Praxisorientiertes IT-Risikomanagement - Konzeption, Implementierung und Überprüfung
von: Matthias Knoll
dpunkt, 2014
ISBN: 9783864914294
Sprache: Deutsch
364 Seiten, Download: 5555 KB
Format: EPUB, PDF, auch als Online-Lesen
Mehr zum Inhalt
Praxisorientiertes IT-Risikomanagement - Konzeption, Implementierung und Überprüfung
3 IT-Risikomanagement
Ziel dieses Kapitels
Dieses Kapitel erläutert den Begriff IT-Risikomanagement. Im Einzelnen werden die folgenden Fragen geklärt:
- Was ist Risikomanagement, was ist Enterprise Risk Management?
- Was ist IT-Risikomanagement?
- Warum ist der Integrationsgedanke im Risikomanagement wichtig?
- Welche Anforderungen werden an das IT-Risikomanagement gestellt?
- Welche generischen IT-Risikostrategien kennt das IT-Risikomanagement?
- Welche Vorgaben sind relevant für das IT-Risikomanagement?
3.1 Begriff und Ausprägungen des Risikomanagements
3.1.1 Risikomanagement
Oft existiert im Unternehmen bereits ein Notfall- und Krisenmanagement oder ein Continuity-Management, was die Einrichtung einer weiteren Managementdisziplin auf den ersten Blick vielleicht unnötig erscheinen lässt. Zwar ist Risikomanagement immer auch ein Management von Krisen, Notfällen und das Vermeiden von Betriebsunterbrechungen, eine Risikobetrachtung daher in diesen Disziplinen notwendig. Ein gutes Krisen-, Notfall- und Continuity-Management hat jedoch einen anderen Fokus als das Risikomanagement.
Definition
Risikomanagement
Risikomanagement ist eine reaktive und proaktive Managementaufgabe. Es folgt einem Prozess, um Risiken in einem bestimmten Bereich des Unternehmens zu identifizieren, zu analysieren, zu bewerten, zu behandeln und zu überwachen.
Sein Ziel ist, bestimmte Risiken (etwa Marktrisiken, Kreditrisiken, Finanzrisiken, Fertigungsrisiken, Logistikrisiken) transparent zu machen, das Risikobewusstsein zu verbessern, die Ziele des jeweiligen Bereichs im Unternehmen zu unterstützen und die Eigenverantwortung zu stärken.
Als Begründungen für die Einrichtung eines Risikomanagements gelten darüber hinaus:
- gesetzliche oder aufsichtsrechtliche Verpflichtungen (vgl. Abschnitt 3.3)
- die Vermeidung oder Verringerung aktueller und künftiger Geschäftsrisiken
- die Vermeidung von Risiken aus Ineffizienzen in Geschäftsprozessen
- die Forderung von Banken nach Einrichtung eines Risikomanagements im Zuge der Kreditgewährung
- die Vermeidung von Betrug und menschlichen Fehlern
3.1.2 Enterprise Risk Management
Zur effektiven und effizienten Steuerung des Gesamtunternehmens wäre ein ausschließlich bereichs- oder themenbezogenes Denken hinderlich. Der Gedanke des Risikomanagements wird deshalb in Form des Enterprise Risk Management auf das Gesamtunternehmen übertragen.
Definition
Enterprise Risk Management (ERM, unternehmensweites Risikomanagement, integriertes Risikomanagement)
Enterprise Risk Management verfolgt über alle Geschäftsbereiche, Standorte und verbundenen Gesellschaften eines Unternehmens hinweg einen ganzheitlichen Ansatz. Es gibt dazu im Sinne des Integrationsgedankens die IT-Risikorichtlinie, Methoden, Werkzeuge und Dokumente vor. Gleichzeitig übernimmt es für alle wesentlichen Risiken des Gesamtunternehmens eine analysierende, bewertende und überwachende Funktion. Daneben koordiniert und berät es die betroffenen Bereiche des Unternehmens. Es identifiziert und behandelt selbst keine Risiken.
Das Enterprise Risk Management ist hierarchisch aufgebaut und zentral organisiert (vgl. Abb. 3–1). Das interne Kontrollsystem (vgl. Kap. 10) ist ein wichtiger Bestandteil. Die mit dem Enterprise Risk Management verbundene Verantwortung liegt immer in der Leitungsebene eines Unternehmens und ist in letzter Konsequenz nicht delegierbar.
Im Gegensatz dazu konzentrieren sich die Teildisziplinen des Risikomanagements jeweils auf einen bestimmten fachlichen Bereich des Unternehmens und liefern ihre Ergebnisse dem Enterprise Risk Management zu.
Abb. 3–1 Enterprise Risk Management und bereichsbezogenes Risikomanagement
Dadurch ist im Enterprise Risk Management eine Konzentration auf wesentliche Risiken möglich, gleichzeitig werden unerwünschte Seiteneffekte (bspw. Doppelarbeiten, Inkonsistenzen) minimiert.
