Potenzielle “wesentliche” Risiken verstecken sich in (silicon-) Nachrichten wie beispielsweise: “der Anteil von IT-Projekten am Unternehmensgewinn wird bis 2015 der entscheidende Faktor sein”, “die Umsetzung von Big Data-Projekten dauert zu lange und bringt nicht die erwarteten Ergebnisse”, “die größte Herausforderung liegt im Bereich Personal”, “die Arbeitszeit im Bereich IT-Services sinkt um 25 Prozent”, “Bank x übernahm die Bank y”, “der Auslagerungsvertrag wurde gekündigt” oder “bis zum Jahr 2015 werden kritische Infrastrukturen der G20-Staaten durch Online-Sabotage beschädigt und zerstört”.
In zahlreichen (aufsichts-) rechtlichen Vorgaben und Standards wird von einem erhöhten Risikopotenzial oder von den “wesentlichen” Risiken gesprochen (z.B. §25a KWG, §64a VAG, MaRisk, COSO, CobiT, BSI 100). Auch die Begriffe “GoBS-Relevanz” und “wirtschaftlich bedeutsam” (gem. PrüfbV) weisen auf kritische Systeme und Verträge hin. Gemeint sind hiermit höhere Gefahrenpotenziale im Hinblick auf die Durchführung von Geschäften und die Zielerreichung eines Unternehmens. Diese wesentlichen Risiken müssen einer zusätzlichen Kontrolle und Steuerung unterworfen und an die Geschäftsleitung kommuniziert werden.
Eine mögliche Definition könnte sein: “Unter einem wesentlichen Risiko wird die Gefahr verstanden, dass Ereignisse, Handlungen oder Situationen eine Organisation daran hindern, die anvisierten Geschäftsziele punktgenau zu erreichen oder die gesetzten Strategien erfolgreich umzusetzen”. Das Gesamtjahresergebnis kann somit durch die “wesentlichen” Risiken beeinträchtigt werden.
Ist der Eintritt eines “wesentlichen” Risikos nicht zu verhindern, so können – dank rechtzeitiger Früherkennung und Planung – Maßnahmen aufgesetzt werden, um den Schaden einzugrenzen. Eine zusätzliche Absicherung erfolgt über eine Berücksichtigung der Risiken in der Preisgestaltung, die Übertragung des Risikos auf externe Partner und Versicherungen sowie die Unterlegung der operationellen Risiken durch Eigenmittel.
Von den für einen anvisierten Geschäftserfolg “wesentlichen” Risiken sind die nicht-wesentlichen Risiken zu differenzieren. Letztere haben nur eine geringe Auswirkung auf die Geschäftsziele bzw. die Umsetzung der Geschäftsstrategien. Sie können trotzdem für den einzelnen Mitarbeiter, wie beispielsweise einen Abteilungsleiter, einen Projektleiter oder den Verantwortlichen eines Vertrages, von großer Bedeutung sein. DIESE für den Geschäftserfolg nicht bedeutsamen Risiken werden im Weiteren nicht betrachtet, obwohl die untenstehenden Aussagen gleichfalls auf die nicht-wesentlichen Risiken und deren Behandlung übertragen werden können.
Ein erster Schritt wird es sein, die kritischsten Risiko-Objekte zu identifizieren, durch die es Auswirkungen auf die Zielerreichung geben kann. In den (aufsichts-) rechtlichen Vorgaben und bei Prüfungen wird der Fokus auf einige diesbezügliche “wesentliche” Risikoobjekte gerichtet. An oberster Stelle stehen die Auslagerungen, gefolgt von Verträgen, Projekten, Systemen (Security, betriebliche Aspekte, lückenhaftes Informationsmanagement) und Prozessen, die alle einer besonderen Aufmerksamkeit bedürfen. Die Liste muss individuell ergänzt werden um Risiko-Objekte wie “Beteiligungen”, “angebotene Produkte und Dienstleistungen”, “Geschäftsstrategien” (zum Beispiel Ausbau oder Reduzierung des Personals, Eintritt in das Cloud-Geschäft, Auslagerung der IT) oder “Risiken in organisatorischen Einheiten”.
Auffällig ist, dass in der Literatur primär von Geschäftsrisiken und weniger von IT-Risiken gesprochen wird. Die IT-Risiken sind Bestandteil der Geschäftsrisiken und gehen in diesen auf. Es wurde daher bei den Risiko-Objekten bewusst auf den Zusatz “IT” verzichtet, denn auch in Geschäftsprozess-Auslagerungen, in übergeordneten Projekten wie dem Bau eines Bürogebäudes, in Personalverträgen (z.B. Verwendung Internet für private Zwecke, Heimarbeitsplätze, Beurlaubung von IT-Mitarbeitern bei Auslagerungen) oder im Rahmen der Gruppensteuerung eines Konzerns können IT-Risiken auftreten. Sicherlich gibt es noch weitere institutionsspezifisch wichtige Risiko-Objekte, doch wurden hier im Hinblick auf den Begriff “Wesentlichkeit” nur die 7 bedeutendsten aufgeführt (Anm.: es wird von “Top 5 / 7 Risks” gesprochen, zurückführend auf die magische Zahl 7 +/- 2).
