Risikomanagement

Wie die IT Risiken minimieren kann

Das systematische Management der immer unübersichtlicher werdenden Unternehmensrisiken nimmt an Wichtigkeit zu. Die IT spielt dabei eine tragende Rolle - auch was ihre eigenen Risiken betrifft.

Die Verwerfungen in der jüngeren Vergangenheit, zum Beispiel die Staatsschuldenkrise oder der Tsunami in Japan, haben gezeigt, wie schnell die Existenz eines Unternehmens durch unerwartete Ereignisse bedroht sein kann. Der IT kommt bei der Bewältigung von Risiken eine Doppelrolle zu: Zum einen ist sie selbst "Risikoverursacher". In dieser Rolle muss sie - wie alle anderen Fachbereiche auch - ihre Risiken systematisch identifizieren und steuern.

Achtung: IT-Risiken wachsen auch durch vermehrte Nutzung von mobilen Geräten. In Unternehmen sind entsprechende Policies daher unerlässlich.
Achtung: IT-Risiken wachsen auch durch vermehrte Nutzung von mobilen Geräten. In Unternehmen sind entsprechende Policies daher unerlässlich.
Foto: IDC

Zum anderen ist die IT aber auch ein maßgeblicher Teil der Lösung für die Probleme. Denn sie stellt die Datenbasis und die Systeme zur Risikosteuerung bereit. Auch die häufig mit der IT verbundene Organisationsabteilung kann einen signifikanten Beitrag zur Steuerung der operationellen Risiken leisten. Das tut sie, indem sie eine strukturierte Dokumentation der wesentlichen Geschäftsprozesse einerseits sowie des Internen Kontrollsystems (IKS) andererseits sicherstellt.

Die Anforderungen an die Steuerung der Risiken ergeben sich zum Teil aus Vorgaben rechtsformspezifischer Art wie dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). Zum Teil sind sie auch branchenspezifisch, so beim Kreditwesengesetz (KWG). Nicht zuletzt das Bilanzrechtsmodernisierungsgesetz (Bil-MoG) betont ebenfalls die Verpflichtungen des Aufsichtsrats hinsichtlich der Funktionsfähigkeit des internen Kontrollsystems.

Die Kernanforderungen

Alle gesetzlichen Vorgaben umfassen im Kern die folgenden vier zentralen Anforderungen:

  • Die wesentlichen Risiken des Unternehmens sind systematisch zu identifizieren.

  • Die identifizierten Risiken müssen quantifiziert und in verständlicher Form an die Geschäftsleitung berichtet werden.

  • Es sind geeignete Maßnahmen zur Begrenzung und Steuerung der Risiken zu ergreifen.

  • Es muss ein internes Kontrollsystem aufgebaut werden, um Risiken zu vermeiden.

Ein Beispiel sind die Kreditrisiken. Sie entstehen nicht nur in Banken, sondern auch in Industrie-, Handels- und Serviceunternehmen - durch Vorleistungen, die mit Zahlungen am Monatsende beglichen werden (beispielsweise bei Handyverträgen).

Von wachsender Bedeutung sind auch die Risiken in der Supply-Chain. Sie rühren daher, dass Unternehmen ihre Produkte auf Grundlage einer Reihe von Vorleistungen Dritter erstellen, ohne große Lagerbestände zu halten. Wird diese sensible Zulieferkette unterbrochen, kommt es zu erheblichen Produktionsausfällen.

Mit der weiter zunehmenden Bedeutung der IT für geschäftskritische Prozesse des Unternehmens sowie mit der fortschreitenden Digitalisierung ganzer Geschäftsmodelle wird auch die Bedeutung der IT bei der Erfüllung der Risikoanforderungen deutlich zunehmen. Die Anforderungen an das Management von Risiken übersetzt zunächst jeder Fachbereich im Unternehmen für sich selbst - in Zusammenarbeit mit dem Risiko-Controlling.

