IT-Risikomanagement in Versicherungsunternehmen
Transcrição
IT-Risikomanagement in Versicherungsunternehmen
Fakultät IV – Wirtschaft und Informatik Arbeitspapier / Abteilung Wirtschaft IT-Risikomanagement in Versicherungsunternehmen Michael Wittek und Georg Disterer Arbeitspapier 10-2010 ISSN Nr. 1436-1035 (print) ISSN Nr. 1436-1507 (Internet) www.fh-hannover.de/f4 Fakultät für Wirtschafft und Inform matik Arbeitspa apier 11/2010 0 IT-Ris sikoman nagemen nt in Vers sicherung gsuntern nehmen Michael M Wi ttek und Georg G Disterer Informationstechnologie (IT)) ist ein wesentliche w er Bestanddteil der GeG endig zur E Erfüllung der d schäftssstrategie viieler Unterrnehmen. IT ist notwe Geschä äftsziele un nd bietet P Potentiale zur z Erfolgs ssteigerungg. Allerdings ist der Einsatz E von n IT auch m mit Risiken n verbunde en, die z.B . durch Stö öroder Au usfälle den n täglichen n Betrieb unterbreche u en und zuu finanzielle en Verluste en führen können. k Da aher ist es erforderlic ch, ein gezzieltes Man nagement der IT-Ris siken zu b betreiben, um u diese frühzeitig f zzu erkenne en und sysstematisch zu steuern n. Zugleich h wird das IT-Risikom manageme ent auch ve erstärkt durch versch hiedene ge esetzliche Regelungeen geforde ert. Dieser Beitrag be eschreibt e ein Konzep pt für das IT-Risikom manageme ent bei Verssicherunge en, das auss drei Kern nelementen n besteht: dem organisatoriscchen Rahm men, den L Leitlinien fü ür das IT-R Risikomanaagement und dem IT--Risikoman nagementp prozess. 1 Ein nführung in das IT-Risiikomanagem ment 2 2 Ko onzept für da as IT-Risiko omanageme ent 3 3 Erffolgsfaktore en der Umse etzung des Konzepts 15 4 Fa azit 18 Literatur 19 Seite 2 1 Einführung in das IT-Risikomanagement Informationstechnologie (IT) ist „heute mehr denn je integraler Bestandteil der Unternehmensstrategie“1 und bietet Potentiale zur Erfolgssteigerung. Laut einer Studie des Marktforschungsinstituts Gartner wachsen die IT-Investitionen weltweit im Jahr 2010 voraussichtlich um 4,6 Prozent auf 3.364 Milliarden US-Dollar.2 Durch die starke Abhängigkeit der Geschäftsprozesse von der IT-Unterstützung werden die Geschäftsrisiken durch IT-Risiken erhöht, etwa dass Stör- oder Ausfälle den IT-Betrieb unterbrechen. Für die angemessene Identifikation, Bewertung und Steuerung solcher IT-Risiken ist ein gezieltes Risikomanagement erforderlich. Für Versicherungen resultiert die Notwendigkeit eines IT-Risikomanagements aus betrieblichen und regulatorischen Anforderungen. Die betrieblichen Anforderungen leiten sich aus der Komplexität der IT-Infrastruktur und der Organisation von Versicherungen ab. IT-Systeme unterstützen die Geschäftsprozesse wesentlich und sind oft unverzichtbare Grundlage der Leistungserbringung. Aufgrund dieser starken Abhängigkeit muss der Einsatz der IT-Systeme gezielt geplant, gesteuert und überwacht werden. Derartige IT-orientierten Steuerungs- und Kontrollmechanismen liegen im Fokus der IT-Governance.3 Wegen der steigenden Komplexität der IT-Systeme steigt das Risiko, dass die Systeme den betrieblichen Anforderungen nicht gerecht werden. Zu den regulatorischen Anforderungen werden Gesetze, Normen und Standards gezählt. Unter IT-Compliance wird die Einhaltung dieser Anforderungen hinsichtlich der IT verstanden.4 Zu wichtigen Regelungen im IT-Risikomanagement einer Versicherung zählen u.a. Solvency II, MaRisk (VA) und KonTraG.5 Auch durch die häufig geänderte Gesetzgebung steigt das Risiko, gegen regulatorische Anforderungen zu verstoßen. Um diese Risiken angemessen zu beherrschen ist ein systematisches IT-Risikomanagement notwendig. Unter IT-Risikomanagement wird dabei die Gesamtheit der Maßnahmen zum bewussten Umgang mit IT-Risiken verstanden. Das in folgenden Kapiteln beschriebene Konzept für ein IT-Risikomanagement ist im Rahmen einer Untersuchung für ein Erstversicherungsunternehmen entstanden. Die Ergebnisse sollten auf andere Versicherungen übertragbar sein. 1 2 3 4 5 Oberschmidt (2005) S. 66. Vgl. Heise (2010). Vgl. Teubner (2008) S. 400. Vgl. Teubner (2008) S. 400. Vgl. Gerpott/Hoffmann (2008) S.10, Königs (2009) S. 64, MaRisk (2009) S. 3. Seite 3 2 Kon nzept für das d IT-Ris sikomanag gement Laut einer aktuelllen Studie weist das Risikoman nagement vieler deuttscher Untternehmen n edarf auf.6 Eine erfol greiche un nd effektive e Entwickluung, Umse etzung und d Verbessserungsbe langfrisstige Etabliierung des s Managem ments von Risiken - insbesonddere von IT T-Risiken erweistt sich oft als ein kom mpliziertes V Vorhaben und erford dert eine syystematisc che Vorge-henswe eise7. Das vorliegend de Konzep pt unterstützt eine so olche Vorgeehensweis se und be-steht a aus drei Elementen. Den