IT-Governance. im Kontext Risikomanagement. Dissertation am Institut für Wirtschaftsinformatik Dipl. Ing. Dr. Manfred Stallinger, MBA

Transkript

1 IT-Governance im Kontext Risikomanagement Dissertation am Institut für Wirtschaftsinformatik Dipl. Ing. Dr. Manfred Stallinger, MBA unter der Betreuung von o. Univ.-Prof. Dipl.-Ing. Dr. Gustav Pomberger o. Univ.-Prof. Dr. Friedrich Roithmayr IT-Governance im Kontext Risikomanagement

2

3 IT-Governance im Kontext Risikomanagement DISSERTATION zur Erlangung des akademischen Grades Dr. rer. soc. oec. Doktoratsstudium der Sozial und Wirtschaftswissenschaften angefertigt am Institut für Wirtschaftsinformatik Eingereicht von: Dipl. Ing. Dr. techn. Manfred Stallinger, MBA Betreuung: o. Univ.-Prof. Dipl.-Ing. Dr. Gustav Pomberger o. Univ.-Prof. Dr. Friedrich Roithmayr Linz, Mai 2007

4

5 IT-Governance im Kontext Risikomanagement I Widmung Diese Arbeit widme ich meiner Familie, insbesondere meiner Frau Gabriele

6 II IT-Governance im Kontext Risikomanagement

7 IT-Governance im Kontext Risikomanagement III Eidesstattliche Erklärung Ich erkläre an Eides statt, dass ich die vorliegende Dissertation selbstständig und ohne fremde Hilfe verfasst, andere als die angegebenen Quellen und Hilfsmittel nicht benutzt sowie die wörtlich oder sinngemäß entnommenen Stellen als solche kenntlich gemacht habe. Goldwörth, Mai 2007

8 IV IT-Governance im Kontext Risikomanagement

9 IT-Governance im Kontext Risikomanagement V Vorwort Die Dissertation ist ein wichtiger Abschnitt in meiner Arbeit zum Thema Risikomanagement in der Informationstechnologie. Mein Ziel dabei ist, potentielle Bedrohungen aus dem Einsatz der IT im Unternehmen in quantitativ wertbarer Größe darstellen und anerkannten Hard Facts aus der Bilanzanalyse als gleichwertige Kenngrößen gegenüberstellen zu können. Aus der quantitativen Bewertung sollen Antworten auf Fragen nach einem notwendigen und nutzbringenden Einsatz der IT im Unternehmen gefunden werden. Ein sehr wichtiges Etappenziel in meinem Engagement zum Thema Risikomanagement ist, den wissenschaftlichen Nachweis zu erbringen, dass die im Rahmen meiner Arbeit entwickelte neue Methode zur Implementierung eines Risikomanagement Prozesses mit der Bezeichnung CRISAM den zugrundegelegten Hypothesen entspricht. Die intensive Beschäftigung mit dem Themenbereich, besonders jedoch die betriebswirtschaftlich dominierte Nutzenbetrachtung eines bisher technikorientierten Fachgebietes, hat sich als große Herausforderung dargestellt. Die Herausforderung jedoch meistern zu können, wäre ohne die tatkräftige Unterstützung aus meinem privaten, universitären und auch beruflichen Umfeld nicht gelungen. Dafür möchte ich alle jenen danken, auf deren Hilfe ich in der anspruchsvollen Zeit zählen konnte. In erster Linie möchte ich an der Stelle besonders meiner Frau Gabriele danken, die neben vielmaligem Korrekturlesen meiner Arbeit mir auch viel Toleranz entgegengebracht hat. Auch meine Kinder Sonja, Wolfgang und Alexandra haben das enge Zeitbudget, das für meine Familie zur Verfügung blieb, akzeptiert. Besonderer Dank gilt Herrn Prof. Dr. Gustav Pomberger, der mir als Institutsvorstand und Betreuer meiner Arbeit am Institut für Wirtschaftsinformatik der Johannes Kepler Universität Linz die Möglichkeit zur Erarbeitung meiner Dissertation gegeben hat. Herrn Professor Dr. Friedrich Roithmayr, der die Aufgabe des Zweitbegutachters übernommen hat, möchte ich ebenfalls herzlich danken. Auch den Kollegen aus meinem Unternehmen, hier vor allem jener enge Kreis, der mir bei der Entwicklung des Vorgehensmodelles CRISAM mit kreativer und auch kritischer Unterstützung zur Seite stand, gilt ein herzliches Dankeschön; danke an Günther Angerbauer, Herbert Putz, Gerhard Jessner und auch Stefan Barth.

