GmbH für DV-Architekturen Unternehmensberatung für IT-Sicherheit
|
|
- Manuela Maier
- vor 8 Jahren
- Abrufe
Transkript
1 GmbH für DV-Architekturen Unternehmensberatung für IT-Sicherheit Risikomanagement entlang von Wertschöpfungsketten Am Beispiel eines innovativen Ansatzes für Continuity Planning Prof. Dr. Peter Scholz Dorfstraße München Tel. 089 / Fax 089 / mailto: info@sios-gmbh.de
2 Risikomanagement entlang von Wertschöpfungsketten 1 Risikomanagement entlang von Wertschöpfungsketten Am Beispiel eines innovativen Ansatzes für Continuity Planning Peter Scholz Ramon Mörl Zusammenfassung In diesem Beitrag wird eine schrittweise Vorgehensweise zum Management von Risiken auf verschiedenen Unternehmensebenen beschrieben und die Schnittstellenproblematik konstruktiv gelöst. Hierbei werden die relevanten Risikobereiche und deren Abhängigkeiten untereinander auf jeder Ebene (beginnend auf der Ebene der Business Landscape) spezifisch erfasst und ebenenübergreifend konsistent aufeinander abgestimmt. Betrachtete Unternehmensebenen entlang der Wertschöpfungskette sind: Business Landscape, Service Landscape, Information Landscape und IT Landscape. Möglicherweise bestehende Kommunikations- u.a. Barrieren zwischen diesen Ebenen können mit diesem Ansatz leicht überwunden werden. Bereits bestehende Informationsquellen wie Inventory und Asset Management oder Informationen aus dem Risikomanagement können dabei in das Verfahren mit einfließen. Das Verfahren ist formal fundiert und stellt daher eine Basis für Planspiele sowie Simulationen dar und eignet sich zum Einsatz in einem Werkzeug, dessen Entwicklung bereits in Planung ist. 1 Motivation und Einleitung Für alle Wirtschaftsjahre, die nach dem 31. Dezember 1998 begonnen haben findet das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG [Kon98], Anwendung. Es verpflichtet Vorstände bzw. Geschäftsführer von Aktiengesellschaften bzw. Gesellschaften mit beschränkter Haftung gleichermaßen wie Chefs von Firmen anderer Gesellschaftsformen mit mehr als 50 Mitarbeitern, einem Umsatz von mehr als 6,87 Millionen Euro sowie einer Bilanzsumme von nicht weniger als 3,45 Millionen Euro: (a) ein Überwachungssystem zur Früherkennung existenzgefährdender Entwicklungen einzurichten und (b) einen Lagebericht zu Risiken der künftigen Geschäftsentwicklung zu erstellen ( 289 HGB). Beides wird von unabhängigen Wirtschaftsprüfern in Form der Jahresabschlussprüfung evaluiert. Vor allem der letzte Punkt ist ohne ein Risikomanagementsystem nicht erfüllbar. Wird diesen Anforderungen nicht nachgekommen, so muss mit dem Versagen des Bestätigungsvermerks durch den Wirtschaftsprüfer gerechnet werden, was zur Folge hat, dass Gewinnausschüttungen oder Kreditaufnahmen bei Banken unmöglich werden und Vorstände bzw. Geschäftsführer ggf. zur persönlichen Haftung herangezogen werden. Zur Umsetzung der Bestimmungen des KonTraG empfiehlt sich die Anwendung des folgen-
3 Risikomanagement entlang von Wertschöpfungsketten 2 den Phasenmodells: 1. Bestimmung der Beobachtungsbereiche: Identifikation der Beobachtungsbereiche innerhalb und außerhalb des Unternehmens 2. Risikoanalyse: Identifikation und Bewertung strategischer Risiken sowie der Geschäftsprozessrisiken etc. Ergebnisse sind Risikokatalog, Risikoinventar und Risikoportfolio 3. Risikoaggregation: Redundanzermittlung, Korrelationsableitung, Risikosystematisierung, Diskussion, Simulation etc. 4. Risikobewältigung: Identifikation und Bewertung bisheriger Maßnahmen, Erarbeitung von Handlungsalternativen usw. 5. Systemarchitektur: Konzeption eines Risikoerfassungs- und -überwachungssystems, Festlegung der Risikopolitik/-kommunikation 6. Systemgestaltung und -implementierung: Entwicklung eines DV-gestützten Risikomanagementsystems unter Beachtung der Systemeigenschaften Flexibilität, Plattformunabhängigkeit, Verfügbarkeit und Offenheit Damit wird klar, dass für die erfolgreiche Umsetzung der Anforderungen des KonTraG ein zielführendes Risikomanagement eine zentrale Rolle einnimmt. 2 Stand der Technik: Risiko und Risikomanagement Ein Risiko ist das potentielle Auftreten eines unerwünschten Ereignisses und dessen Einfluss auf den Erfolg eines Vorhabens im Falle des Auftretens dieses Ereignisses. Für jedes Risiko kann die Ereigniswahrscheinlichkeit und die Schadenshöhe angegeben werden. Häufig quantifiziert man das Risiko selbst als mathematisches Produkt dieser beiden Größen. Risikomanagement ist eine vorbeugende Maßnahme die darauf abzielt, Gefahren rechtzeitig abzuschätzen, um entsprechende Vorkehrungen zur Vermeidung oder Minimierung der erkannten Gefahren zu treffen. Aufgabe des Risikomanagements ist es daher Methoden und Werkzeuge bereitzustellen, die dabei helfen Risiken zu erkennen, zu