Automatisierte Prozesse helfen dabei, die betriebliche Informationstechnik besser in den Griff zu bekommen. Von Oliver Block und Ralf Paschen
Für Unternehmen ist es an der Zeit, nachvollziehbare und messbare IT-Prozesse einzuführen und die internen Kontrollsysteme auch auf die Informationstechnik auszuweiten. Das Problem: Ein Großteil der Faktoren, die Probleme verursachen können, ist nicht auf den ersten Blick erkennbar. Nur die Spitze des Eisbergs ist zu sehen. Aus diesem Grund sollten Manager auch nicht auf Sicht fahren, sondern automatische Prozesse für ein umfassendes Risikomanagement einführen, so dass mögliche Gefahrenquellen zuverlässig auf dem Radar erscheinen.
Jede unternehmerische Entscheidung birgt naturgemäß Risiken: Die Expansion nach China kann schief gehen, ein neues Produkt sich als Flop und eine Personalentscheidung als Fehler erweisen. Vor jeder Entscheidung sollte daher eine Risiko-Nutzen-Analyse stehen, mit der abgeschätzt werden kann, ob der Nutzen, also der zu erwartende Gewinn, das Restrisiko überwiegt.
Bevor ein planvoller Umgang mit Risiken erfolgen kann, muss ein Unternehmen den Gesamtumfang aller Risiken, also das Gesamtrisiko, ermitteln. Dazu wird das Risiko einem standardisierten Verfahren unterzogen: Zuerst wird es identifiziert, danach analysiert und bewertet, behandelt und schließlich unter Kontrolle gehalten. Erst langsam setzt sich im Management die Erkenntnis durch, dass der gesamte Komplex der eingesetzten Informationstechnologie in diese Risikoaggregation einbezogen werden muss.
Zahlreiche Gefahrenquellen
In der Vergangenheit wurden bezogen auf die IT vor allem die Risikofaktoren "Ausfall" und
"Datenschutz" betrachtet und Maßnahmen zu ihrer Verbesserung eingeführt. "Common Sense" sind
heute Maßnahmen zur Autorisierung (Zutrittskontrolle, Identity Management), Datensicherungen oder Schutz der
Hardware (z.B. durch redundante Rechenzentren, Klimaregelung, unterbrechungsfreie Stromversorgung etc.). Aber die
tatsächlichen Risiken gehen weit darüber hinaus: In Unternehmen können unklar definierte Verantwortlichkeiten
oder Kommunikationswege genauso zu Problemen führen wie die Nichteinhaltung gesetzlicher Vorgaben oder eine
schlechte Dokumentation. Die Heterogenität der IT-Landschaft kann Probleme bereiten, dasselbe gilt für unsichere
Software und Hardware. Veraltete Anwendungen mit schlechter oder unzureichender Dokumentation (insbesondere bei
mitunter Jahrzehnte alten Mainframe-Lösungen) oder fehlende Anpassbarkeiten beziehungsweise Inkompatibilitäten
sind weitere Gefahrenquellen. Für das Unternehmen kann das erhebliche Folgen haben, die vom Verlust oder der
Manipulation wichtiger Daten über unzuverlässige oder nicht zeitgerechte Verfügbarkeit bis zum Ausfall von
Systemen für das operative Geschäft reichen können.
Ein oftmals unerkanntes und daher nicht abgesichertes Risiko sind die im Hintergrund einer jeden Organisation laufenden Prozessketten, die in praktisch allen Unternehmen über Jahre und Jahrzehnte gewachsen sind. Heute laufen diese Prozessketten meist voll automatisch ab und steuern unternehmensweite Abläufe, beispielsweise in SAP. Durch die zunehmende Automatisierung und Verkettung von Prozessen wissen die Verantwortlichen oft gar nicht mehr, welche Schritte abgearbeitet werden und wie die Ergebnisse zustande kommen. Solange alles einwandfrei läuft, stellt dies auch kein Problem dar – wohl aber, wenn eine umfangreiche Prozesskette aus irgendeinem Grund zum Stillstand kommt.
Die Automatisierung bringt dem Betrieb viele Vorteile – einer davon ist, dass sie eine wichtige Grundlage für das IT-Risikomanagement ist. Automatisierung erhöht die Zuverlässigkeit und reduziert so Risiken verschiedener Art deutlich, richtig eingesetzt dient sie immer der Kostenersparnis. Durch optimierte Prozesse werden die Hardware-Ressourcen besser ausgenutzt und Neuanschaffungen können vermieden werden, zumindest aber später erfolgen. Unternehmen können länger mit den vorhandenen Ressourcen auskommen, da Leerläufe, z.B. wenn auf Benutzereingaben gewartet wird, wegfallen.
Umfragen zeigen immer wieder, dass mehr als die Hälfte der IT-Budgets für den laufenden Betrieb aufgewendet werden. Diese hohen Betriebskosten sind eine Innovationsbremse für die IT, und somit fürs gesamte Unternehmen. Automatisierung senkt die Betriebskosten, da für Routinetätigkeiten weniger Personal benötigt und die vorhandene Infrastruktur besser ausgenutzt wird. Die durch Automatisierung eingesparten Kosten stehen für innovative Projekte zur Verfügung. Das Risiko für das Gesamtunternehmen, aktuelle Marktentwicklungen aufgrund veralteter IT zu versäumen, sinkt. Bessere Ressourcennutzung und optimierte Abläufe reduzieren die gesamte Verarbeitungszeit. Das Risiko von Verspätungen wird so deutlich reduziert. Im Normalfall stehen die Ergebnisse früher zur Verfügung, das Management kann schneller auf Entwicklungen reagieren und Rechnungen können früher versandt werden.
Mögliche Verfahren
Als erster Schritt zur Einrichtung eines unternehmensweiten IT-Risikomanagements muss die für das jeweilige
Unternehmen beste Methode ausgewählt werden. Bewährte Standards für die Umsetzung von IT-Governance sind
"Best Practice"-Methoden wie etwa ITIL (IT Infrastructure Library) oder Cobit (Control Objectives for
Information and Related Technology). ITIL beschreibt die Prozesse, die dem IT-Betrieb zugrunde liegen. Diese
orientieren sich nicht an der Technik, sondern an den erbrachten Services. Cobit hingegen teilt die Aufgaben der
IT in Prozesse und Kontrollziele. Festgelegt wird also nicht die Art und Weise der Umsetzung, sondern lediglich
das Ziel eines Prozesses.
Automatisiertes Prozessmanagement umfasst auch die automatische Dokumentation aller ablaufenden Prozesse, eine wichtige Voraussetzung für spätere Überprüfungen. Ein weiterer Aspekt im Umfeld von Risikomanagement sind computergesteuerte Kontrollen. Anwendungseinstellungen, Abläufe, Logdateien etc. können automatisch auf Risikofaktoren überprüft werden. Üblicherweise laufen Kontrollen so ab, dass ein Report gestartet und die resultierende Liste manuell geprüft wird. Diese Prüfung wird dokumentiert und abgelegt, möglich sind meist nur Stichproben. Automatisierung ermöglicht demgegenüber eine genauere und durchgehende Prüfung zu geringeren Kosten.
Werden die Kontrollen automatisiert, entfällt der Aufwand für die Dokumentation, denn gute Automatisierungslösungen protokollieren die Kontrollen automatisch, einschließlich Durchführung und Ergebnis. Über ein mitgeliefertes Archivierungswerkzeug können diese Daten automatisch archiviert werden, um den gesetzlichen Anforderungen zu genügen.
