Um das Unternehmensgeschäft zu unterstützen und technisch ausgereifte Wirtschaftskriminalität zu unterbinden, befasst sich der CIO tagtäglich mit Problemen aus den Bereichen Governance, Risiko-Management und Compliance. Künftig muss er also nicht nur IT-spezifische Risikopotenziale analysieren und managen, sondern auch darauf ausgerichtete Leitlinien in allen Unternehmensbereichen implementieren. So sieht es das CIO-Modell der Zukunft vor, das die Management-Beratung Deloitte in ihrer Studie "Risk Intelligent CIO" identifiziert hat.

Das Anforderungsprofil

Die Informationstechnik kennt eine ganze Reihe von Risiken. Die Aufgabe, sie im Auge zu behalten, kann einem speziell qualifizierten IT-Risiko-Manager übertragen werden. Dessen Tätigkeiten umfassen im Wesentlichen vier Phasen:

1. eine Statusanalyse des IT-Risikoprofils erstellen,

2. Prioritäten setzen,

3. Maßnahmen planen und

4. diese Maßnahmen umsetzen.

Die spezifischen IT-Risiken sind keineswegs isoliert, sondern immer im Zusammenhang mit dem gesamten Unternehmen zu betrachten. Dazu benötigt der IT-Risiko-Manager besondere Kompetenzen:

• Er muss sämtliche Risikoszenarien, insbesondere mögliche Folgen für das Unternehmen, verstehen und ordnen können.

• Zudem sollte er in der Lage sein, Risiken zu kategorisieren und ihnen wirkungsvoll zu begegnen.

• Und - ganz wichtig! - er versteht es, Leitlinien und Maßgaben des IT-Risiko-Managements auf allen Unternehmensebenen zu implementieren, so dass sie integraler Bestandteil der Unternehmenskultur werden.

Dafür braucht der Risiko-Manager einen direkten Zugang zur Unternehmensleitung. Schließlich bildet seine Arbeit die Basis für Grundsatzentscheidungen des Topmanagements. In diesem Zusammenhang ist es auch wichtig, dass die Unternehmensleitung ihr Technikverständnis erweitert. Sie sollte in der Lage sein, Wesen und Tragweite von IT-spezifischen Risiken sowie deren Einfluss auf strategische Entscheidungen zu erfassen.

Unterstützung für den CIO

Selbstverständlich muss auch der IT-Risiko-Manager über gutes technisches Verständnis verfügen. Daneben benötigt er eine Vielzahl weiterer Qualitäten, denn er unterstützt den CIO schwerpunktmäßig bei folgenden Aufgaben:

• Die Compliance-Kosten senken - durch Entwicklung und Implementierung übergreifender Vorgehensweisen, die alle Anforderungen aus dem Risiko-Management umfassend abdecken;

• Das Risiko-Managements effizienter machen - durch Entwicklung und Implementierung automatisierter Kontrollen in Echtzeit;

• Risikoerkennung und -vermeidung beziehungsweise den Umgang mit Risiken und Risikofaktoren verbessern;

• Die Belastungen in den Geschäftseinheiten reduzieren - durch Risiko-Management-Funktionen und Verringerung von Redundanzen;

• Die Qualität von Risiko-Management-relevanten Informationen steigern - durch globale Standardisierung der Risiko-Management-Regeln;

• Vermögensrisiken für das Unternehmen weitgehend ausschalten;

• umfassende Stakeholder-Berichte liefern, die verdeutlichen, dass alle IT-Risiken regelmäßig überwacht sowie intelligent gemanagt werden;

• eine risikobewussten Unternehmenskultur einführen, in deren Rahmen schon im Vorfeld wichtiger Entscheidungen eine Risikobetrachtung vorgenommen wird;

• Prozesse zur Dokumentation risikobasierender Entscheidungen entwickeln und implementieren - einschließlich deren Weiterverfolgung;

• IT-spezifische Risiko-Anforderungen dokumentatieren, integrieren und pflegen;

• Risikobewertungen integrieren und koordinieren.

Daneben sollte der IT-Risiko-Manager eng mit den anderen relevanten Geschäftseinheiten (Entwicklung, Fertigung, Vertrieb, Buchhaltung etc.) zusammenarbeiten. Nur so lassen sich die Herausforderungen einer umfassenden Risikoerkennung und -steuerung bewältigen. In Unternehmen, die ein Risiko-Management-Komitee haben, kann der IT-Risiko-Manager zur Entscheidungsfindung beitragen, indem er rasch die relevanten risikoorientierten Informationen aus den verschiedenen Geschäftseinheiten zur Verfügung stellt.

Während der IT-Risiko-Manager definitionsgemäß die Risiken im technischen Umfeld managt, sollte die zentrale Risiko-Management-Funktion des Unternehmens kontinuierlich den Stand der Dinge mit den Vorgaben abgleichen. Der IT-Risiko-Manager stellt - zusammen mit den anderen CIO-Funktionen - sicher, dass die IT auch für die nicht primär IT-bezogenen Risiken die notwendigen Messungen und Überwachungen unterstützt.

Teil der IT-Governance

Der Risiko-Management-Prozess der IT-Abteilung (Identifizierung, Bewertung, Management und Bericht der IT-spezifischen Risiken) sowie die Vorkehrungen zu Informationssicherheit, Datenschutz und Kontinuität der Geschäftsprozesse (Business Continuity) gehören zur IT-Governance eines Unternehmens. Weiter umfasst dieses Gebiet auch die Entwicklung und Implementierung einer globalen Applikation für die Unterstützung des Risiko-Management-Prozesses.