analysieren und zu minimieren bzw. auszuschließen. Schon durch konsequente, frühe und detaillierte Dokumentation der Komponenten einer IT Landschaft sowie deren Abhängigkeiten untereinander lassen sich Risiken proaktiv erkennen. Proaktives Risikomanagement ist daher von zentraler und ständig wachsender Bedeutung für ein Unternehmen. Hierbei wird im Wesentlichen zwischen strategischen und operativen Risikomanagement unterschieden. Das operative Risikomanagement beinhaltet den Prozess der systematischen und laufenden Risikoanalyse des Unternehmens und der Geschäftsabläufe. Es kann in die folgenden drei aufeinanderfolgenden Schritte unterteilt werden [Rom00]: 1. Risikoidentifikation 2. Risikoanalyse/-bewertung 3. Risikosteuerung/-kontrolle Hierbei besteht vor allem im Bereich der Risikoanalyse Verbesserungsbedarf. Meist geschieht eine Quantifizierung eines Risikos lediglich hinsichtlich seines Erwartungswert. Ist eine
4 Risikomanagement entlang von Wertschöpfungsketten 3 Quantifizierung nicht möglich, so wird das Risiko rein qualitativ bewertet (z.b. hoch, mittel, gering, unbedeutend). Ziel der Risikoidentifikation und -bewertung (= Risikoanalyse) ist die Erstellung eines Risikoinventars bzw. einer Risk Map oder Risikomatrix. Neben den Einzelrisiken wird in einer Risikomatrix auch die individuelle Akzeptanzlinie abgebildet, d.h. ab welchem Schwellenwert ein Handlungsbedarf ausgelöst wird (siehe auch Abbildung 1). Bei der Ermittlung der Gesamtrisikolage müssen aber auch die Risikointerdependenzen berücksichtigt und aggregiert werden; dies wird jedoch meist vernachlässigt. Insbesondere bei den modernen Produktionsmethoden (Just-in-time, Single-Sourcing etc.) gewinnt die Aggregation der Einzelrisiken an Bedeutung. Eintrittswahrscheinlichkeit (Schadenswahrscheinlichkeit) gering mittel hoch z.b. 67 % z.b. 33 % R1 R5 R2 Risikoschwelle (gem. Erwartungswert) R4 R3 z.b. 10 Mio Euro z.b. 50 Mio Euro R6 Rn Spezifisches Risiko gering mittel katastrophal Ergebniseffekt (Schadenausmaß) Abb. 1: Stand der Technik: Bewertung eines Risikos anhand einer Risikomatrix Eine Risikomatrix erkennt aber keine Abhängigkeiten zwischen Risiken; wichtige Informationen für das Continuity Planning gehen verloren. Undokumentierte Abhängigkeiten innerhalb einer IT-Landschaft führen jedoch zu unkalkulierbaren Risiken. Business Services hängen teilweise von einer Vielzahl an Applikationen, Datenbanken, Servern, Hosts und Netzwerken ab. Einige von diesen werden sogar von externen Firmen wie etwa Internet Service Providern kontrolliert. Sowohl für Business Owner als auch für IT-Manager wird in diesem komplexen Umfeld die Handhabung zunehmend schwieriger. Die zunehmende Zahl von Verantwortlichen auf den unterschiedlichen Unternehmensebenen stellt eine weitere Problematik dar. Außerdem fehlt bisher eine schlanke konstruktive gemeinsame Sprachschnittstelle zwischen IT- Manager und Business Owner. 3 Business Continuity Planning Aktives und passives Risikomanagement in der IT wird derzeit schon von vielen Unternehmen umgesetzt. Wichtige Motivationsfaktoren für die Einführung eines IT- Risikomanagements im Unternehmen stellen, wie bereits oben diskutiert, sowohl rechtliche
5 Risikomanagement entlang von Wertschöpfungsketten 4 Rahmenbedingungen wie Basel II, KonTraG [Kon98], TransPuG [Tra02] als auch ureigenste Interessen des Managements selbst (z.b. persönliche Haftung) dar. IT-Risikomanagement wird derzeit hauptsächlich von IT-Spezialisten ausgeführt und orientiert sich daher zu stark auf IT-Elemente und zuwenig auf Business Services und die Wertschöpfung. Manager orientieren sich andererseits bei ihren Investitionen entlang der Wertschöpfungskette des Unternehmens. Business Continuity Planning (BCP) und Risikomanagement werden deshalb derzeit in Unternehmen auf verschiedenen Ebenen unabhängig voneinander betrachtet. Diese Ebenen sind hinsichtlich der IT beispielsweise: 1. Business Landscape: Die Unternehmensleitung spezifiziert ihre Anforderungen an die Business Services entlang der Wertschöpfungskette des Unternehmens. 2. Service Landscape: Das Business Management spezifiziert als Owner eines Business Services seine Anforderungen bzgl. Verfügbarkeit an seinen Business Service. 3. Information Landscape: das IT-Management spezifiziert seine Anforderungen bzgl. Verfügbarkeit auf Ebene der IT-Services bzw. IT-Applikationen. 4. IT-Landscape: IT-Spezialisten spezifizieren ihre Anforderungen bzgl. Verfügbarkeit auf Ebene der IT-Systeme bzw. IT-Ressourcen, wie beispielsweise Rechnersysteme, Netze, Netzknoten und Infrastruktur. 