Risikomanagement - alles andere als risikolos !
Von Peter R. Bitterli
Artikel erschienen in Swiss IT Magazine 2013/06
Artikel erschienen in Swiss IT Magazine 2013/06
Sind Ihnen die vielen Artikel über Risikomanagement schon mal aufgefallen? Haben Sie aber auch realisiert, dass diese zwar grundsätzlich mehr oder weniger dieselben Prozessschritte aufzeigen und erläutern, aber oft höchst unterschiedliche Anwendungsschwerpunkte haben? Da gibt es Risikomanagement aus Optik von Compliance (Einhaltung von Gesetzen, regulatorischen Auflagen oder Verträgen), operationelles Risikomanagement oder z.B. das Management von Kredit-, Markt- oder strategischen Risiken. Und – last but not least – gibt es noch Informationssicherheits-Risikomanagement oder auch IT-Risikomanagement.
Damit Risikomanagement wirklich funktioniert, benötigt das Unternehmen gemäss einer Untersuchung der KPMG (Risikomanagement und Solvency II bei Versicherungsunternehmen) über entsprechend qualifizierte Mitarbeiter im Kernteam, eine offene Risikokultur und eine entsprechend offene Kommunikation über Risiken sowie ausreichende Kapazität und Knowhow zur Umsetzung der notwendigen Massnahmen. Darüber hinaus sind klar definierte Verantwortlichkeiten für Risikomanagement von zentraler Bedeutung – betrachtet man jetzt nochmals die Abbildung 1, so kommen leise Zweifel auf, ob dieser wichtige Punkt in einem durchschnittlichen Unternehmen auch erfüllt ist.
Damit Risikomanagement wirklich funktioniert, benötigt das Unternehmen gemäss einer Untersuchung der KPMG (Risikomanagement und Solvency II bei Versicherungsunternehmen) über entsprechend qualifizierte Mitarbeiter im Kernteam, eine offene Risikokultur und eine entsprechend offene Kommunikation über Risiken sowie ausreichende Kapazität und Knowhow zur Umsetzung der notwendigen Massnahmen. Darüber hinaus sind klar definierte Verantwortlichkeiten für Risikomanagement von zentraler Bedeutung – betrachtet man jetzt nochmals die Abbildung 1, so kommen leise Zweifel auf, ob dieser wichtige Punkt in einem durchschnittlichen Unternehmen auch erfüllt ist.
Abb. 1: Verschiedene verwandte Themen, die alle ein eigenes Risikomanagement betreiben. (Quelle: ITACS Training AG)
Abb. 2: Gruppierung ähnlicher Themen innerhalb eines übergeordneten Risikomanagement. (Quelle: ITACS Training AG)
Ein ebenfalls wichtige Frage ist die Festlegung der «richtigen» Risikomanagementmethode: Soll es AS/NZS 4360:2004, ONR 4900x, ISO31000 oder vielleicht die praktisch identische Norm ISO27005 sein, vielleicht das sehr hilfreiche Risk IT oder eventuell die absolut interessante Neuerscheinung COBIT 5 for Risk? Für wirklich grosse resp. börsenkotierte Unternehmen gibt es wahrscheinlich keinen Weg vorbei an COSO ERM, das sich – obwohl z.B. in der Informatik de facto unbrauchbar – als de facto Standard etabliert hat.
Fragen über Fragen – haben Sie noch immer das Gefühl, dass Ihr Unternehmen dieses Thema wirklich im Griff hat? Dann lassen Sie mich noch einen letzten Einwand aus der Praxis einbringen: Nehmen wir einmal an, Ihr Unternehmen betreibt ein nahezu perfektes Risikomanagement und hat auch die Organisation themenbezogen gruppiert (siehe Abb. 2): Wie kombinieren Sie die so unterschiedliche Betrachtung des Enterprise Risk Management (Zitat: «Ich fokussiere mich einzig auf die Top-10 Liste der operationellen Risiken») mit den Hunderten wenn nicht Tausenden von einzelnen Risiken z.B. im Bereich der IT- und Informationssicherheit oder den applikatorischen Risiken und Kontrollen innerhalb der verschiedenen Geschäftsanwendungen?
Nun – jeder Narr kann eine Frage stellen, auf die selbst der weiseste Mensch keine Antwort hat. Ich suche hier jedoch keinesfalls die perfekte Antwort sondern einfach die Erkenntnis der Leser, dass sie sich einmal etwas mehr mit diesem Thema auseinander setzen sollten. Wer das systematisch und im Rahmen einer internationalen Zertifikatsausbildung einmal tun möchte, der sei hier auf das Angebot des ISACA Switzerland Chapter hingewiesen (siehe Kasten), das einen berufsbegleitenden Kurs zu IKS und Risikomanagement anbietet, der auf die internationale CRISC-Prüfung vorbereitet.
Fragen über Fragen – haben Sie noch immer das Gefühl, dass Ihr Unternehmen dieses Thema wirklich im Griff hat? Dann lassen Sie mich noch einen letzten Einwand aus der Praxis einbringen: Nehmen wir einmal an, Ihr Unternehmen betreibt ein nahezu perfektes Risikomanagement und hat auch die Organisation themenbezogen gruppiert (siehe Abb. 2): Wie kombinieren Sie die so unterschiedliche Betrachtung des Enterprise Risk Management (Zitat: «Ich fokussiere mich einzig auf die Top-10 Liste der operationellen Risiken») mit den Hunderten wenn nicht Tausenden von einzelnen Risiken z.B. im Bereich der IT- und Informationssicherheit oder den applikatorischen Risiken und Kontrollen innerhalb der verschiedenen Geschäftsanwendungen?
Nun – jeder Narr kann eine Frage stellen, auf die selbst der weiseste Mensch keine Antwort hat. Ich suche hier jedoch keinesfalls die perfekte Antwort sondern einfach die Erkenntnis der Leser, dass sie sich einmal etwas mehr mit diesem Thema auseinander setzen sollten. Wer das systematisch und im Rahmen einer internationalen Zertifikatsausbildung einmal tun möchte, der sei hier auf das Angebot des ISACA Switzerland Chapter hingewiesen (siehe Kasten), das einen berufsbegleitenden Kurs zu IKS und Risikomanagement anbietet, der auf die internationale CRISC-Prüfung vorbereitet.
Artikel kommentieren
