Alternatives Drucklayout:

› reiner Text

Link: http://www.computerwoche.de/a/compliance-gesetzestreue-it,568570

Compliance: mit aktivem Risikomanagement zur gesetzestreuen IT

Datum:14.11.2005

COMPUTERWOCHE VERLEGERPUBLIKATION - Neue Corporate-Governance-Regulierungen

wie Basel II und der Sarbanes Oxley Act (SOX) bürden den Unternehmen ein transparentes und

messbares Risiko-Management auf. Für den CIO bedeutet das, eine neue Rolle einzunehmen.

Der für die IT-Sicherheit Verantwortliche eines großen deutschen Automobilkonzerns benennt die

Schwachstellen eines Unternehmens: Viele Risiken sind bekannt, jedoch nicht konsequent und konzernweit

im Prozessmodell dokumentiert. Einige Verantwortlichkeiten sind für den Ernstfall zugeordnet, doch der

Ablauf im Ernstfall ist nicht trainiert.Verbesserungsmaßnahmen werden im Konzernwirrwarr zerredet.

Ein funktionierendes aktives Risiko-Management ist heute jedoch noch wichtiger geworden, da es die

Voraussetzung für die Compliance bildet. Risiko-Management beinhaltet weniger den Einsatz

mathematisch eleganter Methoden zum Berechnen von Eintrittswahrscheinlichkeiten. Schwerpunkt ist

vielmehr die "Operational Excellence", damit im Ernstfall "die Produktionsbänder nicht für zwei Tage

stillstehen", so der IT-Experte.

Die Gefahren nehmen zu

Dieses zu erkennen bedeutet für die Geschäftsführungen, den Sicherheitsverantwortlichen mit wichtigen

Kompetenzen und Mitteln auszustatten, um die notwendigen Prozesse für Gegenmaßnahmen zu etablieren -

und zwar innerhalb der IT wie auch für das Gesamtunternehmen, denn in den operativen

Geschäftsprozessen entsteht der unternehmerische Schaden - messbar und spürbar beispielsweise in der

Anzahl unzufriedener Kunden, durch weniger Umsatz an einem Tag oder anderen Business-Measurements.

Einige Zahlen verdeutlichen die Situation insbesondere in Europa: Die Anzahl sicherheitsrelevanter

Vorfälle in der IT ist im vergangenen Jahr um fast 25 Prozent gestiegen. Bei einem Viertel der

Sicherheitsvorfälle wissen die Verantwortlichen nicht, wer oder was diese verursacht hat. Auch bei der

Schadenhöhe tappen viele im Dunkeln.

Lediglich 37 Prozent haben ein unternehmensweites Sicherheitskonzept aufgelegt, und gerade einmal drei

Prozent haben einen Notfallplan entwickelt! Auf die meisten Vorfälle wird also ad hoc reagiert. Und von

einer Compliance sind diese Unternehmen noch meilenweit entfernt.

Die Phasen eines aktiven Risiko-Managements sind: Risikoprävention, Notfallübung, Steuerung und

Verbesserung. Alle drei Phasen sind gleich wichtig, gilt es doch, zunächst mit vertretbaren Mitteln ein

unsicheres Ereignis zu verhindern. Und sollte der Notfall dennoch eintreten, muss schnellstmöglich und gut

vorbereitet darauf reagiert und anschließend das Gesamt-Management-System laufend verbessert werden.

Harald Rost Geschäftsführender Partner CIO Consultants

Prävention heißt, aktiv mit vertretbaren Mitteln ein Risiko-Management-System für das

Gesamtunternehmen aufzubauen. Dazu ist es vor allem notwendig, Transparenz auf allen Ebenen eines

Unternehmens mit allen Innen- und Außenbeziehungen herzustellen. Die Wahrscheinlichkeit, dass ein

Risiko tatsächlich eintritt, ist heute aufgrund des Outsourcings ganzer Unternehmensteile und durch das

Arbeiten in Netzstrukturen mit der Folge der Verringerung der Fertigungstiefen um ein Vielfaches höher

als noch vor einigen Jahren.

Transparenz herstellen

Insbesondere durch moderne Technologien verbreiten sich Risiken schlagartig. Was heißt nun: Transparenz

herstellen? Das erinnert an die 90er Jahre, als die Norm ISO 9000 in die Unternehmen Einzug hielt, mit

deren Vorgaben vor allem die Prozessqualität erhöht werden sollte. Die 20 Qualitätselemente, nach denen

auditiert und zertifiziert wurde, hatten zum Ziel, durch Dokumentation von Geschäftsprozessen,

Benennung von Verantwortlichen, Ziel- und Ergebnisbeschreibungen Transparenz und Messbarkeit von

Qualität zu erhöhen. Unternehmen, die diesen oder ähnliche Ansätze wie Malcom Baldridge, Six Sigma

oder Zero Defect fortgeführt haben, sind heute gut aufgestellt.

