Integration von IT- und unternehmensweitem Risikomanagement auf Konzeptebene
Patrick Wolf, Matthias Goeken Frankfurt School of Finance & Management
p.wolf@fs.de m.goeken@fs.de
Abstract:Obwohl das IT-Risikomanagement (IT-RM) ein wichtiges Teilsystem des unternehmensweiten Risikomanagements (Enterprise Risk Management, ERM) darstellt, ist in der Praxis oft nur eine schwache Kopplung beider festzustel- len. Es mangelt an Gestaltungsempfehlungen, um die Integration zu verbessern.
Der Beitrag thematisiert die Integration von IT-RM und ERM auf Ebene ihrer Be- grifflichkeiten (Konzepte). Mit Techniken der Grounded Theory werden aus beste- henden Standards und Normen des ERM relevante Konzepte für die Integration mit dem IT-RM herausgearbeitet. Diese werden verwendet, um IT-RM-Ontologien zu evaluieren und Weiterentwicklungspotenziale aufzuzeigen.
1 Einleitung
Informationstechnologie (IT) erfüllt sowohl eine Enabler- als auch eine Unterstützer- funktion [JK01], in dem sie IT-gestützte Geschäftsmodelle ermöglicht und eine effizien- tere Abwicklung von Aktivitäten erlaubt. Daher können sich aus der mangelnden Aus- richtung der IT an den Unternehmenszielen oder der Beeinträchtigung des IT-Betriebs schwerwiegende Konsequenzen für ein Unternehmen ergeben [Ju05] [Pr08]. Diese durch vorausschauende Identifikation und angemessene Steuerung von Risiken zu verhindern bzw. zu begrenzen, ist Aufgabe des IT-Risikomanagements (IT-RM) [Ju05].
Obwohl das IT-RM ein Teilsystem des unternehmensweiten Risikomanagements (Enter- prise-RM, ERM) darstellt, ist in der Praxis oftmals nur eine schwache Verknüpfung zwischen IT-RM und ERM festzustellen [JK04]. Unter ERM wird die "Gesamtheit aller organisatorischen Regelungen und Maßnahmen zur Risikoerkennung und zum Umgang mit den Risiken unternehmerischer Betätigung [verstanden]" [IDW00]. IT-Risiken stel- len dabei eine Teilmenge der Unternehmensrisiken dar. Wissenschaftliche Arbeiten thematisieren die Integration von IT-RM und ERM bislang nur selten [Ju05] und es fehlen fundierte Gestaltungsempfehlungen bezüglich der Integration. Diese sind nötig, damit im ERM aussagekräftige Informationen zu wesentlichen IT-Risiken vorhanden sind und das ERM ein zutreffendes Bild der Gesamtrisikosituation vermitteln kann.
Der Artikel thematisiert die Integration von IT-RM und ERM auf Ebene der Begrifflich- keiten (Konzeptebene). Die Forschungsfrage lautet:„Welche Konzepte des ERM sind für die Gestaltung des IT-RM grundlegend, damit es dem ERM aussagekräftige und rele- vante Informationen zu kurz-, mittel- und langfristigen IT-Risiken bereitstellen kann?“
2 Forschungsdesign
Das For schungsdesign u mfasst die Ab grenzung d es Untersuchungsobjekts un d d ie Explikation des Vorgehens mit Blick auf die Forschungsfrage [BE06]. Untersuchungs- objekt sin d wissenschaftliche Arb eiten un d Stan dards bzw. No rmen zum ERM. Ein e gute Übersicht find et sich u.a. b ei [W i07]. Au s Praktikabilitätsgründen wird nur ein e Teilmenge de r Gr undgesamtheit bet rachtet. Die bewusste Auswa hl ori entiert sich a n folgender Anforderung:„Die jeweilige Konzeption erfreut sich einer weiten Verbreitung bzw. hiermit ist aufgrund ihres Status zukünftig zu rechnen. Sie dient z.B. als Referenz für Prüfungen oder ist Ergebnis der Interpretation gesetzlicher bzw. regulatorischer Anforderungen."Tabelle 1 zeigt die ausgewählten Konzeptionen.