5. IT-Dienstleister im Falle von IT-Outsourcing: Benötigt klare Schnittstellen für die Service Level Agreements (SLA). Präventiv wirkende Sicherheitsmaßnahmen, ergänzt durch den Abschluss von Versicherungen, sind keine ausreichende Vorsorge gegen Schadensereignisse mit katastrophalen Folgewirkungen (K-Fälle). Die Unterbrechung oder der Ausfall von kritischen Geschäftsprozessen und zentralen Funktionen kann gravierende Auswirkungen haben (Primär- und Sekundärschäden), von Umsatzeinbußen über den Verlust von Marktanteilen bis hin zur Existenzgefährdung. Durch Business Continuity Planning werden die Folgeschäden und Restrisiken einem definierten planbaren Prozess unterworfen, mit dem Ziel sie auf ein tragbares Maß zu reduzieren. Business Continuity Planning ist ein Bestandteil des Risk Management Prozesses. Eine mögliche Definition ist der [ISO17799] zu entnehmen. Unser Ansatz liefert einen Beitrag zu fast allen Prozessschritten des BCP: 1. Verstehen der Risiken hinsichtlich deren Eintrittswahrscheinlichkeit sowie Schadensausmaß, sowie die Identifikation und Priorisierung kritischer Geschäftsprozesse 2. Verstehen der Auswirkungen potentieller Unterbrechungen auf das Geschäft 3. Formulieren und Dokumentieren einer Business Continuity Strategie, die mit den Geschäftszielen und -prioritäten einhergeht, sowie eines darauf aufbauenden Business Continuity Plans 4. Regelmäßiges Testen und Verbessern dieser Pläne sowie der entsprechenden Prozesse 5. Sicherstellen, dass das Management der Business Continuity in die Unternehmensprozesse bzw. -struktur fest eingebunden wird Das Besondere an der hier vorgestellten Vorgehensweise ist es, Kostenaspekte und Planspiele zu Kosten/Nutzensituationen technisch unterstützt durchzuführen; sie öffnet damit den El-
6 Risikomanagement entlang von Wertschöpfungsketten 5 fenbeinturm für die eigentlichen Geschäftsinteressen des Unternehmens. IT Continuity Planning ist eine Untermenge der IT-Sicherheit und befasst sich vornehmlich mit Aspekten der Verfügbarkeit. Ziel einer solchen Planung sind Maßnahmen zur Minimierung der Risiken, die sich auf die Fortführung des Geschäftsbetriebs auswirken. Hierfür werden kritische Geschäftsprozesse ermittelt, die dazu benötigten Anwendungen und Informationen bestimmt, die hierfür benötigten Systemkomponenten bestimmt, Abhängigkeiten der Systemkomponenten untersucht und Maßnahmen der Verfügbarkeit geplant. 4 Herausforderungen Bisher werden BCP, IT-Continuity Planning, Risikomanagement sowie IT- Risikomanagement relativ unabhängig voneinander betrachtet und waren nur lose mit den zentralen Geschäftsinteressen und der Wertschöpfungskette eines Unternehmens gekoppelt. Wir schlagen vor, diese zu verbinden und ein ebenenübergreifendes, integriertes Risikomanagement im Unternehmen durchzuführen. Hierzu müssen zunächst die zahlreichen Kommunikationsschwierigkeiten zwischen den verschiedenen Unternehmensebenen überwunden werden. Risiken müssen einerseits offen angesprochen werden, andererseits soll aber die Vertraulichkeit gewahrt bleiben. Gesucht sind daher passende Schnittstellen. Eine der wesentlichen Herausforderungen hierbei ist, dass alle wesentlichen Risiken erkannt werden, ernst genommen werden und eine Lösung zu deren Vermeidung, Minimierung etc. gefunden wird, ohne dass eine Partei überflüssige oder sogar geheime Geschäftsdetails preisgeben muss. Durch die Beteiligung von verantwortlichen Personen und Personengruppen unterschiedlicher Unternehmensebenen ergeben sich folgende weitere Herausforderungen: Die am RM beteiligten Personen aus unterschiedlichen Unternehmensbereichen verwenden eine unterschiedliche Terminologie, haben unterschiedliche Ziele und definieren die auf ihrer Ebene entstehenden Risiken unabhängig voneinander und ggf. inkompatibel zueinander. Risikointerdependenzen (= Abhängigkeiten zwischen Risiken) und Aggregation von Risiken müssen transparent und vergleichbar gemacht werden. In diesem Beitrag schildern wir ein Konzept für ein hierarchisches d.h. nahtlos über alle Unternehmensebenen hinweg greifendes Risikomanagement, das sich entlang der Wertschöpfungskette des Unternehmens orientiert. Zu einer möglichst effizienten Umsetzung ist bereits die Realisierung eines entsprechenden Werkzeuges durch die itwatch GmbH geplant. Wir gehen bei unseren Überlegungen davon aus, dass im Unternehmen in der IT folgende Punkte bedient werden und zeigen den Mehrwert unserer Vorgehensweise für diese Disziplinen auf: Notfall- und Katastrophenplan, Inventory, Asset Management, Netzwerkmanagement, Projektmanagement mit Risikobewertung, Risikomanagement sowie Sicherheitsmanagement. Dies wird aber bisher in Unternehmen aufgrund fehlender gemeinsamer Grundlagen bzw. Schnittstellen jedoch separat durchgeführt, und so entsteht ein Bruch zwischen Businessfunktion und IT-Funktion. Abbildung 2 fasst die Situation am Beispiel des Risikomanagements zusammen.
