Peter Zoller

ist promovierter Experte für IT-Risikomanagement.

EnterpriseSicherheitsmanagement

Was sind “wesentliche” Risiken für das Top-Management?

Risiko-Experte Peter Zoller identifiziert heute in einem Blog-Beitrag, Gefährdungsszenarien für den Unternehmensbetrieb, die nur indirekt mit IT-Sicherheit zu tun haben, aber dennoch davon nicht zu trennen sind. Ob IT nun ein “wesentlicher” Risiko-Faktor ist oder nicht, hängt aber wiederum von den Geschäftszielen des Unternehmens ab.

Potenzielle “wesentliche” Risiken verstecken sich in (silicon-) Nachrichten wie beispielsweise: “der Anteil von IT-Projekten am Unternehmensgewinn wird bis 2015 der entscheidende Faktor sein”, “die Umsetzung von Big Data-Projekten dauert zu lange und bringt nicht die erwarteten Ergebnisse”, “die größte Herausforderung liegt im Bereich Personal”, “die Arbeitszeit im Bereich IT-Services sinkt um 25 Prozent”, “Bank x übernahm die Bank y”, “der Auslagerungsvertrag wurde gekündigt” oder “bis zum Jahr 2015 werden kritische Infrastrukturen der G20-Staaten durch Online-Sabotage beschädigt und zerstört”.

Was sind nun “wesentliche” Risiken? Beschränken sich diese nur auf die Cyberkriminalität?

In zahlreichen (aufsichts-) rechtlichen Vorgaben und Standards wird von einem erhöhten Risikopotenzial oder von den “wesentlichen” Risiken gesprochen (z.B. §25a KWG, §64a VAG, MaRisk, COSO, CobiT, BSI 100). Auch die Begriffe “GoBS-Relevanz” und “wirtschaftlich bedeutsam” (gem. PrüfbV) weisen auf kritische Systeme und Verträge hin. Gemeint sind hiermit höhere Gefahrenpotenziale im Hinblick auf die Durchführung von Geschäften und die Zielerreichung eines Unternehmens. Diese wesentlichen Risiken müssen einer zusätzlichen Kontrolle und Steuerung unterworfen und an die Geschäftsleitung kommuniziert werden.

“wesentliche” Risiken

Eine mögliche Definition könnte sein: “Unter einem wesentlichen Risiko wird die Gefahr verstanden, dass Ereignisse, Handlungen oder Situationen eine Organisation daran hindern, die anvisierten Geschäftsziele punktgenau zu erreichen oder die gesetzten Strategien erfolgreich umzusetzen”. Das Gesamtjahresergebnis kann somit durch die “wesentlichen” Risiken beeinträchtigt werden.

Ist der Eintritt eines “wesentlichen” Risikos nicht zu verhindern, so können – dank rechtzeitiger Früherkennung und Planung – Maßnahmen aufgesetzt werden, um den Schaden einzugrenzen. Eine zusätzliche Absicherung erfolgt über eine Berücksichtigung der Risiken in der Preisgestaltung, die Übertragung des Risikos auf externe Partner und Versicherungen sowie die Unterlegung der operationellen Risiken durch Eigenmittel.

Von den für einen anvisierten Geschäftserfolg “wesentlichen” Risiken sind die nicht-wesentlichen Risiken zu differenzieren. Letztere haben nur eine geringe Auswirkung auf die Geschäftsziele bzw. die Umsetzung der Geschäftsstrategien. Sie können trotzdem für den einzelnen Mitarbeiter, wie beispielsweise einen Abteilungsleiter, einen Projektleiter oder den Verantwortlichen eines Vertrages, von großer Bedeutung sein. DIESE für den Geschäftserfolg nicht bedeutsamen Risiken werden im Weiteren nicht betrachtet, obwohl die untenstehenden Aussagen gleichfalls auf die nicht-wesentlichen Risiken und deren Behandlung übertragen werden können.

Risiko-Objekte

Ein erster Schritt wird es sein, die kritischsten Risiko-Objekte zu identifizieren, durch die es Auswirkungen auf die Zielerreichung geben kann. In den (aufsichts-) rechtlichen Vorgaben und bei Prüfungen wird der Fokus auf einige diesbezügliche “wesentliche” Risikoobjekte gerichtet. An oberster Stelle stehen die Auslagerungen, gefolgt von Verträgen, Projekten, Systemen (Security, betriebliche Aspekte, lückenhaftes Informationsmanagement) und Prozessen, die alle einer besonderen Aufmerksamkeit bedürfen. Die Liste muss individuell ergänzt werden um Risiko-Objekte wie “Beteiligungen”, “angebotene Produkte und Dienstleistungen”, “Geschäftsstrategien” (zum Beispiel Ausbau oder Reduzierung des Personals, Eintritt in das Cloud-Geschäft, Auslagerung der IT) oder “Risiken in organisatorischen Einheiten”.

