Risiko-Management

Wie die IT Risiken minimieren kann

24.10.2013 von Daniel Kapffer und Loreen Kaufer
Das systematische Management der immer unübersichtlicheren Unternehmensrisiken nimmt an Wichtigkeit zu. Die IT spielt dabei eine tragende Rolle - auch hinsichtlich ihrer eigenen Risiken.
IT-Experten lösen Probleme und freuen sich darüber - allzu häufig sind sie selbst jedoch auch die Verursacher.
Foto: Dudarev Mikhail/Fotolia.com

Die Verwerfungen in der jüngeren Vergangenheit, zum Beispiel die Staatsschuldenkrise oder der Tsunami in Japan, haben gezeigt, wie schnell die Existenz eines Unternehmens durch unerwartete Ereignisse bedroht sein kann. Der IT kommt bei der Bewältigung von Risiken eine Doppelrolle zu: Zum einen ist sie selbst "Risikoverursacher". In dieser Rolle muss sie - wie alle anderen Fachbereiche auch - ihre Risiken systematisch identifizieren und steuern.

Zum anderen ist die IT aber auch ein maßgeblicher Teil der Lösung für die Probleme. Denn sie stellt die Datenbasis sowie die Systeme zur Risikosteuerung bereit. Auch die häufig mit der IT verbundene Organisationsabteilung kann einen signifikanten Beitrag zur Steuerung der operationellen Risiken leisten. Das tut sie, indem sie eine strukturierte Dokumentation der wesentlichen Geschäftsprozesse einerseits sowie des Internen Kontrollsystems (IKS) andererseits sicherstellt.

Die Anforderungen an die Steuerung der Risiken ergeben sich zum Teil aus Vorgaben rechtsformspezifischer Art wie dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). Zum Teil sind sie auch branchenspezifisch, so beim Kreditwesengesetz (KWG). Nicht zuletzt das Bilanzrechtsmodernisierungsgesetz (Bil-MoG) betont auch die Verpflichtungen des Aufsichtsrats hinsichtlich der Funktionsfähigkeit des internen Kontrollsystems.

Die Kernanforderungen

Alle gesetzlichen Vorgaben umfassen im Kern die folgenden vier zentralen Anforderungen:

Ein Beispiel sind die Kreditrisiken. Sie entstehen nicht nur in Banken, sondern auch in Industrie-, Handels- und Serviceunternehmen - durch Vorleistungen, die mit Zahlungen am Monatsende beglichen werden (beispielsweise bei Handy-Verträgen).

Von wachsender Bedeutung sind auch die Risiken in der Supply-Chain. Sie rühren daher, dass Unternehmen ihre Produkte auf Grundlage einer Reihe von Vorleistungen Dritter erstellen, ohne große Lagerbestände zu halten. Wird diese sensible Zulieferkette unterbrochen, kommt es zu erheblichen Produktionsausfällen.

Mit der weiter zunehmenden Bedeutung der IT für geschäftskritische Prozesse des Unternehmens sowie mit der fortschreitenden Digitalisierung ganzer Geschäftsmodelle wird auch die Bedeutung der IT bei der Erfüllung der Risiko-Anforderungen deutlich zunehmen. Die Anforderungen an das Management von Risiken übersetzt zunächst jeder Fachbereich im Unternehmen für sich selbst - in Zusammenarbeit mit dem Risiko-Controlling.

Manager der eigenen Risiken

Dabei ist die IT quasi ein Fachbereich wie jeder andere. Ausgehend von der Kritikalität des zu unterstützenden Geschäftsprozesses und der Schutzanforderungen des Fachbereichs muss sie ihre Risiken identifizieren, unter andere im Sinne von Datensicherheit, Notfallbetrieb oder Betrug.

Häufig bestehen schon Organisationseinheiten zu Datensicherheit und Notfall-Management in der IT. Diese sind jedoch selten Teil eines durchgängigen Prozesses zur Steuerung der Risiken. Zudem standen im Fokus des internen Kontrollsystems traditionell eher Prozesse, die sicherstellten, dass die Finanzzahlen des Unternehmens korrekt abgebildet wurden. Zunehmend wird das interne Kontrollsystem aber auf die Vermeidung von Risiken ausgerichtet sein. Und dazu zählen auch die IT-Risiken. Hier besteht noch Handlungsbedarf.