10 VI IT-Governance im Kontext Risikomanagement Besonders das kritische Hinterfragen meiner aufgestellten Theorien und Hypothesen, mit der Verpflichtung sie auch wissenschaftlich darzustellen und deren Gültigkeit nachzuweisen, haben wesentlich zur Qualität beigetragen. Noch einen Satz des Dankes möchte ich an Professor Dr. Rechenberg richten, der mir mit seinem Buch Technisches Schreiben wichtige Hilfestellung gegeben hat, um Klarheit, Kürze, Klang und Einfachheit in meine Arbeit zu bringen. Es war nicht immer leicht seine Anregungen in die Tat umzusetzen, dennoch hat das Bemühen sie konsequent anzuwenden meine Arbeit stets begleitet. Risiken managen heißt auch Ziele erreichen. Der berühmte chinesische Denker Konfuzius, hat bereits vor sehr langer Zeit einen zum Thema Risikomanagement passenden Ausspruch getätigt. Wer das Ziel kennt, kann entscheiden. Wer entscheidet, findet Ruhe. Wer Ruhe findet, ist sicher. Wer sicher ist, kann überlegen. Wer überlegt, kann verbessern. Konfuzius ( v. Chr.) Manfred Stallinger

11 IT-Governance im Kontext Risikomanagement VII Inhalt 1 EINLEITUNG Risikomanagement warum? Zielsetzung der Arbeit Fragestellungen aufgrund der Zielsetzung und Hypothesen Methodische Vorgehensweise Erwartete Ergebnisse Abgrenzung und Einordnung der Arbeit Gang der Untersuchungen Aufbau der Arbeit Leserhinweise 11 2 GRUNDLAGEN UND BEGRIFFE Governance Corporate Governance IT-Governance Sicherheit und Risiko Sicherheit Schutzziel und Schutzbedarf Risiko Operationales Risiko Strategisches Risiko Bewertung von Risiken Risikomanagement Aufgaben und Verantwortungen im IT-Risikomanagement Risikomanagementprozess Rating Wertschöpfung Stand der Technik 32

12 VIII IT-Governance im Kontext Risikomanagement Was ist der Stand der Technik? Wer definiert den Stand der Technik? Ähnliche Begriffe zum Stand der Technik Best Practice, Norm und Standard Norm und Standard Best Practice 35 3 EINE GOVERNANCE STRATEGIE FÜR DIE IT Corporate Governance Corporate Governance Ein Rahmenwerk auch für Ethik und Moral Corporate Governance Kodex OECD-Prinzipien für Corporate Governance Corporate Governance in Österreich IT-Governance Teil einer Corporate Governance Strategie IT-Governance Lebenszyklus Risk Management und Alignment IT-Governance und Kapitalmarkt Basel II Solvency II IT-Governance und Recht Vorschriften aus der Rechtsbeziehung Dritter Vorschriften aus der Sorgfaltspflicht in der Buchführung Sarbanes Oxley Act Vorschriften aus der unternehmensinternen Aufsicht IT-Governance und Markt IT-Governance Referenzmodelle COBIT ISO 2700x BSI IT-Grundschutzhandbuch Österreichisches Sicherheitshandbuch 58 4 RISIKOMANAGEMENT EIN PROZESS ZUR EINHALTUNG DER IT- GOVERNANCE Das Richtige richtig, risikobewusst und fortwährend tun! Aligment der IT an die Corporate Governance Strategie Ein Managementsystem zur kontinuierlichen Verbesserung PLAN-DO-CHECK-ACT Zyklus Risikomanagement verlangt messbare Größen 66 5 IT-RISIKO AUS BETRIEBSWIRTSCHAFTLICHER SICHT 69