7 Risikomanagement Risikomanagement entlang von Wertschöpfungsketten 6 RM Risiken Unternehmensleitung RM Risiken Business Owner RM Risiken IT Manager RM Risiken IT Spezialist Abb. 2: Stand der Technik: separates Risikomanagement verschiedener Unternehmensebenen RM Risiken 5 Risikomanagement entlang von Wertschöpfungsketten Unternehmensleitung RM Risiken Business Owner RM Risiken IT Manager RM Risiken IT Spezialist Abb. 3: Innovation: Risikomanagement entlang von Wertschöpfungsketten Unser Ansatz greift bereits bei der Risikoidentifikation. Die erste Stufe der Risikoidentifikation beginnt mit der betriebsspezifischen Erfassung aller auf die Unternehmensziele wirkenden Risiken (Risiko-Brainstorming). Dabei werden im Stand der Technik quasi in einem Rundumschlag alle nur erdenklichen Risiken erfasst. Bei dieser Vorgehensweise muss damit gerechnet werden, dass ein Großteil der auf diese Weise erfassten Risiken keinen oder einen nur unwesentlichen Einfluss auf die für das Kerngeschäft relevanten Wertschöpfungsketten hat. Um die Ressourcen optimal einzusetzen, schlagen wir hier ein Verfahren vor, das sich auf solche Risiken beschränkt, die eine potentielle Gefährdung von Wertschöpfungsketten darstellen und ermöglichen es die Gefährdung technisch gestützt zu quantifizieren. Bereits ganz
8 Risikomanagement entlang von Wertschöpfungsketten 7 am Anfang des Prozesses zum Risikomanagement beschränkt sich unsere Methode daher auf das Wesentliche und erzielt somit eine effiziente Vorgehensweise (vergleiche Abbildung 3). Wir gehen dabei (entlang der Wertschöpfungskette und top-down) wie folgt vor: 1. Identifikation der für das Unternehmen wesentlichen Wertschöpfungsketten in der Unternehmensleitung. Alle anderen Business Funktionen werden im ersten Schritt nicht weiter verfolgt. Zunächst werden die relevanten Glieder der Wertschöpfungskette in der Business Landscape als Risikoknoten (RiskNode) betrachtet. Durch diese Beschränkung kann eine erhebliche Kostenreduktion erzielt werden. 2. Modellierung der RiskNodes. Für jeden dieser RiskNodes werden dann in einem nächsten Schritt u.a. folgende Daten eingetragen: - Owner mit seinen organisatorischen Angaben Adresse, Handy für SMS Alerting usw. - Soll-Verfügbarkeit = Verfügbarkeitsanforderung, z.b. 99 % Verfügbarkeit - Ist-Verfügbarkeit = geschätzter Wert oder Wert aus Monitoring-System - Plan-Verfügbarkeit = Verfügbarkeitsangabe für Planspiel jeder Plan hat einen eigenen eindeutigen Namen und kann jeweils separat von anderen Plänen nach Kosten/Nutzen verfolgt werden - Für einen eindeutig benannten Plan können an einem RiskNode modifizierte Werte eingetragen werden, welche auch die Kosten und den Nutzen dieser Modifikation quantifizieren Darüber hinaus kann später statistisch die absolute Ist-Verfügbarkeit an einem in ein RiskChart eingebundenen RiskNode (automatisch) vom System berechnet werden. 3. Es wird weiterhin für jeden RiskNode angegeben, von welchen anderen RiskNodes er abhängt und welche weiteren RiskNodes er beeinflusst. Diese Abhängigkeiten können aus einer kleinen übersichtlichen Menge von bereits vorkonfigurierten möglichen Abhängigkeiten ausgewählt werden. Es entsteht ein sogenanntes RiskChart. 4. Ist das RiskChart innerhalb einer Unternehmensebene modelliert, so kann dann für jeden RiskNode weiter spezifiziert werden, durch welches RiskChart (Teil einer Landscape) aus nachgelagerten Ebenen er hierarchisch dekomponiert wird. Man verfeinert also die Landscape einer Ebene, und eine Modulstruktur (Modulhierarchie mit Abhängigkeiten) entsteht allerdings nur für die in der Wertschöpfung wesentlichen E- lemente. Bei dieser Verfeinerung ist zu beachten, dass jedes verfeinernde RiskChart der Ebene n+1 mindestens die Verfügbarkeitsanforderung des ursprünglichen RiskNodes der Ebene n erfüllt. Auf jeder Ebene können darüber hinaus spezifische Zusatzinformationen angegeben werden. Sind die wesentlichen Wertschöpfungsketten von der Business Landscape bis zur IT- Landscape wie eben beschrieben modelliert, so gehen wir weiter wie folgt (entlang der Wertschöpfungskette und nun bottom-up) vor: 5. Auf der Ebene der IT-Landscape können für jeden RiskNode nun zusätzlich die Risiken angegeben werden, denen er möglicherweise ausgesetzt ist. Jedes Risiko wird
