20100304c Alfabet IT-Risikomanagement Kosten senken

 Home | News | Hefte | Mediadaten | Online-Artikel | Kommentare | Trends | Wir-ueber-uns | Tipps | Impressum | CeBIT 2012

 

Home
News
Trends
Hefte
Online-Artikel
Kommentare
Service-Angebote
Feedback
Abonnement
Wir-ueber-uns
Tipps
Impressum
Veranstaltungen

»manage it« als

 E-Paper  5-6 2011
E-Paper  3-4 2011
E-Paper  1-2 2011
E-Paper  11-12 2010
 E-Paper  9-10 2010
 E-Paper  7-8 2010
 E-Paper  5-6 2010
 

 

 

 

 

 

 

 

 

IT-Risikomanagement

Reifegrad steigern – Kosten senken

Viele Unternehmen haben IT-Risikomanagementprozesse zur Unterstützung der Compliance etabliert, doch sind diese oftmals nicht ausgereift genug, um die Anzahl der versteckten Risiken sowie die für die Risikobewertung anfallenden Kosten zu senken.

 

I

T-Risikomanagement und IT-Compliance sind zwei wichtige Themen, die vor dem Hintergrund des heutigen Geschäftsumfelds in jeder IT-Organisation ernst genommen und gewissenhaft behandelt werden müssen. Die Abhängigkeit grundlegender Geschäftsprozesse von der IT-Unterstützung ist eine Tatsache, die Entscheidungsträger bei der Bewertung und Berichterstattung über Unternehmensrisiken berücksichtigen müssen – sowohl intern als auch extern gegenüber Aktionären. In den maßgebenden Gesetzen zur Compliance, wie Sarbanes-Oxley-Act, HIPAA und BASEL II, wird diesem Aspekt ebenfalls Rechnung getragen, indem darin die Umsetzung von IT-Risikobewertungen und internen IT-Kontrollsystemen vorgeschrieben wird. Und dies ist längst nicht mehr nur ein Spezialthema für traditionell risikobewusste Branchen, wie beispielsweise das Finanzwesen oder die Gesundheits- und Pharma-Industrie, sondern betrifft aufgrund der starken Ausbreitung der IT, zum Beispiel im Bereich der Finanzberichterstattung, der Buchhaltung, des Customer Relationship Managements, des Supply Chain Managements und der Produktfertigung, jetzt ausnahmslos alle Branchen.

Hochgesteckte Ziele.

Auch wenn das IT-Risikomanagement seit den Bilanzskandalen des vergangenen Jahrzehnts eher als nötiges Übel betrachtet wurde und man dabei meist ganz nach der Devise »Hauptsache, die Vorschriften werden eingehalten« vorging, so ist die Bewältigung von IT-Risiken aus unternehmerischer Sicht sehr sinnvoll. Das Ziel des IT-Risikomanagements besteht nicht nur im Schutz der Organisation vor Katastrophenereignissen, wie beispielsweise Erdbeben, und der Prävention alltäglicher Gefahren wie Serverausfällen und Virenangriffen. Denn dies kann zwar zum Teil ohne vorherige Bewertung der Risiken durch eine pauschale Implementierung von Technologien wie Virenscannern erreicht werden, doch mit der Etablierung von IT-Risikomanagement wurden die Ziele höher gesteckt. Erstens können versteckte IT-Risiken durch die Einführung von Prozessen und einer Methodik zur systematischen Aufdeckung der Gefahren und des Schadenpotentials ans Licht gebracht werden und somit deutlich minimiert werden. Zweitens können durch Abwägen der Kosten für Minderungsmaßnahmen gegen die Höhe der möglichen Schäden Geschäftsentscheidungen bezüglich der bestmöglichen Investition des verfügbaren IT-Budgets zur Bewältigung von Risiken effektiv getroffen werden. Ein weiterer wichtiger Nutzen ist, dass durch proaktives IT-Risikomanagement die Zahl der IT-Vorfälle und die Ausfallzeiten reduziert werden und die Ausführung von Programmen und Projekten optimiert wird, wodurch sich letztendlich die gesamte betriebliche Leistung verbessert.

IT-Risikomanagement als lästige Pflicht.

Wie steht es nun sieben Jahre nach der Verabschiedung des Sarbanes-Oxley-Acts um das IT-Risikomanagement? Erstens wurde aufgrund des Gebots der Einhaltung der rechtlichen Bestimmungen ein stärkerer Schwerpunkt auf die Erfüllung der Anforderungen der Auditoren (etwa die Dokumentation interner Kontrollmechanismen) gelegt, anstatt Best-Practices für das Risikomanagement zu etablieren. Bedenkt man die Kosten, die bei Nichtbestehen eines Audits auf das jeweilige Unternehmen zukommen, ist dies zwar verständlich, doch hat eine solche Herangehensweise häufig zur Folge, dass mit dem Ziel der bloßen Einhaltung der Gesetze nur Mindeststandards festgelegt werden. Zweitens wurde versucht, dieser Aufgabe unter immensem manuellem Aufwand mithilfe von Excel-Tabellen und E-Mails gerecht zu werden, wobei es diesem Vorgehen zum einen an der nötigen Sicherheit mangelt, Fehler auszuschließen und die Wiederholbarkeit zu gewährleisten. In der Tat wurden Risikobewertungen häufig nur dann wiederholt, wenn dies im Audit-Zyklus so vorgesehen war, anstelle die Risikobewertung zum Bestandteil eines kontinuierlichen Best-Practice-IT-Managements zu machen. Dies ist vor allem darauf zurückzuführen, dass IT-Risikomanagement oftmals als lästige Pflicht betrachtet wird, durch die die gesamte Organisation bei der Erfüllung von Geschäftsanforderungen für IT-Services behindert wird, und nicht als ein Wegbereiter der risikoarmen Bereitstellung von IT-Services erkannt wird.