13 IT-Governance im Kontext Risikomanagement IX 5.1 Risiken aus dem Einsatz der IT im Unternehmen Der Wert des IT-Risikos Kosten und Nutzen der IT im Kontext der unterstützten Geschäftsprozesse IT-Risiko Eine Folge positiver und negativer Cashflows Der Schaden entsteht am unterstützten Objekt Der Wert des risikobedingten Cashflows? Value at Risk (VaR) Risiko und die Pflicht der finanziellen Darstellung im Jahresabschluss Eine Kennzahl zur Darstellung von Risiko Rating - ein anerkanntes Kennzahlensystem in der Betriebswirtschaft Rating von Versicherungsunternehmen Anwendung der Ratingkennzahlen Rating von Versicherungsunternehmen Risikoadäquanz und Solvency II Risk Based Capital Ansatz S&P Versicherungsrating Ansatz S&P s Ratingprozess in der Versicherungswirtschaft Risk-Based-Capital-Ansatz entsprechend dem Standard & Poor s Ratingmodell Die Informationstechnologie - Verursacher von Vermögensschäden Das Werkzeug Informationstechnologie Risikofaktor IT ein potentieller Verursacher von Sach- und Vermögensschäden? Das Unternehmen ist Versicherer erster Instanz Risk Based Capital für die IT CRISAM - EIN NEUER ANSATZ FÜR DAS MANAGEMENT IT- RELEVANTER RISIKEN CRISAM - Corporate Risk and IT-Security Application Method Zielsetzung von CRISAM Rating identifizierter IT-Risiken Berechnung im CRISAM Risikobaum Auswirkung IT-relevanter Risiken auf Geschäftsprozesse CRISAM zugrunde gelegte Hypothesen VALIDIEREN DER METHODE CRISAM Vorgehensweise CRISAM - Business Alignment Modell IT-Relevanz Risikokorrelation auf Prozessebene 129

14 X IT-Governance im Kontext Risikomanagement 7.3 CRISAM - Ratingmodell Unternehmen ist Erstversicherer der Unternehmens-IT S&P`s Ratingprozess wird in CRISAM analog übernommen Das Risk Based Capital entspricht der Risk Based Quality CRISAM - Risikobaummodell Substituierte Eintrittswahrscheinlichkeit Quantifizierte Qualitätswerte Risikoaggregation Zusammenfassung der Validierung ERKENNTNISSE UND AUSBLICK Erkenntnisse IT-Risikomanagement ist Chefsache Risikomanagement ist Chancenmanagement mit positiv darstellbarem Kapitalwert IT generiert Wertschöpfung Das Unternehmen unterliegt einer externen Risikobewertung Die Bedeutung der IT als kritischer Erfolgsfaktor nimmt weiter zu Standards und Normen verlangen eine quantitative Risikobewertung Die rechtliche Relevanz beim Einsatz der IT im Unternehmen wird strenger reguliert und geprüft Nutzen für die Zukunft Die Risikobewertung basiert auf bereits bewährten und anerkannten Modellen Die Risikobewertung erfolgt nach objektiven, nachvollziehbaren und personenunabhängigen Kriterien Prüfer, Gutachter und Auditoren beurteilen einen formalisierten, nachvollziehbar dokumentierten und transparenten Managementprozess Eine kompatible Risikobewertung zu Kennzahlen anderer Unternehmensbereiche ANHANG Beschreibung der S&P, sowie CRISAM Ratingklassen IT-Governance Referenzmodelle CV CURRICULUM VITATE LITERATURVERZEICHNIS GLOSSAR 191

15 IT-Governance im Kontext Risikomanagement XI 13 ABKÜRZUNGSVERZEICHNIS STICHWORTVERZEICHNIS 205

16 XII IT-Governance im Kontext Risikomanagement

17 IT-Governance im Kontext Risikomanagement XIII Abbildungen Bild 1: Die Arbeit im Kontext des Research Framework von March and Smith (1995) 7 Bild 2: Aufbau und Struktur der Arbeit 10 Bild 3: Corporate Governance Umfeld 15 Bild 4: Zusammenhang RISIKO und SICHERHEIT 18 Bild 5: Risikoabdeckung operativer Risiken 22 Bild 6: Relation Häufigkeit und Schadenshöhe 25 Bild 7: Wirkung der IT auf den möglichen, maximalen Schaden eines Geschäftsprozesses 27 Bild 8: Risikomanagement Hierarchie 28 Bild 9: Steuerungsmatrix der Corporate Governance [WIEL-2002] 38 Bild 10: IT-Governance-Lebenszyklus 42 Bild 11: Wertschöpfungskette in der Produktion eines Fahrzeuges 52 Bild 12: COBIT Prozessmodell 54 Bild 13: Plan-Do-Check-Act (PDCA) Zyklus des Informationssicherheitsmanagements 56 Bild 14: Modell des BSI Grundschutz 57 Bild 15: Einordnung des Österreichischen IT-Sicherheitshandbuches [SCHAUM-2002] 58 Bild 16: PDCA-Zyklus 63 Bild 17: Kaskadierte Regelkreise in einem Managementsystem 65 Bild 18: Unternehmensübergreifender IT-Governance Prozess 65 Bild 19: Ableitung der strategischen Unternehmensziele 66 Bild 20: Risikomanagement zur Aggregation der Abweichung von Unternehmenszielen 67 Bild 21: Das Unternehmen im Spannungsfeld der Umwelt - Five-Forces -Modell von Porter. 71 Bild 22: Erweitertes Modell von Porter 73 Bild 23: Der Wert der IT für das Unternehmen 74