IDW Prüfungsstandard 340 (IDW PS 340) – Die Prüfung des
Risikofrüherkennungssystems nach § 317 Abs. 4 HGB September 2000 Deutscher Rechnungslegungs-Standard Nr. 5 (DRS Nr. 5) – Risikoberichterstattung Februar 2010 ISO 31000 - Risk management — Principles and guidelines November 2009 Mindestanforderungen an das Risikomanagement (MaRisk) August 2009
COSO Enterprise Risk Management (COSO ERM) September 2004
Tabelle 1: Übersicht der selektierten Konzeptionen
Die Ext raktion de r für d as IT-RM relevanten Konzepte aus den o .g. N ormen u nd Standards e rfordert di e Deutung i hrer n atürlichsprachigen I nhalte. Um hi erbei die intersubjektive Nach vollziehbarkeit zu gewährleisten , wurde au f Techniken der Grounded Theory zurückgegriffen, eine durch Glaser und Str auss entwickelte Methode für die qualitative Feldforschung [GS67] [BHO08][Ku07]. Sie umfasst u.a. die systemat- ische Auswertung von Textmaterial mit dem Ziel der Theoriebildung. Zentrales Element des For schungsprozesses ist d ie Zu ordnung von Textb estandteilen zu K ategorien (offenes Ko dieren), das Her ausarbeiten de r Beziehungen zwischen di esen Kat egorien (axiales K odieren) u nd di e Verdichtung d er Kat egorien zu Ke rnkategorien, a uf deren Grundlage dann die Theorie formuliert wird (selektives Kodieren) [BHO08].
Die Aktivitäten beschränkten sich auf die Phase des offenen Kodierens: Es wurden die Inhalte der Untersuchungsobjekte analysiert, anschließend die relevanten ERM-Konzep- te extrahiert und zu Kategorien verdichtet (z.B. "Risikotragfähigkeit"). Die Kategorien wurden dann in A nforderungen überführt, um ei ne Eva luierung be stehender IT -RM- Ontologien hinsichtlich der Vo llständigkeit d er berücksichtigten Ko nzepte zu ermöglichen. Ontologien stellen formale, explizite Modelle der von mehreren Individuen geteilten Sich t au f ein e bestimmte Do mäne (z.B. d as IT-RM) d ar [Gr93 ] [Us96 ]. Sie eignen sich besonders für die Analyse und Integration von Systemen auf Konzeptebene, da sie die Semantik der Konzepte einer Domäne eindeutig definieren. Die Evaluierung wird in Kapitel 4 beispielhaft für eine IT-RM-Ontologie vorgenommen.
3 Relevante Konzepte für die Integration von ERM und IT-RM
Tabelle 2 stellt die extrahierten Konzepte für die Integration von ERM und IT-RM dar.
Nachfolgend wird die Relevanz der Konzepte begründet.
(1):Gan zheitliche ERM-Ansätze, wie ISO 31 000 od er COSO ERM, b asieren au f einem spek ulativen R isikoverständnis, de mgemäß unt er dem R isikobegriff so wohl Chancen (p ositive Ab weichungen) als au ch Gefah ren (negative Abweichun gen) subsumiert werden. Entsprechende Informationen müssen von den ERM-Subsystemen, wie d em IT-RM (z.B. wesentliche Ch ancen und Gefahren n euer Technologien), bereitgestellt werd en. Kon zept (1) sorg t für ein e au sgeglichene Betrach tung des IT- Einsatzes (Chancen/Gefahren) und die Verfügbarkeit dieser Informationen für das ERM.
ERM-Konzept ERM-Quellen Abgeleitete Anforderung an das IT-RM (1) Spekulatives
Risikoverständnis ISO 31000,
COSO ERM Das IT-RM soll sowohl positive als auch negative Konsequenzen von IT-Risiken betrachten und dem ERM hierüber Informationen bereitstellen.
(2) Ganzheitlicher
Organisationsfokus IDW PS 340, ISO 31000, COSO ERM
Das IT-RM soll sämtliche betrieblichen Prozesse und Funktionsbereiche (einschließlich aller Hiearchiestufen und Stabsfunktionen), Strategien, Projekte, Produkte, Services und Vermögenswerte eines Unternehmens darauf untersuchen, ob und in welchem Umfang Risiken aus dem gegenwärtigen oder zukünftigen Einsatz von IT bestehen.
