Beschreibung

Ziele eines Unternehmens

• Gewinnoptimierung, Marktetablierung, Existenzsicherung, ...
• Betrachtung von Risiken
• essenzieller Bestandteil unternehmerischen Handelns

Risiken nicht nur als Gefahr ansehen

• Chance und notwendige Voraussetzung für die Zielerreichung
• Risiken nicht rein negativ beurteilen
• mit Risiken richtig umgehen

Risiken in Chancen umwandeln

• Unternehmen muss jederzeit in der Lage sein
• unternehmensweit konsistente Ertrags- und Risikoinformationen zu ermitteln
• Effizientes Risikomanagement von strategischer Bedeutung
• wenn Risiken gesteuert und kontrolliert werden, trägt dies positiv und langfristig zu Unternehmenserfolg und Wachstum bei

Doppelrolle der Informationstechnologie

• Voraussetzungen für die Aggregation von Daten zu aussagefähigen Ertrags- und Risikoinformationen
• Erzeugt selbst Risiken

Standish Group im Jahre 2009 Umfrage

• Nur ein Drittel aller IT-Projekte werden im geplanten Zeit- und Budgetrahmen beendet
• fast die Hälfte diese Vorgaben nicht erfüllen
• der Rest wird abgebrochen

IT-Projekte

Gründe

• Expansion / Globalisierung der Geschäftstätigkeit
• Automatisierung von Geschäftsprozessen
• Steigende Abhängigkeit von Verfügbarkeit und Sicherheit der Datenverarbeitung
• Neuartige Geschäftsprozesse aufgrund steigender Marktdynamik durch neue Technologien
• Inhärenten Risiken bei IT-Projekten im Vergleich zu anderen Projekten

TMP

Motivation

Digitalisierung und Automatisierung

• Neue digitale Prozesse und Verfahren
• Analoge oder teilautomatisierte Prozesse und Verfahren werden ersetzt

Risikostrategien

• Durch den Fortschritt sowie erweiterten rechtlichen Anforderungen stellt sich die Herausforderung an die Organisationen, die Strategien zur risikoorientierten Geschäftsführung neu zu formulieren.

Risikomanagement

Organisationen sollten das Risikomanagement ganzheitlich und übergreifend verstehen lernen

• Das Risikomanagement sollte in alle wesentlichen Verantwortungsbereiche einer Organisation integriert werden
• Die Risikogebiete sollten auf der Basis der wesentlichen Verantwortungsbereiche für die Organisation spezifisch bestimmt werden
• Die größte Herausforderung des Risikomanagements ist es, zahlreiche, zum Teil hochspezifische, organisations- und abteilungsübergreifende Risikoszenarien zu bestimmen

Ausgangssituation

IT-Risiken sind in vielen Organisationen nicht hinreichend betrachtet und bewertet

• Die Ziele und Strategien der Organisationen sind häufig nicht auf die digitalisierten und automatisierten Prozesse und Verfahren abgestimmt
• Insbesondere ist die eingesetzte Informationstechnik (IT) oftmals nicht ausreichend als Teil der Wertschöpfung berücksichtigt.
• Daraus resultierend werden Risikolagen und Gefährdungsszenarien sowie die Schadensauswirkungen bei Zwischenfällen des IT-Betriebs unterschätzt
• Die Betrachtung der Informationssicherheit und IT-Sicherheit erfolgt ausschließlich unter Kostengesichtspunkten.
• Eine risikoadäquate Betrachtung der Informationssicherheit und IT-Sicherheit muss zunehmend unter Einbeziehung der Schadenspotentiale überdacht werden

Schlussfolgerungen

Die Einführung und der Betrieb eines Managementsystems für die Planung, Kontrolle und Lenkung des Risikomanagements ist erforderlich

• Organisationsspezifische Risikoszenarien entwickeln
• Relevante Geschäftsprozesse bestimmen
• Maßnahmen umsetzen
• Überwachung und Überprüfung
• Kontinuierliche Verbesserung

Risiko-Begriff

Risiko