18 XIV IT-Governance im Kontext Risikomanagement Bild 24: Wechselwirkung Kosten Nutzen bei IT-Investitionen 75 Bild 25: Capital Asset Pricing Model (CAPM) nach Harry M. Markowitz Bild 26: IT-Risiko aus der Betrachtung von Cashflows 78 Bild 27: Real Option Theorie Tomatengarten nach Luehrmann 82 Bild 28: VaR Value at Risk 84 Bild 29: S&P Interactive Ratingprozess 97 Bild 30: Die Rolle der IT im Unternehmen 100 Bild 31: Erstversicherer und Rückversicherungskette bei Sach- und Vermögensschäden 104 Bild 32: Unternehmens-IT und deren Rückversicherungskette bei Sach- und Vermögensschäden 105 Bild 33: CRISAM Implementierungmethode 110 Bild 34: S&P s Rating CRISAM Rating 114 Bild 35: Modell des CRISAM Risikobaum am Beispiel 115 Bild 36: Struktur eines Baumelementes 117 Bild 37: Bewertung im Kontext der IT-Unterstützung 118 Bild 38: CRISAM zugrunde gelegte Modelle und Konzepte 122 Bild 39: Relevanz der IT für den unterstützten Geschäftsprozesses 127 Bild 40: Flexibilität der Business Alignment Funktion 128 Bild 41: TriRisk-Konzept von Schulte-Mattler 130 Bild 42: VaR-Vektoren als Funktion des Korrelationskoeffizienten 130 Bild 43: TriRisk Watch [SCHULTE-2000] 131 Bild 44: Metrik zur Bildung der Risk Based Quality 138 Bild 45: Ausfallwahrscheinlichkeit einer Stromversorgung in Abhängigkeit von der Ausfalldauer 140 Bild 46: Zusammenhang Verteilungsfunktion f() und der Qualität betrachteten Objekts 142 Bild 47: Ratingkennzahl - eine Funktion der Varianz 143 Bild 48: Ermittlung des Erfüllungsgrads 145 Bild 49: Qualität eine Funktion der Varianz 147 Bild 50: Rating - eine Zuordnung zu einer Kategorie gleichwertiger Varianz 148 Bild 51: Unternehmens-IT - ein Portfolio zueinander korrelierter Einzelrisiken 150 Bild 52: Schadenssimulation durch Fehlerbaumanalyse 153 Bild 53: UND Verknüpfung als Serienschaltung von Elementarereignissen 155

19 IT-Governance im Kontext Risikomanagement XV Bild 54: ODER Verknüpfung als Parallelschaltung von Elementarereignissen 156 Bild 55: IT Infrastrukturrisiko - ein Portfolio von zueinander korrelierten Qualitätswerten 158 Bild 56: Transformation des CRISAM Risikobaums in eine formale Baumstruktur 163

20 XVI IT-Governance im Kontext Risikomanagement

21 IT-Governance im Kontext Risikomanagement XVII Tabellen Tabelle 1: Versicherungsratingsysteme der marktdominierenden Ratingunternehmen 88 Tabelle 2: RBC - Interventionsebenen der Aufsichtsbehörde 95 Tabelle 3: Capital Adequacy Ratio und Ratingkennzahl 99 Tabelle 4: Umsetzung des S&P`s Ratingprozesses im CRISAM Implementierungsprozess 134 Tabelle 5: Eigenschaften Fehlerbaum vs. Risikobaum 162 Tabelle 6: S&P und CRISAM Ratingklassen 180 Tabelle 7: IT-Governance Referenzmodelle [AG-ON-2005] 181

