurichten, sie aber bei Risikoanalysen und -behandlungen auch konsequent umzusetzen.
- Zweifelsfälle können auftreten, beispielsweise wenn es bei einem bestimmten Risiko nicht sinnvoll erscheint, die festgelegte Risikoneigung anzuwenden.
- Solche Ausnahmefälle sollten abgestimmt und dokumentiert werden.
Oben wurde beschrieben, auf welche Aspekte die Risikoneigung Einfluss haben kann.
- Wenn Entscheidungen getroffen werden, die durch die Risikoneigung mit beeinflusst wurden, sollte dies dokumentiert werden.
Sobald die Risiken eingeschätzt und bewertet wurden, sollte bereits aufgrund der vorgegebenen Risikoneigung über eine mögliche Behandlung dieser nachgedacht werden, bevor ergänzende Sicherheitsmaßnahmen ermittelt werden.
- Unter Umständen lohnt sich die Planung von ergänzenden Sicherheitsmaßnahmen nicht.
- Im entgegengesetzten Fall werden Sicherheitsmaßnahmen geplant und bewertet, um das Risiko zu verringern, und anschließend das Restrisiko ermittelt.
- Restrisiken müssen behandelt werden, wenn sie das akzeptierte Risiko übersteigen.
- In eine Entscheidung für eine Behandlungsoption fließt abermals die Risikoneigung ein.
Bei der Entscheidung, ob ein Risiko selbst getragen oder transferiert werden sollte, wird der „Risikoaffine“ tendenziell eher zur ersten, die Typen „Konservativer“ und „Unsicherheitsvermeider“ eher zur zweiten Option neigen, obwohl pauschale Aussagen hier nicht immer zutreffen.
- Der „Unsicherheitsvermeider“ wird gegebenenfalls versuchen, durch die Umsetzung von Maßnahmen unter seiner eigenen Kontrolle die Unsicherheit bei der Risikoeinschätzung zu verringern.
Auch bei den einzelnen Entscheidungen, die bei der Risikoanalyse und -behandlung getroffen werden, empfiehlt es sich, den Einfluss der Risikoneigung auf diese Entscheidungen zu dokumentieren. Bei einer Änderung der Risikoneigung (z. B. durch veränderte Marktbedingungen) lässt sich die Risikoanalyse dann leichter anpassen. Die Risikoneigung hat zudem Einfluss auf die Aufbauorganisation einer Institution.
- Ein Beispiel ist die
Frage, ob es eine Organisationseinheit für das Risikomanagement gibt und wie diese zusammengesetzt ist, obwohl diese Entscheidung natürlich von Faktoren wie der Firmengröße mitbestimmt wird. Generell lautet die Empfehlung: Wer sich zu einer hohen Risikoneigung bekannt hat (Typus „Risikoaffiner“), sollte dem in seinem Risikomanagementprozess und seiner Organisationsstruktur Rechnung tragen.
- Hohe Risiken verlangen eine aufmerksame Verfolgung und Kontrolle.
Auswirkung von Gesetzen und Regularien
Gesetze und Normen beeinflussen nicht die Risikoneigung einer Institution an sich, aber den Umgang mit Risiken.
- Die Risiken nehmen durch regulatorischen Druck zu, sodass sich das Verhältnis von Risikoappetit zu den ursprünglichen Risiken verschieben kann.
- Jede Institution muss Sanktionen aufgrund von rechtlichen oder vertraglichen Verstößen in ihr Risikokalkül mit aufnehmen.
Ein Beispiel für Gesetze, die das Risikomanagement von Unternehmen beeinflussen, sind Datenschutzgesetze.
- Bei etlichen Unternehmen gab es trotz vorbeugender Maßnahmen Datenschutzpannen.
- Vor dem Hintergrund dieser Erfahrungen sollte dies beim Risikomanagement berücksichtigt werden.
- Insbesondere geht es darum, die gemachten Fehler, die zu den Datenschutzverstößen führten, zu lokalisieren und geeignete Maßnahmen abzuleiten und umzusetzen.
- Infrage kommen beispielsweise Schulungen der Mitarbeiter und Awareness-Kampagnen.
Beispiele für Regularien durch Aufsichtsstellen gibt es viele, beispielsweise im Bankenwesen.
- Entscheidungen einer Institution, Risiken auf jeden Fall zu tragen, obwohl bei seriöser Betrachtung die Kapitaldecke dafür nicht ausreichen würde, werden durch Vorschriften der Finanzaufsicht unterbunden oder mit entsprechenden Sanktionen belegt.
- ↑ Rüdiger von Nitzsch, Entscheidungslehre, 2006, S. 129
- ↑ Rüdiger von Nitzsch, Entscheidungslehre, 2006, S. 129, ISBN 978-3860737866
- ↑ William R. Scott, Financial Accounting Theory, 1997, S. 46 f.
- ↑ Hans-Bernd Schäfer/Claus Ott, Lehrbuch der ökonomischen Analyse des Zivilrechts, 1986, S. 257