Vorteile durch Risikomanagement.

Da die Unternehmen angesichts der Bürde der Einhaltung einer Vielzahl von Gesetzen auch in ihrer Vorgehensweise reifen, beginnen sie nun IT-Risikomanagement disziplinierter anzugehen und zu erkennen, wie sie dadurch in ihrer Arbeit befähigt werden. Gleichzeitig wird nach Wegen und Möglichkeiten zur Reduktion des Aufwands und der Kosten für IT-Risikobewertungen gesucht. Ausgehend von diesem Grundgedanken werden die Methodik und die aktuell ausgeführten IT-Managementprozesse analysiert, um herauszufinden, ob Synergien bestehen, die ausgeschöpft werden können. Insbesondere verschaffen sich die Organisationen, die über geeignete und aktuelle Beschreibungen ihrer Unternehmensarchitektur (EA) – vor allem Beschreibungen der Geschäfts- und Lösungsarchitekturen – und über etablierte Prozesse zur strategischen IT-Planung verfügen, im Bereich des IT-Risikomanagements Vorteile. Diese können wie folgt zusammengefasst werden:

·                     Die Verfügbarkeit eines IT-Scopes für Risikobewertungen

·                     Die Fähigkeit, Risikokennzahlen der Infrastruktur in Beschreibungen des Geschäftsrisikos auf Ebene von Prozessen, Produkten, Organisationen und Capabilities zu abstrahieren

·                     Die Reduktion von Bewertungskosten durch Automatisierung der Bewertung und des Reportings

·                     Die Möglichkeit des Baselinings des Risikos durch Einbettung der Bewertungen in die Planungsprozesse

Im Folgenden sollen diese vier Punkte einschließlich ihrer Bedeutung für den IT-Risikomanagementprozess im Detail beschrieben werden.

Der IT-Scope.

Begonnen wird hierbei mit der Verfügbarkeit eines IT-Scopes für die Risikobewertungen. Die Basis für eine Risikobewertung – eine Auflistung der zu bewertenden IT-Objekte – ist häufig einfach nicht vorhanden oder – da veraltet und unvollständig – nicht verlässlich. Durch die Bestimmung der zu bewertenden Objekte wird der IT-Scope festgelegt – ohne diesen wäre eine Bewertung des Risikos nicht möglich. Der IT-Scope muss außerdem zur korrekten Bewertung des Risikos einen ausreichenden Detailgrad haben. Üblicherweise ist der IT-Scope ein Applikations-Inventory mit Informationen über die Unterstützung des Business durch die Applikationen, über die Beziehungen dieser untereinander (Informationsflüsse zwischen Applikationen) sowie über deren interne Architektur – je nach Durchführungsart und Ziel der Bewertung. Dies sind genau die Informationen, die die Beschreibung der aktuellen Architektur ausmachen, die die EA- und die IT-Planungsteams nutzen und die mit einer guten EA-Methodik bei Änderungen an Projektplänen und der IT-Landschaft laufend aktuell gehalten werden. Es lässt sich also schlussfolgern, dass der IT-Scope für die Risikobewertungen bereits etabliert sein kann und dass durch die Bereitstellung dessen für IT-Risikomanagementprojekte Zeit und Aufwand deutlich reduziert werden können. Falls jedoch keine aktuelle Architektur zur Verfügung steht, können durch Aufbau und Pflege einer solchen gleich zwei Fliegen mit einer Klappe geschlagen werden – so dass IT-Planer und IT-Risikomanager ein unentbehrliches Tool erhalten.

Risikokennzahlen für das Geschäftsrisiko.