22 XVIII IT-Governance im Kontext Risikomanagement

23 IT-Governance im Kontext Risikomanagement XIX Zusammenfassung Die Häufung von Schieflagen und Unternehmenspleiten in den letzten Jahren, sowie das Platzen der "New-Economy-Blase" führten zu gesteigerten Überwachungspflichten der Vorstände einer Aktiengesellschaft. Dem Trend entgegenzuwirken, wurden verschiedene Normen, Vorschriften und Gesetze neu geschaffen oder verschärft, die den Leitungsorganen eine Implementierung eines nachvollziehbaren Risikomanagements auferlegen. Zusätzlich zu finanzwirtschaftlichen Risiken sind Bedrohungen aus dem operationalen Geschäft zu bewerten und entsprechende Maßnahmen zu ergreifen. In den USA wurde mit dem Sarbanes Oxley Act ein Gesetz geschaffen, das an der US- Amerikanischen Börse notierende Unternehmen zur Umsetzung der in dem Act vorgeschriebenen Corporate Governance Regeln verpflichtet. Neben den aus neuen Gesetzen und Verordnungen verstärkten Anforderungen zu einer nachvollziehbaren und risikotransparenten Corporate Governance, verschärfen die Bankenaufsicht mit Basel II, sowie die Versicherungsaufsicht mit Solvency II den Druck auf Kredit- und Versicherungsunternehmen. Sowohl Basel II als auch Solvency II fordern ein kontinuierlich betriebenes und umfassendes Risikomanagement unter Berücksichtigung der operationalen Risiken. Damit gilt der daraus generierte Druck zur Einhaltung der Corporate Governance Regelungen auch den versicherungs- und kreditnehmenden Unternehmen in der Wirtschaft. Der Begriff Corporate Governance steht dabei für die gesteigerte, verantwortungsvolle und auf langfristige Wertschöpfung ausgerichtete Unternehmensführung und -kontrolle. Die daraus resultierende Verschärfung der Sorgfaltspflicht für letztendlich verantwortliche Vorstände und Geschäftsführer erfordert ein leistungsfähiges und effizientes Informationsmanagement. Da aufgrund der komplexen, im Unternehmen implementierten Geschäftsprozesse das Informationsmanagement ohne Unterstützung der Informationstechnologie nicht mehr konkurrenzfähig betrieben werden kann, nimmt die IT im Kontext des Corporate Governance einen sehr hohen Stellenwert ein. Die besondere Bedeutung der IT für eine verant-

24 XX IT-Governance im Kontext Risikomanagement wortungsvolle Unternehmensführung wird unter dem Begriff IT-Governance zusammengefasst. Die Auswirkungen der Corporate Governance Regelungen und der IT-Governance im Speziellen auf Unternehmen aus der Betrachtung marktwirtschaftlicher, finanzwirtschftlicher und rechtlicher Risiken, werden im ersten Schwerpunkt der Arbeit detailliert beleuchtet. Das Management IT-relevanter Risiken im Sinne der IT-Governance umfasst jedoch mehr als Wahrscheinlichkeiten für eine Fehlfunktion des IT-Systems abzuschätzen, oder die Gefahr potentieller Einbrüche aus dem Internet zu bewerten. Ein ordnungsgemäß betriebenes IT-Risikomanagement hat die Aufgabe, Risiken aus der Unterstützung von (wertschöpfenden) Geschäftsprozessen durch IT-Applikationen nach monetär- und nutzenorientierten, sowie quantifizierbaren Kriterien nachvollziehbar zu bewerten und zu steuern. Im Zuge der Arbeit wurde dafür eine neue Methode zur Implementierung eines Risikomanagementprozesses mit dem Namen CRISAM entwickelt, der im zweiten Schwerpunkt der Arbeit dargestellt wird. Zusammenfassed kann CRISAM als Vorgehensmodell beschrieben werden, das Risiken nach einer anerkannten Vorgehensweise für kritische Systeme, analog der in der DIN festgelegten Fehlerbaumanalyse bewertet. Daraus resultierende Ergebnisse werden mit deren Relevanz für das Unternehmen gewichtet und in einer, dem Management bekannten Skala, den Standard&Poor`s Ratingkennzahlen, dargestellt. Risiko wird dabei als die Gefahr einer Fehlabweichung von einer vom Management vorgegebene Kennzahl definiert. Dieser Vorgabewert zur Bewertung der Fehlabweichung wird aus der Unternehmensstrategie in Form eines Zielratings in der Informationssicherheitspolitik festgelegt. Durch die sehr enge Bindung zur Unternehmensstrategie und den Bezug zum operationalen Geschäft, wird der Managementprozess so exakt als möglich auf das Unternehmen ausgerichtet. Ein wesentliches Augenmerk wurde auf die Anwendung anerkannter und bewährter Methoden und Modelle zur Bewertung und Beurteilung von Risiken gelegt (Fehlerbaumanalyse nach DIN und Risk Based Capital Ansatz aus Solvency II). Zur Beurteilung und Messung operationaler Risiken wurden diese für die Anwendung in CRISAM modifiziert, ohne jedoch ihre Gültigkeit zu verlieren. Zum Abschluss der Arbeit wird der wissenschaftliche Nachweis erbracht, dass die durchgeführten Adaptierungen zulässig und die zugrunde gelegten Hypothesen richtig und im Sinne einer Falsifikation nicht falsifiziert sind.