Manager der eigenen Risiken

Dabei ist die IT quasi ein Fachbereich wie jeder andere auch. Ausgehend von der Kritikalität des zu unterstützenden Geschäftsprozesses und der Schutzanforderungen des Fachbereichs muss sie ihre Risiken identifizieren, unter andere im Sinne von Datensicherheit, Notfallbetrieb oder Betrug.

Häufig bestehen schon Organisationseinheiten zu Datensicherheit und Notfallmanagement in der IT. Diese sind jedoch selten Teil eines durchgängigen Prozesses zur Steuerung der Risiken. Zudem standen im Fokus des internen Kontrollsystems traditionell eher Prozesse, die sicherstellten, dass die Finanzzahlen des Unternehmens korrekt abgebildet wurden. Zunehmend wird das interne Kontrollsystem aber auf die Vermeidung von Risiken ausgerichtet sein. Und dazu zählen auch die IT-Risiken. Hier besteht noch Handlungsbedarf.

Sisyphos-Arbeit für die IT

So muss es beispielsweise eine klar definierte IT-Strategie geben, die das Management der Risiken erst ermöglicht. Die Anforderungen des prozessverantwortlichen Fachbereichs an die IT sollten klar definiert sein; die IT kann nicht einfach nach eigenen Standards vorgehen. Berechtigungen auf IT-Systeme müssen gezielt vergeben und Konflikte bei der Trennung von Verantwortungsbereichen vermieden werden. Das geht so weit, dass sich das Unternehmen auch bei Dienstleistern davon überzeugen muss, dass die vorgegebenen Grundsätze eingehalten werden.

Die Einhaltung der Anforderungen hängt nicht davon ab, ob es sich um eine zentral durch die IT bereitgestellte Anwendung oder um eine aufseiten der Fachbereiche entwickelte Software handelt. Entscheidend ist lediglich die Wichtigkeit des Geschäftsprozesses. Deshalb spielt auch die häufig vorgenommene Klassifizierung in zentrale, organisierte und individuelle Datenverarbeitung keine Rolle.

Unter Letzterer werden beispielsweise die vielen Excel-Sheets verstanden, die sich die Anwender häufig selbst erstellen. Hier kommt der IT eine Sisyphos-Aufgabe zu, da der Bestand dieser Anwendungen häufig nicht transparent ist und Themen wie Zugriffsrechte schwer in den Griff zu bekommen sind.

All diese Anforderungen stehen zunehmend im Fokus der Regulierungsstellen. Im Finanzdienstleistungssektor hat sich die Aufsichtsbehörde BaFin bei ihren Prüfungen mittlerweile auf diese Themen eingeschossen und spezifisches IT-Know-how aufgebaut. Das erzeugt Handlungsbedarf für die Unternehmen, denn die Mindestanforderungen an das Risikomanagement enthalten weitgehende Anforderungen - von der IT-Strategie über Notfallpläne und das interne Kontrollsystem bis zum Outsourcing.

Enabler für die Risikosteuerung

Neben der Steuerung der "eigenen" Risiken kommt der IT auch eine herausragende Bedeutung bei der Steuerung der Risiken anderer Fachbereiche zu. Die Identifikation der Risiken zwischen Fachbereichen und Risiko-Cntrolling geschieht zwar nur sporadisch IT-gestützt. Doch die vollständige Quantifizierung der Risiken setzt interne und externe Daten voraus.

Dazu müssen große Mengen von Daten über die Geschäftsaktivitäten des Unternehmens gesammelt werden. Sofern es sich um einen Konzern handelt, hat die Datenerhebung nicht nur für die einzelnen Konzerngesellschaften, sondern auch auf Gruppenebene zu erfolgen.

Der Geschäftsleitung müssen die Risiken vollständig transparent sein. In vielen Fällen wird daher ein leistungsfähiges Data Warehouse benötigt, das die für eine Quantifizierung der Risikofaktoren notwendigen Daten in der erforderlichen Granularität und Qualität aufnehmen, verarbeiten und konsolidieren kann.