Die Finanzturbulenzen der vergangenen Monate haben deutlich gemacht, dass Risikomanagement eine der zentralen Herausforderungen für Unternehmen ist. Das gilt aber nicht nur für operationale Risiken, sondern auch für IT-Risiken. Wie eng diese zusammenhängen, hat der Fall der Societé Generale deutlich gemacht. Risikomanagement hat aber nicht nur mit Selbstschutz zu tun, sondern kann auch zu mehr Effizienz im Management führen.
Die Forderung nach einem angemessenen Risikomanagement ist nicht neu, sondern findet sich schon seit Jahrzehnten sowohl im Aktiengesellschafts- als auch im GmbH-Recht. Unklar ist aber – auch heute – wie genau das auszufüllen ist. Man kann aber sicher davon ausgehen, dass der Begriff „ angemessen“ zukünftig deutlich enger ausgelegt werden wird als das bisher der Fall war.
Bei den Softwarelösungen für das Risk Management finden sich neben spezifischen Lösungen für das Management operationaler Risiken in bestimmten Branchen wie der Finanzindustrie zwei wesentliche Gruppen von Tools:
- Solche für das operational ausgerichtete Enterprise Risk Management
- und solche für das IT Risk Management.
Beim IT Risk Management geht es dabei vor allem um das Management von Autorisierungen und die Umsetzung von SoD-Regeln (Segregation of Duties). Mit letzteren soll verhindert werden, dass jemand sich gegenseitig ausschließende Geschäftsvorfälle wie beispielsweise einerseits den Handel mit Wertpapieren und andererseits die Kontrolle des Handels durchführen darf.
Daran wird deutlich, dass das IT Risk Management sehr eng mit dem Management operationaler Risiken verbunden ist. Insofern unterstützen viele Lösungen für Identity und Access Management (IAM) sowie GRC (Governance, Risk Management, Compliance) auch beim Risikomanagement.
Ein Risikomanagement im engeren Sinne setzt allerdings noch weitergehende Funktionen voraus. Risiken müssen explizit beschrieben, bewertet, überwacht und gegebenenfalls adressiert werden. Solche Funktionen bieten bisher nur wenige der IAM- und GRC-Lösungen explizit an.
Und manche der Implementierungen sehen zwar gut aus, weil sie Risiken in numerischen Werten ausdrücken – aber wirklich gelöst wird das Thema damit nicht. Das Problem ist, dass die eigentlichen Kernaufgaben des Risikomanagements wie die Beschreibung von Risiken und die Definition von Maßnahmen durch solche Ansätze meist übersimplifiziert werden.
Werkzeuge für das IT-Risikomanagement müssen sich auf diese Punkte und auf die Überwachung von Risikoindikatoren – mehr zu diesen KRIs (Key Risk Indicators) folgt in der nächsten Kolumne – konzentrieren. Die Definition und Durchsetzung von SoD-Regeln und die Steuerung von Autorisierungen sind Maßnahmen zur Risikoverringerung oder „risk mitigation“.
Die explizite Analyse und Beschreibung von Risiken und die Definition von Maßnahmen zum Umgang mit den Risiken – vom Nichtstun über die Versicherung bis hin zur Beseitigung der Risiken – ist dabei eine Aufgabe, die die IT (und in der Folge das Unternehmen) deutlich voranbringen kann. Denn einerseits werden in diesem Prozess Schwachstellen identifiziert und beseitigt. Zum anderen hat ein kontinuierlicher Ansatz für das Risikomanagement zur Folge, dass man sich beim Management auf die Aspekte konzentrieren kann, die gerade kritisch sind oder die kritisch werden könnten.
Risk Management ist also nicht nur ein Muss und damit ein negativer Treiber, sondern kann als kontinuierlicher Prozess einen erheblichen Wertbeitrag durch die Optimierung und durch ein gezielteres Management schaffen. IT Risk Management muss daher auf die Tagesordnung von Unternehmen – nicht nur wegen der Finanzkrise, sondern als strategische Initiative.