Wenn in einem Industrieunternehmen die Steuerungssoftware für Großmaschinen über zwei Tage nicht funktioniert, kann der Stillstand ruinöse Folgen haben. Doch auch der Ausfall von Arbeitsplatzsystemen oder Netzkomponenten zieht möglicherweise schwerwiegende Konsequenzen nach sich. Trotz des hohen Schadenspotenzials steht das IT-Risiko-Management - außer im Projektbereich - in vielen Firmen noch am Anfang. So beziehen Unternehmen die IT-Funktionen häufig nur generisch in ihre Risikobetrachtung ein: Risiken werden erst benannt und bewertet, wenn sie bereits zur Gefährdung geworden sind.
Nicht umsonst widmen IT-Governance- und Prozessmodelle dem Risiko-Management große Aufmerksamkeit. Cobit etwa betrachtet es als einen der fünf Kernbereiche der IT-Governance und definiert entsprechende Abläufe (etwa den Prozess "Assess and manage IT-Risks.")
Was ist ein IT-Risiko?
IT-Risiken kann es nur in Bezug auf Unternehmensziele geben. Grundsätzlich sollten sich Firmen die Frage stellen, welche Risiken ihnen aus dem Einsatz von IT-Systemen im Hinblick auf ihre Geschäftsziele erwachsen. IT-Risiken sind nur insofern Risiken für eine IT-Einheit selbst (intern oder extern), als diese Einheit durch fehlende Abwehrmechanismen die eigene Existenz gefährdet.
Risiko-Management im Allgemeinen und IT-Risiko-Management im Besonderen bedeuten nicht, einen einzelnen Spezialisten, der gerade Zeit hat, mit der Aufgabe zu betrauen, "sich mal ein paar Risiken zu überlegen und diese zu klassifizieren". Ernst gemeintes Risiko-Management, das als Steuerungsinstrument genutzt werden kann, erfordert eine strukturierte und wiederholbare Herangehensweise. Es ist daher als eigener Prozess innerhalb der Prozesslandschaft zu verankern.
Risiko-Management muss "top-down" erfolgen, also von der Firmenleitung getrieben sein: Zum einen ist sie dazu gesetzlich verpflichtet, zum anderen hat sie zu entscheiden, welche Risiken sie zu tragen bereit ist. Für den Aufbau eines Risiko-Managements im Unternehmen bietet sich folgendes Vorgehen an (die beschriebenen Aktivitäten können teilweise parallel ablaufen):
Die Aufgaben des Business
- Die Unternehmensziele festlegen: In einem ersten Schritt gilt es, die Ziele einer Organisation verbindlich zu benennen und zu kommunizieren.
- Das Risiko-Management aufbauen: Es liegt in der Verantwortung des CEO, den Aufbau eines unternehmensweiten Risiko-Managements zu veranlassen und zu fördern. Dazu zählt unter anderem, die Verantwortlichen zu benennen, einen Risiko-Management-Prozess zu beschreiben, KVP-Instrumente (Kontinuierlicher Verbesserungsprozess) einzuführen und Berichtsstrukturen zu etablieren.
- Das Risikoverständnis festlegen: Basierend auf den Unternehmenszielen definiert die Geschäftsleitung ihr Risikoverständnis, ihre Risikobereitschaft und den gewünschten Umgang mit Risiken. Für die Analyse und die Bewertung von Risiken ist eine einheitliche Vorgehensweise vorzugeben und sicherzustellen, dass sich die Aktivitäten verschiedener Bereiche zu einer Gesamtsicht konsolidieren lassen. Hier kann bereits eine High-Level-Risikobetrachtung vorgenommen werden, während die Detailbetrachtungen in einzelnen Bereichen oder Prozessen zu einem späteren Zeitpunkt erfolgen.
- Die erwarteten IT-Leistungen vereinbaren: Auf der Business-Seite ist festzulegen, welche Leistungen von der IT erwartet werden. Dabei sind die gewünschten Leistungen möglichst in Form von Service-Level-Agreements (SLAs) zu bestimmen. Die hier vereinbarten Leistungen haben einen entscheidenden Einfluss auf die spätere Risikobetrachtung und den Umgang mit den Risiken. Letztlich drückt sich in einem SLA schon die Risikobereitschaft eines Unternehmens aus. Wenn etwa für IT-Anwendungen eine Verfügbarkeit von 24 Stunden und eine maximale Ausfallzeit von zwei Stunden gewünscht wird, gilt es, andere Maßnahmen zu treffen, um dem Ausfallrisiko entgegenzuwirken, als bei einer akzeptierten Wiederherstellungszeit von einem Tag.