Für den Leser verwunderlich ist, dass die ihm bekannten “Sicherheits-Risiken” unter den Risiko-Objekten nicht aufgeführt wurden. Sicherheit ist nämlich EINES der wichtigsten, elementaren Risiken in ALLEN diesen Risiko-Objekten. So gibt es Sicherheits-Risiken nicht nur in Systemen und Prozessen (zum Beispiel Medienweiterleitung), sondern ebenso in Auslagerungen, in Verträgen, in Projekten oder auch in den Organisationseinheiten.
Wird die Literatur genauer studiert, so wird man neben Sicherheit auf weitere elementare Risiken hingewiesen:
Regulation and compliance (top 10 risks; Ernst & Young; Report 2010)
Managing talent
Cost cutting
Executing alliances and transactions
Maintaining infrastructure
Pricing pressures
Exit-Risk
Auch hier sollen abschließend die 7 wichtigsten elementaren Risiken eines Risiko-Objektes benannt werden:
1. Sicherheit (IT-Sicherheit, physische Sicherheit, Vertraulichkeit, Datenschutz, Business Continuity)
2. Produkt- und Dienstleistungsschwächen (-> Qualität, Effektivität)
3. Mängel im prozessbegleitenden Internen-Kontroll-System (IKS)
4. Der Mensch als Risikofaktor
5. Risiken aus geschäftspolitischen Entscheidungen
6. Compliance-Risiko (z.B. auch Korruption, Rechtsrisiko)
7. Changes (auch Marktveränderungen) und Exits
Jede Institution hat die Verpflichtung, ihre kritischen Risiken individuell einzuschränken, zu ergänzen und zu detaillieren.
Der Begriff “Wesentlichkeit” orientiert sich an den für ein Unternehmen kritischsten Risiko-Objekten und deren elementaren Risiken. Ein diesbezüglich eingewertetes wesentliches Risiko-Objekt kann Auswirkungen auf das Erreichen der Geschäftsziele bzw. die Umsetzung der gesetzten Geschäfts-strategien nach sich ziehen. Das Geschäftsergebnis ist somit gefährdet.
Die IT leistet – im Rahmen ihrer Kern-Funktionen – einen wichtigen Beitrag zur Erreichung der Geschäftsziele. Sie trägt somit zum Gesamtrisiko eines Unternehmens erheblich bei.
Welche konkreten Objekte nun “wesentlich” sind, kann nur aus einer Risikoinventur abgeleitet werden. Hierzu ist es unabdingbar, dass vorher die kritischsten IT-Risiko-Objekte im Unternehmen identifiziert und auf eine übersichtliche Zahl eingeschränkt werden. Für alle diese Objekte müssen Risikoinventuren aufgesetzt werden, in denen die elementaren Einzel-Risiken individuell festzulegen und zu bewerten sind. “Rote” Einzel-Risiken oder ein “rotes” Gesamt-Risiko – beispielsweise abhängig von einem Schadens-Schwellwert oder einer qualitativen Einschätzung der Risiko-Auswirkung – führen im Ergebnis dazu, dass das zugehörige Objekt “wesentlich” im Hinblick auf die Zielerreichung ist und entsprechend einer Risikobehandlung zugeführt werden muss.
Lesen Sie auch meine weiteren Artikel:
Wie veränderten sich die Inhalte von IT-Risiken?
Identifizierung von IT-Risiken: Wer kann hierbei unterstützen?
Vielfach hat die Coronapandemie bestehende IT-Strukturen aufgebrochen oder gar über den Haufen geworfen – gefühlt.…
Das Covid-Jahr 2020 konnte die digitale Transformation nicht ausbremsen. Sogar ganz im Gegenteil: Viele Unternehmen…
Nach Angaben der Weltbank fehlt mehr als einer Milliarde Menschen ein offizieller Identitätsnachweis. Ohne den…
Das Thema Nachhaltigkeit ist seit vielen Jahren fester Bestandteil des Selbstverständnisses vieler Unternehmen. Wenig verwunderlich,…
Unternehmen sammeln eine Vielzahl von Daten. Doch IDC Analysten fanden in ihrer aktuellen Studie „IDC‘s…
COVID-19 hat 2020 sowohl Gesellschaft als auch Wirtschaft bestimmt. Unbestritten ist auch die katalytische Wirkung,…