(3) Berücksichti- gung von Wechsel- wirkungen
IDW PS 340, DRS 05, MaRisk, COSO ERM
Das IT-RM soll Wechselwirkungen zwischen IT-Risiken untereinander und bzgl.
anderer Risikoarten betrachten. Es soll Auskunft darüber geben, ob IT-Risiken im Zusammenspiel mit anderen Risiken zu einer Bestandsgefährdung führen können.
(4) Zielbezogene
Risikobetrachtung IDW PS 340, DRS 05, ISO 31000, COSO ERM
Das IT-RM soll die möglichen kurz-, mittel- und langfristigen Konsequenzen der erkannten IT-Risiken für das Unternehmen bzw. für dessen Ziele aufzeigen.
(5) Risikotragfähig-
keit MaRisk Das IT-RM soll gewährleisten, dass die wesentlichen IT-Risiken, ggf. unter Berücksichtigung von Wechselwirkungen, laufend durch die vorhandenen Risiko- deckungsmassen des Unternehmens, also das zur Abfederung schlagend werdender Risiken verfügbare Kapital, gedeckt sind und somit die Risikotragfähigkeit jederzeit gegeben ist.
(6) Klare Verant-
wortlichkeiten IDW PS 340, ISO 31000, COSO ERM
Das IT-RM soll klar festlegen, wer im Unternehmen für die Durchführung von RM-Aktivitäten und für einzelne IT-Risikofelder bzw. IT-Einzelrisiken, einschließlich der Risikobewältigung, verantwortlich ist und diesbezüglich welche Kompetenzen besitzt.
(7) Szenario- betrachtung / Stresstests
ISO 31000,
MaRisk Das IT-RM soll im Rahmen der Risikobewertung verschiedene Szenarien betrachten und Sensitivitäten zu den Einschätzungen angeben, um die Bandbreite an möglichen Konsequenzen sowie die Unsicherheit der Einschätzungen transparent zu machen.
(8) Einheitliche, geschäftsorientierte Bewertungskriterien
ISO 31000 Die Bewertungen im IT-RM sollen unter Verwendung einheitlicher Kriterien erfolgen, die sich an den unternehmerischen Zielen und weiteren relevanten Kontextfaktoren ausrichten (z.B. Risikoneigung, Risikotragfähigkeit). Die Kriterien sollen eine angemessene Priorisierung der Risiken ermöglichen.
Tabelle 2: Relevante Konzepte für die Integration von IT-RM und ERM
(2), (4) und (8):Das ERM m uss alle wesentlichen Chancen und Gefahren aufzeigen, die Einfluss auf die kurz-, mittel- oder l angfristige Zielerreichung des Gesamtunterneh- mens haben können. Die Konzepte (2), (4) und (8) gewährleisten, dass sich das IT-RM an den Unternehmenszielen ausrichtet, Chancen und Gefahren der IT-Nutzung auf Basis einheitlicher Kriterien beurteilt und alle releva nten Unt ernehmensteile einbezieht. Ei n mittel- b is la ngfristiger Zeith orizont ist notwendig, weil w esentliche Ch ancen und Gefahren d es IT-Ei nsatzes mit st rategischen Ent scheidungen (z .B. Ge staltung der I T- Architektur) bzw. Umweltveränderungen (z.B. neue Technologien) einhergehen können.
(3) und (5): Die aktuelle W irtschaftskrise hat g ezeigt, dass eine isolierte Betrachtung von Ei nzelrisiken häufig z u kei ner a däquaten Ei nschätzung de r t atsächlichen R isiko- situation führt [HO08], denn es bl eiben Wechselwirkungen zwischen den Einzelrisiken unberücksichtigt, o bwohl si e ei ne Verä nderung des Gesamtrisikos zu r Fol ge ha ben können [HO08]. Standards (bspw. IDW PS 340 und DRS 5) empfehlen die Berücksichti-
gung von Wechselwirkungen bei der Aggregation von Einzelrisiken. Die aggregierten Risiken sollen den im Unternehmen vorhandenen Deckungsmassen (z.B. Eigenkapital) gegenübergestellt werden, um Transparenz über die Risikotragfähigkeit zu schaffen. Für Finanzinstitute ist dies gemäß MaRisk verpflichtend. Im IT-RM stellen die Konzepte (3) und (5) sicher, dass Wechselwirkungen zwischen IT-Risiken berücksichtigt und Steuerungsentscheidungen mit Blick auf die Risikotragfähigkeit getroffen werden.
