Darüber hinaus wird in der Theorie oft vortrefflich beschrieben, mit welchen Ansätzen und statistisch stochastischen Risikomanagement-Methoden den IT-Risiken zu begegnen ist. Woran es hierbei allerdings hapert, ist einen klaren ganzheitlichen und in der Praxis wirkungsvoll umsetzbaren Ansatz für IT-Risikomanagement zu liefern.
Von daher werden hier einmal wesentliche Thesen aus Theorie und Praxis zum IT-Risikomanagement erörtert:
- IT-Risikomanagement ist Chefsache
Das ist richtig in dem Sinne, dass wirkungsvolles IT-Risikomanagement in der Praxis einem Selbstverständnis der Unternehmensführung entspringen muss. Gleichwohl muss mit diesem Selbstverständnis auch die Einsicht einhergehen, dass ein wirkungsvolles IT-Risikomanagement nur unter folgenden Prämissen effektiv funktioniert und seinen eigentlichen Zweck erfüllt:
a.) Wenn IT-Risikomanagement eine neutrale und objektive organisatorische Instanz ist, die auch mit den nötigen Kompetenzen und der nötigen Handlungsflexibiliität ausgestattet ist. Jegliche "Fremdeinflüsse" bei der Ausübung der IT-Risikomanagement Aufgabe müssen vermieden werden. Dies bezieht sich auf die organisatorische An- bzw. Zuordnung (z.B. "IT-Risikomanagement sehe ich im Aufgabenbereich des Controllings"), wie auch den Aspekt der Funktionstrennung (z.B. "Herr xy macht IT-Risikomanagement noch mit", oder "Herr xy ist neben z auch noch für Risikomanagement verantwortlich").
b.) Wenn für IT-Risikomanagement anforderungsgerechte Mittel bzw. Budgets bereitgestellt werden, um diese Position oder ggf. auch Einheit wirkungsvoll auszukleiden (personell wie technisch).
c.) Wenn es eine klare Zielsetzung und auch übergeordnete IT-Risikostrategische Leitlinie gibt, die von oben (Unternehmensführung) bis nach unten (zum Mitarbeiter) bekannt ist und auch wirklich "gelebt" wird.
d.) Wenn auf allen IT-Ebenen erkannt wird (Risiko-Awareness), dass IT-Risikomanagement kein Negativum ist, sondern das Vorhandensein und Transparent machen von IT-Risiken auf allen Verantwortungsebenen Chancen bietet (jede durch ein Risiko bedingte Maßnahme bedeutet u.a. auch Budget für die IT und letzlich Absicherung und Sicherung des eigenen Verantwortunsbereiches).
- IT-Risikomanagement ist eine "Controlling-Aufgabe", Kontrollframeworks befördern Risiken ans Tageslicht
Die Aufgabe eines wirkungsvollen IT-Risikomanagents ist es, ganzheitliche Risikotransparenz im Sinne der Unternehmensführung zu schaffen. Diese Risikotransparenz entsteht nicht nur primär dadurch, dass Kontroll-Frameworks von einer IT-Risikomanagement-Instanz durchforstet und auf Risiken hin untersucht werden.
Das Prinzip des IT-Risikomanagements in der Praxis beruht u.a. in erheblichem Maße auf "Sensibilitäten". Jeder Verantwortliche in der IT ist sich in vielen Fällen gewissen eigenen oder auch grundsätzlichen (versteckten) Kernrisiken bewußt. Die große Kunst eines IT-Risikomanagements ist es u.a. genau dieses Wissens-Potential über Risiken aus Strategie, Personal, Prozessen etc., in enger Zusammenarbeit mit den operativ verantwortlichen, an die Oberfläche zu befördern und transparent zu machen. Dies setzt wiederum ein entsprechendes vermitteltes Risikobewußtsein beim Risikoverantwortlichen voraus. Und im Bezug auf den IT-Risikomanager sind neben technischen Backgroundqualitäten insbesondere auch Einfühlungsvermögen und zielgruppenspezifische Kommunikationsstärke gefragt. Das "Heben" von Risikopentialen setzt auch immer eine gewisse "Vertrauensbasis" voraus.
Und aus der Praxiserfahrung heraus sei angemerkt, dass das Vorhandensein von Zertifizierungen oder Übereinstimmungen mit "Reifegraden" von Prozessen keine Gewähr dafür sind, dass sich hier nicht doch ganz entscheidende Risiken verbergen. Ohne ein geschicktes Insistieren und Nähe zum IT-Risiko werden Sie im Zweifel dann auch nicht Erfahrung bringen, dass ein zertifizierter Prozess in der Praxis nicht so läuft wie auf dem Papier dokumentiert. Eine "zertifizierte Risikosicherheit" gibt es denn in der Praxis auch nicht. Ein Zertifikat oder Reifegrad eines Prozesses sagt nur bedingt etwas darüber aus, inwieweit diese Dinge auch gelebt werden, funktionieren und nicht doch erhebliches Risikopotential in sich bergen.
Derartige Risiko-Details und -Sensibilitäten bringen Sie nur ans Tageslicht, wenn Sie eine entsprechende vertrauensvolle Risiko-Athmosphäre und -Bewußtsein schaffen. Es ist von daher auch immer problematisch, wenn Sie eine IT-Risiko-Instanz schaffen, der die unmittelbare Nähe zur IT und den Menschen in der IT fehlt. So verwalten Sie im Zweifel die IT-Risiken an der Oberfläche.
