Risiken durch den Einsatz von Informationstechnologie werden vielfach unterschätzt

Je komplexer die IT-Systeme werden, die ein Unternehmen einsetzt, desto größer werden die Risiken, die aus dem Einsatz von Computersystemen und Netzwerken, Software und Datenspeichern erwachsen. Dennoch, so hat Dr. Markus Böhm, Experte für IT Governance, Risk und Compliance und Partner bei PwC, beobachtet, steuern noch immer viele Unternehmen IT-Risiken nach Gutdünken - oder nach dem, was die immer knapper werdenden Budgets gerade noch zulassen. Dabei ließe sich mit wenig Aufwand viel bewegen.

"Viele Unternehmen verzichten lieber ganz auf eine eigene IT-Risikoanalyse und setzen Schutz- und Steuerungsmechanismen nach Ermessen um", fasst Dr. Markus Böhm seine Erfahrungen zusammen, "oder machen eben das, wozu das Budget gerade reicht". Dabei lassen sich Risiken aus dem Einsatz von Informationstechnologie (IT) nur sinnvoll steuern auf der Grundlage einer sorgfältigen Analyse.

Mögliches Vorgehen zur Beurteilung von IT-Risiken und IT-Governance

  • Erstellung eines IT-Governance- und Risikoprofils
  • Bewertung des Profils gegen allgemein bewährte Praktiken
  • Vergleich des Profils mit Referenzgruppen
  • Überblick über den unternehmensspezifischen IT-Risikostatus
  • Untersuchung von konkreten IT-Risiken
  • Vergleich der Entwicklung des IT-Governance- und Risikoprofils über mehrere Jahre

Das Wissen um die IT-Risiken hilft Unternehmen zu erkennen, ob sie alle wesentlichen Gefahren im Blick haben und sie angemessen und wirkungsvoll behandeln. Weitere Maßnahmen zum effektiven Umgang mit IT-Risiken lassen sich auf dieser Grundlage sinnvoller planen, möglicherweise lassen sich sogar Ausgaben für punktuell übertriebene Vorsorge einsparen. Und schließlich verlangt auch der Gesetzgeber von den Unternehmen, regelmäßig den Stand der IT-Risikovorsorge zu ermitteln und kritisch zu bewerten.

Analyse braucht drei Dimensionen

Drei Dimensionen sollten Unternehmen bei der regelmäßig wiederkehrenden Analyse ihrer IT-Risiken im Blick haben, meinen die IT-Experten von PwC:

  • Analyse der eigenen Maßnahmen und Systeme zum Management von IT-Risiken
  • Vergleich der eigenen Maßnahmen und Systeme mit jenen von Referenzgruppen
  • Abgleich der Ergebnisse einer extern durchgeführten Risiko-Analyse mit der Selbsteinschätzung des Unternehmens

Die Untersuchung, wo das eigene Unternehmen absolut und im Vergleich mit anderen steht, lässt beispielsweise erkennen, ob es gelingt, sich im IT-Bereich deutlich von Wettbewerbern abzuheben - etwa im Bereich Informationssicherheit. Sichtbar wird auch, wo im Vergleich zu anderen Unternehmen der gleichen Branche möglicherweise zu viel investiert wurde, wo sich unter Umständen mit wenig Aufwand Kosten einsparen lassen.

Bei Untersuchung und Vergleich zu berücksichtigende Themenbereiche mit beispielhaften Fragestellungen:

IT-Strategie und Entscheidungsfindung 

  • Ist die IT-Strategie an Geschäftszielen ausgerichtet?
  • Wie werden Entscheidungen bezüglich der IT-Organisation getroffen?
  • Werden neuartige Technologien und ihre Potenziale untersucht? 

IT-Governance 

  • Sind ausreichend Richtlinien und Standards für die IT-Organisation definiert?
  • Wurden Governance-Strukturen, zum Beispiel in Form von Gremien, eingerichtet?
  • Inwieweit wird sichergestellt, dass die IT-Organisation gesetzlichen, regulatorischen und vertraglichen Anforderungen genügt?

IT-Management 

  • Stehen dem IT-Management genügend qualitative Informationen über die IT-Organisation zur Verfügung?
  • Werden Projekte und Systeme in Portfolios verwaltet?
  • In welchem Umfang werden Dienstleister überwacht und gesteuert?

Systemqualität 

  • Wie genau versteht und verwaltet die Organisation die zur Aufrechterhaltung der Geschäftsprozesse notwendigen Daten?
  • Werden IT-Projekte genehmigt und in geeigneter Weise durchgeführt sowie fertiggestellt?
  • Wie geregelt läuft der Anschaffungs- und Entwicklungsprozess für neue IT-Komponenten ab?

