Risiken managen - eine Aufgabe der IT?

07.01.2009
Von Kirsten  Messer-Schmidt und Oliver Kuklok
Kein Unternehmen kann mehr auf IT verzichten. Eine systematische Betrachtung der aus der IT resultierenden Risiken ist daher unerlässlich.

Wenn in einem Industrieunternehmen die Steuerungssoftware für Großmaschinen über zwei Tage nicht funktioniert, kann der Stillstand ruinöse Folgen haben. Doch auch der Ausfall von Arbeitsplatzsystemen oder Netzkomponenten zieht möglicherweise schwerwiegende Konsequenzen nach sich. Trotz des hohen Schadenspotenzials steht das IT-Risiko-Management - außer im Projektbereich - in vielen Firmen noch am Anfang. So beziehen Unternehmen die IT-Funktionen häufig nur generisch in ihre Risikobetrachtung ein: Risiken werden erst benannt und bewertet, wenn sie bereits zur Gefährdung geworden sind.

Nicht umsonst widmen IT-Governance- und Prozessmodelle dem Risiko-Management große Aufmerksamkeit. Cobit etwa betrachtet es als einen der fünf Kernbereiche der IT-Governance und definiert entsprechende Abläufe (etwa den Prozess "Assess and manage IT-Risks").

Was ist ein IT-Risiko?

Grundsätzlich sollten sich Firmen fragen, welche Risiken ihnen aus dem Einsatz von IT-Systemen im Hinblick auf ihre Geschäftsziele erwachsen. IT-Risiken sind nur insofern Risiken für eine IT-Einheit selbst (intern oder extern), als diese Einheit durch fehlende Abwehrmechanismen die eigene Existenz gefährdet.

Risiko-Management im Allgemeinen und IT-Risiko-Management im Besonderen bedeuten nicht, einen Spezialisten, der gerade Zeit hat, mit der Aufgabe zu betrauen, "sich mal ein paar Risiken zu überlegen und diese zu klassifizieren". Damit es als Steuerungsinstrument genutzt werden kann, erfordert Risiko-Management eine strukturierte und wiederholbare Herangehensweise. Es ist daher als eigener Prozess innerhalb der Prozesslandschaft zu verankern.

Risiko-Management muss von der Firmenleitung getrieben sein: Sie hat zu entscheiden, welche Risiken sie zu tragen bereit ist.

Für den Aufbau eines Risiko-Managements bietet sich folgendes Vorgehen an (die Aktivitäten können teilweise parallel ablaufen):

Die Aufgaben des Business

• Die Unternehmensziele festlegen: In einem ersten Schritt gilt es, die Ziele einer Organisation verbindlich zu benennen und zu kommunizieren.

‚Ä¢ Das Risiko-Management aufbauen: Es liegt in der Verantwortung des CEO, den Aufbau eines unternehmensweiten Risiko-Managements zu veranlassen und zu fördern. Dazu zählt unter anderem, die Verantwortlichen zu benennen, einen Risiko-Management-Prozess zu beschreiben, KVP-Instrumente (Kontinuierlicher Verbesserungsprozess) einzuführen und Berichtsstrukturen zu etablieren.

‚Ä¢ Das Risikoverständnis festlegen: Basierend auf den Unternehmenszielen definiert die Geschäftsleitung ihr Risikoverständnis, ihre Risikobereitschaft und den gewünschten Umgang mit Risiken. Für die Analyse und die Bewertung von Risiken ist eine einheitliche Vorgehensweise vorzugeben und sicherzustellen, dass sich die Aktivitäten verschiedener Bereiche zu einer Gesamtsicht konsolidieren lassen. Hier sollte bereits eine High-Level-Risikobetrachtung vorgenommen werden, während die Detailbetrachtungen in einzelnen Bereichen oder Prozessen zu einem späteren Zeitpunkt erfolgen können.

‚Ä¢ Die erwarteten IT-Leistungen vereinbaren: Auf der Business-Seite ist festzulegen, welche Leistungen von der IT erwartet werden - möglichst in der Form von Service-Level-Agreements (SLAs). Die hier vereinbarten Leistungen haben einen entscheidenden Einfluss auf die spätere Risikobetrachtung und den Umgang mit den Risiken. Letztlich drückt sich in einem SLA schon die Risikobereitschaft eines Unternehmens aus. Wenn etwa für IT-Anwendungen eine Ausfallzeit von zwei Stunden gewünscht wird, gilt es, andere Maßnahmen zu treffen, um dem Ausfallrisiko entgegenzuwirken, als bei einer akzeptierten Wiederherstellungszeit von einem Tag.

