Upload
harald-r-rost
View
9
Download
0
Embed Size (px)
Citation preview
Alternatives Drucklayout:
› reiner Text
Link: http://www.computerwoche.de/a/compliance-gesetzestreue-it,568570
Compliance: mit aktivem Risikomanagement zur gesetzestreuen IT
Datum:14.11.2005
COMPUTERWOCHE VERLEGERPUBLIKATION - Neue Corporate-Governance-Regulierungen
wie Basel II und der Sarbanes Oxley Act (SOX) bürden den Unternehmen ein transparentes und
messbares Risiko-Management auf. Für den CIO bedeutet das, eine neue Rolle einzunehmen.
Der für die IT-Sicherheit Verantwortliche eines großen deutschen Automobilkonzerns benennt die
Schwachstellen eines Unternehmens: Viele Risiken sind bekannt, jedoch nicht konsequent und konzernweit
im Prozessmodell dokumentiert. Einige Verantwortlichkeiten sind für den Ernstfall zugeordnet, doch der
Ablauf im Ernstfall ist nicht trainiert.Verbesserungsmaßnahmen werden im Konzernwirrwarr zerredet.
Ein funktionierendes aktives Risiko-Management ist heute jedoch noch wichtiger geworden, da es die
Voraussetzung für die Compliance bildet. Risiko-Management beinhaltet weniger den Einsatz
mathematisch eleganter Methoden zum Berechnen von Eintrittswahrscheinlichkeiten. Schwerpunkt ist
vielmehr die "Operational Excellence", damit im Ernstfall "die Produktionsbänder nicht für zwei Tage
stillstehen", so der IT-Experte.
Die Gefahren nehmen zu
Dieses zu erkennen bedeutet für die Geschäftsführungen, den Sicherheitsverantwortlichen mit wichtigen
Kompetenzen und Mitteln auszustatten, um die notwendigen Prozesse für Gegenmaßnahmen zu etablieren -
und zwar innerhalb der IT wie auch für das Gesamtunternehmen, denn in den operativen
Geschäftsprozessen entsteht der unternehmerische Schaden - messbar und spürbar beispielsweise in der
Anzahl unzufriedener Kunden, durch weniger Umsatz an einem Tag oder anderen Business-Measurements.
Einige Zahlen verdeutlichen die Situation insbesondere in Europa: Die Anzahl sicherheitsrelevanter
Vorfälle in der IT ist im vergangenen Jahr um fast 25 Prozent gestiegen. Bei einem Viertel der
Sicherheitsvorfälle wissen die Verantwortlichen nicht, wer oder was diese verursacht hat. Auch bei der
Schadenhöhe tappen viele im Dunkeln.
Lediglich 37 Prozent haben ein unternehmensweites Sicherheitskonzept aufgelegt, und gerade einmal drei
Prozent haben einen Notfallplan entwickelt! Auf die meisten Vorfälle wird also ad hoc reagiert. Und von
einer Compliance sind diese Unternehmen noch meilenweit entfernt.
Die Phasen eines aktiven Risiko-Managements sind: Risikoprävention, Notfallübung, Steuerung und
Verbesserung. Alle drei Phasen sind gleich wichtig, gilt es doch, zunächst mit vertretbaren Mitteln ein
unsicheres Ereignis zu verhindern. Und sollte der Notfall dennoch eintreten, muss schnellstmöglich und gut
vorbereitet darauf reagiert und anschließend das Gesamt-Management-System laufend verbessert werden.
Harald Rost Geschäftsführender Partner CIO Consultants
Prävention heißt, aktiv mit vertretbaren Mitteln ein Risiko-Management-System für das
Gesamtunternehmen aufzubauen. Dazu ist es vor allem notwendig, Transparenz auf allen Ebenen eines
Unternehmens mit allen Innen- und Außenbeziehungen herzustellen. Die Wahrscheinlichkeit, dass ein
Risiko tatsächlich eintritt, ist heute aufgrund des Outsourcings ganzer Unternehmensteile und durch das
Arbeiten in Netzstrukturen mit der Folge der Verringerung der Fertigungstiefen um ein Vielfaches höher
als noch vor einigen Jahren.
Transparenz herstellen
Insbesondere durch moderne Technologien verbreiten sich Risiken schlagartig. Was heißt nun: Transparenz
herstellen? Das erinnert an die 90er Jahre, als die Norm ISO 9000 in die Unternehmen Einzug hielt, mit
deren Vorgaben vor allem die Prozessqualität erhöht werden sollte. Die 20 Qualitätselemente, nach denen
auditiert und zertifiziert wurde, hatten zum Ziel, durch Dokumentation von Geschäftsprozessen,
Benennung von Verantwortlichen, Ziel- und Ergebnisbeschreibungen Transparenz und Messbarkeit von
Qualität zu erhöhen. Unternehmen, die diesen oder ähnliche Ansätze wie Malcom Baldridge, Six Sigma
oder Zero Defect fortgeführt haben, sind heute gut aufgestellt.