9 Risikomanagement entlang von Wertschöpfungsketten 8 spezifiziert durch seine Beschreibung, seine Eintrittswahrscheinlichkeit, sowie durch sein Schadensausmaß. Hierbei ist zu beachten, dass das Gesamtrisikopotential eines RiskNodes, die an ihn gestellte Verfügbarkeitsanforderung nicht unterschreiten darf. Verfolgt man nun die Auswirkungen der Risiken bottom-up bis schließlich zur Ebene der Business Landscape, so stellt man fest, dass die Verfügbarkeitsanforderungen für alle RiskNodes auf jeder Ebene auf natürliche Weise eingehalten werden. Wird bei der automatisierten bottom-up Analyse der Risiken ein Delta festgestellt, welches einen vorgegebenen Schwellwert überschreitet, kann ein automatisches Alerting (an die Mail Adresse des RiskNode-Owners) initiiert werden. Die Vorteile unserer integrierten Vorgehensweise lauten wie folgt: - Konzentration des Risikomanagements auf Wertschöpfungsbereiche mit hoher Wertigkeit (vgl. Verfügbarkeitsanforderung) - Überbrückung der Sprach-, Kommunikations- etc. Barrieren zwischen den Unternehmensebenen; aber dennoch gemeinsame Nutzung/Pflege (Wiederverwendung) von Landscapes auf verschiedenen Ebenen so kann z.b. die Policy, dass nur ein RiskNode Owner modifizierendes Recht auf seinen RiskNode hat und ein Manager nur die RiskNodes seiner Management-Ebene sehen kann bereits in einfacher Weise die Vertraulichkeitsanforderungen vieler Unternehmen erfüllen - Schrittweises (ebenenweises) Vorgehen führt zu einer inkrementellen (und mathematisch korrekten) Verfeinerung der Verfügbarkeitsanforderungen; entsprechende Berechnungstemplates existieren - Planspiele zur Simulation einer veränderten Risikosituation können per Knopfdruck automatisch durchgeführt werden - Automatische Benachrichtigungsfunktionen (Alerting) für alle Unternehmensebenen im Falle riskanter Verfügbarkeitsschwankungen können etabliert werden - Top-down Propagierung der Verfügbarkeitsanforderungen kann (formal) der Bottom-up Propagierung der Risiken gegenübergestellt werden - Die Arbeitsgruppe zur Verbesserung der Verfügbarkeit eines Business Services kann direkt durch die RiskNode-Owner zusammengestellt werden 5.1 RiskNodes Es werden z.b. diejenigen Komponenten der technischen, informationstechnischen und baulichen Infrastruktur herausgefiltert, von deren Funktionsfähigkeit die Verfügbarkeit der kritischen Geschäftsanwendungen (ebenfalls als RiskNodes modelliert) und zentralen Funktionen abhängig ist. Diese Art der Modulbildung kann bzgl. der Informationstechnologie (IT) auf jeder Unternehmensebene getroffen werden, also insbesondere auf Ebene der Geschäftsprozesse, der IT-Services sowie der Ressourcen. Bei diesen Komponenten kann es sich beispielsweise um die Steuerung eines Produktionsabschnittes, einen Webserver, einen Datenbankserver, den Hauptverteiler der Telekommunikation, die Stromeinspeisung, ein automatisiertes
10 Risikomanagement entlang von Wertschöpfungsketten 9 Kleinteilelager, einen Tresorraum und vieles andere mehr handeln. Zu klären ist weiterhin, welche Interdependenzen zwischen diesen Modulen der Infrastruktur bestehen und welche Schadensszenarien daraus abgeleitet werden können. Beispiele von RiskNodes auf verschiedenen Unternehmensebenen sind: - Business Landscape: Kreditvergabe Geschäftskunden, Inkasso, usw. - Service Landscape: E-Banking, Applikation Girokontenbewegungen etc. - Information Landscape: Kundendaten - IT Landscape: Datenbankserver, Applikationsserver, Webserver usw. Für jeden RiskNode können neben seinem Namen und einer kurzen Beschreibung auch Werte für seine Soll-, Ist- und Plan-Verfügbarkeit und weitere strukturierte Zusatzinformationen (Owner, Nutzen, Kosten usw.) angegeben werden (siehe Abbildung 4): SOLL-Verfügbarkeit IST-Verfügbarkeit PLAN-Verfügbarkeit RiskNode (Modul) M i V i,soll V i,ist V i,plan + ggf. Zusatzinformationen Abb. 4: Die grafische Darstellung eines RiskNodes - Soll-Verfügbarkeit: Verfügbarkeitswert, der von dem RiskNode erreicht