Kern bilden ein n geeignetter organissatorischerr Rahmen,, Leitlinie en für das für das IT--Risikoman nagement sowie ein IT-Risikom manageme entprozesss mit den n dazugehö örigen Prozessphase en und -aktivitäten (s siehe Abbilddung 1). Abbildu ung 1: Konzzept für das IT-Risikoma anagement 2.1 Ziiele, Nutze en und Ein nflussfakttoren des Konzepts s Das Ko onzept für ein IT-Ris sikomanag ement in Versicheru V ungen wirdd im Sinne eines un-ternehm mensüberg greifenden Systems verstande en, das ein n systemattisches und kontinu-ierliche es Manage ement der IT-Risiken gewährleis stet. Ziel is st die Ausggestaltung und konti-6 7 Vgl. H Herre/Tüllner (2010) S. 10. Vgl. A Ahrendts/Marto on (2008) S. 53-54. 5 Seite 4 nuierlicche Weiterrentwicklun ng eines a angemesse enen IT-R Risikomanaagements, um einen n kontrollierten und d effektiven n Umgang g mit IT-Ris siken und den Beitraag zu den Unterneh-mensziielen durch h geeignette Unterstü ützung derr Geschäfttsprozessee sicherzus stellen. Zu u den Rissiken zähle en beispielsweise Scchäden oder Verluste e durch Auus- oder Sttörfälle derr IT-Systteme oder fehlerhafte es Verhalte en von Mittarbeitern. Zusätzlichh lassen sic ch betrieb-liche Ziele ableite en. Diese umfassen beispielsw weise die Verbesseru V ung der IT T-Services,, d kürzeren Wiederheerstellungs szeiten derr die an geringeren Ausfall- oder Störzzeiten und IT-Systteme abge elesen werd den kann. Das Ko onzept für das IT-Ris sikomanag ement, wie e in Abbildung 2 darggestellt, ba aut auf fol-genden n Inhalten auf: a Reg gulatorische Anford derungen : Hierzu zählen z Vo orgaben w wie gesetz zliche Ver-pflicchtungen oder o Eigen nverpflichtu ungen des s Unterneh hmens, diee ein IT-Risikomana-gem ment erford dern. Zu einschlägige en Gesetze en und Vorschriften ggehören u.a.: Solva-bilitä äts- bzw. Eigenmitte elvorschriftten nach Solvency S II, Minderaanforderun ngen nach h MaR Risk (VA), Anforderu ungen nach h Kontrolle e und Tran nsparenz nnach KonTraG sowie e Anfo orderungen wie GoB BS, GDPdU U oder SOX X. Metthoden un nd Framew works: Die e inhaltlich he Ausges staltung dees IT-Risik komanage-men nts erfolgt anhand vo on Standarrds und No ormen, die sich in deer Praxis be ewährt ha-ben n. Dazu geh hören z.B. das Frame ework zur IT-Govern nance nachh CobIT, diie bewähr-agement na ach ITIL, der d Standaard für das IT Service e ten Praktiken des IT Serrvice Mana Man nagement ISO 2000 00, der S Standard für das IT T-Sicherheiitsmanagement ISO O 270 000 sowie weitere w Ansätze wie BSI-Stand dard, Framework Mannagement of Risk. Abbiildung 2: An nforderunge en und Meth hoden im IT--Risikomanaagement Seite 5 2.2 Organisatorischer Rahmen In Versicherungen werden Aufgaben des Risikomanagements meist konzernweit von Organisationseinheiten wie dem Konzernrisikomanagement o.ä. übernommen. Diese Einheiten stehen in der Gesamtverantwortung für das Risikomanagement und delegieren Teile davon an fachlich spezialisierte, dezentrale Risikocontroller; etwa bezüglich der IT an den IT-Risikomanager. Das Konzernrisikomanagement definiert zentrale Anforderungen hinsichtlich des Managements von IT-Risiken, für dessen Ausübung der ITRisikomanager dezentral im Rahmen des IT-Risikomanagements zuständig ist. Das ITRisikomanagement ist somit als eine unterstützende Funktion des Konzernrisikomanagements anzusehen, die wesentliche Aufgaben im IT-Bereich übernimmt und dem Konzernrisikomanagement zuarbeitet. Dafür ist eine Abstimmung zwischen IT-Risikomanagement und Konzernrisikomanagement in folgenden Punkten notwendig: Aufbau und Weiterentwicklung des IT-Risikomanagementprozesses Mitwirkung/Koordination bei der Identifikation, Analyse/Bewertung und Steuerung von IT-Risiken sowie bei der Initiierung und Abstimmung von Maßnahmen Entwicklung und Pflege von Frühwarn-/Controllingsystemen, Reporting an die Leitung des IT-Bereichs und an das Konzernrisikomanagement Entwicklung und Durchführung von Maßnahmen zur Risikosensibilisierung. Das IT-Risikomanagement verfügt dabei über Schnittstellen zu anderen Arbeitsbereich innerhalb und außerhalb der IT, z.B. zu den ITIL-Prozessen IT Service Continuity Management und IT Security Management sowie den Fachbereichen. Zur klaren Definition und Abgrenzung der Verantwortungsbereiche dienen Rollen, die in Tabelle 1 mit den Aufgaben und Zuordnungen aufgelistet sind. Rolle Aufgaben Abteilung Dezentraler Risikomanager Verantwortlich für den fachspezifischen Bereich im Risikomanagement. Hinsichtlich der IT-Risiken ist der ITRisikomanager für die Ausgestaltung und Durchführung der Prozessaufgaben zuständig Tragen die Verantwortung für IT-Risiken (Verluste infolge von IT-Risiken; Einhaltung von Vorgaben; laufende