(6): Ein wirksames ERM erfordert die Definition von Verantwortlichkeiten und Kompetenzen bzgl. der Erhebung, Analyse, Bewertung, Steuerung, Kommunikation und Überwachung der Risiken im Gesamtunternehmen bzw. in seinen Teilen. Konzept (6) soll gewährleisten, dass im Rahmen des IT-RM ebenfalls Verantwortlichkeiten und Kompetenzen klar geregelt und dem ERM hierüber Informationen bereitgestellt werden.
(7): Je weiter in die Zukunft geblickt wird, desto größer ist die Unsicherheit bzgl. des Eintretens oder Ausbleibens von Ereignissen. Das ERM trägt diesem Umstand Rech- nung, indem verschiedene Szenarien betrachtet werden (z.B. Best-Case, Worst-Case).
Hierdurch soll verhindert werden, dass das Unternehmen von zukünftigen Entwick- lungen überrascht wird. Konzept (7) etabliert die Szenariobetrachtung im IT-RM, so dass verschiedene mögliche Entwicklungen bei der Bewertung berücksichtigt werden.
4 Berücksichtigung der Konzepte in bestehenden IT-RM-Ontologien
In den letzten Jahren sind verschiedene Ontologien mit Relevanz für die Domäne IT-RM entwickelt worden, wobei zumeist das IT-Sicherheitsmanagement im Mittelpunkt stand (siehe [Bl08] für einen Überblick). Es mangelt an Ontologien, die der Vielschichtigkeit der IT-Risiken sowie der Integrationsnotwendigkeit mit dem ERM adäquat Rechnung tragen. Tabelle 3 zeigt unter Berücksichtigung der ERM-Konzepte aus Kapitel 3 bestehende Defizite verfügbarer Ontologien am Beispiel der Security-Ontologie von [FE09] auf. [FE09] wurde gewählt, da sie Grundlage zahlreicher Veröffentlichungen war und praktisch erprobt ist. Abbildung 1 stellt die Kernelemente der Ontologie dar.
Abbildung 1: Kernkonzepte und -beziehungen der Ontologie von [FE09]
Konzept und IT-RM-Anforderung Berücksichtigt in der Ontologie von [FE09]
(1) Spekulatives Risikoverständnis: Das IT-RM soll sowohl positive als auch negative Konsequenzen von IT-Risiken betrachten und dem ERM hierüber Informationen bereitstellen.
Nein.Die Ontologie umfasst keine Konzepte zur Abbildung der positiven Konsequenzen von IT- Risiken
(2) Ganzheitlicher Organisationsfokus: Das IT-RM soll sämtliche betrieblichen Prozesse und Funktionsbereiche, Strategien, Projekte, Produkte, Services und Vermögenswerte eines Unternehmens darauf untersuchen, ob und in welchem Umfang Risiken aus dem gegenwärtigen oder zukünftigen Einsatz von IT bestehen.
Teilweise.Die Ontologie beinhaltet das Konzept
"Organization" auf oberster Ebene. Eine Verfeinerung nach Prozessen, Funktions- bereichen, Projekten, Produkten, etc. ist möglich, aber bislang nicht umgesetzt.
(3) Berücksichtigung von Wechselwirkungen: Das IT-RM soll Wechsel- wirkungen zwischen IT-Risiken untereinander und bzgl. anderer Risiko- arten betrachten. Es soll Auskunft geben, ob IT-Risiken im Zusammen- spiel mit anderen Risiken zu einer Bestandsgefährdung führen können.
Ja.Die Beziehungen zwischen Bedrohungen ("Threats") können mit Hilfe des Konzepts
"Interrelations" abgebildet werden (kein Kernkonzept, daher nicht in Abb. 1 enthalten).
(4) Zielbezogene Risikobetrachtung: Das IT-RM soll die möglichen kurz- , mittel- und langfristigen Konsequenzen der erkannten IT-Risiken für das Unternehmen bzw. für dessen Ziele aufzeigen.
Teilweise.Bedrohungen werden mit den klassischen Schutzzielen verbunden (z.B.