‚Ä¢ Eine Business-Impact-Analyse: Mit ihrer Hilfe wird untersucht, welchen Einfluss IT-Systeme, -Anwendungen und -Infrastruktur auf das Erreichen der Unternehmensziele haben. Daraus ergibt sich die Kritikalität der IT-Dienstleistungen für die Geschäftsprozesse, also das Schadensausmaß bei Eintritt eines Risikos.

Die Aufgaben der IT

Wie sich im Hinblick auf Strategie und Ziele ein Business-IT-Alignment empfiehlt, so ist für das Risiko-Management ein Risk-Alignment sinnvoll. Das IT-Risiko-Management leitet sich aus dem übergeordneten Management der Unternehmensrisiken ab. Als Handlungsfeld der IT-Governance obliegt es der Verantwortung des CIO.

‚Ä¢ Den IT-Risiko-Management-Prozess etablieren: Der CIO veranlasst und fördert den Aufbau des IT-Risiko-Managements, indem er Verantwortliche benennt und die vom Unternehmen vorgegebenen Instrumente nutzt.

‚Ä¢ Die Vorgehensweise festlegen: Auf Basis der für das Unternehmen definierten Vorgehensweise legt der IT-Bereich seinen eigenen Umgang mit Risiken fest. Dazu gehören IT-spezifische Methoden zur Risikoerkennung und -bewertung, Strategien zur Risikominderung sowie die zugehörige Kommunikation im Unternehmen.

‚Ä¢ Die IT-Risiken ermitteln und bewerten: Auf Basis der Unternehmensziele, der in SLAs vereinbarten IT-Leistungen sowie der jeweiligen Kritikalität aus der Business-Impact-Analyse werden die IT-Risiken ermittelt und bewertet. IT-Risiken können auf unterschiedlichen Ebenen und in unterschiedlichen Bereichen liegen. Es gibt beispielsweise infrastrukturelle, anwendungsbezogene, prozessuale oder organisationsbedingte Risiken.

‚Ä¢ Die IT-Risiken reduzieren: Für jedes Risiko gilt es, Maßnahmen zur Verringerung der Eintrittswahrscheinlichkeit und des Schadensausmaßes zu planen. Die Entscheidung für eine Maßnahme hängt sowohl von der Unternehmensstrategie als auch von der IT-Strategie ab, sei es Risikovermeidung, Risikoreduktion, Auslagerung des Risikos an Dritte oder Risikoakzeptanz. Hier treten die Kosten für unterschiedliche Risikostrategien offen zutage. Dem Business fehlt häufig das Bewusstsein dafür, welche Risiken und Kosten mit IT-Leistungen verbunden sind. So kommt schnell der Wunsch nach hohen Verfügbarkeiten auf, aber die Kosten für die Minderung des Ausfallrisikos (Backup, Recovery, redundant ausgelegte Systeme) werden nicht berücksichtigt. Die IT hat also einen Beratungsauftrag gegenüber der Business-Seite.

‚Ä¢ Regelmäßig überprüfen: Nachdem die Vorgehensweise geklärt ist, gilt es, Maßnahmen zur Risikominderung zu treffen. Deren Nachhaltigkeit lässt sich steigern, indem jeweils Verantwortliche benannt werden. Ganz wichtig: Risiko-Management ist keine einmalige Aufgabe, sondern ein iterativer Prozess. Alle Maßnahmen sind zu überwachen und durch erneute Risikobewertung auf ihre Wirksamkeit zu prüfen. Die Risikoanalyse muss regelmäßig wiederholt werden - wie häufig, das hängt von der Bedeutung der IT-Services für das Unternehmen ab.

Fazit

Als Bestandteil eines unternehmensweiten Risiko-Managements ist das IT-Risiko-Management eine Aufgabe der IT. Es muss jedoch von der Firmenleitung in Auftrag gegeben werden und ist in Bezug zu Unternehmenszielen und vereinbarten IT-Leistungen zu setzen. Reines "Bottom-up"-Risiko-Management innerhalb der IT verfehlt leicht das Ziel und kann unnötigen Aufwand verursachen. (kf)