Problemzone Prozesskette
Ein Sonderfall bei der Betrachtung der Prozesse sind im Hintergrund laufende Job-Ketten, die in fast allen Unternehmen über Jahre gewachsen sind. Heute laufen sie meist vollautomatisch ab und steuern durch Zeit- oder Event-Trigger unternehmensweite Abläufe - etwa in ERP-Umgebungen Jobs mit Bezug zur Infrastruktur. Durch die zunehmende Automatisierung und damit Verflechtung von Prozessen wissen die Verantwortlichen aber häufig gar nicht mehr, welche Schritte wann abgearbeitet werden und wie die Ergebnisse zustande kommen. Solange alles einwandfrei läuft, ist das kein Problem - wohl aber dann, wenn eine umfangreiche Prozesskette zum Stillstand kommt.
Ein Beispiel aus dem Finanzsektor: Bei der Erstellung der jährlichen Versicherungsabrechnungen laufen mitunter Tausende einzelner Jobs/Prozesse ab, bevor die Abrechnungen schließlich gedruckt werden. Zudem erfordern automatisierte Abläufe häufig noch manuelle Eingriffe, die dann nicht mehr nachvollziehbar sind, so dass sich Fehlerquellen nur schwer identifizieren lassen. "Im Prinzip muss sich jedes Unternehmen, das heute ERP-Lösungen einsetzt und entsprechende Prozesse mit externen Tools steuern möchte, darüber klar sein, dass nicht nur die ERP-Software revisionssicher sein muss, sondern auch alle Tools im Rechenzentrum, die für die Automation eingesetzt werden", bestätigt Vincent Stüger, Chief Technology Officer (CTO) bei UC4 Software, einem auf Prozessautomatisierung und -integration spezialisierten Softwareanbieter. "Kein Wirtschaftsprüfer testiert bei der heutigen Gesetzeslage einen Jahresabschluss, wenn eine nachträgliche Manipulation von Datensätzen möglich ist."
Banken konnten bis vor kurzem ihre Risiken bündeln, ihnen einen wohlklingenden Namen geben und sie anschließend mit Gewinn verkaufen. In den letzten Jahren ließ sich auf diese Weise viel Geld verdienen - vorausgesetzt, man fand jemanden, der einem die gekauften Risiken wieder abkaufte. In der IT gibt es leider keine Möglichkeit, Risiken so elegant loszuwerden. Für Unternehmen ist es demnach an der Zeit, nachvollziehbare und messbare IT-Prozesse zu implementieren und ihre internen Kontrollsysteme auch auf die IT auszuweiten.
Nützliche Links zum Thema Risiko-Management
RiskNet: Grundlegendes und Hintergründe zum Thema;
Risiko Manager: Fachzeitschrift mit Schwerpunkt Finanzbranche;
Compliance-Magazin: Fachbeiträge und Informationen zu Governance, Risk & Compliance (GRC);
Symantec IT Risk Management Report 2 (Download);
Nur die Spitze des Eisbergs
Aber Vorsicht: Viele Risiken sind auf den ersten Blick nicht zu erkennen, und gerade in der Unternehmenswelt stellen die sichtbaren Risiken oft nur die Spitze des Eisbergs dar - etwa zwei Drittel liegen unter der Wasseroberfläche. Aus diesem Grund sollten Manager besser nicht auf Sicht fahren, sondern automatische Prozesse für ein umfassendes IT-Risiko-Management implementieren. (kf)