werden soll. Dies stellt eine Verfügbarkeitsanforderung dar, welche im Wesentlichen top-down vererbt wird. - Ist-Verfügbarkeit: Verfügbarkeitswert, der von dem RiskNode erreicht wird, ggf. nochmals unterteilt in einen vom Hersteller genannten oder geschätzten Wert und einen durch Monitoring oder statistisch errechneten Wert fällt eine Hardware aus, so kann die Ist-Verfügbarkeit auf 0 gesetzt werden und die Neuberechnung der daraus resultierenden abhängigen Verfügbarkeiten zu einem automatischen Alerting führen. - Plan-Verfügbarkeit: ein oder mehrere theoretisch angenommene oder bottom-up berechnete Verfügbarkeitswerte zur Verwendung in Planspielen. - Zusatzinformation: Beschreibung des RiskNodes in Abhängigkeit von der Unternehmensebene zu der er gehört. Trotz der einheitlichen Darstellungsweise finden sich alle Verantwortlichen in ihrer Sprachwelt wieder. Abbildung 5 zeigt als Beispiel eines einfachen RiskNodes einen Druckservice mit einer Ist-Verfügbarkeit von 90%. Weitere Informationen wurden hier (noch) nicht eingetragen. Druckservice V i,soll V i,ist = 0,9 V i,plan Tel: +49 (0) SioS GmbH, München
11 Risikomanagement entlang von Wertschöpfungsketten 10 Abb. 5: Beispiel (RiskNode): Druckservice 5.2 RiskCharts: mathematische Grundlagen Ein RiskChart beschreibt die Abhängigkeiten zwischen RiskNodes und kann mathematisch als gerichteter Graph G=(V,E) modelliert werden, der die Abhängigkeiten verschiedener RiskNodes untereinander formal beschreibt, wobei V die disjunkte Vereinigung der Menge der RiskNodes V 1 und der Menge der Verknüpfungssymbole/-operatoren V 2 = {, } darstellt. Zwei Knoten i und j aus V sind durch eine Kante (i,j) E verbunden genau dann wenn der RiskNode j vom RiskNode i abhängig ist oder einer der beiden Knoten ein Verknüpfungssymbol darstellt. Seriell: M i V i M j V j M i Parallel- V i M k M j V j Beispi el: Performanc ecluster V k M i Parallel- V i M k M j V j Beispi el: Verfügbarkei tscluster V k Abb. 6: Die grafische Darstellung der Verknüpfungsoperatoren bzw. Abhängigkeiten Um RiskNodes zu RiskCharts zu komponieren, gibt es folgende Möglichkeiten (vergleiche auch Abbildung 6): - Die serielle Komposition: Abhängigkeit des Knotens vom Vorgängerknoten (z.b. ebrokerage von Berechnung des aktuellen DAX in Echtzeit) - Die parallele -Verknüpfung: Gleichzeitige Abhängigkeit des Knotens von mehreren Vorgängerknoten (z.b. Printserver von Datenbank- und Applikationsserver) - Die parallele -Verknüpfung: Alternative Abhängigkeit des Knotens von mehreren Vorgängerknoten (z.b. redundanter Cold/Hot-Standby) Als Beispiel wollen wir den Druckservice (Service Landscape) aus Abbildung 5 aufgreifen und untersuchen, wie er auf der Ebene der IT-Landscape modelliert werden könnte (siehe Abbildung 7):
12 Risikomanagement entlang von Wertschöpfungsketten 11 Druckservice (mit einzelnen IST-Verfügbarkeiten) DB-Server Strom- Versorg. 97 % DB-Server (Hot-Standby) Druckserver Absolute IST- Verfügbarkeit: 99 % 97 % 94 %??? % Applikationss. 95 % Abb. 7: Beispiel (RiskChart): Druckservice Bei dieser Art von hierarchischer Dekomposition kann ein RiskChart auch als neues Modul und damit wieder als RiskNode einer höheren Ebene betrachtet werden. Hier drängt sich folgende Fragestellung auf: Kann die ursprünglich (vergleiche Abbildung 5) geforderte Ist-Verfügbarkeit des Druckservice von 90% von diesem RiskChart erreicht werden? Um diese Frage zu lösen, müssen folgende Überlegungen angestellt werden. Bisher wurden für jeden RiskNode Werte für Soll-, Ist- und Plan-Verfügbarkeit angegeben, dabei wurde der RiskNode isoliert betrachtet. Mathematisch gesehen hat man hierbei lediglich zunächst bedingte Verfügbarkeiten angegeben. Da ein RiskChart eine Komposition vieler RiskNodes zu einem Netzplan (voneinander abhängiger RiskNodes) darstellt, können analog absoluter Wahrscheinlichkeiten die (absoluten) Verfügbarkeiten an jedem Punkt des Netzes berechnet werden. Hierzu geben wir von der Kompositionsart abhängige Formel-Templates zur Berechnung der tatsächlichen, d.h. absoluten Verfügbarkeit P V (M j ) eines RiskNodes M j an (siehe Abbildung 8): M i V i M j V j Seriell: P V (M j) = P V (M i ) V j M i V i M k Parallel, -Verknüpfung: M j V j Beispiel: Performancecluster V k P V (M k ) = P V (M i ) P V (M j ) V k M i V i M j V j Beispiel: Verfügbarkeitscluster M k V k Parallel, -Verknüpfung: P V (M k ) = (1 (1 P V (M i )) (1 P V ( M j ))) V k Abb. 8: Formel-Templates zur Berechnung der absoluten Verfügbarkeit