Steuerung der IT-Risiken). Die Zuordnung erfolgt fachspezifisch Verantwortlich für die operative Durchführung der Aufgaben im Service Continuity Management nach ITIL. Verantwortlich für die operative Durchführung der Aufgaben im Security Management nach ITIL Zuständig für die konzernweite Ausgestaltung und Gesamtkoordination des Risikomanagements IT-Bereich Risikoverantwortliche IT Service Continuity Manager IT Security Manager Konzernrisikomanager Tabelle 1: Rollen im IT-Risikomanagement fachspezifisch IT-Bereich IT-Bereich Konzernrisikomanagement Seite 6 2.3 Le eitlinien fü ür das IT-R Risikoman nagementt Grundla age des IT T-Risikoma anagemen nts ist die Definition strategisccher Vorga aben.8 Ziell dieser Festlegungen ist es s, allgemeiine Rahme enbedingungen für ddie operatiive Durch-g des IT-R Risikomana agements zzu schaffe en. Die stra ategische Ausrichtun ng des IT-führung Risikom manageme ents ist in verschiede v enen Leitlin nien zu dok kumentiereen. Zu dies sen zählen n die IT-Risiko-Policy, die Be eschreibun ng der IT-Risiko-Kon ntrollaktivitä täten und die IT-RM M bung. Dies se drei Leiitlinien bau uen aufeinander auf,, sind kons sistent zu-Prozesssbeschreib einande er und werden durch h weitere L Leit- oder Richtlinien beeinflussst. Abbildu ung 3 stelltt die Abh hängigkeite en der gülttigen und vverbindlichen Dokum mente dar. Abbildung 3: Zu usammenha ang der Leitllinien im IT-Risikomanaagement Die lan ngfristigen Ziele ein ner Versich herung sin nd in eine er Unterneehmensstra ategie be-schrieb ben. Die eiinzelnen Strategien S d der definie erten Gesc chäftsfelde r leiten sic ch aus derr Unterne ehmensstrrategie ab. Die Gescchäftsproz zesse einer Versicheerung werd den in ho-hem Maße durch h IT untersttützt. Zur S Sicherung der Unters stützung w werden die Vorgaben n etrieblichen n Einsatz der d IT in ein ner IT-Stra ategie defin niert. zum be 8 Vgl. S Seibold (2006)) S. 135. Seite 7 Die Risikostrategie einer Versicherung ist ein verbindlicher Handlungsleitfaden für das Management von Risiken jeglicher Art und wird als Ergänzung der Unternehmensstrategie angesehen. Die IT Risiko Policy beschreibt die strategische Ausrichtung des ITRisikomanagements. Sie ist konsistent zu der Risikostrategie und der IT-Strategie. Die Umsetzung des IT-Risikomanagements ist in einer Arbeitsanweisung, den sogenannten IT-Risiko-Kontrollaktivitäten beschrieben. Die Prozessbeschreibung dokumentiert grafisch und verbal die Prozessaktivitäten im IT-Risikomanagement einer Versicherung. Die IT Risiko Policy, die IT-Risiko-Kontrollaktivitäten und die Prozessbeschreibung bilden gemeinsam die verbindlichen Leitlinien für das IT-Risikomanagement Die Existenz und Umsetzung einer IT Risiko Policy ist die Grundlage des IT-Risikomanagements.9 Sie regelt die Rahmenbedingungen für die erfolgreiche Durchführung des IT-Risikomanagements und beschreibt dabei strategische Grundsätze, wie z.B. die Ausrichtung und Ziele des IT-Risikomanagements. Ferner dient diese Policy zur Schaffung und Schärfung des Risikobewusstseins bzw. der Risikotransparenz. Die IT Risiko Policy unterliegt einer regelmäßigen Prüfung und wird laufend aktualisiert. In der nachfolgenden Tabelle ist der Inhalt einer IT Risiko Policy beschrieben. Inhalt Einführung Grundlagen des ITRM System des IT-RM IT-Risikokultur und -kommunikation Beschreibung beschreibt die Ziele und den Aufbau der IT Risiko Policy definiert den Gültigkeitsbereich der IT Risiko Policy beschreibt die Ziele und Notwendigkeit des IT-Risikomanagements umfasst eine einheitliche Definition des Risikobegriffs klassifiziert IT-Risiken nach einheitlich definierten IT-Risikoklassen definiert Skalierungen von Eintrittswahrscheinlichkeit und Schadenshöhe zur Bewertung der IT-Risiken beschreibt die organisatorischen Rahmenbedingungen (Eingliederung des IT-RM und Rollen im IT-RM) beschriebt im Überblick den IT-Risikomanagementprozess und die dazugehörigen Prozessphasen und -aktivitäten beschreibt die wesentlichen Schnittstellen im IT-Risikomanagements definiert den Rahmen für die unternehmensweite Risikokultur und Risikokommunikation hinsichtlich der IT-Risiken Tabelle 2: Inhalt der IT Risiko Policy Die Anweisungen zu den Kontrollaktivitäten definieren und beschreiben die Umsetzung des IT-Risikomanagements. Unter Kontrollaktivitäten werden Maßnahmen und Methoden verstanden, die sicherstellen, dass in der IT Risiko Policy definierte Vorgaben hinsichtlich des IT-Risikomanagements auf allen Ebenen des Unternehmens in geeigneter 9 Vgl. Seibold (2006) S. 135. Seite 8 Form umgesetzt werden. Die Kontrollaktivitäten basieren auf der IT Risiko Policy und sind als derer Ergänzung anzusehen. In der nachfolgenden