CRISAM® Evaluation & Aggregation Methodologies

Im Risikoverständnis von CRISAM® ist ein Risiko eine unerwartete Abweichung von einem erwarteten bzw. geplanten Ziel. Es ist daher nicht sinnvoll, einzelne Abweichungen sofort mit Maßnahmen zu versehen, sondern deren Wirkung auf das Gesamtziel vorab zu beurteilen. Erst bei einer unakzeptablen Abweichung des Gesamtzieles sind adäquate Maßnahmen zu setzen. Chancen können Risiken finanzieren! Es ist daher besonders wichtig, Einzelrisiken zu Gesamtrisiken zusammenzuführen und ihre potentielle Gefährdung für das Unternehmen zu bewerten. So sind es Termin- und Kostenüberschreitungen bei Projekten, das Verfehlen geplanter Ergebnisse bei der Unternehmensplanung und auch Risiken resultierend aus dem Einsatz der IT, die in ihrer Auswirkung am Unternehmen zu werten sind.

Aufgrund der Verschiedenartigkeit der Behandlungsmethoden von IT- oder Projekt- und Unternehmensrisiken sieht CRISAM® zwei grundsätzliche Aggregationsmethoden vor:

  1. Cause & Effect Analysis Method (Ursache-Wirkungsbeziehung) zur Aggregation in Fehlerbäumen
  2. Scenario Analysis Method (Monte-Carlo-Simulation) zur Aggregation in quantifizierbaren oder semiquantifizierbaren Geschäftslogiken

Cause & Effect Analysis Method (Ursache-Wirkungsbeziehung)

Risiken an einem Gesamtsystem, deren Einzelsysteme in einer Ursache-Wirkungsbeziehung zusammenwirken, müssen entsprechend den Prinzipien der Fehlerbaumanalyse aggregiert werden. Beispielsweise werden IT-Services aus einer Verbindung von Serversystemen, Netzwerken, Gebäuden, Rechenzentren bereitgestellt und von IT-Mitarbeitern betrieben. Ein Fehler in einem System bewirkt über seine Wirkungsbeziehung eine Fehlfunktion im Gesamtsystem. Risiken können daher nur in einer Gesamtbetrachtung der Einzelsysteme und deren Wirkungsbeziehung zueinander bewertet werden.

Um ein (technisches) System auf Basis seiner Komponenten und Objekte in ein möglichst wirklichkeitsnahes Modell zu übersetzen und auszuwerten, verwendet CRISAM® ein analoges Verfahren zur Fehlerbaum-Methodik (Cause & Effect Analysis Method) entsprechend der DIN 25424 (siehe Abbildung 8). Beispielsweise wird ein IT-Service an der Wurzel des Fehlerbaumes bewertet, in dem alle für eine ordnungsgemäße Funktion erforderlichen Systeme schrittweise bis in die für das Risikomanagement erforderliche Tiefe abgebildet und bewertet werden. Ihre Wirkungsbeziehung wird dabei davon abhängig, ob eine einfache oder eine redundante Beziehung besteht, modelliert und berechnet. Die Modellierung des Fehlerbaumes wird im CRISAM® Explorer durch Drag-and-Drop durchgeführt. Durch die Modellierung in der Baumstruktur werden automatisch die Berechnungsregeln für die Aggregation erstellt.


Abbildung 8: Ausschnitt eines in CRISAM® modellierten Fehlerbaumes

Um ein (technisches) System auf Basis seiner Komponenten und Objekte in ein möglichst wirklichkeitsnahes Modell zu übersetzen und auszuwerten, verwendet CRISAM® ein analoges Verfahren zur Fehlerbaum-Methodik (Cause & Effect Analysis Method) entsprechend der DIN 25424 (siehe Abbildung 7). Beispielsweise wird ein IT-Service an der Wurzel des Fehlerbaumes bewertet, in dem alle für eine ordnungsgemäße Funktion erforderlichen Systeme schrittweise bis in die für das Risikomanagement erforderliche Tiefe abgebildet und bewertet werden. Ihre Wirkungsbeziehung wird dabei davon abhängig, ob eine einfache oder eine redundante Beziehung besteht, modelliert und berechnet. Die Modellierung des Fehlerbaumes wird im CRISAM® Explorer durch Drag-and-Drop durchgeführt. Durch die Modellierung in der Baumstruktur werden automatisch die Berechnungsregeln für die Aggregation erstellt.

Scenario Analysis Method

Alternativ zur Ursache-Wirkungsbeziehungsmodellierung von technischen und organisatorischen Systemen stellt CRISAM® frei modellierbare Geschäftslogiken zur Verfügung, mit denen eine Szenario-basierte Analyse auf Basis einer Monte-Carlo-Simulation durchgeführt werden kann. 


Abbildung 9: Ausschnitt einer in CRISAM® modellierten Geschäftslogik

Eine Geschäftslogik stellt dabei eine Struktur von Werten, Risiken und deren Verknüpfungsregeln zur Verfügung (siehe am Beispiel in Abbildung 9). Damit kann in einfacher Form ein Risikoinventar, ein Projektplan, einzelne Was-Wäre-Wenn Szenarien bis hin zu einer Gewinn- und Verlustrechnung, verknüpft mit der Planrechnung des Unternehmens, erstellt werden. Entlang dieser Baumstrukturen werden mit den in den Knoten enthaltenen Werten und Berechnungsformeln Szenarien berechnet, die im Rahmen einer Monte-Carlo-Simulation statistisch ausgewertet werden.