IT-Kompass 2013
Nimmt die Bedeutung der internen IT ab? Einige Ergebnisse des aktuellen „IT-Kompass“ deuten darauf hin. Auf jeden Fall sind CIOs einer hohen Belastung ausgesetzt, so die große Anwenderumfrage von COMPUTERWOCHE und IDC.
Grundlegende Herausforderungen der Unternehmen
Die Steigerung der Kundenzufriedenheit oder Kundenbindung ist die größte Herausforderung.<br><br>1 = sehr wichtig, 5 = unwichtig; Quelle: IDC, IDG
Wirtschaftliche Entwicklung der Unternehmen
Die meisten Befragten (58 Prozent) erwarten für 2013 eine ähnliche wirtschaftliche Situation wie für 2012, mehr als ein Viertel (27 Prozent) sogar eine Verbesserung.
Bedeutung der IT in der strategischen Unternehmensplanung
Bei 41 Prozent der befragten Unternehmen wird in Einzellfällen die IT explizit in die strategische Unternehmensplanung eingebunden.
IT-spezifische Anforderungen
Security ist für deutsche Unternehmen nach wie vor das wichtigste IT-Thema.<br><br>1 = sehr wichtig, 5 = unwichtig; Quelle: IDC, IDG
Die wichtigsten Hardwarethemen
Server-Konsolidierung und -Virtualisierung bleibt für deutsche IT-Manager ein vorrangiges Hardwarethema.<br><br>1 = sehr wichtig, 5 = unwichtig; Quelle: IDC, IDG
Zufriedenheit der Unternehmen mit ihren Hardware-Anbietern
2012 war die Zufridenheit mit den Hardware-Anbietern geringer als noch 2011.<br><br>1 = sehr wichtig, 5 = unwichtig; Quelle: IDC, IDG
Die wichtigsten Softwarethemen
Die Verwaltung und Kontrolle mobiler Geräte über Mobile- Device-Management (MDM) beschäftigt die Unternehmen. <br><br>1 = sehr wichtig, 5 = unwichtig; Quelle: IDC, IDG
Zufriedenheit der Unternehmen mit ihren Softwareanbietern
Ebenfalls war 2012 die Zufridenheit mit den Software-Anbietern geringer als noch 2011.<br><br>1 = sehr wichtig, 5 = unwichtig; Quelle: IDC, IDG
Die wichtigsten IT-Servicethemen
Hohe Service-Levels der IT und ein guter Support bleiben die wichtigsten Themen im Bereich der IT-Services. Das ITIL-Framework gewinnt an Bedeutung.<br><br>1 = sehr wichtig, 5 = unwichtig; Quelle: IDC, IDG
Zufriedenheit der Unternehmen mit ihren Service-Anbietern.
Die Zufridenheit mit den Service-Anbietern war ebenfalls geringer als noch 2011.<br><br>1 = sehr wichtig, 5 = unwichtig; Quelle: IDC, IDG

Sisyphos-Arbeit für die IT

So muss es beispielsweise eine klar definierte IT-Strategie geben, die das Management der Risiken erst ermöglicht. Die Anforderungen des prozessverantwortlichen Fachbereichs an die IT sollten klar definiert sein; die IT kann nicht einfach nach eigenen Standards vorgehen. Berechtigungen auf IT-Systeme müssen gezielt vergeben und Konflikte bei der Trennung von Verantwortungsbereichen vermieden werden. Das geht so weit, dass sich das Unternehmen auch bei Dienstleistern davon überzeugen muss, dass die vorgegebenen Grundsätze eingehalten werden.

Die Einhaltung der Anforderungen hängt nicht davon ab, ob es sich um eine zentral durch die IT bereitgestellte Anwendung oder eine auf Seiten der Fachbereiche entwickelte Software handelt. Entscheidend ist lediglich die Wichtigkeit des Geschäftsprozesses. Deshalb spielt auch die häufig vorgenommene Klassifizierung in zentrale, organisierte und individuelle Datenverarbeitung keine Rolle.

Unter letzterer werden beispielsweise die vielen Excel-Sheets verstanden, die sich die Anwender häufig selbst erstellen. Hier kommt der IT eine Sisyphosaufgabe zu, da der Bestand dieser Anwendungen häufig nicht transparent ist und Themen wie Zugriffsrechte schwer zu lösen sind.

