Beschreibung¶
Das systematische Identifizieren, Analysieren, Bewerten, Steuern und Überwachen von Chancen und Risiken wird als Chancen und Risikomanagement bezeichnet.
Im Folgenden ist der Workshop beschrieben, in dem die Chancen und Risiken identifiziert und bewertet werden.
Vorbedingung für die Planung von Workshops ist, dass die Kerngeschäftsprozesse identifiziert wurden (siehe HowTo: Chancen- und Risikoanalyse).
Vorgehen¶
| Workshop vorbereiten | |||
|---|---|---|---|
| 1 | Aktivität | Beschreibung | Anmerkung |
| 2 | Experten je Geschäftsprozess identifizieren | Es sollten je nach Ziel des Workshops Qualitätsmanagementverantwortliche, Informationssicherheitsbeauftragte, Fachverantwortliche, Prozessverantwortliche, Produktverantwortliche Administratoren/Entwickler und Benutzer der betrachteten Anwendungen, IT-Systeme und Gebäude am Workshop teilnehmen. | |
| 3 | Templates zur Chancen- und Risikodokumentation vorbereiten | Für jeden identifizierten Geschäftsprozess sollte eine eigene Chancen- und Risikodokumentation erfolgen, erfasse dafür die jeweiligen Kerngeschäftsprozesse im Rahmen der Chancen- und Risikoanalysen. Optional: Ergänze die Geschäftsprozesse nach Möglichkeit bereits um die jeweils relevanten Chancen und Risiken. Es kann vorab auch schon einmal eine vorläufige Bewertung der Chancen und Risiken vorgenommen werden. | Nutze für die Dokumentation das dafür vorgesehene Template. |
| 4 | Termin planen | Plane Termine mit den jeweiligen Experten, dabei sollte aus jeder relevanten Fachrichtung mindestens ein Experte beteiligt sein. | Es empfiehlt sich ein Workshop je Geschäftsprozess zu planen. In der Praxis hat es sich bewährt, hierzu besser mehrere kurze als eine lange Sitzung mit allen beteiligten Experten durchzuführen. |
| 5 | Einladung zum Workshop verschicken | Die Einladung zum Workshop sollte neben dem Termin auch alle notwendigen Informationen zur Vorbereitung auf den Termin beinhalten. Insbesondere - Eine Beschreibung was die Teilnehmer des Workshops erwartet - Den Link zum Template des zu betrachtenden Kerngeschäftsprozesses - Informationen dazu, inwieweit sich die Experten im Rahmen der Strukturanalyse des zu betrachtenden Kerngeschäftsprozesses vorbereiten können | Je besser sich die Experten auf den Workshop vorbereiten, desto einfacher wird die Identifikation und Bewertung der Chancen und Risiken im Rahmen des Workshops. |
| Workshop durchführen | |||
|---|---|---|---|
| 1 | Aktivität | Beschreibung | Anmerkung |
| 2 | Einleitung Geschäftsprozess | Stellen Sie zu Anfang des Workshops sicher, dass alle dasselbe Verständnis des Prozesses haben, welcher Gegenstand des Workshops ist. Um welches Produkt/Dienstleistung handelt es sich? Welche Prozessschritte sind eingeschlossen, welche Schritte werden in Rahmen des Workshops nicht mit betrachtet? Nutzt die vorhandene Dokumentation und das Wissen der Experten, aber verliert euch nicht in den Details. | |
| 3 | Strukturanalyse | Besprechen Sie gemeinsam die wesentlichen Punkte der Strukturanalyse des Prozesses. Gehen Sie auf notwendige Arbeitsmittel, Standorte, Systeme, Anwendungen und auch Schlüsselpersonen ein. Jeder Teilnehmer kann seine Sicht auf die Struktur des Prozesses beitragen. | Die Ergebnisse der Strukturanalyse werden auf der Seite des jeweiligen Kerngeschäftsprozess unter "Betroffene Werte" erfasst. |
| 4 | Chancen und Risiken ergänzen | Bereits erfasste Chancen und Risiken werden im Rahmen des Workshops besprochen und ggf. angepasst. Zudem werden weitere, relevante Chancen und Risiken aus der Liste der Gefährdungen des Gefährdungskatalogs ergänzt oder als eigene Chancen und Risiken aufgenommen. Auch bei einer Chancen- und Risikoanalyse sollte die 80:20-Regel beachtet werden. Da ohnehin nicht jeder mögliche Sachverhalt betrachtet werden kann, sollten immer die wahrscheinlichsten Chancen und Risiken und die plausibelsten Lösungen im Vordergrund stehen. | |
| 5 | Chancen und Risiken bewerten | Alle ermittelten Chancen und Risiken werden bewertet, um deren Kritikalität zu bestimmen. 1. Reaisierungswahrscheinlichkeit / Eintrittswahrscheinlichkeit: Die Wahrscheinlichkeit muss durch geeignetes Fachpersonal eingeschätzt werden. Die Einschätzung kann sich dabei z.B. auf Statistiken und eigene Erfahrungen stützen. 2. Erwarteter Nutzen / Schadenshöhe: Hierbei geht es darum, wie sich der Eintritt einer Chance / eines Risikos auswirkt, d. h. welche Nutzen und Schäden (finanzieller und anderer Art) entstehen. Der Chance- bzw. Risikowert ergibt sich aus den jeweiligen Einstufungen und kann in der Chancen- bzw. Risikomatrix ermittelt werden. Eine Einstufungshilfen zur Chancen- Risikobewertung findet sich hier. | Aus der Reaisierungswahrscheinlichkeit / Eintrittswahrscheinlichkeit und dem erwartetenen Nutzen / der Schadenshöhe ergibt sich dann der Chancen- bzw. Risikowert (A, B oder C), welcher der Chancen- bzw. Risikomatrix entnommen werden kann. Tipp: Nutzt das Feld "Beschreibung der Bewertung" um die vorgenommene Bewertung in Stichpunkten zu begründen. Das hilft im nächsten Jahr bei der erneuten Bewertung. |
| 6 | Beschreibung potentieller Maßnahmen | Oft können im Workshop bereits erste mögliche Maßnahmen für eine Risikoreduzierung bzw. die Nutzung von Chancen identifiziert werden. Das Wissen der Experten sollte in Stichpunkten festgehalten werden um für die spätere Risikobehandlung aussagefähig zu sein. | Nutzt dafür das Feld "Beschreibung potentieller Maßnahmen" in dem jeweiligen Risiko. |
Linksammlung¶
| Bezeichnung | Beschreibung | Pfad/Link | Anmerkung |
|---|---|---|---|
| Gefährdungskatalog | Eine Auflistung an Standardgefährdungen | Link | |
| Einstufungshilfen zur Chancen- und Risikobewertung | Hilfen zur Bewertung von Chancen und RIsiken | Link |
\
Seiteninhalt
Änderungshistorie¶
| Datum | Autor | Änderung |
|---|---|---|
| 2026-02-15 | Visitrans | Execute SPEC-02: YAML frontmatter for 646 files, link conversion, validation |
| 2026-02-15 | Visitrans | Fix table conversion: colspan expansion, header promotion, line breaks |
| 2026-02-14 | Visitrans | Execute SPEC-01: Bulk-Export 646 Confluence pages to Obsidian vault |