25 IT-Governance im Kontext Risikomanagement XXI Summary The accumulation of financial unevenness and cases of bankruptcy in previous years as well as the bursting of the new economy bubble have led to increased supervisory laws on the part of the executive boards of stock corporations. In order to counter the trend, several standards, laws, rules and regulations have been created or stiffened. They impose the implementation of traceable risk management upon the management body of public companies. In addition to fiscal risk assessment possible threats stemming from operational business are to be rated and appropriate measures have to be taken. In the United States of America, the Sarbanes Oxley Act obliges companies listed on the US stock exchange to execute the prescribed corporate governance rules. Along with more stringent requirements for traceable, risk-transparent corporate governance, the pressure on credit institutes and insurance companies is intensified by prudential supervision (Basel II) and insurance control (Solvency II). Both Basel II and Solvency II demand a continuous and comprehensive risk management which takes into account operational risks. The resulting pressure to comply with corporate governance rules applies accordingly to commercial policy-holders and borrowing companies. The term corporate governance in this context denotes responsible business management and business control in line with long-term added value. The resulting intensification in due diligence for responsible chief executive officers and boards of directors calls for a powerful, efficient information management. As the business processes implemented in companies have become quite complex, effective information management on a competitive basis needs the support of information technology. It does not come as a great surprise, then, that IT ranks very high in the context of corporate governance. The specific significance of IT with regard to a responsible corporate management is summarized in the term IT governance. The first main part of the paper illustrates in detail the impacts of corporate governance rules and in particular the effects of IT governance on companies in view of market economy risks, financial management risks and judicial hazards.

26 XXII IT-Governance im Kontext Risikomanagement The management of IT-relevant risks, however, comprises considerably more than assessing the probability of an IT system malfunction or the potential threats of cybercrime. A methodical IT risk management also needs to assess and control risks deriving from the support of (value-added) processes by IT applications according to monetary and valueoriented criteria in a traceable way. CRISAM (Corporate Risk and IT-Security Application Method), a newly developed approach to implement a risk management process, is portrayed in the second main part of the paper. To sum it up CRISAM may be described as a method of assessing risks according to an acknowledged procedure for critical systems along the lines of the fault tree analysis as defined in DIN The resulting conclusions are weighted according to their relevance to the company and displayed on a chart well-known to the management: the ratings of Standard & Poor s. Risk is thereby defined as the danger of a variance from an index number predetermined by the management. The standard value for the assessment of the variance is preassigned by the corporate strategy as a target rating in information security. Because of its very strong ties to the corporate strategy and iits connection to the operational business, the management process is directed to the company as accurately as possible. Substantial attention was turned to the use of recognized and reliable methods and theories for risk assessment (fault tree analysis as defined in DIN and Solvency II risk based capital standards). For the assessment and rating of operational risks they were modified in CRISAM without losing their validity. Finally, scientific proof is furnished that the implemented adjustments are valid and that the underlying hypotheses are both correct and not falsified in terms of a falsity.

27 Einleitung 1 1 Einleitung 1 EINLEITUNG Risikomanagement warum? Zielsetzung der Arbeit Fragestellungen aufgrund der Zielsetzung und Hypothesen Methodische Vorgehensweise Erwartete Ergebnisse Abgrenzung und Einordnung der Arbeit Gang der Untersuchungen Aufbau der Arbeit Leserhinweise 11