Auffällig ist, dass in der Literatur primär von Geschäftsrisiken und weniger von IT-Risiken gesprochen wird. Die IT-Risiken sind Bestandteil der Geschäftsrisiken und gehen in diesen auf. Es wurde daher bei den Risiko-Objekten bewusst auf den Zusatz “IT” verzichtet, denn auch in Geschäftsprozess-Auslagerungen, in übergeordneten Projekten wie dem Bau eines Bürogebäudes, in Personalverträgen (z.B. Verwendung Internet für private Zwecke, Heimarbeitsplätze, Beurlaubung von IT-Mitarbeitern bei Auslagerungen) oder im Rahmen der Gruppensteuerung eines Konzerns können IT-Risiken auftreten. Sicherlich gibt es noch weitere institutionsspezifisch wichtige Risiko-Objekte, doch wurden hier im Hinblick auf den Begriff “Wesentlichkeit” nur die 7 bedeutendsten aufgeführt (Anm.: es wird von “Top 5 / 7 Risks” gesprochen, zurückführend auf die magische Zahl 7 +/- 2).

Elementare IT-Risiken

Für den Leser verwunderlich ist, dass die ihm bekannten “Sicherheits-Risiken” unter den Risiko-Objekten nicht aufgeführt wurden. Sicherheit ist nämlich EINES der wichtigsten, elementaren Risiken in ALLEN diesen Risiko-Objekten. So gibt es Sicherheits-Risiken nicht nur in Systemen und Prozessen (zum Beispiel Medienweiterleitung), sondern ebenso in Auslagerungen, in Verträgen, in Projekten oder auch in den Organisationseinheiten.

Wird die Literatur genauer studiert, so wird man neben Sicherheit auf weitere elementare Risiken hingewiesen:
 Regulation and compliance (top 10 risks; Ernst & Young; Report 2010)
 Managing talent
 Cost cutting
 Executing alliances and transactions
 Maintaining infrastructure
 Pricing pressures
 Exit-Risk

Auch hier sollen abschließend die 7 wichtigsten elementaren Risiken eines Risiko-Objektes benannt werden:

1. Sicherheit (IT-Sicherheit, physische Sicherheit, Vertraulichkeit, Datenschutz, Business Continuity)
2. Produkt- und Dienstleistungsschwächen (-> Qualität, Effektivität)
3. Mängel im prozessbegleitenden Internen-Kontroll-System (IKS)
4. Der Mensch als Risikofaktor
5. Risiken aus geschäftspolitischen Entscheidungen
6. Compliance-Risiko (z.B. auch Korruption, Rechtsrisiko)
7. Changes (auch Marktveränderungen) und Exits
Jede Institution hat die Verpflichtung, ihre kritischen Risiken individuell einzuschränken, zu ergänzen und zu detaillieren.

Fazit

Der Begriff “Wesentlichkeit” orientiert sich an den für ein Unternehmen kritischsten Risiko-Objekten und deren elementaren Risiken. Ein diesbezüglich eingewertetes wesentliches Risiko-Objekt kann Auswirkungen auf das Erreichen der Geschäftsziele bzw. die Umsetzung der gesetzten Geschäfts-strategien nach sich ziehen. Das Geschäftsergebnis ist somit gefährdet.

Die IT leistet – im Rahmen ihrer Kern-Funktionen – einen wichtigen Beitrag zur Erreichung der Geschäftsziele. Sie trägt somit zum Gesamtrisiko eines Unternehmens erheblich bei.

Welche konkreten Objekte nun “wesentlich” sind, kann nur aus einer Risikoinventur abgeleitet werden. Hierzu ist es unabdingbar, dass vorher die kritischsten IT-Risiko-Objekte im Unternehmen identifiziert und auf eine übersichtliche Zahl eingeschränkt werden. Für alle diese Objekte müssen Risikoinventuren aufgesetzt werden, in denen die elementaren Einzel-Risiken individuell festzulegen und zu bewerten sind. “Rote” Einzel-Risiken oder ein “rotes” Gesamt-Risiko – beispielsweise abhängig von einem Schadens-Schwellwert oder einer qualitativen Einschätzung der Risiko-Auswirkung – führen im Ergebnis dazu, dass das zugehörige Objekt “wesentlich” im Hinblick auf die Zielerreichung ist und entsprechend einer Risikobehandlung zugeführt werden muss.

Lesen Sie auch meine weiteren Artikel:
Wie veränderten sich die Inhalte von IT-Risiken?
Identifizierung von IT-Risiken: Wer kann hierbei unterstützen?