Tabelle ist der Inhalt der ITRisiko-Kontrollaktivitäten beschrieben. Inhalt Einführung Kontrollaktivitäten für die Umsetzung des IT-RM Weitere Aspekte im IT-RM Beschreibung beschreibt die Ziele und den Aufbau der IT-Risiko-Kontrollaktivitäten definiert den Gültigkeitsbereich der IT-Risiko-Kontrollaktivitäten beschreibt die Aufgaben- und Verantwortungsbereiche des ITRisikomanagers definiert das Prinzip der Funktionstrennung im IT-RM beschreibt die Kontrollaktivitäten für die operative Umsetzung und Durchführung des IT-Risikomanagements beschreibt den Inhalt des Prozesscontrollings definiert die Risikoindikatoren zur Steuerung der IT-Risiken und des ITRisikomanagementprozesses umfasst einen Ressourcen- und Zeitplan für die Umsetzung des IT-RM Tabelle 3: Inhalt der IT-Risiko-Kontrollaktivitäten Die Prozessbeschreibung für das IT-Risikomanagement ist an der IT Risiko Policy sowie den Kontrollaktivitäten auszurichten und wird als Ergänzung dieser Dokumente angesehen. Der IT-Risikomanagementprozess ist für Dokumentationszwecke ggf. in einem Prozessmodellierungstool abzubilden. Die Prozessbeschreibung umfasst eine einfache und übersichtliche Darstellung der Prozesselemente im IT-Risikomanagement. Prozessrollen und Prozessphasen inklusive der dazugehörigen Prozessaufgaben sind die wesentlichen Elemente, die in diesem Dokument beschrieben und dargestellt werden. In nachfolgender Tabelle ist der Inhalt der IT-RM Prozessbeschreibung aufgeführt. Inhalt Beschreibung Prozessdarstellung IT-Risikomanagement Einführung umfasst die Ziele der IT-RM Prozessbeschreibung definiert den Gültigkeitsbereich der IT-RM Prozessbeschreibung beschreibt die Regeln der Prozessmodellierung des Unternehmens umfasst die Spezifikation der Prozessrollen beinhaltet die grafische Darstellung der Prozesse und kurze verbale Beschreibung der Prozessphasen und -aufgaben Tabelle 4: Inhalt der IT-RM Prozessbeschreibung 2.4 IT-Risikomanagementprozess Auf Basis der strategischen Vorgaben wird der Prozess im IT-Risikomanagement ausgerichtet. Effektives Management von IT-Risiken bedarf eines systematischen und kontinuierlichen Vorgehens. Für den langfristigen Erfolg reicht es nicht, verschiedene Ge- Seite 9 setzesa anforderun ngen und Regularien R n einzuhaltten, da die ese nur einnen groben n Rahmen n definierren und be ei der Ausg gestaltung Interpretationsraum lassen.10 V Vielmehr ist ein akti-ves Ma anagementt der IT-Risiken erforrderlich. Dies wird du urch die Koonzeption und konti-nuierlicche Weitere entwicklun ng des IT-R Risikomana agementprrozesses ssichergeste ellt. Der IT--Risikoman nagementp prozess istt an das in n der Fachliteratur beewährte Prrozessmo-dell angelehnt un nd bestehtt aus vier K Kernphase en, die in Abbildung A 4 dargesttellt sind.11 Die Ke ernphasen IT-Risiken n identifizie eren, bewe erten, steuern und bberichten wurden w um m die pro ozessüberg greifenden Aktivitäten n Risikoku ultur und Risikokomm R munikation erweitert,, die untternehmensweit ausz zuführen ssind. Der IT T-Risikoma anagementtprozess is st kreisför-mig darstellt, um die Kontin nuität und d die sich fortlaufend wiederhole w ende Ausfü ührung dess Prozessses zu verrdeutlichen n. Abb bildung 4: IT T-Risikoman nagementprozess12 komanage ementproze ess umfasst die frühhzeitige und d vollstän-Die ersste Phase im IT-Risik dige Id dentifikation n von IT-R Risiken un d erfolgt in Form vo on regelmääßigen Se elf-Assess-ments, Mitteilung von IT-Ris siken durc h Mitarbeitter und Imp pact-Analyysen. Ziel de er Self-Ass sessmentts (Selbste einschätzungen) ist es, durch regelmäß ßige Befra-gung der Risikoverantwortliichen neue e IT-Risike en zu identtifizieren unnd die Einschätzung g alisieren. Viele V Risik koverantwoortliche besitzen Ex-bereits erkannterr IT-Risiken zu aktua pertenw wissen bezzüglich derr eingesetzzten IT und d können dadurch d funndierte Aussagen zu u 10 Vgl. M MaRisk (2009)) S. 3. 11 Vgl. P Prokein (2008)) S. 15. 12 Eigen ndarstellung in Anlehnung an Prokein (200 08) S. 16. Seite 10 IT-Risiken treffen. Der IT-Risikomanager führt die Selbsteinschätzungen der IT-Risiken aus Einzelbefragungen, Workshops und Fragebögen zusammen. Dabei schafft und fördert dieses Vorgehen das Risikobewusstsein der Mitarbeiter. Eine weitere Methode zur Identifikation ist die Mitteilung von IT-Risiken durch die Mitarbeiter. Dadurch wird der offene Dialog über IT-Risiken sichergestellt. Mitteilungen von IT-Risiken erfolgen individuell zwischen den Mitarbeitern und Vertretern des IT-Risikomanagements oder fachbereichsspezifisch zwischen Fachbereichen und IT-Risikomanagement. Bei Änderung bestehender oder Implementierung neuer Informationstechnologie wird geprüft, ob diese Vorgänge und Technologien mit Risiken verbunden sind, ob sie die aktuelle Risikolage verändern und ob sie eventuell Auswirkungen auf vorhandene Steuerungsmaßnahmen haben. Die Prüfung erfolgt mittels einer Impact Analyse und stellt die möglichen Ursachen bzw. Folgen eines Stör- oder Ausfalls von IT-Systemen fest. Im Anschluss an die Identifikation der IT-Risiken werden diese im zweiten Schritt bezüglich der Eintrittswahrscheinlichkeit bzw. Schadenshöhe analysiert und bewertet. Die Bewertung erfolgt mit einer Erhebungsunterlage zur Risikoanalyse. Diese Erhebungsunterlage kann mit Tabellenkalkulationen o.