- Eine Business-Impact-Analyse: Mit ihrer Hilfe wird untersucht, welchen Einfluss IT-Systeme, -Anwendungen und -Infrastruktur auf die Erreichung der Unternehmensziele haben. Daraus ergibt sich die Kritikalität der IT-Dienstleistungen für die Geschäftsprozesse, also das Schadensausmaß bei Eintritt eines Risikos. Die Business-Impact-Analyse wird für alle Unternehmensbereiche vorgenommen.
Die Aufgaben der IT
Wie sich im Hinblick auf Strategie und Ziele ein Business-IT-Alignment empfiehlt, ist ein Risk-Alignment bezogen auf das Risiko-Management sinnvoll. Das IT-Risiko-Management wird aus dem übergeordneten Management der Unternehmensrisiken abgeleitet. Als Handlungsfeld der IT-Governance obliegt es der Verantwortung des CIO.
- Den IT-Risiko-Management-Prozess etablieren: Der CIO veranlasst und fördert den Aufbau des IT-Risiko-Managements, indem er Verantwortliche benennt und die vom Unternehmen vorgegebenen Instrumente nutzt.
- Die Vorgehensweise festlegen: Auf Basis der für das Unternehmen definierten Vorgehensweise legt der IT-Bereich seinen eigenen Umgang mit Risiken fest. Dazu gehören IT-spezifische Methoden zur Risikoerkennung und -bewertung (wo erforderlich), Strategien zur Risikominderung sowie die zugehörige Kommunikation im Unternehmen.
- Die IT-Risiken ermitteln und bewerten: Auf Basis der Unternehmensziele, der in SLAs vereinbarten IT-Leistungen sowie der jeweiligen Kritikalität aus der Business-Impact-Analyse werden die IT-Risiken ermittelt und bewertet. IT-Risiken können auf unterschiedlichen Ebenen und in unterschiedlichen Bereichen liegen. Beispiele dafür sind infrastrukturelle, anwendungsbezogene, prozessuale oder organisationsbedingte Risiken.
- Die IT-Risiken reduzieren: Für jedes Risiko gilt es, Maßnahmen zur Verringerung der Eintrittswahrscheinlichkeit und des Schadensausmaßes zu planen. Die Entscheidung für eine Maßnahme hängt sowohl von der Unternehmensstrategie als auch von der IT-Strategie ab, sei es Risikovermeidung, Risikoreduktion, Auslagerung des Risikos an Dritte oder Risikoakzeptanz. In der Regel ergibt sich an diesem Punkt Kommunikationsbedarf zwischen IT und Business, da hier die Kosten für unterschiedliche Risikostrategien offen zutage treten. Dem Business fehlt häufig das Bewusstsein, mit welchen Risiken und Kosten IT-Leistungen verbunden sind. So kommt schnell der Wunsch nach hohen Verfügbarkeiten auf, aber die Kosten für die Minderung des Ausfallrisikos (Backup, Recovery, redundant ausgelegte Systeme) werden nicht berücksichtigt. Die IT hat in diesem Kontext also einen Beratungsauftrag gegenüber der Business-Seite, der auch zu Änderungen der Leistungsvereinbarungen führen kann. Nachdem die Vorgehensweise geklärt ist, gilt es, die Maßnahmen zur Risikominderung zu treffen. Deren Nachhaltigkeit lässt sich steigern, indem die jeweils Verantwortlichen benannt werden.
- Regelmäßig überprüfen: Risiko-Management ist keine einmalige Aufgabe, sondern ein iterativer Prozess. Alle ergriffenen Maßnahmen sind zu überwachen und durch erneute Risikobewertung auf ihre Wirksamkeit zu prüfen. Die Risikoanalyse muss regelmäßig wiederholt werden - wie häufig, hängt von der Bedeutung der IT-Dienstleistungen für das Unternehmen ab.
Fazit
Als Bestandteil eines unternehmensweiten Risiko-Managements ist das IT-Risiko-Management eine Aufgabe der IT. Es muss jedoch von der Firmenleitung in Auftrag gegeben werden und ist in Bezug zu Unternehmenszielen und vereinbarten IT-Leistungen zu setzen. Reines "Bottom-up"-Risiko-Management innerhalb der IT verfehlt leicht das eigentliche Ziel und kann unnötigen Aufwand verursachen.
IT-Risiken entstehen erst dadurch, dass eine bestimmte IT-Leistung in Auftrag gegeben wird. Für die Business-Seite gilt es daher, ihre Erwartungen an die IT-Services klar zu definieren. Die IT-Seite wiederum ist in der Pflicht, im Hinblick auf den Zusammenhang zwischen Kosten und Risiken fundiert zu beraten. (kf)