Risikoorientiertes Informationsmanagement

Eine der wichtigsten Aufgaben für eine erfolgreiche Unternehmensführung ist eine ausgewogene Balance zwischen Chancen und Risiken. Die mittel- und langfristige Festlegung der Unternehmensziele und deren strategische und operationale Umsetzung eröffnen dem Unternehmen notwendige Chancen für die weitere Entwicklung.

Ein aktives Risikomanagement ist eine notwendige Aufgabe zur Sicherung der Zielerreichung und des Unternehmenserfolgs gegen Abweichungen bezüglich getroffener Annahmen, unvorhergesehene Ereignissen und permanent vorhandenen Bedrohungen und Gefahren. Während viel Geld und Arbeit in die Innovationskraft und Kundenausrichtung des Unternehmens investiert werden, ist eine systematische und intensive Beschäftigung mit dem Thema Risiko in den meisten Unternehmen leider immer noch sehr unterentwickelt. Insbesondere kleinere und mittelgroße Unternehmen verkennen die Bedeutung des Risikomanagements für die langfristige Absicherung des Unternehmenserfolgs.

Die Leistungserbringung in den Unternehmen erfolgt in aller Regel auf der Basis mehr oder weniger gut dokumentierter Geschäftsprozesse. Effizienz, Kontinuität, Qualität und Sicherheit dieser Prozesse stellen wichtige Säulen des Erfolges dar, um Marktanteil und Profitabilität des Unternehmens zu sichern. Es gibt kaum noch Geschäftsprozesse, die nicht durch auf Informations- und Telekommunikationstechnik (ITK) basierenden Anwendungen und Infrastrukturen getragen werden. Eine besondere Herausforderung der modernen Wirtschaftswelt liegt zusätzlich in der zunehmenden Arbeitsteilung über die Unternehmensgrenzen hinaus, z.B. Auslagerung von Geschäftsprozessen und Infrastrukturdiensten an spezialisierte Dienstleistungsunternehmen bzw. Verteilung der Wertschöpfungskette über mehrere Unternehmen hinweg. Ebenso erhält der Schutz personenbezogener Daten auf der ganzen Welt ein immer stärkeres Gewicht.

Ineffizientes Vorgehen bindet Kapital für Investitionen in die Weiterentwicklung und Flexibilisierung der IT Infrastruktur und Architektur. Unterbrechungen aus welchen Gründen auch immer führen zur Unzufriedenheit bei den Kunden. Diese reichen von einfachen Beschwerden über unfreundliche und nicht kompetente Behandlung bis hin zu Schadensersatzforderungen im Falle längerer Unterbrechungen. Mangelnde Sicherheit kann zu Datenverlusten, Manipulationen und Nichtverfügbarkeiten der benötigten Daten und Informationen führen und damit eine wesentliche Ursache für Betriebsunterbrechungen darstellen. Permanente Korrekturen und Störfallbeseitigungen beeinträchtigen erheblich die Effizienz. Datenverluste können zu Vertrauensschäden bis hin zu Schadenersatzklagen und strafrechtlichen Verfahren führen.

Diese vielfältigen und komplexen Herausforderungen stellen daher besondere Anforderungen an das IT-Management in Bezug auf das Management der damit verbunden Risiken. Ein Ausfall an einer zentralen Stelle oder der Verlust bzw. die Manipulation von Daten und Informationen führt nicht selten zu schwerwiegenden Störungen im Betriebsablauf bis hin zur existenziellen Krise für das Unternehmen.

Eine Reihe von Managementsystemen, die in weiten Teilen bereits einem internationalen Standardisierungsprozess unterliegen, können durch eine enge Verzahnung erhebliche Synergieeffekte erzielen. Gleichzeitig kann diese innovative, integrierte Managementsystem-Landschaft als Grundlage für eine qualitative und quantitative Beurteilung des operationalen Risikomanagements dienen. Dieses Instrument schafft Verbesserungen von Qualität, Effizienz, Stabilität und Informationssicherheit in den IT-gestützten Geschäftsprozessen. Dabei handelt es sich im Wesentlichen um

•    Informationssicherheitsmanagement (ISO 27001)

•    Business Continuity Management bzw. Notfallmanagement nach BSI 100-4

•    IT Servicemanagement nach ISO 20000

•    Datenschutzmanagement auf Basis der jeweils landesbezogenen Gesetzgebung

•    Qualitätsmanagement nach ISO 9001

•    Risikomanagement nach ISO 31000

Alle diese Managementsysteme haben jeweils inhaltliche Überschneidungen, so dass die Implementierung Module aus den jeweils anderen Managementsystemen nutzen kann. Dies optimiert sowohl den kontinuierlichen Verbesserungsprozess als auch die Aufwände bei den regelmäßigen Audits zur Aufrechterhaltung der Zertifizierung. Eine Implementierung kann schrittweise erfolgen. Sinnvollerweise startet man mit dem Risikomanagement, um die wirtschaftliche Betrachtung in den Mittelpunkt der Entscheidungsfindungsprozesse zu stellen. Daraus ergibt sich automatisch eine Priorisierung der nachfolgenden Aktivitäten zur Risikominimierung.

zum Firmeneintrag