Wesentlicher Kern von IT-Risikomanagement in der Praxis sind Risikoanalysen im Sinne von Risikoinventuren, die im Idealfall Bottom-Up, d.h. auf der Ebene der operativen Verantwortlichkeit erhoben und nach oben hin entsprechend aggregiert werden. Verlassen Sie sich nicht darauf, dass eine Zertifzierung xy Ihnen Risikofreiheit garantiert. Hier kann es dann sehr schnell zu einer Risiko-Scheinsicherheit kommen. Ein schönes Beispiel für das gesagte ist im übertragenen Sinne auch die HSH Nordbank (siehe: "Wenn Risikomanagement zum Risiko wird", die entsprechende News und Kommentierung dazu).
Im Idealfall ist ein IT-Risikomanager die Person, die sowohl von der Fachlichkeit als auch der IT bereits im Vorfeld (quasi als vertrauensvoller "Partner") aktiv herangezogen wird, wenn es Änderungen in der Prozess-, Anwendungs- oder auch IT-Infrastrukturlage gibt. IT-Risikomanagement per Dekret ist ein schlechter Ratgeber. Extrem hilfreich für einen solchen Prozess ist es, wenn IT-Risikomanagement aus einem Selbstverständnis heraus auf allen Ebenen gelebt wird.
Von daher ist ein IT-Risikomanager auch kein "Controller". Er muß analytische Fähigkeiten besitzen, wenn es um Bewertungsmethoden, Risiko-Korrelationen oder z.B. das Controlling von Maßnahmen geht, viel wichtiger ist jedoch, dass Sie an dieser Stelle eine Person bzw. auch Personen haben, die in der Lage sind sich auf die unterschiedlichsten Befindlichkeiten von unterschiedlichsten Zielgruppen einzustellen und es auch verstehen, mit diesen auf einer Ebene zu kommunizieren und diese in das "IT-Risikomanagement-Boot" zu holen.
- Die richtige Methodik und Ansatz zum IT-Risikomanagement (Coso, Cobit, ITIL und Co.)
Es gibt nicht die richtigen allgemeingültigen Methodiken und Ansätze die sich pauschal einem IT-Risikomanagement überstülpen lassen. Die Wahl von einzusetzenden Methoden und Ansätzen sind in erheblichem und individuellem Maße von folgenden Faktoren abhängig:
a.) Gemeinsame Sicht der Dinge, abgestimmte Ziele
In punkto IT-Risikomanagement-Ansatz und einzusetzender Methodik sitzen Sie im Zweifel nicht alleine im Boot. Diese Frage wird u.a. durch die Unternehmenskonstellation, -kultur, sowie auch den vorhandenen Schnittstellen in wesentlichem Maße beinflußt. IT-Risikomanagement ist eine Querschnittsfunktion, die in enger Abstimmung mit vielen weiteren internen Schnittstellen steht (z.B. zentrales Risikomanagement, Organisation, Prozessmanagement, IT-Sicherheit, IT-Revision, Datenschutz etc.). Es wäre uneffektiv und auch nicht ratsam, entsprechende notwendige Synergien nicht zu nutzen. All dieses Querschnittsfunktionen sind in ähnlicher Weise mit Themen befaßt, bei denen Methodiken und Tools eine wesentliche Rolle spielen. Wichtig ist hierbei, dass alle die gleiche Sprache sprechen und sich nach Möglichkeit auch bzgl. Methodiken, Kommunikation und z.B. Bewertungsmaßstäben abstimmen. Nur so kann ein gemeinsames Ziel im Sinne der ganzheitlichen Risikotransparenz erreicht werden. Es ist von großem Vorteil, wenn Sie sich z.B. in punkto gemeinsamer Risiko-Map auch mit überwachenden Funktionen, wie bspw. der inernen Revision abstimmen. So ist gewährleistet, dass auch in diesem Bereich eine kooperative, konstruktive und zielgerichtete Zusammenarbeit entsteht.
b.) IT-Risikomanagement-Tools und -Anwendungen
Das oben gesagte gilt auch hier. Es wäre unter Synergieaspekten kontraproduktiv und ineffektiv, wenn sich das IT-Risikomanagement hier eine "Insellösung" schaffen würde. Die angesprochenen Schnittstellen haben ein gemeinsames Interesse daran, dass auch die entsprechende Tool-Unterstützung ineinandergreift und miteinander harmonsiert. In jedem Fall müssen vor Anschaffung einer Lösung zum IT-Risikomanagement auch die Anforderungen der wichtigen Schnittstellenpartner unbedingt mit berücksichtigt werden.
c.) Risiko-Orientierung mit Kontrollframeworks (Coso, Cobit)
Auch das Thema "Risiko-Framework Standards" ist ein Schnittstellenthema. Sinnvollerweise sollten Sie sich mit den internen Schnittstellen darüber abstimmen, an welchem Risiko-Kontrollframework, Sie sich beim IT-Risikomanagement orientieren. Auch hier gilt, dass man eine gemeinsame Sprache sprechen und ein abgestimmtes Ziel verfolgen sollte. Ansonsten verschenken Sie hier Synergien und schaffen ggf. ein uneinheitliches Bild nach innen, wie auch nach außen, wenn es z.B. um externe Prüfungen geht.
Diese hier begonnende Betrachtung wird sukzessive erweitert und entsprechend durch, die einzelnen Aussagen stützenden, Beiträge gezielt ergänzt. Bleiben Sie auf dem laufenden und tragen Sie sich in den Newsletter ein.
Autor: Michael Scholz, September 2009
darauf, dass sich "Menschen öffnen"
Indirekt wird sowohl bei der konkreten organisatorischen Zuordnung, als auch in der Theorie oft darüber "gefachsimpelt",
| < Zurück | Weiter > |
|---|