28 2 IT-Governance im Kontext Risikomanagement 1.1 Risikomanagement warum? Corporate Governance ist jener Sorgfaltsmaßstab, den Vorstände und Geschäftsführer in ihrer Führungsfunktion zur Sicherstellung der Nachvollziehbarkeit und Transparenz im Unternehmen zugrunde legen müssen [WIEL-2002]. Aufgrund der Unterstützungsfunktion für nahezu alle Geschäftsprozesse nimmt die Informationstechnologie mittlerweile die Rolle eines absolut kritischen Erfolgsfaktors ein. Aus der engen Verknüpfung der wertschöpfenden Geschäftsprozesse und der z.t. erfolgskritischen Unterstützung der IT im Unternehmen, ist der aus den Corporate Governance Regelungen abgeleitete Sorgfaltsmaßstab auch für die Unternehmens-IT als IT-Governance bindend. Unternehmenszusammenbrüche aufgrund mangelnder Voraussicht und Vorsorge für potentielle Bedrohungen, damit einhergehend das Entstehen neuer Gesetze, Verordnungen und Vorschriften (wie z.b. Basel II 1, Solvency II 2, Sarbanes Oxley Act 3 ), sowie freiwillige Vorsorgemaßnahmen (wie z.b. Corporate Governance Kodex) zwingen Unternehmen in zunehmendem Maße ihre bestehende Unternehmens- und Führungskultur zu überdenken. Bildlich gesprochen muss ein Manager das ihm anvertraute Unternehmen steuern wie ein Pilot ein ihm anvertrautes Flugzeug. Jeder verantwortliche Manager steuert sein Unternehmen im Spannungsfeld von Markt, Finanz, Technik und Gesetzgebung. Flugmanöver des Unternehmens, ob Expansion, Konsolidierung oder die Stabilisierung eines Geradeauskurses, müssen vom verantwortlichen Management bewusst und unter Berücksichtigung potentieller Risiken durchgeführt werden. Das Management von Risiken gehört zu den kritischen Erfolgsfaktoren strategischer Unternehmenssteuerung. Der Gesetzgeber verpflichtet Unternehmen in allen europäischen Ländern ein angemessenes Risikomanagement einzurichten. Auch über die Grenzen der Europäischen Union hinaus werden neue Gesetze, Vorschriften und Verordnungen erlassen, die den Schutz von Kapitalinvestoren in Unternehmen verfolgen. Dabei wirken die ursprünglich für Aktiengesellschaften festgelegten Regelungen auch allgemein auf Kapitalgesellschaften und darüber hinaus auf deren Zulieferer. Kreditinstitute und Versicherungsunternehmen müssen künftig bei der Vergabe von Krediten oder bei der Berechnung von Versicherungsprämien aufsichtsrechtliche Bestimmungen und Vorschriften nach Basel II in der Finanzwirtschaft, sowie Solvency II in der Versicherungswirtschaft berücksichtigen. Beide Regelungen legen sowohl ein effizientestes Risikomanagement als auch eine objektive Bewertung ihrer Kunden zu Grunde. Auf Unternehmen, die als Glied in eine direkte Wertschöpfungskette (Supply Chain) eingegliedert sind, wirken regulierende Kräfte des Marktes. Beispielsweise werden in der 1 Basel II - Aufsichtsrechtliche Regelung des Basler Ausschuss für Bankenaufsicht (siehe Basel II ) 2 Solvency II - Aufsichtsrechtliche Regelung der Solvabilitätsrichtlinen für Versicherungsunternehmen (siehe Solvency II ) 3 Sarbanes Oxley Act - Ein US-Gesetz zur Verbesserung der Unternehmensberichterstattung (siehe Sarbanes Oxley Act )

29 Einleitung 3 Automotive Industrie Auftragnehmer auf potentielle Risiken überprüft, einem Ranking unterzogen und in eine Lieferantenhierarchie eingestuft. Viele neuen Vorschriften, Gesetze und aufsichtsrechtliche Neuregelungen wurden aufgrund hoher Verluste an den Kapitalmärkten, (Umwelt-) Katastrophen, sowie Pleiten von Weltkonzernen wie ENRON 4 oder WORLDCOM 5 erlassen. Ziel der Neuregelungen ist der steigenden Unsicherheit entgegenzuwirken und Risiken für Kapitalanleger kalkulierbarer und transparenter zu gestalten. Das Management von Risiken nimmt unter den stark veränderten Rahmenbedingungen mehr als nur die Rolle einer Absicherungsstrategie gegen negative Ereignisse für das Unternehmen ein. Risikomanagement ist für Unternehmen, denen Risikotransparenz, Kostenwahrheit sowie Stabilität einen Wettbewerbsvorteil im Markt vermitteln, auch das Management von zusätzlichen Chancen. Zusammengefasst kann die gestellte Frage Risikomanagement warum? folgendermaßen beantwortet werde: Ein effizient betriebenes Risikomanagement im Unternehmen sichert den Fortbestand hinsichtlich Finanzierung und Wettbewerbsfähigkeit und schützt das verantwortliche Management weitgehend vor Haftungen aus der fahrlässigen Verletzung der Aufsichts- und Sorgfaltspflicht. Gesamthaft betrachtet ist das Risikomanagement gelebtes Chancenmanagement der Unternehmen. 1.2 Zielsetzung der Arbeit Risiken und Chancen aus der Unterstützung der Informationstechnologie für die Geschäftsprozesse abzuwägen, bedarf der genauen Kenntnis einerseits der unterstützenden IT-Systeme und IT-Prozesse, andererseits auch der potentiellen, negativen Auswirkungen einer IT- Fehlfunktion auf die unterstützten Prozesse. Negative Auswirkungen bedeuten eine Verringerung der Wertschöpfung, Aufwendungen zur Schadensbehebung oder eine Beeinträchtigung des Unternehmensimages. Alle samt sind letztendlich monetäre Schäden, die nach wirtschaftlichen Kriterien betrachtet werden müssen. Im Umfeld der Corporate Governance, im Besonderen der IT-Governance, ist Risikomanagement sowohl aus technischer, betriebswirtschaftlicher als auch ethischer Sicht zu beleuchten. Auch die Darstellung des Risikos ist von großer Bedeutung, da darauf aufsetzend strategische und für das Unternehmen wesentliche Entscheidungen getroffen werden müssen. Eine quantitative, transparente und nachvollziehbare Wertung der Risiken aus dem Einsatz der IT ist daher erforderlich. Die Unternehmens-IT ist jedoch ein komplexes und in sich stark vernetztes Werkzeug, das die Geschäftsprozesse im Unternehmen unterstützt. Daraus resultierende Risiken sind nur 4 ENRON - Der Energiekonzern Enron gehörte zu den zehn größten Konzernen der USA. 5 WORLDCOM - Worldcom gehörte zu den drei größten Telekommunikationsanbietern der Welt. Nach dem Zusammenbruch und der Sanierung wird das Unternehmen als MCI weitergeführt.