All diese Anforderungen stehen zunehmend im Fokus der Regulierungsstellen. Im Finanzdienstleistungssektor hat sich die Aufsichtsbehörde BaFin in ihren Prüfungen mittlerweile auf diese Themen eingeschossen und spezifisches IT-Know-how aufgebaut. Das erzeugt Handlungsbedarf für die Unternehmen, denn die Mindestanforderungen an das Risiko-Management enthalten weitgehende Anforderungen - von der IT-Strategie über Notfallpläne und das interne Kontrollsystem bis zum Outsourcing.

Enabler für die Risikosteuerung

Neben der Steuerung der "eigenen" Risiken kommt der IT auch eine herausragende Bedeutung bei der Steuerung der Risiken anderer Fachbereiche zu. Die Identifikation der Risiken zwischen Fachbereichen und Risiko-Cntrolling geschieht zwar nur sporadisch IT-gestützt. Doch die vollständige Quantifizierung der Risiken setzt interne und externe Daten voraus.

Dazu müssen große Mengen von Daten über die Geschäftsaktivitäten des Unternehmens gesammelt werden. Sofern es sich um einen Konzern handelt, hat die Datenerhebung nicht nur für die einzelnen Konzerngesellschaften, sondern auch auf Gruppenebene zu erfolgen.

Der Geschäftsleitung müssen die Risiken vollständig transparent sein. In vielen Fällen wird daher ein leistungsfähiges Data-Warehouse benötigt, das die für eine Quantifizierung der Risikofaktoren notwendigen Daten in der erforderlichen Granularität und Qualität aufnehmen, verarbeiten und konsolidieren kann.

In-Memory-Datenbanken helfen

Für eine sinnvolle Messung der Risiken sollte zudem die Qualität der Daten sichergestellt sein. Häufig fehlen Daten oder sind nicht korrekt und können dadurch die Ergebnisse der Quantifizierungsmethoden stark verfälschen. Hier muss die IT mit Datenqualitäts-Verfahren Abhilfe schaffen. Zudem sollte sie die Diskussion um die Data Governance vorantreiben. Zur Analyse der Risiken ist es häufig erforderlich, wieder von aggregierten Zahlen auf granulare Daten herunterzugehen. Das war bei traditionellen Datenbanken nur über Data-Marts möglich.

IT-Grundschutz
Die IT-Grundschutz-Kataloge werden vom BSI regelmäßig ergänzt. Noch sind allerdings nicht alle Maßnahmen und Empfehlungen für Cloud Computing enthalten.
RSA Archer: SOX-Compliance
Unternehmen müssen eine Vielzahl von Standards und Compliance-Vorgaben befolgen und die Einhaltung nachweisen, zum Beispiel SOX oder bestimmte EU-Vorgaben. Lösungen wie RSA Archer können dabei helfen.
RSA Archer: Cloud-Standards
Auch für Cloud Computing gibt es zahlreiche Vorgaben und Empfehlungen, zum Beispiel von der Cloud Security Alliance (CSA). Bestimmte Cloud-Standards sind bereits in Lösungen wie RSA Archer abgebildet. Abschließende europäische oder internationale Cloud-Standards sind allerdings noch nicht verabschiedet. Unternehmen sollten deshalb zusätzlich interne Vorgaben zum Cloud Computing definieren.
Verinice: Vorgabenkatalog
Eine Lösung wie Verinice unterstützt insbesondere bei der Umsetzung von IT-Grundschutz, kann aber auch um weitere Compliance-Vorgaben ergänzt werden. So könnte ein Unternehmen auch einen eigenen Vorgabenkatalog zur Nutzung von sozialen Netzwerken hinterlegen.
NogLogic: Policy Management
Interne Richtlinien können bei einer Lösung wie NogaLogic zum Beispiel genau festlegen, was mit unstrukturierten Daten passieren soll, um diese besser zu schützen. Solche internen Policies fassen Vorgaben aus Standards genauer oder ergänzen diese.

Modernere Technologien, die auf In-Memory-Verarbeitung und Kompressionsverfahren basieren, bieten heute große Vorteile. So werden Produkte wie SAP HANA oder SAS High Performance es ermöglichen, Risiken in sehr hoher Geschwindigkeit bis auf die Ebene einzelner Datensätze zu analysieren, ohne eindeutig definierte und persistente Marts umsetzen zu müssen. Durch eine spalten- statt einer zeilenorientierten Arbeitsweise kann deutlich schneller auf Daten zugegriffen werden.

Paraderolle für die Org-Abteilung

Ein "internes Kontrollsystem" setzt nicht erst bei den IT-Risiken an. Vielmehr sollte es fachbereichsübergreifend Kontrollen dokumentieren und dabei helfen, die Effektivität dieser Kontrollenregelmäßig zu überprüfen (Kontrolle der Kontrolle). Im Idealfall basiert es auf einem fachlichen Prozessmodell.