13 Risikomanagement entlang von Wertschöpfungsketten 12 Damit können wir nun die obige Fragestellung wie folgt lösen bzw. berechnen (siehe Abbildung 9): DB-Server 97,02 % 99 % Strom- 99 % Versorg. 99 % 98 % DB-Server (Hot-Standby) 97 % 96,03 % 99,88 % Druckserver 93,94 % 94 % 88,30% 99 % Applikationsserver 94,05 % 95 % IST-Verfügbarkeit des Applikationsservers ohne Umgebungsbetrachtung Errechnete IST-Verfügbarkeit aller benötigten Services bis zu dieser Stelle Abb. 9: Beispiel: absolute bzw. tatsächliche Verfügbarkeit des Druckservice Mit Hilfe des eben skizzierten Beispiels wird klar, dass ein mathematisch fundierter, aber dennoch leicht verständlicher top-down Verfeinerungsbegriff entwickelt werden muss, der sicherstellt, dass der Druckservice auf der Ebene der IT Landscape mindestens die selben Verfügbarkeitswerte für die Soll-/Ist-/Plan-Verfügbarkeiten erreichen muss, wie sein Pendant auf der nächsthöheren Unternehmensebene, nämlich der Ebene der Service Landscape. 5.3 Verfeinerung von RiskNodes zu RiskCharts Ein RiskChart G = (V, E) verfeinert einen RiskNode M j genau dann wenn gilt: P V (M f ) P V (M j ) wobei f V den finalen RiskNode in G darstellt. Ein finaler Knoten ist eine Senke, also ein Knoten ohne Nachfolger. Es ist sicherzustellen, dass in jedem RiskChart genau ein solcher Knoten existiert, der gegebenenfalls künstlich erzeugt werden muss. Umgangsprachlich formuliert bedeutet obiges Prädikat, dass die absolute Verfügbarkeit des verfeinerten RiskCharts G jederzeit mindestens die ursprünglich spezifizierte Verfügbarkeit des RiskNodes M j erreichen muss. Erreicht sie diesen Wert, wird von einer korrekten Verfeinerung gesprochen. Erreicht sie diesen Wert nicht, so ist ein einfacher Indikator gefunden, der Handlungsbedarf signalisiert. Das RiskChart in Abbildung 9 wäre also nur dann eine korrekte Verfeinerung des ursprünglichen RiskNodes aus Abbildung 5, falls für den Druckservice lediglich eine Ist-Verfügbarkeit von 88,3% oder weniger spezifiziert gewesen wäre.
14 Risikomanagement entlang von Wertschöpfungsketten 13 Dieser Verfeinerungsbegriff besitzt die beiden wesentlichen Eigenschaften der (a) Kompositionalität und (b) Transitivität. Sie stellen sicher, dass (a) eine lokale Verfeinerung ebenfalls global betrachtet eine Verfeinerung der gesamten Risikolandschaft darstellt und (b) eine schrittweise Anwendung vieler Verfeinerungsschritte über viele Unternehmensebenen hinweg möglich ist. Die schrittweise Verfeinerung liefert als Resultat eine Hierarchie von RiskCharts, welche die Verfügbarkeit jeder Unternehmensebene widerspiegelt (siehe Abbildung 10). Ebene 1 Ebene 2 wird verfeinert zu Ebene 3 wird verfeinert zu 5.4 Planspiele Abb. 10: Verfeinerung über mehrere Unternehmensebenen hinweg Auf Basis des eben gewonnenen Verfeinerungsbegriffs können nun ebenenübergreifende Planspiele zur Risikoanalyse durchgeführt werden. Da die Beziehungen nicht nur zwischen RiskNodes einer Ebene, sondern auch und gerade zwischen unterschiedlichen (Verfeinerungs-/Unternehmens-) Ebenen angegeben wurden, sind Simulationen von ebenenüberspannenden Auswirkungen leicht möglich. Beispielsweise könnte folgendes Planspiel durchgeführt werden. Angenommen, die Verfügbarkeit des RiskNodes Applikationsserver in Abbildung 9 könnte durch eine Investition von Euro von 95% auf 99,5% erhöht werden. Es stellt sich nun die Frage, wie groß der Einfluss dieser Verbesserung auf den Druckservice ist? Wird mehr als eine Verbesserung durchgeführt, so wird sowohl der Gesamteinfluss bewertet, als auch die Kosten der Gesamtinvestition summiert. Im Allgemeinen kann die Auswirkung einer Verbesserung im Rahmen eines Planspiels sowohl auf die höheren, als auch die tieferen Unternehmensebenen automatisch berechnet werden.