Verfügbarkeit, Vertraulichkeit, Integrität). Eine Verknüpfung mit geschäftlichen Zielen (z.B.
Umsatz, Compliance) wird nicht thematisiert.
(5) Risikotragfähigkeit: Das IT-RM soll gewährleisten, dass die wesentlichen IT-Risiken, ggf. unter Berücksichtigung von Wechsel- wirkungen, laufend durch die vorhandenen Risikodeckungsmassen des Unternehmens gedeckt sind und so die Risikotragfähigkeit gegeben ist.
Nein.Das Konzept ist in der Security Ontologie nicht berücksichtigt.
(6) Klare Verantwortlichkeiten: Das IT-RM soll klar festlegen, wer im Unternehmen für die Durchführung von RM-Aktivitäten und für einzelne IT-Risikofelder bzw. IT-Einzelrisiken, einschließlich der
Risikobewältigung, verantwortlich ist und welche Kompetenzen besitzt.
Nein.Das Konzept ist in der Security Ontologie nicht berücksichtigt.
(7) Szenariobetrachtung / Stresstests: Das IT-RM soll im Rahmen der Risikobewertung verschiedene Szenarien betrachten und Sensitivitäten zu den Einschätzungen angeben, um die Bandbreite an mögliche Konse- quenzen und die Unsicherheit der Einschätzungen transparent zu machen.
Nein.Das Konzept ist in der Security Ontologie nicht berücksichtigt.
(8) Einheitliche, geschäftsorientierte Bewertungskriterien: Die Bewertungen im IT-RM sollen unter Verwendung einheitlicher Kriterien erfolgen, die sich an den unternehmerischen Zielen und weiteren relevanten Kontextfaktoren ausrichten (z.B. Risikoneigung, Risikotrag- fähigkeit). Die Kriterien sollen eine angemessene Priorisierung der Risiken ermöglichen.
Teilweise.Die Ontologie sieht eine einfache Bewertung von Bedrohungen und Maßnahmen- Effekten mittels Likert-Skala (hoch, mittel, gering) vor. Eine quantitative oder semi-quali- tative Bewertung wird ebenso wenig thematisiert wie relevante Kontextfaktoren der Beurteilung (z.B. Zeithorizont, Risikoneigung).
Tabelle 3: Evaluierung der Security-Ontologie von [FE09]
Die Evaluierung zeigt, dass viele ERM-Konzepte nur unzureichend in der Ontologie von [FE09] berücksichtigt sind. Für ein ganzheitliches, geschäftsorientiertes und integriertes IT-RM wäre somit eine Weiterentwicklung erforderlich. Angesichts des wachsenden Kostendrucks und der zunehmend engeren Verzahnung von Geschäftsmodellen, Abläufen und IT ist zu erwarten, dass einem ganzheitlichen, geschäftsorientierten und integrierten IT-RM eine immer gewichtigere Rolle zukommen wird. Auch die ISACA unterstreicht diese Einschätzung mit dem jüngst veröffentlichten "Risk IT"-Referenz- modell, das eine ganzheitliche Betrachtung von Chancen und Gefahren der IT fordert und der Integration von IT-RM und ERM einen eigenen Prozess widmet [Is09].
5 Limitationen der Analyse und Ausblick
In diesem Artikel wurden relevante Konzepte für die Integration von ERM und IT-RM herausgearbeitet. Ihre Berücksichtigung in IT-RM-Ontologien und IT-RM-Ansätzen soll gewährleisten, dass dem ERM aussagekräftigere Informationen zu relevanten IT-Risiken bereitgestellt werden. Wichtige Limitationen stellen einerseits die Beschränkung auf ein- zelne ausgewählte Standards und Normen dar, andererseits die subjektive Beurteilung der Relevanz der Konzepte. Durch Offenlegung des Auswahlkriteriums und der Begrün- dungen für die Relevanz wurde versucht, die Nachvollziehbarkeit zu erhöhen. Eine weitere Limitation besteht darin, dass die Analyse nur an einem als repräsentativ erach-
teten Beispiel diskutiert wurde. Eine Analyse weiterer Ontologien zur Fundierung soll erfolgen. Weitere Forschungsaktivitäten zielen auf die Konstruktion einer Ontologie für das geschäftsorientierte, ganzheitliche und integrierte IT-RM. Bestehende Security- Ontologien sowie "Risk IT" der ISACA sollen als Ausgangspunkt dienen. Bislang mangelt es innerhalb der Domäne des IT-RM an entsprechenden Ontologien, die der Vielschichtigkeit der IT-Risiken angemessen Rechnung tragen, nicht nur auf einzelne Teilaspekte fokussieren und die Integration mit dem ERM unterstützen.