ä. erstellt werden, um die Erfassung, Bewertung, Dokumentation und Überwachung von IT-Risiken zu unterstützen. Das Ergebnis der Risikoanalyse ist eine qualitative Netto-Bewertung13 der IT-Risiken mit der die Ableitung angemessener Steuerungsmaßnahmen vorgenommen wird. Dabei fließen die Auswirkungen bereits getroffener Steuerungsmaßnahmen in die Bewertung der IT-Risiken ein.14 Die Analyse und Bewertung von IT-Risiken umfasst folgende Aktivitäten: Risiko analysieren ◦ Risikoklasse und Gegenstand (z.B. Anwendung, System, Organisation) der Bewertung bestimmen ◦ IT-Risiken erfassen und beschreiben ◦ mögliche Ursachen und Folgen der IT-Risiken ermitteln Risiko bewerten 13 Bei qualitativen Bewertungen erfolgt die Ermittlung der Eintrittswahrscheinlichkeiten und Schadenshöhen auf nominalen Skalen, z.B. mit den Ausprägungen „gering“, „mittel“, „hoch“ und „sehr hoch“. Bei Netto-Bewertungen werden die Auswirkungen bereits eingeleiteter Maßnahmen mit berücksichtigt. 14 Vgl. MaRisk (2009) S. 29. Seite 11 ◦ Risikoverantwortlichen zuweisen ◦ Bewertung der Eintrittswahrscheinlichkeit und Schadenshöhe vornehmen ◦ Maßnahmen vorschlagen Risikobewertung und -analyse dokumentieren ◦ Maßnahmenvorschlag dokumentieren ◦ Durchführung und Ergebnisse der Analyse dokumentieren Eine weitere Methode für die Analyse und Bewertung von IT-Risiken ist die Szenarioanalyse. Diese greift bereits identifizierte IT-Risiken auf und baut auf der Planung und Durchführung von IT-Notfallübungen auf. Ziel der Szenarioanalyse ist es, reale Risikoszenarien, die im Rahmen der regelmäßigen IT-Notfallübungen durch das IT Security Management bzw. IT Service Continuity Management erarbeitet und simuliert werden, durch die Bewertung der Eintrittswahrscheinlichkeiten und Schadenshöhen zu erweitern. Die Szenarioanalyse umfasst folgende Aktivitäten: Planen ◦ organisatorischen Rahmen gestalten ◦ bereits identifizierte IT-Risiken aufgreifen Durchführen ◦ Risikoszenarien erarbeiten und beschreiben ◦ Auswirkungen der Risikoszenarien bestimmen ◦ geeignete Steuerungsmaßnahmen definieren ◦ Abhängigkeiten der Risikoszenarien bestimmen ◦ Auswirkungen der Risikoszenarien auf IT übertragen Dokumentieren Eine weitere Methode für die Analyse und Bewertung von IT-Risiken ist die Datenanalyse ausgewählter ITIL-Prozesse. Bei einer Ausrichtung nach ITIL wird durch prozessübergreifende Verbesserungsmaßnahmen die Qualität und Transparenz der Prozesse verbessert.15 Durch eine Analyse und Auswertung der Daten aus den ITIL-Prozessen Incident Management, Problem Management und Change Management kann das IT-Risikomanagement mögliche IT-Risiken, z.B. durch Review der Major Incidents, gezielt 15 Vgl. Seibold (2006) S. 189. Seite 12 identifizieren. Erkenntnisse aus der Analyse häufig auftretender Incidents sind auch für die Einschätzung der Eintrittswahrscheinlichkeiten von IT-Risiken einzusetzen. Die Ergebnisse aller Analysen fließen in die jährliche Risikovollerhebung des Konzernrisikomanagements ein, die alle wesentlichen Risiken einer Versicherung erfassen soll. Das IT-Risikomanagement übernimmt dabei eine unterstützende Funktion und liefert grundlegende Informationen. Die Steuerung identifizierter und bewerteter IT-Risiken besteht aus aktiver Beeinflussung der Risiken, indem sie vermieden, reduziert, transferiert oder akzeptiert werden.16 Eine Vermeidung von IT-Risiken ist lediglich durch Aufgabe bzw. Unterlassung risikoreicher Aktivitäten möglich, da nur dadurch die Eintrittswahrscheinlichkeit und zu erwartende Schadenshöhe beseitigt werden. Eine derartig radikale Entscheidung wird nur gefällt werden, wenn die Verlustrisiken die Erfolgschancen deutlich überwiegen.17 Ein Beispiel ist die Nutzung des Internet als zusätzlichen Vertriebsweg für den Abschluss von Versicherungen. Entscheidet eine Versicherung, ihre Produkte über das Internet zu vertreiben, so ist das Unternehmen zwangsläufig gewissen Risiken ausgesetzt und muss für die Implementierung entsprechender Maßnahmen sorgen. Ziel der Reduzierung von IT-Risiken ist es, Eintrittswahrscheinlichkeiten und Schadenshöhen der