computerwoche.de

IT-Strategie

Compliance ist komplex

Was ein IT-Risiko-Manager können mus

13.08.2008
Von Burkhard Kühle

Empfehlungen für die Praxis

Der IT-Risiko-Manager entscheidet je nach Unternehmenssituation und in Abstimmung mit der Unternehmensführung, welche Maßnahmen nach Bestandsaufnahme und Priorisierung wann zu ergreifen sind.

  • Automatisierte Prozesskontrollen sind dabei hilfreich. Mit IT-Unterstützung lassen sich die Compliance- und Risikoüberwachungskosten verringern. Daraus ergeben sich umfangreiche Möglichkeiten der Berichterstattung über die prozessbezogene Überwachung, die sich auf interne Anforderungen des Managements wie externe Gesetze und Vorgaben zuschneiden lassen.

  • Die kontrollierte Überarbeitung von Benutzerprofilen hat sich ebenfalls als sinnvoll erwiesen. Kontroll- und Überwachungssysteme arbeiten besser, wenn die User-Berechtigungen in den Anwendungssystemen daraufhin optimiert wurden. Dazu ist es notwendig, Anwenderprofile mit den jeweiligen Rollen und Verantwortlichkeiten zu standardisieren und einzusetzen. Die Anwenderprofile folgen den Prinzipien der Funktionstrennung und des Datenschutzes. Die Geschäftseinheiten können auf diese Weise die Systemzugriffe besser kontrollieren.

  • Die Verbesserung der IT-Governance ist enorm wichtig. Der IT-Risiko-Manager soll zu einem hochwertigen Risiko-Management des Gesamtunternehmens beitragen, indem er die IT-Risiken gegen die Business-Prozessrisiken spiegelt. Aus dieser ganzheitlichen Sichtweise heraus empfiehlt er risikomindernde Maßnahmen und Überwachungssysteme. So hilft er dem CIO, den IT-Einfluss auf die Risikoposition des Unternehmens zu erkennen. Auf dieser Grundlage kann der CIO eine Strategie zur optimalen Business-Unterstützung aufbauen.

  • Das Etablieren einer lernenden Organisation ist ein Schlüssel zum besseren Risiko-Management. Im Rahmen von gemeinsamen Workshops aller Unternehmensbereiche lassen sich redundante Risikoprozesse und -kontrollen transparent machen, um sie anschließend abzuschaffen oder aufeinander abzustimmen. Die ständige Kommunikation der Unternehmensbereiche (einschließlich der IT) macht zusammenhängende Risiken und bereichsübergreifende Einflussgrößen deutlich.

Über formale Risiko-Management-Komitees sollte eine regelmäßige und bereichsübergreifende Kommunikation zum Thema Risiko-Management (beispielsweise in Form von Quartalssitzungen) etabliert werden. So ist das Unternehmen in der Lage, sich flexibel auf wechselnde Risikosituationen einzustellen und sein Risiko-Management ständig zu verbessern. In einem solchen Komitee sollte der IT-Risiko-Manager die Informationstechnik vertreten.