Risikoappetit und Risikokriterien – wann und wo ist die Grenze zu ziehen?

Der Risikoappetit ist eine wichtige Stellschraube beim Risiko-Management-Prozess, da es das Gesamtergebnis der Risikobewertung signifikant beeinflussen kann. Aber wer definiert, welche Menge für das Unternehmen noch akzeptabel ist?

In jeder Risikomanagementmethode kann der Risikoappetit durch den Bewerter aus verschiedenen Gründen angepasst werden. Anpassungen würden es wahrscheinlich sogar ermöglichen, fast jede Entscheidung über den Umgang mit Daten zu treffen, was per se nicht gesetzlich verboten ist. Eine Anpassung des Parameters Risikoappetit, sodass die ethische Grundlage für eine Datennutzung fehlen würde, führt jedoch dazu, dass wir quasi „uns selbst anlügen“. Man kann natürlich jede Aussage auf ein Blatt Papier schreiben und diese als „Wahrheit“ definieren. Da man aber sich selbst am nächsten ist, weiß man im Hinterkopf: „Es ist nicht die ganze Wahrheit“. Die Unterstützung der Mitarbeiter der Organisation und des unteren, operativen Managements würde bei einem solchen Vorgehen nicht lange nachhalten, was die Unternehmensgrundlage gefährden könnte. Obwohl es definitiv einzig und allein der Geschäftsführung des Unternehmens vorbehalten ist, den Schwellenwert für den Risikoappetit festzulegen, müssen im Unternehmen starke Funktionen vorhanden sein, um die Gründe für diesen Wert in Frage stellen zu können und diesen zu validieren. Folgende Fragen sollten Sie sich zu diesem Zweck stellen:

Wie wählen und regeln Sie den Risikoappetit als ein Risikobewertungskriterium, um sicherzustellen, dass Sie sich nicht selbst anlügen?
Wie entscheiden Sie über das richtige Maß an Risikoakzeptanz, um sicherzustellen, dass die Menge an Risiken nicht überschritten wird?
Wer ist dafür verantwortlich zu bestätigen, dass das Unternehmen die richtige Entscheidung getroffen hat einen bestimmten Risikoappetitwert als Risikoakzeptanzschwelle zu wählen?

Haben Sie Fragen oder weiteren Informationsbedarf?

First name^*

Family name^*

Company name^*

Job title/Position^*

E-Mail^*

Message^*

I accept that Mazars will process my personal data for the purpose of handling my request^*

^* mandatory fields

Your personal data is collected by Forvis Mazars in Germany, the data controller, in accordance with applicable laws and regulations. Fields marked with an asterisk are required. If any required field is left blank, it will not be possible to process your request. Your personal data is collected for the purpose of processing your request.

You have a right to access, correct and erase your data, and a right to object to or limit the processing of your data. You also have a right to data portability and the right to provide guidance on what happens to your data after your death. Finally, you have the right to lodge a complaint with a supervisory authority and a right not to be the subject of a decision based exclusively on automated processing, including profiling, that produces legal effects concerning you or significantly affects you in a similar way.

Want to know more?

Roman Krepki Senior Manager - Stuttgart

Detailed profile

Services

Cyber security & data protection

Unternehmen sind heutzutage branchenübergreifend in der Abwicklung ihrer Geschäftsprozesse und Arbeitsabläufe auf eine verlässliche und fehlerfrei funktionierende IT Landschaft angewiesen. Hierbei kommt der Sicherstellung der Betriebsbereitschaft eine hohe Bedeutung zu. Bei den meisten Unternehmen basiert die diesbezügliche Zielsetzung jedoch auf den Anforderungen des IT Regelbetriebs und des zugehörigen...