Das Portfolio des 1994 gegründeten, rund 600 Mitarbeiter starken IT-Dienstleisters IZB Informatik-Zentrum basiert auf standardisierten Prozessen und Techniken, die in modularen Servicepaketen an die individuellen Anforderungen der Kunden aus der Finanzbranche angepasst werden. Doch ist es auch schnellen Technikentwicklungen und Veränderungen unterworfen. "Das Gesamtumfeld wird zunehmend komplexer", bringt Anton Müller, Geschäftsführer des IZB Informatik-Zentrums, die Lage auf den Punkt. Hinzu kämen der Wettbewerbsdruck durch die Globalisierung sowie Umbrüche im Kundenverhalten.

Die geschäftliche Zukunft birgt Chancen, aber auch viele Risiken, die sich meist nur bedingt und mitunter auch gar nicht einschätzen lassen. Auch veränderte Regelwerke und gesetzliche Rahmenbedingungen sind Faktoren, die speziell im Finanzsektor eine große Rolle spielen. Die Regelungen etwa nach Basel II beinhalten Anforderungen an das Rating bei der Kreditvergabe. Andere gesetzliche Vorgaben wie das Gesetz zur Kontrolle und Transparenz im Unternehmen (KonTraG), das Transparenz- und Publizitäts-Gesetz (TransPuG) oder der Deutsche Corporate Governance Kodex sowie der US-amerikanische Sarbanes-Oxley-Act setzen weitere Eckpunkte. Das Anforderungsbündel aus den unterschiedlichen Gesetzen und Regelwerken macht ein Risiko-Management-System zwingend erforderlich.

Ausgangssituation verschärft sich

Bei IZB Informatik-Zentrum war seit Jahren eine Risiko-Management-Lösung im Einsatz, die historisch gewachsen war und eine Vielzahl von Objekten - etwa das Zeitrisiko im Betreuungsprozess je Abteilung - bewertete. Daraus resultierte eine Unmenge an Daten. "Bei genauerer Betrachtung zeigte sich allerdings, dass für ein aussagekräftiges Risiko-Management bei weitem nicht alle Punkte notwendig waren", räumt Müller ein. Darüber hinaus habe sich die Situation im Marktsegment des Dienstleisters durch eine Fülle neuer gesetzlicher Vorgaben sowie aufsichtsratsrechtlicher Regeln zunehmend verschärft.

Aus diesem Grund beschloss das Unternehmen, ein neues Risiko-Management einzuführen, das mehrere Management-Systeme aus unterschiedlichen Bereichen integrieren sollte. Ziel war, die Lösung am Hauptsitz in München sowie an den Standorten Nürnberg und Offenbach gleichzeitig zu implementieren, um eine einheitliche Sicht auf die internen Prozesse zu ermöglichen. Diese wurden neu strukturiert, um die Risikobewertung durch die Mitarbeiter zu vereinfachen. Heute arbeiten etwa zehn Personen auf Bereichsleiterebene mit dem Risiko-Management-System.

"Entscheidend für die Ausgestaltung des Risiko-Managements ist aus unserer Sicht der unternehmerische Nutzen und nicht primär die gesetzlichen Verpflichtungen", begründet der IZB-Chef die Umstellung. Ziel sei, das Risiko-Management als Teil der Unternehmenssteuerung zu etablieren, um Risiken zu erkennen und Chancen zu nutzen. Dabei stehe der bewusste Umgang mit den unternehmerischen Risiken und Chancen im Vordergrund. Aus diesem Grund habe man das neue System auch gezielt in die Führungsverantwortung des Managements übergeben.

Weniger ist mehr

Die heutige Risiko-Management-Lösung bei IZB Informatik-Zentrum bewertet wesentlich weniger Objekte. Der Fokus liegt auf betriebswirtschaftlichen und operationellen Risiken. Hinzu kommen das Gebäuderisiko, Infrastruktur sowie Klima- und Stromversorgung. Weitere Aspekte, die in die Bewertung einfließen, sind die Situation der Großrechner inklusive der dezentralen Systeme und Netze sowie potenzielle Bedrohungsszenarien. Voraussetzungen für die Einführung der angestrebten Lösung waren eine ganzheitliche Sichtweise, aber auch der Abschied von eingefahrenen Strukturen, Ansätzen und Denkweisen. Mittels Schulungen wurde das Team des IT-Service-Anbieters auf den vorab definierten Weg gebracht, um in drei Schritten das angestrebte Ziel zu erreichen und die neue Lösung umzusetzen:

1. Risikoinventur schafft Klarheit

Der erste Schritt auf dem Weg zum neuen Risiko-Management war eine Risikoinventur. Gefordert war eine prozessorientierte Erfassung der Risiken, und zwar nur der ernst zu nehmenden, da sich der Dienstleister mit der standortübergreifenden Lösung auf das Wesentliche beschränken wollte. "Wir wünschten uns eine genaue, aber einfache Risikobewertung, ohne aus diesem Prozess eine Wissenschaft zu machen", erklärt Müller. "Im Vordergrund stand das schnelle Erkennen von Ursache-Wirkungs-Zusammenhängen, zudem war uns wichtig, die Mehrfachnennung des Risikos auf verschiedenen Ebenen zu vermeiden, um klare Strukturen zu schaffen." Bereits in dieser ersten Phase wurden eindeutige Verantwortlichkeiten festgelegt.

