computerwoche.de

Security

IT-Risiko-Management

Risiken managen - eine Aufgabe der IT?

21.11.2008
Von Kirsten  Messer-Schmidt und Oliver Kuklok

Die Aufgaben des Business

- Die Unternehmensziele festlegen: In einem ersten Schritt gilt es, die Ziele einer Organisation verbindlich zu benennen und zu kommunizieren.

- Das Risiko-Management aufbauen: Es liegt in der Verantwortung des CEO, den Aufbau eines unternehmensweiten Risiko-Managements zu veranlassen und zu fördern. Dazu zählt unter anderem, die Verantwortlichen zu benennen, einen Risiko-Management-Prozess zu beschreiben, KVP-Instrumente (Kontinuierlicher Verbesserungsprozess) einzuführen und Berichtsstrukturen zu etablieren.

- Das Risikoverständnis festlegen: Basierend auf den Unternehmenszielen definiert die Geschäftsleitung ihr Risikoverständnis, ihre Risikobereitschaft und den gewünschten Umgang mit Risiken. Für die Analyse und die Bewertung von Risiken ist eine einheitliche Vorgehensweise vorzugeben und sicherzustellen, dass sich die Aktivitäten verschiedener Bereiche zu einer Gesamtsicht konsolidieren lassen. Hier kann bereits eine High-Level-Risikobetrachtung vorgenommen werden, während die Detailbetrachtungen in einzelnen Bereichen oder Prozessen zu einem späteren Zeitpunkt erfolgen.

- Die erwarteten IT-Leistungen vereinbaren: Auf der Business-Seite ist festzulegen, welche Leistungen von der IT erwartet werden. Dabei sind die gewünschten Leistungen möglichst in Form von Service-Level-Agreements (SLAs) zu bestimmen. Die hier vereinbarten Leistungen haben einen entscheidenden Einfluss auf die spätere Risikobetrachtung und den Umgang mit den Risiken. Letztlich drückt sich in einem SLA schon die Risikobereitschaft eines Unternehmens aus. Wenn etwa für IT-Anwendungen eine Verfügbarkeit von 24 Stunden und eine maximale Ausfallzeit von zwei Stunden gewünscht wird, gilt es, andere Maßnahmen zu treffen, um dem Ausfallrisiko entgegenzuwirken, als bei einer akzeptierten Wiederherstellungszeit von einem Tag.

- Eine Business-Impact-Analyse: Mit ihrer Hilfe wird untersucht, welchen Einfluss IT-Systeme, -Anwendungen und -Infrastruktur auf die Erreichung der Unternehmensziele haben. Daraus ergibt sich die Kritikalität der IT-Dienstleistungen für die Geschäftsprozesse, also das Schadensausmaß bei Eintritt eines Risikos. Die Business-Impact-Analyse wird für alle Unternehmensbereiche vorgenommen.