Risiken durch die Implementierung stabiler Prozesse sowie durch adhoc Maßnahmen zu verringern. Die Reduzierung von IT-Risiken umfasst: IT Security Management: Dieser Prozess stellt die Vertraulichkeit, Verfügbarkeit und Integrität von Informationen und Systemen sicher. Ziel des IT Security Managements ist es, sicherheitsrelevante IT-Risiken systematisch zu behandeln. Die Schwerpunkte des Prozesses liegen in der Erstellung sowie Umsetzung von Sicherheitsrichtlinien, der Ableitung geeigneter Maßnahmen und der Sensibilisierung der Mitarbeiter. IT Service Continuity Management: Die Sicherstellung der Geschäftsprozesse in Notfällen wird durch das IT Service Continuity Management abgedeckt. Mit Hilfe dieses Prozesses werden geschäftskritische Prozesse identifiziert, analysiert und bewertet. Schwerpunkt dieses Prozesses ist das IT-Notfallmanagement, das durch 16 Vgl. Königs (2005) S. 42. 17 Vgl. Prokein (2008) S. 89. Seite 13 die Erstellung von IT-Notfallplänen eine schnellstmögliche Wiederherstellung der ITServices gewährleistet. Skill-Management: Mitarbeiter verfügen über Expertenwissen, das aus Können, Fähigkeiten und Erfahrungen besteht. Dieses Wissen ist eine wesentliche Ressource beim Betrieb von IT-Systemen und muss gezielt entwickelt und bewahrt werden. Einzelmaßnahmen: Die ad-hoc Durchführung von Einzelmaßnahmen ist eine geeignete Möglichkeit, um schnell und flexibel auf IT-Risiken zu reagieren. Dazu zählen technische (z.B. Erweiterung des Speichernetzwerks) und organisatorische Maßnahmen (z.B. schriftliche Anweisungen für den Umgang mit Notebooks), die die Eintrittswahrscheinlichkeit und/oder Schadenshöhe von Risiken reduzieren. Beim Transfer von IT-Risiken werden diese Risiken und der damit gegebenenfalls verbundene Schaden auf externe Träger übertragen. Dies kann durch den Abschluss geeigneter Versicherungen geschehen, mit denen der Versicherer für den Schadensfall zu bestimmten Leistungen verpflichtet wird. Wesentliche Aufgabe beim Risikotransfer ist die Prüfung der Versicherbarkeit der IT-Risiken, die sich in der Praxis oft als kompliziert erweist.18 Die Geschäftsführung einer Versicherung kann die Akzeptanz von IT-Risiken entscheiden. Werden IT-Risiken bewusst akzeptiert, so ist die Entscheidung dazu zu dokumentieren. IT-Risiken werden i.d.R. bewusst akzeptiert, wenn sie unter einer durch die Geschäftsführung festgelegten Risiko-Akzeptanzlinie liegen und somit nur einen geringen Schaden verursachen. Im Zuge der Risikosteuerung schlägt der IT-Risikomanager Maßnahmen vor oder empfiehlt sie. Die Durchsetzung der Maßnahmen obliegt den Risikoverantwortlichen und der Leitung des IT-Bereichs. Der Risikomanager überwacht und dokumentiert die Ergebnisse der Risikomaßnahmen. Die Überwachung der identifizierten und bewerteten IT-Risiken erfolgt durch den Aufbau eines Frühwarnsystems, um erkannte Risiken systematisch zu überwachen und den Eintritt von Schadenfällen frühzeitig zu erkennen sowie die Wirksamkeit der Steuerungsmaßnahmen sicherzustellen. Dafür werden regelmäßig Risikoindikatoren gemes- 18 Vgl. Grzebiela (2002) S. 47-48. Seite 14 sen und ausgewertet, wobei zwischen zwei Arten von Indikatoren zu unterscheiden ist19: Risikomesskennzahlen und Risikotreiber. Typische Risikomesskennzahlen sind Größen, die zurückliegende Ereignisse oder Zeitperioden beschreiben, wie z.B. die Verfügbarkeit eines IT-Services oder Anzahl von SLA-Verstößen im Vormonat. Mit derartigen Risikomesskennzahlen wird die Wirksamkeit von Steuerungsmaßnahmen kontrolliert. Risikotreiber hingegen sind vorlaufende Messgrößen, die das zukünftige Risikopotenzial beschreiben. Unter der Annahme, dass eine Zunahme der Komplexität der Systeme oder der Anzahl beteiligter Mitarbeiter zur Steigerung von Risiken führen, so können Messgrößen für diese Werte auf Entwicklungen des Risikopotenzials hinweisen. Ein weiterer wesentlicher Bestandteil des Frühwarnsystems ist ein funktionierendes Berichtswesen hinsichtlich des Managements von IT-Risiken. Der IT-Risikomanager ist dafür verantwortlich, dass die IT-Leitung und das Konzernrisikomanagement laufend über die Risikolage und Entwicklungen im IT-Risikomanagement informiert werden. Hierfür sind folgende Berichte anzufertigen: Jährlicher Risikobericht an IT-Leitung und Konzernrisikomanagement, der die Einschätzung der Risikolage, Risikolandkarte, Änderungen im IT-Risikomanagement sowie eine Dokumentation der eingeleiteten Maßnahmen umfasst. Quarteilweiser Risikobericht an die IT-Leitung, der die Veränderung der Risikolage beschreibt. Ad-hoc Risikobericht an die IT-Leitung, der Auswirkungen extremer Ereignisse dokumentiert. Neben der Überwachung der IT-Risiken wird auch der IT-Risikomanagementprozess überwacht und kontinuierlich verbessert. Dies erfolgt im Prozesscontrolling, das die Funktionsfähigkeit und Verbesserung des Prozesses sicherstellt. Das Prozesscontrolling umfasst die Festlegung und Auswertung der Key Perfomance Indicators (KPIs), die laufende Aktualisierung der Dokumentationen zum IT-Risikomanagement und die regelmäßige Prüfungen des Prozesses zum Risikomanagement durch Auditoren. 