Risikobewertung in CRISAM®

Banken- und versicherungsaufsichtsrechtliche Vorgaben in Basel II bzw. Solvency II verlangen eine Quantifizierung strategischer und operationaler Risiken, die durch anerkannte Ratingsysteme beschrieben werden. CRISAM® besitzt ein dazu kompatibles Ratingsystem, wodurch Risiken aus dem IT-Einsatz zu anderen strategischen und operationalen Risiken im Unternehmen in Bezug gesetzt werden können. Risiken werden mit dem CRISAM® Ansatz in Form einer quantitativ dargestellten Kennzahl analog dem Standard & Poor’s Versicherungsratingansatz bewertet. Im Ergebnis der Risikobewertung wird die Relevanz der IT-Unterstützung für die (Geschäfts-) Prozesse berücksichtigt. Innerhalb der Unternehmens-IT werden die Abhängigkeiten der Applikationen von unterstützenden Systemen, Ressourcen und Infrastrukturen in einem hierarchischen Risikobaum nachgebildet. Risiken werden analog der Fehlerbaumanalyse nach DIN 25424 von den Blättern des Baumes zur Wurzel aggregiert und nach dem zugrunde liegenden Algorithmus berechnet. Festgestellte Abweichungen von der Sollvorgabe können aufgrund der nachgebildeten Abhängigkeiten bis zu den einzelnen Risikoobjekten (Blätter des Risikobaumes) zurückverfolgt werden.

Das Ergebnis ist eine Kennzahl analog dem bekannten Standard & Poor’s Ratingmodell. Die Ratingkennung ist im Management allgemein bekannt und kann von Personen ohne spezifischen IT-Know-How interpretiert werden. Damit können Risiken aus dem IT-Einsatz in Relation zu den Finanz-, Markt- und weiteren Risikofaktoren im Unternehmen gebracht werden.