Das ist die Paraderolle für eine Organisationsabteilung. Sie verwaltet und steuert ja die fachlichen Prozessmodelle. Auch definiert sie Standards und Vorgaben, beispielsweise darüber, wie die Kontrollen zu implementieren sind.

Eine dedizierte Organisationsabteilung ist allerdings nur in wenigen Unternehmen vorhanden; in vielen Fällen ist sie auch nur ein Teil der IT. Häufig versteht sie ihre Aufgabe zu eng: Sie konzentriert sich beispielsweise darauf, ein internes Organisationsportal zu schaffen, das quasi Templates für Prozesse anbietet. Aber sie fühlt sich nicht für das interne Kontrollsystem verantwortlich und ist insofern nicht wirklich "wertschöpfend". Das heißt, die Qualität der Prozesse oder die Effektivität des Kontrollsystems wird durch solche Maßnahmen nicht verbessert.

Die 5 Typen von IT-Abteilungen
IT-Abteilungen machen zu wenig aus ihrem Potential als Teiber von Neuerungen, so Booz. Über drei Schritte könnten sie sich zu einem von fünf Typen entwickeln.
Der Value Player:
Diese IT-Organisation ist fokussiert auf Kostensenkungen und Effizienz. Es gibt eine weitgehend standardisierte IT-Landschaft mit allen Basisfunktionalitäten und einer begrenzten Anzahl von Produkten und Services. Jeder IT-Service wird dabei so umfassend wie möglich ausgerollt, um einen maximalen Return on Investment (RoI) zu erzielen.
Der Operator:
Hier konzentriert sich die IT-Abteilung darauf, dem Business IT-Services in sehr hoher Qualität und mit einem geringen Risiko bereitzustellen. Gleichzeitig kümmert sie sich um die Optimierung von Betriebsabläufen.
Der Technology Leader:
Hier erhebt das IT-Department den Anspruch, dem Unternehmen als "First Mover" auf der Basis innovativer und marktführender Technologien und Services frühzeitig wichtige Vorteile zu sichern.
Der Service Broker:
Hier muss die IT-Abteilung IT-Services von vielen externen Providern integrieren und den internen Fachbereichen als konsistente End-to-End-Lösung zur Verfügung stellen können.
Der Capability Builder:
Die IT-Abteilung diesen Typs ist sehr stark in das Design neuer Prozesse und die Veränderung vorhandener Geschäftsabläufe, etwa der Rechnungslegung, eingebunden.

Kontrolle der Kontrolle

Wie lässt sich die Effektivität der Kontrollmechanismen überprüfen? Es kann ja nicht allein aufgrund der Definition einer Kontrolle angenommen werden, dass diese auch tatsächlich ausgeführt wird. Letztendlich muss die Effektivität und Funktionsfähigkeit des Kontrollsystems regelmäßig auf den Prüfstand gestellt werden.

Dazu wird in der Regel zunächst ein Satz von Kontrollen definiert, die aus Sicht der Unternehmensleitung unverzichtbar sind. Auf dieser Basis führt das Unternehmen dann in regelmäßigen Abständen ein Kontroll-Review aus.

Das geht so: Die Kernkontrollen werden an die Fachbereiche verschickt, die dann nachweisen müssen, dass diese Kontrollen nicht nur vorhanden sind, sondern auch funktionieren. Für diesen Nachweis sind beispielsweise detaillierte Kontrollberichte vorzulegen, die von den verantwortlichen Mitarbeitern bearbeitet und abgezeichnet wurden.

Die Ergebnisse des Kontroll-Reviews werden abschließend in einem Bericht an die Unternehmensleitung zusammengefasst. Stellt sich dabei heraus, dass Kontrollen fehlen oder nicht effektiv sind, werden Maßnahmen zur Abhilfe definiert.

Fazit

Das Risiko-Management ist im Wandel. Sich stetig verändernde Anforderungen, aufsichtsrechtlicher Druck, aber auch neue Werkzeuge in der Datenverarbeitung stellen die Unternehmen vor große Herausforderungen. Die Rolle der IT in diesem Prozess hat eine hohe Bedeutung. Sie muss zum einen systematisch die eigenen Risiken steuern, aber zum anderen auch den Fachbereichen die erforderlichen Werkzeuge dafür bereitstellen.