19 Vgl. Seibold (2006) S. 126. Seite 15 3 Erfolgsfaktoren der Umsetzung des Konzepts Bei der Umsetzung des Konzepts für das IT-Risikomanagement sind mehrere Erfolgsfaktoren zu beachten. Zu den wesentlichen Erfolgsfaktoren im Management von ITRisiken zählen die Risikokultur und Risikokommunikation.20 Im IT-Risikomanagement wirken diese Faktoren prozessübergreifend und beeinflussen alle Bereiche einer Versicherung. Die Etablierung einer Risikokultur hinsichtlich der IT umfasst die Aktivitäten: Risikobewusstsein schaffen aktive Hilfe der Mitarbeiter fördern IT-Risiken kommunizieren. Die dauerhafte und erfolgreiche Etablierung eines IT-Risikomanagements kann nur im Rahmen eines unternehmensweiten Risikomanagements erfolgen. Die IT- fachspezifischen Aufgaben sind zwar an das IT-Risikomanagement zu delegieren, die Gesamtverantwortung für das Management von Risiken, einschließlich der IT-Risiken, obliegt jedoch der Unternehmensleitung respektive dem Risikomanagement des Unternehmens.21 Entsprechend muss bei der Unternehmensleitung ein Grundverständnis für IT-Risiken geweckt und Akzeptanz für das IT-Risikomanagement entwickelt werden. Darüber hinaus ist ein ausgeprägtes Risikobewusstsein und Risikoverständnis auf allen Ebenen einer Versicherung (Sachbearbeiter, Gruppen- und Abteilungsleitungen sowie Geschäftsführung) zu schaffen und zu schärfen. Dadurch wird die Bereitschaft der Mitarbeiter gesteigert, am IT-Risikomanagementprozess teilzunehmen. Den Mitarbeitern muss bewusst sein, warum und wie im Unternehmen IT-Risiken behandelt werden. Nur so können sie aktiv an dem IT-Risikomanagementprozess mitwirken und zum Erfolg beitragen. Ein der wesentlichen Bestandteile einer ausgeprägten und risikoorientierten Kultur ist die Kommunikation von Risiken. Die Risikokommunikation umfasst den Kommunikations- bzw. Informationsfluss bezüglich der Definition und Bedeutung von IT-Risiken. Offene und effektive Kommunikation der Risiken hängt stark von der Kommunikationsbereitschaft der beteiligten Personen ab und trägt zur Etablierung einer risikoorientieren Kultur bei. 20 Vgl. Jahner/Krcmar (2005) S. 53. 21 Vgl. Königs (2005) S. 123ff. Seite 16 6 A Abbildung 5: Kommunik kationsfluss s im IT-Risik komanagem ment22 Der in Abbildung g 5 dargesttellte kontiinuierliche Kommunikations- u nd Informa ationsflusss umfassst folgende e Elemente e, die zu ko ommunizieren sind: stra ategische Grundsätz ze hinsichttlich des Manageme ents von IT-Risiken n (z.B. IT-Risiiko-Policy, IT-Risiko-Kontrollakktivitäten, Risikobew wusstsein uund Risiko owahrneh-mun ng), Info ormationen n über den n Stand d er Umsetz zung des IT-Risikom manageme ents (i.S.v.. Prozesscontro olling), ope erative Info ormationen und Erge ebnisse des IT-Risiko omanagem ments (z.B. Risikobe-richte, Maßna ahmenverfo olgung, Au uflistung de er Risikoind dikatoren). e Umsetzung des Ko onzepts un nd Etablieru ung des IT T-Risikomaanagementts müssen n Für die ausreicchend perssonelle und techniscche Resso ourcen bereitgestellt werden. Die D für die e Ausführung der Prozessa aktivitäten verantwortlichen Personen m muss aus sreichende e Fachke enntnisse zum z Risiko omanagem ment vorwe eisen könn nen. Dies ggilt insbeso ondere fürr den Risikomanag ger, desse en Aufgabe en über die Grenzen des IT-B Bereiches hinausge-hen. Zu u seinen wesentliche w en Aufgabe en zählen: Erarbeitung und Implem mentierung der IT Risiko Policy, 22 Eigen ndarstellung an ngelehnt an Risk R IT (2009) S S. 20. Seite 17 Konzeptionelle Entwicklung, Durchführung und kontinuierliche Verbesserung des ITRisikomanagementprozesses, Entwicklung und Durchführung Maßnahmen zur Risikosensibilisierung, Entwicklung und Pflege von Frühwarn- und Controllingsystemen, Berichtserstattung an die IT-Leitung und das Konzernrisikomanagement, Neben den personellen Ressourcen sind geeignete technische Ressourcen bereitzustellen. So können Entscheidungen im IT-Risikomanagement durch IT-Anwendungen unterstützt werden, die Nutzeneffekte bieten wie z.B.: 23 Unterstützung zur Aktualisierung der Datenbasis Unterstützung bei der Durchführung von Aufgaben im IT-Risikomanagementprozess Transparenz und Nachvollziehbarkeit bei der Analyse und Bewertung von IT-Risiken Hohe Flexibilität bei der Anpassung an Unternehmensprozesse Dokumentation von