Der Schifffahrtskaufmann und Honorarkonsul Oswald Dreyer-Eimbcke hatte die Risikolandkarte für Unternehmen auf eine schlichte und einfache Formel gebracht: Es gibt drei Möglichkeiten, eine Firma zu ruinieren: mit Frauen, das ist das Angenehmste; mit Spielen, das ist das Schnellste; mit Computern, das ist das Sicherste.
Seit vielen Jahren werden für Unternehmen insbesondere die optimale Informationsverteilung sowie die Integration der Unternehmensprozesse und der Informations- und Kommunikationstechnologie (IuK, nachfolgend IT genannt) zunehmend zum strategischen Erfolgsfaktor. Die technische Abhängigkeit der Kernprozesse von der IT in der Wertschöpfungskette nimmt rapide zu – und damit auch die IT-bezogenen Risiken. Die IT-Prozesse in einem Unternehmen unterstützen auf der einen Seite die Kernprozesse eines Unternehmens und reduzieren dadurch auch die Unternehmensrisiken. Gleichzeitig beinhaltet die Informationstechnologie jedoch wiederum ein neues Risikopotenzial.
In diesem Kontext bieten Standards im Bereich IT-Governance, -Sicherheit und -Risikomanagement der Unternehmenspraxis eine gute Hilfestellung bei Aufbau, Weiterentwicklung und Benchmarking.
Ein internationaler Standard für IT-Governance
Vor dem Hintergrund der zunehmenden Relevanz der IT wurde im Jahr 1993 vom internationalen Verband der IT-Prüfer (Information Systems Audit and Control Association, ISACA) der IT-Governance-Standard "Control Objectives for Information and related Technology" (COBIT®) entwickelt. Das in der Zwischenzeit international akzeptierte Rahmenwerk gliedert die Aufgaben der IT in Prozesse und Control Objectives (Steuerungsvorgaben). CobiT definiert hierbei nicht vorrangig, wie die einzelnen Anforderungen umzusetzen sind, sondern konzentriert sich primär darauf, was umzusetzen ist. Seit dem Jahr 2000 obliegt dem IT Governance Institute, einer Schwesterorganisation der ISACA , CobiT zu entwickeln und fortzuschreiben. CobiT hat sich von einem Werkzeug für IT-Prüfer (Auditoren) zu einem Werkzeug für die Steuerung der IT aus Unternehmenssicht entwickelt und wird unter anderem auch als Modell zur Sicherstellung der Einhaltung regulatorischer Anforderungen (Compliance) eingesetzt.
Ein Blick auf die Struktur von CobiT verdeutlicht die Anlehnung an das COSO ERM-Framework . Ziel von CobiT ist daher auch eine Integration der IT-Governance in die Corporate Governance und das unternehmensweite Risikomanagement.
CobiT versucht u. a. auf die folgenden Fragstellungen eine Antwort zu geben: Wie werden die Risiken des Unternehmens gemanagt und wie können die IT-Ressourcen abgesichert werden? Wie kann das Unternehmen sicherstellen, dass die IT die Ziele erreicht und das Kerngeschäft unterstützt?
Komplexe Entscheidungen bezüglich Risiko und Steuerung
Erstens benötigt das Management Control Objectives, die das eigentliche Ziel der Umsetzung von Richtlinien, Prozessen und Verfahren sowie der Organisationsstruktur darstellen, um zu gewährleisten, dass Unternehmensziele erreicht und ungeplante Vorkommnisse verhindert oder entdeckt und korrigiert werden.
Zum zweiten geht CobiT davon aus, dass das Management laufend kompakte und aktuelle Informationen benötigt, um komplexe Entscheidungen bezüglich Risiko und Steuerung schnell und effizient treffen zu können. Zusammengefasst werden IT-Ressourcen durch IT-Prozesse gemanagt, um IT-Ziele zu erreichen, die auf Unternehmenserfordernisse ausgerichtet sind. Dies ist, wie im CobiT-Würfel der folgenden Abbildung dargestellt, das Grundprinzip des CobiT Frameworks.
Abbildung: Der CobiT-Würfel [Quelle: IT Governance Institute: Rolling Meadows: COBIT 4.0, siehe www.isaca.org/cobit]
Der Steuerungsansatz von CobiT ist grundsätzlich in einer Top-Down-Logik strukturiert. Ausgehend von Unternehmenszielen werden IT-Ziele festgelegt, die wiederum die Architektur der IT beeinflussen. Hierbei gewährleisten angemessen definierte und betriebene IT-Prozesse die Verarbeitung von Informationen, die Verwaltung von IT-Ressourcen (Personal, Technologie, Daten, Anwendungen) und die Erbringung von Services. Für diese Ebenen (Unternehmensweit, IT, Prozess und Aktivitäten) sind jeweils Mess- und Zielgrößen zur Beurteilung der Ergebnisse und der Performance-Driver festgelegt. Die Messung der Zielerreichung erfolgt Bottom-Up und ergibt so einen vorgegebenen Steuerungs-Zyklus.
