Risiken in der IT: Erkennen - Steuern - Verbessern (BUCHVORSTELLUNG)

Ein Modell für effektives Risikomanagement in Entwicklung und Betrieb

Managementsysteme werden für die unterschiedlichsten Einsatzzwecke benötigt. Dazu gehört die Führung eines Unternehmens ebenso wie die Steuerung eines IT-Vorhabens oder auch die Einhaltung eines Qualitäts-, Umwelt-  oder Informationssicherheitsstandards. Sie zeigen dem Management Ziele auf und geben ihm bewährte Methoden zur Zielerreichung ebenso wie die zugehörigen Steuer- und Kontrollmechanismen an die Hand. Dieses Buch beschreibt anhand eines Modells, wie der Kernprozess des Risikomanagements innerhalb eines solchen Managementsystems funktioniert. Hauptmerkmal des Modells ist die zyklische Wiederholung des Erkennens und Bewertens von Chancen und Risiken, daraus resultierend der Ergreifung notwendiger Steuerungsmaßnahmen und die anschließende Umsetzung davon abgeleiteter Verbesserungsmaßnahmen.

Jeder Zyklus beginnt zunächst mit der Festlegung von für das IT-Vorhaben wesentlichen Zielen. Daran schließen sich die Identifikation von Einflussgrößen, welche die Zielerreichung bedrohen oder auch begünstigen, sowie deren Bewertung an. Dieser Schritt ist durch die Fokussierung auf wesentliche Ziele und akute Bedrohungen eine wichtige Voraussetzung für wirtschaftliches Risikomanagement.

Um Einflussgrößen zu finden, welche das Erreichen der ausgewählten Ziele begünstigen oder bedrohen, wird die Kombination einer methodischen Ursache-Wirkungs-Analyse mit eigenen Erfahrungswerten empfohlen. Die Bewertung ihrer Eintrittswahrscheinlichkeit wie auch der Höhe und Art des möglichen Schadens, der entsteht, falls ein Ziel nicht erreicht wird, ermöglicht die sinnvolle Fokussierung auf eine Teilmenge der Einflüsse.

Modell zum Management von Chancen und Risiken

Das im jeweiligen Zyklus neu bewertete Risikoprofil bildet die Grundlage für Entscheidungen des Managements entweder zur Akzeptanz oder zur Behandlung der Risiken. Eine Behandlung kann beispielsweise im Abschluss einer Versicherung (Risiko-Transfer), in der Auslagerung risikobehafteter Bereiche aus dem betrachteten IT-Vorhaben in andere Teile der Organisation (Umstrukturierung) oder auch in der Durchführung und Nachverfolgung von Maßnahmen zur aktiven Risikoreduzierung bestehen.

Im letzten Schritt eines Zyklus ist zu prüfen, durch welche Maßnahmen die Wirksamkeit des Risikomanagements wie auch das Kosten/Nutzen-Verhältnis verbessert werden können. Hierzu gehört eine Nachbetrachtung aller Bestandteile des Modells wie Prozesse, Methoden, Metriken und Skalen zur Bewertung, Dokumentationen usw.

Erhebliches Potenzial zur Verbesserung liegt darin, Wissen über allgemeine oder auch organisationsspezifische Bedrohungen der Zieltypen explizit zu machen und dieses explizite Wissen auch permanent Veränderungen beispielsweise der Bedrohungslage anzupassen. Eine Art der Implementierung dieses Wissens ist die Erstellung und Pflege von Regelwerken, durch die den mit der Risikoanalyse beauftragten Menschen Fragebögen zur Beantwortung vorgelegt und aus deren Antworten entsprechende Vorschläge für Risikobewertungen erzeugt werden. Diese Vorschlagswerte müssen jedoch aufgrund des eigenen menschlichen Urteilsvermögens und der Intuition validiert, eventuell auch korrigiert werden. Eine weitere Verbesserung ist absehbar, sobald Systeme zum maschinellen Lernen für Zwecke der Risikoanalyse eingesetzt werden können.

Das Buch unterstützt bei der wirtschaftlichen Anwendung einer komplexen Methodik zum Risikomanagement. Es kombiniert verständlich dargestelltes Methodenwissen mit Beispielen aus der umfangreichen IT-Erfahrung des Autors. Es ist als E-Book, Paperback und Hardcover erhältlich (direkt im Tredition-Buch-Shop inkl. Leseprobe - oder im Buchhandel).