IT-Betrieb 

  • Wie effektiv sind die Prozesse um IT-Probleme zu identifizieren und zu beheben?
  • Wurden ausreichende Strukturen zur Wiederherstellung der IT im Katastrophenfall aufgebaut?
  • Wie effektiv sind die Rechenzentren durch physische Einflüsse geschützt?

Systembetreuung und -änderung 

  • Ist die IT-Organisation in der Lage, Schlüsselsysteme effektiv zu betreuen?
  • Erfolgen Änderungen an produktiv eingesetzten Systemen anhand eines geregelten Ablaufs?
  • Wie wird mit Ausnahmesituationen in der IT-Organisation umgegangen?

Informationssicherheit

  • Wie umfassend werden Bedrohungen der Informationssicherheit durch das Unternehmen identifiziert und abgewehrt?
  • Werden die Mitarbeiter des Unternehmens hinsichtlich Informationssicherheit angemessen sensibilisiert?
  • Sind Verfahren zur geregelten Verwaltung von Benutzerkonten und -berechtigungen umgesetzt?

Vergleiche zwischen Unternehmen gleicher Branchen 

Referenzgruppen für den Vergleich der eigenen Maßnahmen und Systeme zum Umgang mit IT-Risiken mit jenen anderer Unternehmen können je nach Stoßrichtung des Vergleichs ganz unterschiedlich zusammengestellt sein: Denkbar sind beispielsweise Vergleiche zwischen Unternehmen einer Branche oder zwischen Unternehmen, die eine ähnlich große IT haben. 

Die Einschätzung des Unternehmens macht deutlich, wo sich Unternehmen über- oder unterschätzen. Regelmäßige Untersuchungen - beispielsweise einmal pro Jahr - dokumentieren, wie sich Systeme und Prozesse zum Management von IT-Risiken und zur IT-Governance entwickeln; sie machen deutlich, welche der ergriffenen Maßnahmen den größten Erfolg erzielt haben. CIOs und IT-Leitern hilft dies, die oft geführte Diskussion über die Erfolge und den Wertbeitrag der IT zu versachlichen und durch Stellungnahmen unabhängiger Dritter zu untermauern.

Im Gespräch mit Dr. Markus Böhm, Experte für IT Governance, Risk und Compliance und Partner bei PwC:


Dr. Markus
Böhm

Frage: Sie propagieren eine systematische Analyse des Managements von IT-Risiken und IT-Governance - warum? Weiß denn nicht jeder Unternehmer, was in seiner IT-Landschaft schief gehen kann?

Dr. Markus Böhm: Leider nein. Für viele Unternehmen ist es sehr schwierig, den Umgang mit IT-Risiken zu bestimmen und zu bewerten. Viel zu oft geben nicht IT-Governance und definierte Regeln den Ausschlag über Risikovorsorge, sondern es bestimmen persönliches Ermessen und immer knappere Budgets über die Balance zwischen Risiken, Überwachungsmechanismen und Investitionen.

Frage: Wie sollten Unternehmen Ihrer Meinung nach vorgehen, um den Umgang mit IT-Risiken objektiv beurteilen zu können?

Dr. Böhm: Zunächst gilt es zu ermitteln, welche Maßnahmen für IT-Governance und Risikomanagement vorhanden sind, welchen Reifegrad sie haben und vor allem, welche Risiken in der IT sie abdecken. Dieser objektiv ermittelte Stand der Dinge ist dann abzugleichen mit einer oder auch mehreren zu definierenden Referenzgruppen und den Vorstellungen, die das Unternehmen von seinen eigenen Systemen und Maßnahmen hat. PwC hat diese Schritte für Kunden im Verfahren " IT Governance and Risk Diagnostic (IT-GaRD)" zusammengestellt.

Frage: Wird denn der Umgang mit IT-Risiken nicht ohnehin in der "normalen" IT-Prüfung betrachtet? Warum sollten sich Unternehmen noch einmal darüber hinaus des Themas annehmen?

Dr. Böhm: Natürlich sind IT-Risiken zentraler Bestandteil von IT-Prüfungen und auch IT-Governance spielt in diesem Bereich zunehmend eine Rolle. Der Fokus ist hier aber fast ausschließlich auf die Rechnungslegung gerichtet. Andere Auswirkungen, die IT-Risiken auf das Geschäft haben können, kommen hier möglicherweise zu kurz. IT-Governance and Risk Diagnostic kann mit Leistungen wie dem Referenzvergleich, die über die reguläre Prüfung hinausgehen, einen deutlichen Mehrwert für Unternehmen erbringen und Einsparungen ermöglichen. Es kann deshalb integraler Bestandteil einer regulären Prüfung sein - es muss es aber nicht.

Lesen Sie dazu

Dienstleistungen