Information & IT Risk Management
Unternehmensweite Identifikation, Bewertung und Migitation von Risiken für Informations- und IT-Assets.

Methodische und technische Herausforderungen

Integration verschiedener Zielgruppen in den Risikomanagement Prozess
Ein modernes Informations Risikomanagement System aggregiert die risikobezogenen Sichtweisen unterschiedlicher Zielgruppen (beispielweie Geschäftsprozess-Owner, Service-Manager, Systemverantwortliche) des Unternehmens zu einem gemeinsamen "Big Picture". Dieser Anspruch erfordert von einem GRC-System Informationen der Adressaten Informationen in adäquater Weise zu erheben sowie diese Informationen auf normalisierter Ebene automatisch zusammenzuführen.

Identifikation des IRM Scopes bei komplexen Organisations und Prozess Strukturen
Gerade in Unternehmen mit vielen Standorten erfordern die Identifikation von Unternehmenswerten und die Definition des Geltungsbereiches für das Risikomanagement einen tiefen Einblick in die Abläufe und Ressourcen des Unternehmens. Dies gilt verstärkt in Unternehmen mit heterogenen IT-Strukturen. Ein GRC-Tool für IRM muss den Anwender dabei unterstützen komplexe Strukturen aus Organisationseinheiten, Prozessen, Services, und IT-Assets abzubilden und zu verwalten.

Identifikation der Risiken - zentral und dezentral
Je nach Unternehmen werden Risiken zentral in Katalogen erhoben oder aber in Workshops zusammen mit den jeweiligen Verantwortlichen erarbeitet. Ein GRC-Tool muss dem Rechnung tragen indem es sowohl zentrale als auch dezentrale Erhebung von Risiken ermöglicht.

Bewertungsmethodik - qualitative Bewertung und Integration ins ERM
Typischerweise orientiert sich die Bewertungsmethodik beim Information Risk Management stark an qualitativ erhobenen Merkmalen wie Eintrittswahrscheinlichkeiten und Auswirkungen. Ergänzt werden diese Indikatoren um die verbale Beschreibung der Risiken. Hier ergibt sich die Herausforderung eine Methodik zu entwickeln welche die Ergebnisse aus dem durch qualitative Kriterien bewerteten IRM in das eher quantitativ geführte Enterprise Risk Management zu übernehmen.

Lösungsbeschreibung

Der Scope mit den vom Risikomanagement betrachteten Firmenwerten wird zunächst zentral erhoben und in einem Asset Modell abgebildet. So werden die komplexen Beziehungen zwischen Organisationseinheiten, Prozessen, Services und IT-Assets modelliert und die Grundlage für eine Verrechnung geschaffen.

• Die risk2value® GRC Suite bietet Unternehmen dank eines flexibel anpassbaren Bewertungsmodells die Möglichkeit bestehende IRM Methodiken weiterzuführen oder zu erweitern. Dabei spielt die Aggregation von Werten über die Organisationshierarchien eine große Rolle für die Möglichkeit individuelle Reports für Stakeholder wie Service Manager oder IT-Verantwortliche zu erstellen.
• Nach der erfolgreichen Erfassung und Bewertung von Risiken erfolgt die Risikomigitation. risk2value bietet Ihnen die Möglichkeit all ihre präventiven oder korrektiven Maßnahmen zur Risikosteuerung abzubilden und zu überwachen. Außerdem haben Sie die Möglichkeit die Umsetzung der Risikosteuerung durch die Definition und Nachverfolgung von Arbeitspakten zu überwachen.
• Die Ergebnisse der Bewertung, Aggregation und Migitation können in Live Reports im System direkt kontrolliert werden. Zusätzlich bietet risk2value® die Möglichkeit die Ergebnisse als OLAP Cube zu exportieren. So können die Daten in anderen Systemen weiterverwendet werden, durch Zugriff mit Microsoft Excel in individuelle Stakeholderreports aufbereitet werden oder in Microsoft Sharepoint Dashboards dargestellt werden.

Die risk2value® Scorecard für das Information & IT Risk Management beinhaltet üblicherweise folgende Strukturen (vereinfacht, siehe Grafik):

• Asset- und Service-Strukturen - sie beinhalten üblicherweise den zu bewertende Assets, Asset-Gruppen, IT-Services sowie den organisatorischen Aufbau (Verantwortungsbereiche, Business Units, etc.)
• Geschäftsprozesse - sie ermöglichen es Risiken nicht nur der Verantwortlichkeit von Risiko-Ownern zuordnen zu können sondern auch den betroffenen Geschäftsprozessen
• Risikokataloge - sie dienen als Basis für die Identifikation und Bewertung von Risiken durch die Asset- oder Service-Owner und können hierarchisch (nach Kategorien, Subkategorien, etc.) aufgebaut sein. Durch die Verwendung von Risikokatalogen kann auch identifiziert werden, welche Risiken an mehreren Stellen in der Organisation zu Schäden führen können um bei in der gesamten Organisation oft auftretenden Risiken beispielsweise zentrale Mitigations-Strategien zu entwickeln
• Aktivitäts-Management - Aktivitäts-Elemente wie Projekt- und Sicherheits-Maßnahmen, Audit-Feststellungen, Sicherheitsvorfälle oder Ausnahmeregelungen können ebenfalls in der Scorecard hinterlegt und zu konkreten Risiken und Organisationsbereichen zugeordnet werden. Diese Aktivitäten werden dann vom zentralen, workflowgesteuerten Maßnahmenmanagement und -tracking verwaltet. Dies ermöglicht beispielsweise auch Auwertungen über die Anzahl an offenen geordnet nach Krititkalität in den unterschiedlichen Gesellschaften, Business Units oder IT-Services.

Key Points

• Abbildung kundenspezifischer Bewertungsmethoden für Business Impact, Risikoanalyse und Control-Assessments
• Workflowgestütztes Maßnahmenmanagement
• Zentrale Steuerung und Überwachung des Assessment-Fortschritts
• Dezentrale Durchführung der Assessments über den Webbrowser
• Automatiche Historisierung von Informationen / Bewertungen
• Nachvollziehbarkeit aller Änderungen
• Einfaches und hochqualitatives Risiko-Reportig mittel OLAP Technologie

Zurück zur Übersicht der GRC-Lösungen