Zur Bestimmung des IT-Scopes sind nicht nur Informationen und Prozesse zu deren Pflege, sondern auch ein Tool erforderlich, in dessen Rahmen die Informationspflege erfolgt. Solche Tools bieten modernste Funktionen, wie Workflows, Qualitätsmonitore und Wizards, mit denen die Pflege und Aktualität des IT-Scopes sichergestellt wird. Laut den Analysten von Forrester hat Alfabet im Bereich der IT-Planungs-Tools die Marktführerschaft. Die von der Alfabet AG entwickelte Software »Planning IT« erhielt im Rahmen der Marktstudie »The Forrester Wave: Business Process Analysis, EA Tools, And IT Planning, Q1 2009« [1] in der Kategorie »Current Offering« Bestnoten. Mit solchen Tools können Unternehmen zusätzlich auch die Risikokennzahlen für IT-Infrastrukturobjekte bewerten, diese für die Geschäftsarchitektur abstrahieren und Business-Manager so über das Gefährdungspotential für Prozesse, Organisationen und Capabilities informieren. Nur so können die Auswirkungen von Änderungen an der IT-Infrastruktur auf das Gefährdungspotenzial des Unternehmens – oder das Risiko einer Nichtänderung der IT – nachvollzogen und verstanden werden.

Automatisierung.

Der dritte Vorteil, den ein von den EA- und IT-Planungsteams etablierter und aktueller IT-Scope bietet und der durch ein Tool wie »Planning IT« unterstützt wird, besteht in der Schaffung von Automatisierungsmöglichkeiten. Mit den auf Geschäftsregeln basierenden Analysefunktionen können im Rahmen des IT-Risikomanagementprojekts Bewertungsformulare automatisch an die für das Objekt Verantwortlichen geschickt werden. Zu den weiteren Vorteilen zählen die Möglichkeit der Zuweisung von Vertretern im Fall der Abwesenheit der Verantwortlichen und die Überwachung der Bewertung und Eskalation bei nicht rechtzeitiger Bewertung der Objekte durch die Verantwortlichen. Der manuelle Aufwand wird zudem durch die Konsolidierung und Bewertung der Antworten in dem unterstützenden Tool zusätzlich reduziert. Dem ROI-Rechner zufolge, den Alfabet für potenzielle Neukunden zur Verfügung stellt, kann der Aufwand in Abhängigkeit der Anzahl von zu bewertenden Objekten und zu beantwortenden Fragen um bis zu 40 Prozent gesenkt werden.

Baselining von Risiken.

Der letzte Vorteil, der hier näher beleuchtet werden soll, ist das Baselining von Risiken. Üblicherweise ist dies das Ziel, das mit ausgereiftem IT-Risikomanagement erreicht werden soll. Aktuell werden Risikobewertungen im Allgemeinen dem Audit-Zyklus folgend ausgeführt. Dies bedeutet jedoch, dass – besonders bei mehreren Audits mit verschiedenen Zielvorgaben – die Risikobewertungen öfter als nötig erfolgen. Vor allem aber bedeutet es, dass sich zwischen den einzelnen Bewertungen aufgrund mangelnder Risikobewertungen in IT-Planungsprozessen Risiken in die Organisation einschleichen können. Die etablierten EA- und strategischen IT-Planungsteams verfügen bereits über Prozesse, um zu gewährleisten, dass Lösungsarchitekturen die Architekturrichtlinien und Standardverfahren zur Erstellung von Business-Cases und Projektplänen einhalten und alternative IT-Lösungen hinsichtlich der Erfüllung der Geschäftsanforderungen bewerten. Um hierbei sicherzustellen, dass bei Änderungen an der IT-Landschaft der betroffene Bereich der Landschaft eine Risikobewertung durchläuft, werden Quality-Gates genutzt. Auf diese Weise wird eine IT-Risiko-Baseline geschaffen, die kontinuierlich gepflegt wird, wodurch das Gefährdungspotential der IT-Landschaft deutlich gesenkt wird.

Resümee.

Zusammenfassend lässt sich sagen, dass IT-Risikomanagement eine Disziplin ist, deren Bedeutung für Unternehmen stetig wächst und die immer ein wichtiges Thema bleiben wird. Viele Unternehmen haben zwar IT-Risikomanagementprozesse zur Unterstützung der Compliance etabliert, doch sind diese oftmals nicht ausgereift genug, um die Anzahl der versteckten Risiken sowie die für die Risikobewertung anfallenden Kosten zu senken. EA-Teams, die Prozesse zur strategischen IT-Planung etabliert haben, unterstützen IT-Abteilungen durch die Bereitstellung des IT-Scopes, Analysen, Tools zur Automatisierung von Aufgaben sowie durch Quality-Stage-Gates in der Planung. So können die IT-Abteilungen den für das IT-Risikomanagement erforderlichen Reifegrad erreichen und auch das Baselining des Risikoprofils der IT-Landschaft einführen. CIOs, die so vorgehen, können nicht nur ruhig schlafen, sondern auch die Kosten für IT-Risikomanagement erfolgreich senken und den Business-Managern eine deutlich bessere IT-Leistung bieten.

David Ferré

____________________________________

David Ferré, Senior Product Manager bei Alfabet

 

 [1] »The Forrester Wave™: Business Process Analysis, EA Tools, And IT Planning, Q1 2009«, Henry Peyret, www.forrester.com

 

 

»Das IT-Risikomanagement wird in seiner Bedeutung für Unternehmen stetig wachsen.«

 

Folgen Sie »manage it«

auf Google+

 

 

 

 

 
Copyright © 2003-2012  ap Verlag GmbH