In das Grundmodell fließen heute verschiedene Risiken ein, die den jeweiligen Bereichen, etwa dem Kunden-Management, der Entwicklung oder dem Betrieb der Systemplattformen, sowie den Finanzen zugeordnet werden. Dazu gehören Markt- oder Leistungs- sowie Beschaffungs- oder Vertragsrisiken. Die Verantwortung für die Risiken und deren Steuerung liegt bei IZB Informatik-Zentrum heute da, wo sie entstehen. Die Bewertung erfolgt nach einem einfachen, skalierbaren Verfahren und zeigt gleichzeitig ihre Auswirkungen auf das Unternehmen. Identifizierte Risikofelder der Organisation sind beispielsweise Systemverfügbarkeit, Risiken im Problem-Management, IT-Sicherheit und Datenverluste sowie strategische Risiken oder das Asset- und Lizenz-Management mit seinen Auswirkungen auf die Geschäftsprozesse.

Ergebnis der Inventur war ein Risikoprofil, das sich genau an den Anforderungen des Unternehmens orientierte. So wurden die wesentlichen Risiken identifiziert, die sich heute nach ihrer Eintrittswahrscheinlichkeit sowie Auswirkung auf unterschiedliche Faktoren klassifizieren lassen. Darüber hinaus sind sie Unternehmensprozessen und -bereichen einfach zuzuordnen, was klare Handlungsspielräume schafft.

2. Kennzahlen erlauben objektives Messen

Der zweite Schritt auf dem Weg zum neuen Risiko-Management war die Definition von Kennzahlen mit Erwartungswerten. Bisher erfolgte die Risikovalidierung als Punktbewertung in einer Matrix, wobei Eintrittswahrscheinlichkeit und Auswirkungen protokolliert wurden.

Heute wird eine erweiterte Bewertung vorgenommen, die in Form einer "Risikoverlaufskurve" der tatsächlichen Gefahr entspricht. Voraussetzung ist die Definition von Kennzahlen für die einzelnen Bedrohungen sowie die Ermittlung eines Erwartungswerts. Hinzu kommt eine objektivierte Ist-Messung der Risiko-Kennzahlen, die es ermöglicht, den Erwartungswert mit dem Ist-Wert zu vergleichen. Um eine Aussage über die Bedeutung eines Risikos treffen zu können, ist ein einheitliches Bewertungsschema, der so genannte Maßstab, notwendig. "Dieses Bewertungsschema muss für alle Risikofelder anwendbar sein und eine Verdichtung der Ergebnisse erlauben", so Müller.

Um hier klare Strukturen zu schaffen, hat IZB Informatik-Zentrum Score-Cards eingeführt, die den besonderen Anforderungen im Finanzsektor gerecht werden. Ein Score ist eine abstrakte Messskala mit abgestuften Wertebereichen, die von der Untergrenze über die Zielwerte respektive die neutralen Werte bis hin zur oberen Grenze einer Kennzahl reichen und eine klare Einstufung ermöglichen. Dieses Vorgehen erlaubt eine quantitative Bewertung, unabhängig von der Ausprägung der Messgröße.

3. Frühe Warnung verhindert Probleme

Die Einrichtung eines Frühwarnsystems war schließlich der dritte Schritt auf dem Weg zu einem neuen Risiko-Management. Dazu wurden zunächst Risikotreiber festgelegt, Frühwarnindikatoren definiert und die Kennzahlen zu den einzelnen Risikofeldern um qualitative Aspekte ergänzt. "Risikotreiber sind Einflussfaktoren und Stellschrauben für die Risikofelder, die sowohl intern aus dem Unternehmen als auch von außen auf ein System einwirken können", erklärt Müller. "Ihr Einfluss kann sowohl risikoerhöhend als auch risikomindernd sein." Darüber hinaus wurden in dieser Phase durch den jeweiligen Risikoverantwortlichen Score-Werte für die Risikotreiber festgelegt, die auf Experteneinschätzungen basieren.

Sorgfältig geplant - zügig umgesetzt

Im Jahr 2006 begann IZB Informatik-Zentrum mit der Einführung der neuen, auf dem Risiko-Management-Tool "Operational Risk Center" (ORC) des Mainzer Software- und Dienstleistungsunternehmens Interexa basierenden Lösung. Mit der Planung und Umsetzung des Projekts war ein Team von vier Mitarbeitern gut ein Jahr beschäftigt. Seither waren keine größeren Änderungen am Grundsystem erforderlich. Die weitere Integration des Risiko-Managements in das unternehmensinterne Qualitäts- und Sicherheits-Management ist allerdings eine Daueraufgabe.

Mit dem Ergebnis ist IZB zufrieden. Risiken und Objekte werden durch das System heute regelmäßig und automatisch bewertet. Dazu erfolgt an definierten Stichtagen eine standardisierte Neubewertung, um aktuelle Daten zu generieren. "Mit der Einführung des aktuellen Risiko-Management-Systems haben wir Neuland betreten", blickt Geschäftsführer Müller zurück. "Wir hatten Prioritäten zu setzen und festzulegen, was definitiv bewertet werden muss und welche Kontrollmechanismen für die gewünschten Ergebnisse einzubauen waren." Um das Projekt in der Führungsebene zu etablieren, habe sich das Unternehmen für eine Bewertung der einzelnen Bereiche von oben nach unten entschieden, so der Chef des IT-Dienstleistungsunternehmens. Stolz ist IZB Informatik-Zentrum darauf, dass das Projekt im vorgegebenen Kosten- und Zeitrahmen blieb. Die Installation lief ohne Probleme und liefert dem Unternehmen nach übereinstimmender Aussage aller Beteiligten heute deutlich aussagekräftigere Werte als das abgelöste Risiko-Management-System.

"Auch rückblickend stehen wir hinter dem Projekt, denn es ist von der Planung bis zur Realisierung optimal gelaufen", lautet Müllers Fazit. Bis heute habe es keinen Anlass gegeben, das eingeführte Risiko-Management in irgendeiner Form zu verändern. "Der Aufwand hat sich gelohnt, wir sind im Markt gut aufgestellt." (kf)