Literaturverzeichnis
[BE06] Braun, R.; Esswein, W.: Eine Methode zur Konzeption von Forschungsdesigns in der konzeptuellen Modellierungsforschung. In (Schelp, J. et. al. Hrsg.): Integration, Informationslogistik und Architektur, Proc. DW2006. Bonn, 2006; S. 143-171.
[BHO08]Brühl, R.; Horch, N.; Orth, M.: Grounded Theory und ihre bisherige Anwendung in der empirischen Controlling- und Rechnungswesenforschung. In: Zeitschrift für Planung &
Unternehmenssteuerung, 19. Jg., Heft 3, 2008; S. 299-323.
[Bl08] Blanco, C. et. al.: A systematic Review and Comparison of Security Ontologies. In:
Proceedings of the 2008 Third International Conference on Availability, Reliability and Security (ARES). IEEE Computer Society, Barcelona, Spain, 2008; S. 813-820.
[FE09] Fenz, S.; Ekelhart, A.: Formalizing Information Security Knowledge. In: Proceedings of the 4th ACM Symposium on Information, Computer, and Communications Security (ASIACCS); ACM, Sydney, Australia, 2009; S. 183-194.
[Gr93] Gruber, T. R.: A translation approach to portable ontology specifications. In: Knowledge Acquisition, Jg. 5, Heft 2, 1993; S. 199-220.
[GS67] Glaser, B. G.; Strauss, A. L.: The Discovery of Grounded Theory: Strategies for Qualitative Research. Aldine Pub. Co, Chicago, 1967.
[HO08] Hempel, M.; Offerhaus, J.: Risikoaggregation als wichtiger Aspekt des Risikomanagements. In (Deutsche Gesellschaft für Risikomanagement e.V. Hrsg):
Risikoaggregation in der Praxis – Beispiele und Verfahren aus dem Risikomanagement von Unternehmen, Springer, Berlin, Heidelberg, 2008; S. 3 – 13.
[Is09] ISACA (Hrsg.): The Risk IT Framework. ISACA, Rolling Meadows, 2009.
[IDW00] Institut der Wirtschaftsprüfer (IDW): IDW Prüfungsstandard: Die Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB (IDW PS 340) (Stand:
11.09.2000). In: IDW-Fachnachrichten, 1999, Nr. 8, S. 350-357.
[JK01] Junginger, M.; Krcmar, H.: IT Risk Management – Fit für E-Business?. In (Buhl, H. U.;
Huther, A.; Reiwieser, B. Hrsg.): Information Age Economy; 5. Internationale Tagung Wirtschaftsinformatik, Heidelberg, 2001. Physica-Verlag, Heidelberg, 2001.
[JK04] Junginger, M.; Krcmar, H.: Wahrnehmung und Steuerung von Risiken im Informationsmanagement – Eine Befragung deutscher IT-Führungskräfte. Studie, Lehrstuhl für Wirtschaftsinformatik, Technische Universität München, Garching, 2004.
[Ju05] Junginger, M.: Wertorientierte Steuerung von Risiken im Informationsmanagement.
DUV/GWV, Wiesbaden, 2005.
[Ku07] Kuckartz, U.: Einführung in die computergestützte Analyse qualitativer Daten.2., aktualisierte und erweiterte Auflage. VS/GWV, Wiesbaden, 2007.
[Pr08] Prokein, O.: IT-Risikomanagement – Identifikation, Quantifizierung und wirtschaftliche Steuerung. Gabler, Wiesbaden, 2008.
[Us96] Uschold, M.: Building Ontologies: Towards a unified methodology.In: Proceedings of the 16thAnnual Conference of the British Society Specialist Group on Expert Systems, Cambridge, 1996.
[Wi07] Winter, P.: Risikocontrolling in Nicht-Finanzunternehmen. Lohmar-Köln, 2007.