30 4 IT-Governance im Kontext Risikomanagement sehr schwer zu bewerten. Eine wissenschaftlich fundierte Methode, mit der die komplexen und vernetzten Risiken der IT nachvollziehbar, quantitativ und im Kontext der unterstützten Prozesse bewertet werden können, steht bislang noch nicht zur Verfügung. Daraus abgeleitet, stellt sich nachfolgende Forschungsfrage als Grundlage der Arbeit: Wie können die Risiken aus den komplexen, hoch vernetzten IT-Systemen und IT-Prozessen in ihrer Wirkung auf die unterstützen Geschäftsprozesse nachvollziehbar und quantitativ bewertet werden, sodass sie im Sinne der Corporate Governance zum bestehenden Risikoumfeld und zu den Unternehmensstrategien positioniert werden können? Zielsetzung der Arbeit ist einerseits eine Methodik mit dem Namen CRISAM zu entwickeln, mit deren Hilfe ein nachvollziehbarer Risikomanagement-Prozesses, auf Basis einer quantitativen Bewertung IT-relevanter Risiken, implementiert werden kann. Andererseits soll der wissenschaftliche Nachweis erbracht werden, dass die zugrunde gelegten Konzepte, Modelle und Hypothesen zur Quantifizierung richtig, zulässig und im Sinne einer Falsifikation nicht falsifiziert sind. 1.3 Fragestellungen aufgrund der Zielsetzung und Hypothesen Aus der gestellten Forschungsfrage ergeben sich drei weitere Detailfragen, anhand derer die Problemlösung erarbeitet wird. 1. Bestehende Risikofelder können grob in strategische (siehe Detailfrage 2), finanzwirtschaftliche oder operationale Risikobereiche gruppiert werden. Mit Basel II sind Banken, mit Solvency II Versicherungen verpflichtet, übernommene Risiken mit nachvollziehbaren Kennzahlen zu bewerten. Identifizierte IT-Risiken sind zu diesen in einem konvertiblen Kennzahlenmodell darzustellen. Wie kann sichergestellt werden, dass das, dem IT-Risikomanagement zugrunde gelegte Kennzahlensystem, zu Kennzahlensystemen anderer Risikobereiche (finanzwirtschaftliche und allgemeine operationale Risiken) konvertibel ist? 2. Aus der Unternehmensstrategie ist ein Zielwert (Sollwert) zu ermitteln, der den analysierten Risikowerten (Istwert) als Referenz gegenübergestellt werden kann. Kann in einem einzigen Kennzahlensystem sowohl eine Vorgabe aus der Unternehmensstrategie (Sollwert), als auch der operationale Risikowert der Unternehmens-IT (Istwert) abgebildet werden? 3. IT-Systeme und IT-Prozesse mit deren unterstützenden Infrastrukturen bilden ein komplexes Netzwerk. Die raschen Veränderungen bei Technologien und Bedrohungsbildern verhindern die Bildung einer signifikanten Schadenshistorie, sodass eine Abschätzung der Eintrittswahrscheinlichkeiten von Störfällen nicht möglich ist.