Zwar sind die Beweggründe für den Einsatz dieser Methoden unterschiedlich - damals höhere Qualität und

Kundenzufriedenheit, heute Transparenz zur Risikoidentifikation und zum besseren Unternehmens-

Controlling beispielsweise nach Sarbanes Oxley. Doch die Resultate sind ähnlich.

Prozessmodelle zur Unterstützung in der Prozessbeschreibungsphase wie auch zum Aufspüren von

Verbesserungspotenzial sind heute für alle Branchen verfügbar, und für die Informationsverarbeitung

existieren - zumindest für Produktionsprozesse - Referenzmodelle, beispielsweise Itil.

Ist die Transparenz in den Prozessen geschaffen, müssen in einem nächsten Schritt für jeden der

Geschäftsprozesse die möglichen Risikoereignisse erarbeitet werden. Das erfordert tiefe Geschäftsprozess-

und Branchenkenntnisse.

Denn die Einschätzungen der Eintrittswahrscheinlichkeiten und möglichen Schadenhöhen ergeben später

das "Value-at-Risk-Portfolio". Damit wird das gesamte Risikopotenzial sichtbar, dem dann geeignete

Strategien und Maßnahmen entgegenzusetzen sind. Das generiert einen enormen Bedarf an Abstimmung

mit dem Executive-Management, denn letztendlich werden mit der Einordnung in das Portfolio bereits die

entsprechende Strategie und damit zumindest der potenzielle Mittel- und Ressourcenbedarf festgelegt. Die

Ursache-Wirkung-Analyse für jedes Risikoereignis fließt dann in den Maßnahmenplan ein.

Restrisiko bleibt

Wichtig ist, dabei nicht nur auf Technologie zu schauen. Denn große Risiken entwickeln sich meist erst als

Folge einer tragischen Kombination aus menschlichem Versagen, Fehlern in den Prozessen und

Technologien. Ziel dieser Phase ist es, die Anzahl der Risikoereignisse zu reduzieren und das Ausmaß der

Schäden so gering wie möglich zu halten.

Trotz der besten Präventivmaßnahmen verbleibt immer ein Restrisiko. Auch kann ein akzeptiertes Risiko

eingetreten sein. Dann muss schnell und effektiv ein Notfallplan abgearbeitet werden. Das ist längst nicht

so selbstverständlich, wie es klingt. So kam es bei dem oben zitierten großen Automobilkonzern nach dem

Eindringen eines Wurmes in die Produktionssteuerungssysteme zwar zum Alarm, aber der verantwortliche

Mitarbeiter ging anschließend einfach nach Hause, da er Feierabend hatte. Die Schadenhöhe ging in die

Millionen, da die Produktionsbänder für mehrere Stunden still standen - den Imageschaden durch

unzufriedene Kunden nicht eingerechnet.

Im Wesentlichen sollte ein Notfallplan zunächst Antworten auf folgende Fragen geben:

- Wie identifiziere ich schnell die Ursache?

- Wie behebe ich die Schwachstelle schnellstmöglich? und

- Wie kann ich zunächst den Betrieb aufrechterhalten?

Zur Identifizierung und Behebung sollte auf Unternehmensebene ein Repository aufgebaut werden, in dem

alle Risiken mit den möglichen Ursachen zentral auf dem aktuellen Stand gehalten werden.

Steuerung und Verbesserung

Ein Virus im Fahrzeug legt heute das gesamte Produkt Pkw still - und möglicherweise ist die IT gar nicht

zuständig. Also wird eine unternehmensübergreifende Risiko-Governance benötigt, die über Sparten und

Divisionen hinweg Verantwortlichkeiten definiert, Regelwerke erlässt, Notfallpläne aufstellt, Übungen

betreibt und auch die Investitionsverantwortung trägt.

Damit wird ein Kreislauf der Verbesserungen initiiert, der ähnlich dem TQM-Ansatz funktioniert: Plan -

Do - Check - Act - Improve! Der Executive dieser Risiko-Governance-Funktion sollte einem Board

vorstehen, das weitreichende Kompetenzen erhält und im Idealfall an den Konzern-COO oder -CIO

berichtet.

Das Risiko-Management-Board besteht aus den Risiko-Managern der einzelnen Bereiche. Die operative

Verantwortung verbleibt dort. Dem Risiko-Executive obliegt auch die Verantwortung für die

Kommunikation nach innen und außen. Das schließt das Marketing sowohl für die Organisation als auch

für die Kommunikationsverantwortung im Krisenfall ein. Ziel dieser Phase ist es, die Rahmenbedingungen

dafür zu schaffen, dass ein aktives Risiko-Management betrieben wird.

IDG Business Media GmbH

Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen

Zustimmung der IDG Business Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch

wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht

oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner

Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte

externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Business Media GmbH keine Verantwortung.