2 IT-Risiko und IT-Risikomanagement (S. 7-8)

2.1 Risikobegriff

Die Anzahl der Risikodefinitionen ist sehr umfangreich und konzentriert sich primär auf die negative Abweichung eines erwarteten Zielzustandes.13 Etymologisch ist dies auch tatsächlich der Fall, denn im 16. Jahrhundert erhielt der Begriff „Risiko" Eingang in die deutsche Sprache als Entlehnung des italienischen Wortes ris(i)co (die Klippe, die es zu umschiffen gilt) sowie des griechischen Wortes riza (die Wurzel, über die man stolpern kann).

Ebenso existieren etymologische Wurzeln des Begriffs „Risiko", die sowohl eine negative Komponente als auch eine positive Komponente betonen. Im chinesischen Schriftzeichen für Risiko Wei-ji sind die beiden Zeichen für Chance und Gefahr enthalten. Im modernen Risikomanagement wird überwiegend zwischen dem entscheidungsorientierten und ausfallorientierten Risikobegriff unterschieden. Im entscheidungsorientierten Sinne wird unter Risiko die Streuung der Zielgrößenwerte um den Erwartungswert verstanden und durch die Standardabweichung bzw. der Varianz gemessen.

Somit beinhaltet der Begriff Risiko sowohl die Berücksichtigung einer positiven als auch einer negativen Abweichung des Zielgrößenwerts vom Erwartungswert. Das Risiko ist umso größer, je größer die Standardabweichung bzw. die Varianz ist. Beim ausfallorientierten Risikobegriff wird Risiko als Gefahr einer negativen Abweichung des tatsächlich realisierten Ergebnisses vom geplanten bzw. erwarteten Ergebniswert verstanden.

Dem Risiko steht die Chance als positive Abweichung vom Ergebniswert gegenüber, welche jedoch bei der ausfallorientierten Risikomessung unberücksichtigt bleibt.16 Das wohl bekannteste Risikomaß aus dem Spektrum der Ausfallrisiken ist der Value-at-Risk, welcher definiert ist als der geschätzte, maximale Wertverlust einer Einzelposition oder eines Portfolios, der unter üblichen Marktbedingungen, innerhalb eines festgelegten Zeitraums, mit einer bestimmten Wahrscheinlichkeit, nicht überschritten wird.

In Abbildung 4 ( in der Leseprobe nicht enthalten) ,wird mit einer Wahrscheinlichkeit von 95% der Verlust innerhalb der betrachteten Periode nicht mehr als 25.000 GE betragen. Üblicherweise werden die erwarteten Verluste als Standard-Risikokosten bei der Bepreisung von Produkten und Dienstleistungen berücksichtigt und stellen daher kein Risiko für das Unternehmen dar. Das Risiko beschränkt sich in diesem Fall auf die unerwarteten Verluste (15.000 GE).

Sofern die erwarteten Verluste nicht bei der Bepreisung von Produkten bzw. Dienstleistungen berücksichtigt werden, umfasst das Risiko sowohl die erwarteten als auch die unerwarteten Verluste (25.000 GE). Neben dem Value-at-Risk wird oftmals auch der Expected Shortfall als Risikomaß herangezogen. Dieser gibt den Durchschnitt aller Verluste an, die größer oder gleich dem Value-at-Risk sind.19 Entgegen dem Value-at-Risk stellt der Expected Shortfall ein kohärentes Risikomaß dar.