Als Prüfer, Berater und Ausbildner beschäftige ich mich immer wieder mit unterschiedlichsten Hypes im IT-Umfeld: von Ransomware über den «neuen« internationalen Audit Standard ISA315 bis zum aktuell veröffentlichten Entwurf des FINMA-Rundschreibens zu den operationellen Risiken – die Breite der Fragestellungen in den Führungsetagen ist immens. «Alle» reduzieren die immer wiederkehrenden Sicherheitsprobleme mit der neuesten Version des ISO27002, verbessern die Basissicherheit mit dem BSI-Grundschutz, härten die Netzwerke mit den NCSC/NIST-Sicherheitsmassnahmen, lösen die Service-Probleme mit dem 4-Dimensionen-Modell von ITIL 4, verwenden OpenPM für Projektrisikomanagement und die EU-Wistleblower-Richtlinie zur Lösung des Management Override, das Compliance-Tool XYZ für die Umsetzung des aktualisierten Datenschutzgesetzes, …
Oder mit anderen Worten: Wir verwenden für bald jedes Thema eine eigene Methode (ein Managementsystem) – allenfalls auch in Kombination mit einem spezifischen Massnahmenbündel. Das folgende Beispiel soll dies illustrieren:
1. Wir haben ein Informationssicherheitsmanagementsystem (ISMS) nach ISO27001 mit den entsprechenden Massnahmen implementiert und damit die Sicherheit im Griff.
2. Wir haben ein Servicemanagementsystem nach ITIL/ISO20000 und damit die IT-Dienstleistungen im Griff.
3. Wir haben ein Risikomanagementsystem nach COSO ERM sowie ISO31000 und damit alle IT-Risiken auf das akzeptierte Restrisiko reduziert.
Alle drei in diesem Beispiel aufgeführten Managementsysteme kümmern sich unter anderem auch um die Kontinuität (Verfügbarkeit) der Dienstleistungen – aber typischerweise mit unterschiedlichen Methoden, Schwerpunkten usw.
Das grosse «Problem» dabei ist, dass die verantwortlichen Stellen, also Verwaltungsrat, Geschäftsleitung, Abteilungsleiter usw. das Gefühl bekommen, das Unternehmen würde unglaublich viel für Qualität, Sicherheit, Compliance usw. investieren und damit schon fast Perfektionismus betreiben. In Realität bleiben die Ergebnisse dieser Managementsysteme oft deutlich unter den Erwartungen – die Qualität sinkt deutlich ab, die Sicherheit reicht nicht gegen einen simplen Trojaner, der Persönlichkeitsschutz wird auch einfachsten echten Anwendungsfällen nicht gerecht, …
Dies hat aus meiner persönlichen Optik primär die beiden folgenden Ursachen:
- Verwaltungsrat, Geschäftsleitung und leider auch zentrale Abteilungsleiter haben eine typische Aufmerksamkeitsspanne von maximal einem Quartal (oder deutlich darunter). Echte Verbesserungen benötigen unabhängig vom Thema meist deutlich länger, bis das entsprechende Managementsystem definiert, implementiert und ausreichend wirksam betrieben werden kann. Wie sollen wir aber mehrjährige Verbesserungsprojekte vorwärtsbringen, wenn schon nach wenigen Wochen das Interesse der internen Sponsoren erloschen ist?
- Die meisten der erwähnten Themen wie Informations-/IT-Sicherheit, Risikomanagement, Qualitätsmanagement, Projektmanagement, Compliance usw. werden als Spezialdisziplin und praktisch vollständig voneinander isoliert betrieben. Auch wenn im besten Fall einzelne Disziplinen gut gemanagt werden, sind doch gesamtheitlich die Ressourcen nicht optimal eingesetzt – ja sie werden allenfalls sogar durch die zahlreichen und unkoordinierten Überlappungen und Redundanzen verschleudert.