So definiert beispielsweise PO9 im CobiT-Framework den Prozess der Risikobeurteilung (Assess and Manage IT Risks). CobiT fordert, dass ein Risikomanagement-Framework ein allgemeines und vereinbartes Niveau von IT-Risiken sowie Strategien zur Risikoreduktion dokumentiert. Alle potenziellen Einflüsse auf die Ziele der Organisation, die durch ein ungeplantes Ereignis hervorgerufen werden, sollten identifiziert, analysiert und bewertet werden. Strategien der Risikoreduktion sollten umgesetzt werden, um das Restrisiko auf ein akzeptiertes Niveau zu reduzieren. Das Ergebnis der Bewertung sollte für die Stakeholder verständlich sein und in finanzbezogenen Kennzahlen kommuniziert werden, um den Stakeholdern zu ermöglichen, das Risiko auf ein akzeptables Toleranzniveau zu bringen.
Im Detail definiert CobiT im Block PO9 insgesamt sechs Steuerungsziele (Control Objectives):
- PO9.1: IT and Business Risk Management Alignment: Integration und Koordinierung des unternehmensweiten Risikomanagements mit dem IT-Risikomanagement. Dies beinhaltet auch die strategische Ausrichtung des Unternehmens bezüglich Risikoappetit und Risikotragfähigkeit.
- PPO9.2: Establishment of Risk Context: Hier soll der gesamte Kontext für den Risikomanagement-Prozess definiert werden. Dies umfasst die Bestimmung der internen und externen Rahmenbedingungen für jede Risikobewertung, die Ziele der Bewertung und die Kriterien, nach denen Risiken evaluiert werden. Das CobiT-Framework stellt keine weiteren Werkzeuge und Methoden zur Identifikation und Bewertung von Risiken zur Verfügung.
- PO9.3: Event Identification (Ereignisidentifikation): Bei diesem Steuerungsziel sollen sämtliche Ereignisse (Bedrohungen oder Verletzbarkeiten) mit einer potenziellen Auswirkung auf die Ziele oder den Betrieb des Unternehmens (einschließlich der folgenden Aspekte: Geschäftstätigkeit, Verordnungen, Recht, Technologie, Handelspartner, Personal und Betrieb) identifiziert werden. In diesem Kontext sollen insbesondere die positiven oder negativen Auswirkungen erfasst und dokumentiert werden.
- PO9.4: Risk Assessment (Bewertung von Risiken): Unter Anwendung qualitativer und quantitativer Methoden sollen regelmäßig alle identifizierten Risiken hinsichtlich Wahrscheinlichkeit und Auswirkungen bewertet werden. Die Wahrscheinlichkeit und Auswirkungen, die mit inhärenten und Restrisiken verbunden sind, sollten einzeln, pro Kategorie und auf Basis eines Portfolios bestimmt werden.
- PO9.5: Risk Response (Maßnahmen zur Risikobehandlung): CobiT verlangt in der Prozessphase der Risikosteuerung eine klare Definition von Risiko- und Prozessverantwortlichen. So soll sichergestellt werden, dass effiziente Controls und Steuerungsmaßnahmen die Risiken kontinuierlich reduzieren. Die Risikoreaktion sollte allgemein bekannte Risikostrategien, wie Vermeidung, Reduzierung, Transfer/Finanzierung oder Akzeptanz umfassen. In diesem Zusammenhang wiest CobiT auch darauf hin, dass die Maßnahmen unter Wirtschaftlichkeitsaspekten umgesetzt werden sollen.
- PO9.6: Maintenance and Monitoring of a Risk Action Plan (Erhalt und Monitoring eines Plans zur Risikosteuerng): CobiT fordert als Steuerungsziel eine klare Priorisierung der Kontrollaktivitäten auf allen Ebenen, um die Maßnahmen umzusetzen. Hierzu gehört insbesondere auch eine effizientes Monitoring und Controlling der definierten Maßnahmen. Evtl. Abweichungen von den definierten Maßnahmen müssen dem Vorstand/Geschäftsleitung gemeldet werden.
Quellenverzeichnis sowie weiterführende Literaturhinweise:
ISACA Website mit der englischsprachigen Version von CobiT 4.1: www.isaca.org/cobit
Johannsen, W./Goeken, M.: Referenzmodelle für IT-Governance. Strategische Effektivität und Effizienz mit COBIT, ITIL & Co, Heidelberg 2007.
Karer, A.: Optimale Prozessorganisation im IT-Management: Ein Prozessreferenzmodell für die Praxis, Berlin 2007.
Romeike, F.: Risikomanagement in der Informations- und Kommunikationstechnologie (IuK), in: Romeike, F./Hager, P.: Erfolgsfaktor Risiko-Management 2.0, Wiesbaden 2009.
Autor: Frank Romeike, Geschäftsführender Gesellschafter RiskNET GmbH, Chefredakteur Risk, Compliance & Audit
[Bildquelle: iStockPhoto]
Kommentare zu diesem Beitrag