Getty Images
Wie variieren die Kosten der Risikobewertung und warum?
Risikobewertungen helfen bei der Identifizierung und der Priorisierung von Aktivitäten, um schwerwiegende Bedrohungen und Schwachstellen zu beseitigen. Die Kosten können variieren.
Wenn ein schadenbringendes Ereignis eintritt, sei es technischer oder organisatorischer Natur, ob intern verursacht oder von externen Faktoren getrieben – die Arbeit von BC/DR- (Busines-Continuity/Desaster-Recovery) und Resilienz-Profis bei der Risikobewertungen kann nicht hoch genug geschätzt werden. Doch müssen alle Beteiligten in der Organisation und die Führungskräfte gleichermaßen an den Ergebnissen solcher Initiativen interessiert sein.
Zwei wichtige Aktivitäten, die von den Experten für BC/DR- und Resilience-Experten durchgeführt werden, sind Risikobewertungen und Business-Impact-Analysen, mit denen die Auswirkungen auf das Geschäft bewertet werden (man könnte es auch Risikofolgenabschätzung nennen). Obwohl die Kosten für Risikobewertungen variieren, gibt es sowohl kostengünstige als auch teurere Optionen für Unternehmen, die eine solche Bewertung durchführen möchten.
Eine Risikobewertung hilft zunächst bei der Identifizierung von Risiken, Bedrohungen und Schwachstellen innerhalb und außerhalb einer Organisation. Dabei lassen sich auch die Wahrscheinlichkeit und die Auswirkungen auf die Organisation identifizieren, falls bestimmte Risiken und Bedrohungen eintreten und identifizierte Schwachstellen nicht behoben worden sind. Diese Auswirkungen können betrieblicher, finanzieller oder rufschädigender Natur sein. Unternehmen nutzen diese Informationen zur Identifizierung der die wichtigsten Punkte hinsichtlich Business Continuity und Disaster Recovery (BC/DR) sowie der Resilienz-Aktivitäten.
Sind zum Beispiel die Wahrscheinlichkeit von Überschwemmungen oder anderer Naturkatastrophen das größte Risiko und die größte Bedrohung, kann ein Unternehmen die Bemühungen zur Folgenminderung darauf konzentrieren. Das Unternehmen kann seine baulichen und technischen Einrichtungen optimieren und schützen. Dann sollte es alle kritischen Systeme und Daten an weiteren Standorten, die ausreichend weit entfernt und sicher sind, gesichert werden. Dazu muss das Unternehmen Ressourcen für Mitarbeiter bereitstellen, um an externen Standorten arbeiten zu können, falls die Büros beschädigt werden. Ein weiterer Schwerpunkt aus der Risikobewertung ist der Schutz der Mitarbeiter und ihrer Familien nach einem Ereignis.
Eine Risikobeurteilung kann von einer einfachen Aktivität, wie der Verwendung einer Risikokarte zur Bewertung spezifischer Risiken und ihrer Wahrscheinlichkeit, bis zu komplexen mathematischen Berechnungen reichen. Bei diesen komplexeren Aktivitäten werden Risiken und zugehörige Metriken bis ins kleinste Detail untersucht. Mit vielen mathematischen Formeln und Algorithmen werden die Folgen der Risikoabschätzung ermittelt. Während das einfache Ausfüllen einer Risiko-Checkliste praktisch nichts kostet, kann eine aufwendige Risiko- und Risikofolgenabschätzung viele Euros auf die Rechnung bringen. Die Stundensätze reichen von etwa 70 Euro bis etwas über 400 Euro. Die Kosten sind besonders hoch, wenn die Bewertung von externen Parteien, beispielsweise einem Risikoberater, durchgeführt wird. Über einen längeren Zeitraum und bei sich immer wieder ändernden Randbedingungen kann auch die Beschäftigung eines Spezialisten wirtschaftlich darstellbar sein.
Ressourcen können helfen, die Beurteilungskosten zu senken
Quellen für Risikodaten sind sehr wichtig. Einige Bundes- und Landesbehörden stellen oft umfangreiche Ressourcen an risikobezogenen Daten zur Verfügung, zum Beispiel für Infrastrukturausfälle, schwere Sturmschäden und Umweltgefahren. Ein Beispiel ist das Portal der Hochwasserzentralen. Das Archiv informiert unter anderem über die Hochwasser in der jüngeren Vergangenheit. Die Informationen und Risiken lassen sich auch mit den Informationen anderer Quellen wie dem DWD (Deutschen Wetter-Dienst) und zum Teil mit öffentlichen Informationen von Versicherungen und dem Blitzregister verknüpfen. Daraus lassen sich teils sehr präzise die Ereignisse aus der Vergangenheit rekonstruieren und auch schon Ableitungen für künftige Ereignisse berechnen.
In den meisten Fällen sind die Recherchedaten von Regierungsbehörden über deren Websites kostenlos, aber wenn detailliertere Daten benötigt werden, können nominale Recherchegebühren der Behörde anfallen.
Die Kosten für eine selbst durchgeführte Risikobewertung können sich auf praktisch nichts belaufen, abgesehen von der Zeit der Person oder Organisation. Im Gegensatz dazu können bei der Inanspruchnahme einer dritten Partei Stundensätze anfallen. Die Herausforderung besteht darin, zu bestimmen, wie wichtig eine Risikobewertung für die Organisation und insbesondere für die Arbeit eines BC/DR- oder Resilienz-Experten ist.
Das Management mit ins Boot holen
Idealerweise kommt die Betonung der Risikoanalyse von der Geschäftsleitung, denn externe Investitionen in detaillierte Risikobewertungen müssen genehmigt und finanziert werden. Unter Umständen müssen mehrere tausend Dollar in eine entsprechend umfangreiche Risikobewertung investiert werden, die Risikotabellen und Empfehlungen zur Minderung der identifizierten Risiken, Bedrohungen und Schwachstellen enthält. Externe Firmen sollten in der Lage sein, ihr Fachwissen und ihre einschlägigen Referenzen in Bezug auf Risikoanalysen und damit verbundene Aktivitäten nachzuweisen. Interne Risikoabteilungen müssen ebenfalls über erfahrene Teammitglieder verfügen.
Während BC/DR- und Resilienz-Profis den Wert von Risikobewertungen kennen, ist es wichtig, sicherzustellen, dass die Organisation und ihre Führungskräfte gleichermaßen an den Ergebnissen solcher Initiativen interessiert sind. Organisationen mit einer Historie von störenden Vorfällen aus verschiedenen Quellen werden Risikobewertungen viel eher fördern als andere mit wenig bis gar keiner Historie von solchen Ereignissen.