Die Lösung ist so einfach, dass sie von den meisten Verantwortlichen als trivial beurteilt und negiert wird: Die verantwortlichen Personen oder Funktionen müssen sich einfach besser um ihre «Themen» kümmern und besser miteinander abstimmen – es benötigt neben den verschiedenen Managementprozessen auch ein unternehmensweites Governance. Gemäss COBIT 2019 wird dadurch sichergestellt, dass:
- die Bedürfnisse der Stakeholder, die Rahmenbedingungen und die verschiedenen Optionen zur Fällung gut ausbalancierte Entscheidungen evaluiert werden;
- die Stossrichtung durch Priorisierung und Entscheidungsfindung bestimmt wird;
- die Leistung und Einhaltung von Vorgaben im Vergleich zur vereinbarten Richtung und den Zielen überwacht werden.
Governance bedeutet demnach die strategische Führung, die konkrete Beauftragung von (Veränderungs-)Projekten, die konsequente Überwachung der Zielerreichung und natürlich die Beobachtung wie Behandlung der zahlreichen Unternehmensrisiken – sie stellt damit sicher, dass alle wesentlichen Problemfelder im Unternehmen gut aufeinander abgestimmt und ausreichend gut gelöst werden. Zentral ist, dass alle diese Themen miteinander koordiniert werden, um unnötige Redundanzen und Löcher zu vermeiden.
Governance garantiert keinen Schutz gegen die im separaten Kasten aufgeführten typischen Managementfehlern. Aber wenn Verwaltungsrat, Geschäftsleitung und die Abteilungsverantwortlichen die Ziele für alle Managementsystem klar vorgeben, die Zielerreichung regelmässig sowie gut überwachen und bei grösseren Abweichungen auch die notwendigen Korrekturmassnahmen einleiten, werden die verschiedenen Managementsysteme (fast) alle Risiken wirksam und wirtschaftlich reduzieren und damit den Geschäftserfolg weitgehend sicherstellen. Es ist also ganz einfach: Man sorgt als Verwaltungsrat, Geschäftsleitung oder oberes Management dafür, dass sich die verantwortlichen Stellen wie Compliance, Risikomanagement, Sicherheitsmanagement, IT-Management usw. tatsächlich um ihre zugewiesenen Aufgaben kümmern. Governance in diesem Sinne heisst, Verantwortlichkeiten klar zuzuweisen und dann auch zu verifizieren, ob diese wahrgenommen werden. Mit «Helikopter-Management» funktioniert das aber nicht – Governance bedingt, dass diese Stellen häufig genug, immer wieder und über mehrere Jahre hinweg diese Steuerungsaufgabe wahrnehmen.
Interessiert? Verschaffen Sie sich einen Einblick in das neue COBIT 2019 Core Model (gratis bei www.isaca.org herunterladbar). Und informieren Sie sich über das CGEIT-Berufsbild (Certified in the Governance of Enterprise IT), das Themen wie IT-Governance, strategisches Management, Nutzen- und Risikooptimierung sowie Ressourcen-Optimierung umfassend behandelt.
Typische Managementfehler
- Wir neigen dazu, zu glauben, die Dinge seien besser als sie sind.
- Wir nehmen an, potenzielle Probleme würde nicht wirklich eintreten oder ihre Auswirkungen wären nicht schwerwiegend genug, um vorbeugende Massnahmen zu treffen.
- Wir überbewerten Indizien, die unser vorgefasstes Urteil unterstützen, und ignorieren Hinweise, die dieses Vorurteil infrage stellen.
- Wir achten zu wenig auf unser Umfeld. Deshalb übersehen wir vermeidbare Überraschungen, die von den Entscheidungen anderer Beteiligter ausgelöst werden.
- Wir sind Geschöpfe der Gegenwart. Wir versuchen, den Status quo zu erhalten und unterschätzen die Bedeutung der Zukunft; dies untergräbt unsere Motivation und unseren Mut, jetzt zu handeln, um eine Katastrophe in Zukunft zu verhindern.
- Die meisten Menschen fühlen sich nicht bemüssigt, einem Problem zuvorzukommen, das sie nicht persönlich erlebt haben oder das nicht durch Bilder oder andere anschauliche Information real geworden ist.
Quelle: Bazermann, Harvard Business Review; gesehen bei Pielen, IT Risk Management Forum 2007, Köln
Der Autor
Peter R. Bitterli, Bprex Group AG; CISA, CISM, CGEIT, CRISC, CDPSE