Zwar sind die Beweggründe für den Einsatz dieser Methoden unterschiedlich - damals höhere Qualität und
Kundenzufriedenheit, heute Transparenz zur Risikoidentifikation und zum besseren Unternehmens-
Controlling beispielsweise nach Sarbanes Oxley. Doch die Resultate sind ähnlich.
Prozessmodelle zur Unterstützung in der Prozessbeschreibungsphase wie auch zum Aufspüren von
Verbesserungspotenzial sind heute für alle Branchen verfügbar, und für die Informationsverarbeitung
existieren - zumindest für Produktionsprozesse - Referenzmodelle, beispielsweise Itil.
Ist die Transparenz in den Prozessen geschaffen, müssen in einem nächsten Schritt für jeden der
Geschäftsprozesse die möglichen Risikoereignisse erarbeitet werden. Das erfordert tiefe Geschäftsprozess-
und Branchenkenntnisse.
Denn die Einschätzungen der Eintrittswahrscheinlichkeiten und möglichen Schadenhöhen ergeben später
das "Value-at-Risk-Portfolio". Damit wird das gesamte Risikopotenzial sichtbar, dem dann geeignete
Strategien und Maßnahmen entgegenzusetzen sind. Das generiert einen enormen Bedarf an Abstimmung
mit dem Executive-Management, denn letztendlich werden mit der Einordnung in das Portfolio bereits die
entsprechende Strategie und damit zumindest der potenzielle Mittel- und Ressourcenbedarf festgelegt. Die
Ursache-Wirkung-Analyse für jedes Risikoereignis fließt dann in den Maßnahmenplan ein.
Restrisiko bleibt
Wichtig ist, dabei nicht nur auf Technologie zu schauen. Denn große Risiken entwickeln sich meist erst als
Folge einer tragischen Kombination aus menschlichem Versagen, Fehlern in den Prozessen und
Technologien. Ziel dieser Phase ist es, die Anzahl der Risikoereignisse zu reduzieren und das Ausmaß der
Schäden so gering wie möglich zu halten.
Trotz der besten Präventivmaßnahmen verbleibt immer ein Restrisiko. Auch kann ein akzeptiertes Risiko
eingetreten sein. Dann muss schnell und effektiv ein Notfallplan abgearbeitet werden. Das ist längst nicht
so selbstverständlich, wie es klingt. So kam es bei dem oben zitierten großen Automobilkonzern nach dem
Eindringen eines Wurmes in die Produktionssteuerungssysteme zwar zum Alarm, aber der verantwortliche
Mitarbeiter ging anschließend einfach nach Hause, da er Feierabend hatte. Die Schadenhöhe ging in die
Millionen, da die Produktionsbänder für mehrere Stunden still standen - den Imageschaden durch
unzufriedene Kunden nicht eingerechnet.
Im Wesentlichen sollte ein Notfallplan zunächst Antworten auf folgende Fragen geben:
- Wie identifiziere ich schnell die Ursache?
- Wie behebe ich die Schwachstelle schnellstmöglich? und
- Wie kann ich zunächst den Betrieb aufrechterhalten?
Zur Identifizierung und Behebung sollte auf Unternehmensebene ein Repository aufgebaut werden, in dem
alle Risiken mit den möglichen Ursachen zentral auf dem aktuellen Stand gehalten werden.
Steuerung und Verbesserung
Ein Virus im Fahrzeug legt heute das gesamte Produkt Pkw still - und möglicherweise ist die IT gar nicht
zuständig. Also wird eine unternehmensübergreifende Risiko-Governance benötigt, die über Sparten und
Divisionen hinweg Verantwortlichkeiten definiert, Regelwerke erlässt, Notfallpläne aufstellt, Übungen
betreibt und auch die Investitionsverantwortung trägt.
Damit wird ein Kreislauf der Verbesserungen initiiert, der ähnlich dem TQM-Ansatz funktioniert: Plan -
Do - Check - Act - Improve! Der Executive dieser Risiko-Governance-Funktion sollte einem Board
vorstehen, das weitreichende Kompetenzen erhält und im Idealfall an den Konzern-COO oder -CIO
berichtet.
Das Risiko-Management-Board besteht aus den Risiko-Managern der einzelnen Bereiche. Die operative
Verantwortung verbleibt dort. Dem Risiko-Executive obliegt auch die Verantwortung für die
Kommunikation nach innen und außen. Das schließt das Marketing sowohl für die Organisation als auch
für die Kommunikationsverantwortung im Krisenfall ein. Ziel dieser Phase ist es, die Rahmenbedingungen
dafür zu schaffen, dass ein aktives Risiko-Management betrieben wird.
IDG Business Media GmbH
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen
Zustimmung der IDG Business Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch
wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht
oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner
Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte
externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Business Media GmbH keine Verantwortung.