Rollen und rollenbasierten Workflows Unterstützung im Rahmen eines Frühwarnsystems Schnittstellen zu weiteren Systemen Gewährleistung der Revisionssicherheit. Mit der einmaligen Umsetzung des beschriebenen Konzepts zum IT-Risikomanagement ist der dauerhafte Erfolg nicht gesichert. Vielmehr ist IT-Risikomanagement als kontinuierlicher Prozess anzusehen, der stets angepasst und weiterentwickelt werden muss, um veränderte Risikolagen zu erkennen, Arbeitsabläufe zu verbessern und den Ressourceneinsatz effizienter zu gestalten 23 Vgl. Oberschmidt (2005) S. 69-70. Seite 18 4 Fazit Aktives und effizientes IT-Risikomanagement gewinnt für Versicherungen an Bedeutung. Die Notwendigkeit des Managements von IT-Risiken ergibt sich aus der hohen Komplexität der IT und der wachsenden Abhängigkeit der Geschäftsprozesse von der IT-Unterstützung. Zudem sind Unternehmen durch regulatorische Anforderungen zum IT-Risikomanagement verpflichtet. Aus einer aktuellen Studie geht jedoch hervor, dass das Risikomanagement vieler deutscher Unternehmen Verbesserungsbedarf aufweist.24 Zu den Mängeln zählen vor allem die unvollständige Dokumentation der Risikostrategie, die mangelhafte Prozessgestaltung im Risikomanagement, unzureichende Integration in alle Unternehmensbereiche sowie die unzureichende Risikokultur. Im Rahmen dieses Beitrags wurde ein Konzept beschrieben, das einen organisatorischen Rahmen, verschiedene Leitlinien für das IT-Risikomanagement und eine Prozessbeschreibung für das IT-Risikomanagement umfasst. Mit der Umsetzung des Konzepts sind Versicherungen in der Lage, relevante IT-Risiken frühzeitig zu erkennen und angemessen zu bewerten, klar definierte Maßnahmen zu ergreifen, unternehmensweite Kommunikation der IT-Risiken sicherzustellen und eine risikoorientierte Unternehmenskultur zu etablieren. Das Konzept stellt eine Grundlage für die Etablierung eines wirkungsvollen IT-Risikomanagements dar, das ein systematisches Vorgehen anstelle von Einzelmaßnahmen vorsieht. IT-Risikomanagement darf nicht sporadisch erfolgen, sondern muss als systematischer und kontinuierlicher Prozess in Versicherungen verankert sein, um einen angemessenen Umgang mit IT-Risiken zu gewährleisten. Daher ist mit einer einmaligen Umsetzung die mittel- und langfristige Wirksamkeit des Managements von IT-Risiken nicht gesichert. Vielmehr muss das IT-Risikomanagement flexibel sein, damit es kontinuierlich verbessert und weiterentwickelt werden kann, denn die betrieblichen und regulatorischen Anforderungen an das IT-Risikomanagement verändern sich ständig. 24 Vgl. Herre/Tüllner (2010) S. 10 und S. 14-21. Seite 19 Literatur Ahrendts, F., Marton, A., IT-Risikomanagement leben!: Wirkungsvolle Umsetzung für Projekte in der Softwareentwicklung, Berlin: Springer, 2008. BaFin (Hrsg.), Rundschreiben 3/2009 (VA) - Aufsichtsrechtliche Mindestanfor-derungen an das Risikomanagement (MaRisk VA), 2009, in: Internet http://www.bafin.de/cln_152/SharedDocs/Downloads/DE/Service/Rundschreiben/2009/rs__0903__mariskva,templ ateId=raw,property=publicationFile.pdf/rs_0903_mariskva.pdf; Zugriff am 2010-04-24. Gerpott, T.J., Hoffmann, A.P., Risikomanagement in Unternehmen, in: WiSt Wirtschaftswissenschaftliches Studium, Bd. 37, 2008, Nr. 1, S. 7-13. Grzebiela, T., Internet-Risiken: Versicherbarkeit und alternativer Risikotransfer, Wiesbaden: Deutscher Universitäts-Verlag, 2002. Heise Online (Hrsg.), Marktforscher prognostizieren Wachstum der IT-Ausgaben um 4,6 Prozent, 2008, in: Internet http://www.heise.de/newsticker/meldung/Marktforscher-prognostizieren-Wachstum-der-IT-Ausgaben-um-4-6-Prozent-911876.html; Zugriff am 2010-03-12. Herre, U., Tüllner, J., Krise. Risiko. Management. Welche Konsequenzen ziehen deutsche Unternehmen aus der Wirtschaftskrise?, PricewaterhouseCoopers AG (Hrsg.), Frankfurt am Main, 2010. ISACA (Hrsg.), The Risk IT Framework Excerpt, 2009, in: Internet http://www.isaca.org/AMTemplate.cfm?Section=Deliverables&Template=/ContentManagement/ContentDisplay.cfm&ContentID=54814; Zugriff 2010-07-05. Jahner, S., Krcmar, H., Risikokultur als zentraler Erfolgsfaktor für ein ganzheitliches IT-Risk Management, in: Information Management & Consulting, Bd. 20, 2005, Nr. 2, S. 47-54. Königs, H.-P., IT-Risiko-Management mit System, 3. Aufl., Wiesbaden: Vieweg, 2009. Oberschmidt, B., Risiko IT, in: Information Management & Consulting, Bd. 20, 2005, Nr. 2, S. 66-70. Prokein, O., IT-Risikomanagement - Identifikation, Quantifizierung und wirt-schaftliche Steuerung, Wiesbaden: Gabler, 2008. Seibold, H., IT-Risikomanagement, München: Oldenbourg, 2006. Teubner, A., Informationstechnologie, Governance und Compliance, in: Wirtschaftsinformatik, Bd. 51, 2009, Nr. 5, S. 400-407.