Last, but not least ist darin auch die Beratung des Topmanagements gefordert. Sie zielt darauf ab, die Zusammenhänge des (IT-)Risiko-Managements für alle maßgeblich Beteiligten verständlich darzustellen und eine gemeinsame Sprache für die betroffenen Sachverhalte zu entwickeln. Auf diese Weise ist gewährleistet, dass das Management die Risiken versteht und Dritten, zum Beispiel den Aufsichtsgremien, transparent machen kann. Darauf aufbauend sollte das Management Maßnahmen ergreifen, um die Risikolage in Einklang mit der eigenen Risikoakzeptanz zu bringen. So fällt es leichter, zu entscheiden, welche Risiken mit wie viel Aufwand minimiert oder ausgeschlossen werden sollen.

Zwar muss sich der IT-Risiko-Manager auch mit oganisatorischen und gesetztlichen Rahmenbedingungen auskennen, doch seine Kernkompetenzen beziehen sich auf die IT-Risiken. Deren Bewertung fällt ihm leichter, wenn es ein standardisiertes Risiko-Management für sämtliche IT-Einheiten gibt.

Standardisierte Management-Ansätze

Solche ein anerkanntes IT-Risiko-Framework ist beispielsweise Cobit 4.1. Es wird dazu genutzt, IT-Risiko-Management-Prozesse, Schnittstellen zu anderen Unternehmensbereichen beziehungsweise fremden Überwachungssystemen sowie das gesamte Berichtswesen übergreifend zu standardisieren.

Damit einher geht ein integriertes Self-Assessment. Er lässt sich bereichsübergreifend umsetzen, indem die Risiken untereinander abgestimmt und die Gegenmaßnahmen evaluiert werden. Unterstützt wird es durch ein zentrales Workflow-Management-System, das alle relevanten Daten zur Erfassung und Bewertung der Unternehmensrisiken mit den jeweiligen Gegenmaßnahmen erfasst. Üblicherweise teilen hier das IT-Risiko-Management sowie die globale Compliance- und Risiko-Mangement-Abteilung die Verantwortung untereinander auf.

So lassen sich Risiken einheitlich erfassen, bewerten und managen. Mit der Implementierung eines Tool-gestützten Workflows entfallen die bislang genutzten Formulare und einschlägigen Softwarewerkzeuge. Als Resultat erhält das Topmanagement ein standardisiertes Risiko-Berichtswesen auf allen relevanten Ebenen.

Empfehlungen für die Praxis

Der IT-Risiko-Manager entscheidet je nach Unternehmenssituation und in Abstimmung mit der Unternehmensführung, welche Maßnahmen nach Bestandsaufnahme und Priorisierung wann zu ergreifen sind.

• Automatisierte Prozesskontrollen sind dabei hilfreich. Mit IT-Unterstützung lassen sich die Compliance- und Risikoüberwachungskosten verringern. Daraus ergeben sich umfangreiche Möglichkeiten der Berichterstattung über die prozessbezogene Überwachung, die sich auf interne Anforderungen des Managements wie externe Gesetze und Vorgaben zuschneiden lassen.

• Die kontrollierte Überarbeitung von Benutzerprofilen hat sich ebenfalls als sinnvoll erwiesen. Kontroll- und Überwachungssysteme arbeiten besser, wenn die User-Berechtigungen in den Anwendungssystemen daraufhin optimiert wurden. Dazu ist es notwendig, Anwenderprofile mit den jeweiligen Rollen und Verantwortlichkeiten zu standardisieren und einzusetzen. Die Anwenderprofile folgen den Prinzipien der Funktionstrennung und des Datenschutzes. Die Geschäftseinheiten können auf diese Weise die Systemzugriffe besser kontrollieren.

• Die Verbesserung der IT-Governance ist enorm wichtig. Der IT-Risiko-Manager soll zu einem hochwertigen Risiko-Management des Gesamtunternehmens beitragen, indem er die IT-Risiken gegen die Business-Prozessrisiken spiegelt. Aus dieser ganzheitlichen Sichtweise heraus empfiehlt er risikomindernde Maßnahmen und Überwachungssysteme. So hilft er dem CIO, den IT-Einfluss auf die Risikoposition des Unternehmens zu erkennen. Auf dieser Grundlage kann der CIO eine Strategie zur optimalen Business-Unterstützung aufbauen.

• Das Etablieren einer lernenden Organisation ist ein Schlüssel zum besseren Risiko-Management. Im Rahmen von gemeinsamen Workshops aller Unternehmensbereiche lassen sich redundante Risikoprozesse und -kontrollen transparent machen, um sie anschließend abzuschaffen oder aufeinander abzustimmen. Die ständige Kommunikation der Unternehmensbereiche (einschließlich der IT) macht zusammenhängende Risiken und bereichsübergreifende Einflussgrößen deutlich.

Über formale Risiko-Management-Komitees sollte eine regelmäßige und bereichsübergreifende Kommunikation zum Thema Risiko-Management (beispielsweise in Form von Quartalssitzungen) etabliert werden. So ist das Unternehmen in der Lage, sich flexibel auf wechselnde Risikosituationen einzustellen und sein Risiko-Management ständig zu verbessern. In einem solchen Komitee sollte der IT-Risiko-Manager die Informationstechnik vertreten.

Fazit

Die Funktion des IT-Risiko-Managers stellt höchste Anforderungen an das Erkennen und Verstehen von Prozessabläufen sowie systeminhärenten Zusammenhängen. Der IT-Risiko-Manager ist als Moderator bei der Zusammenführung verschiedenster Interessen gefragt. In der Rolle des Krisen-Managers kann er beim drohenden Eintritt von Risiken Renommee als Person von hoher Integrität und diplomatischem Geschick erwerben. (qua)