Die Einschränkung auf wesentliche Risiken wird mit zunehmender Unternehmensgröße wichtiger, weil die Menge an Detailinformationen eine zentrale Steuerung unmöglich machen würde.
3.2 Das IT-Risikomanagement
Das IT-Risikomanagement ist als eigenständige Funktion in vielen Unternehmen seit etwa 10–15 Jahren etabliert und damit im Vergleich zur IT insgesamt eine junge Managementdisziplin ([ITGI 2011], [Schermann 2011], S. 101ff., [Eller et al. 2010]).
Definition
IT-Risikomanagement
IT-Risikomanagement (vgl. Abb. 3–2) ist Bestandteil des Enterprise Risk Management. Sein Ziel ist es, durch Kenntnis von Ursache-WirkungsBeziehungen IT-Risiken frühzeitig zu erkennen, angemessen auf sie zu reagieren und so zum Schutz des Unternehmens beizutragen. Daneben soll es
- die Mitarbeiter und betroffene Partner für IT-Risiken sensibilisieren,
- Transparenz über die IT-Risikolage herstellen,
- die Wirtschaftlichkeit aller Maßnahmen sicherstellen,
- bei Beherrschung komplexer Krisensituationen in der IT unterstützen,
- die Entwicklung von IT-Risiken vorhersagen und
- die Einrichtung und laufende Verbesserung interner Kontrollen in der IT unterstützen.
Dazu ist das IT-Risikomanagement in zwei Ebenen unterteilt:
- Die strategische Ebene (strategic risk management) regelt über die Festlegung langfristiger Ziele die Rahmenbedingungen für die Durchführung des IT-Risikomanagements.
- Die operative Ebene (operational risk management) enthält den zyklisch zu durchlaufenden IT-Risikomanagement-Prozess (vgl. Kap. 5) sowie geeignete Methoden, Werkzeuge und Dokumente.
Abb. 3–2 IT-Risikomanagement-Modell
3.2.1 Anforderungen an das IT-Risikomanagement
Die zentralen Anforderungen an das IT-Risikomanagement sind:
- seine Angemessenheit (Eignung)
- seine Wirksamkeit (Funktionsfähigkeit)
Dazu deckt das IT-Risikomanagement folgende Aspekte ab:
- Vollständigkeit
IT-Risikomanagement ist vollständig, wenn es alle notwendigen Elemente, beispielsweise im Vergleich zu ISO 31000 [ISO 2009a], enthält. Solche Elemente sind die Aufbauorganisation des IT-Risikomanagements, der IT-Risikomanagement-Prozess, die IT-Risikopolitik, die IT-Risikorichtlinie und die Prüfung des IT-Risikomanagements (vgl. Kap. 11).
- Eignung
IT-Risikomanagement ist geeignet, wenn seine Elemente so konzipiert sind, dass sie die erforderlichen Funktionen erfüllen können. Ein Element ist also dann geeignet, wenn es nach entsprechender Umsetzung einen genau umschriebenen Beitrag für den Umgang mit IT-Risiken leisten kann.
- Konsistenz
IT-Risikomanagement ist konsistent, wenn sich die einzelnen Elemente des IT-Risikomanagements nicht überschneiden, widersprechen oder gegenseitig aufheben.
- Umsetzbarkeit
IT-Risikomanagement ist umsetzbar, wenn durch Bereitstellung und planvollen Einsatz der erforderlichen Ressourcen eine sachgerechte Implementierung des IT-Risikomanagements erfolgt ist und die Ziele des IT-Risikomanagements erfüllt werden können.
Die Abdeckung dieser Aspekte erfordert die Erfüllung weiterer Anforderungen:
- Integrationsfähigkeit
Die Fähigkeit zur Integration ist Voraussetzung für das IT-Risikomanagement. IT-Risikomanagement ist kein Fremdkörper und stellt keine redundante Struktur dar. Eine isolierte Behandlung von IT-Risiken wäre aufgrund bereichsübergreifender Ursache-Wirkungs-Beziehungen nicht ausreichend.
Die Integration erstreckt sich auf alle Ziele und Elemente des IT-Risikomanagements. Sie lässt sich unterscheiden in die vertikale Integration in das Enterprise Risk Management und in die horizontale Integration (vgl. Abb. 3–3) in:
1. Bereiche, Abteilungen oder Funktionen innerhalb der IT-Organisation, die ähnliche Aufgaben übernehmen,
2. die Fachabteilungen des Gesamtunternehmens sowie
3. das Unternehmensumfeld (wichtige Partner)
Abb. 3–3 Dimensionen der Integration
Eine präzise Abgrenzung und gegenseitige Anerkennung der Grenzen, Rechte und Pflichten sowie eine konstruktive Zusammenarbeit ist sinnvoll zwischen:
- dem Informationssicherheitsmanagement (IT-Sicherheitsmanagement, IT...