15 Risikomanagement entlang von Wertschöpfungsketten Automatisches Alerting Ein Werkzeug zur Umsetzung unserer Vorgehensweise ist derzeit geplant. Dieses Werkzeug soll flexible Schnittstellen erhalten, die es ermöglichen, Daten aus einem Monitoring-System zu verarbeiten. So können beispielsweise im Falle eines Totalausfalls eines Servers nicht nur wie im aktuellen Stand der Technik die direkt für den Server verantwortlichen Personen benachrichtigt werden, sondern auf Wunsch kann auch ein automatisches Alerting aller Betroffenen auf allen Unternehmensebenen angestoßen werden. Dies kann zum Beispiel in Form einer automatisch generierten an diesen Personenkreis geschehen. 6 Zusammenfassung und Ausblick In diesem Beitrag haben wir gezeigt, wie die Analyse von Verfügbarkeiten und deren Abhängigkeiten innerhalb einer Unternehmensebene mit Hilfe von RiskCharts möglich ist. Weiterhin haben wir einen mathematisch korrekten und zugleich leicht verständlichen Verfeinerungsbegriff definiert. Die Verfeinerung von RiskNodes einer Ebene führt zu einem RiskChart der nächsten Ebene. Risikomanagement entlang von Wertschöpfungsketten wird auf diese Weise möglich und Kommunikationsbarrieren zwischen den Ebenen entfallen. Business Continuity wird schließlich nicht nur möglich, sondern auch planbar. Durch unseren Ansatz ergeben sich folgende Vorteile: - Risikoaggregationen und -interdependenzen werden sichtbar und dadurch verfolgbar und steuerbar. - Das Risiko-Verständnis von Managern und Spezialisten aller Unternehmensebenen wird vereinheitlicht. Risikokausalitäten werden transparent. - Planspiele und automatische Risikowarnungen sind möglich. - Sowohl top-down als auch bottom-up Analysen der Risikolandschaft wird möglich: top-down von der Unternehmensleitung zu den Spezialisten und bottom-up zur direkten Rückkopplung des aktuellen Standes an das Business Management ohne Nachfragen bei Spezialisten. Dadurch wird eine umfassende Analyse des gesamten Risikopotentials gewährleistet. Das formale Modell bildet die Basis für einen Werkzeugeinsatz. Der Ansatz ist einsetzbar für alle Phasen des Risikomanagements, also das strategische und operative Risikomanagement, die Risikoanalyse (Risikoidentifikation; Risikobewertung) sowie die Risikokontrolle und Risikosteuerung. Uninteressante Pfade im RiskNode können abgeschnitten werden und Schieflagen in der Wahrnehmung der Wichtigkeit von Geschäfts-(teil-)Prozessen werden aufgezeigt und können gelöst werden In Zukunft wollen wir auch RiskNodes mit zeitabhängigen Verfügbarkeitswerten betrachten. So kann dem Umstand Rechnung getragen werden, dass Verfügbarkeiten meist jahres- oder tagesabhängig schwanken können. Hier können saisonale Schwanken wie z.b. Hochwassergefahr genauso modelliert werden wie die Unterschiede zwischen 5 8- und Verfügbarkeiten. Darüber hinaus kann das Verfahren von der Verfügbarkeit der IT auf die Themenkomplexe
16 Risikomanagement entlang von Wertschöpfungsketten 15 Verfügbarkeit von Skills bzw. Know-how bzw. Personal sowie Vertraulichkeit und Integrität der IT erweitert werden. Literatur [ISO17799] Internationaler Standard ISO/IEC17799:2000(E): Information technology code of practice for information security management, erste Ausgabe, Dezember [Kon98] Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), Bundesgesetzblatt, Teil I (G5702), Nummer 24, Bonn, 30. April [Rom00] Frank Romeike: IT-Risiken und Grenzen traditioneller Risikofinanzierungsprodukte in: Zeitschrift für Versicherungswesen, Jahrgang 51, Heft 17 vom 1. September 2000, Seiten [Tra02] Transparenz- und Publizitätsgesetz (TransPuG) Gesetz zur weiteren Reform des Aktien- und Bilanzrechts, zu Transparenz und Publizität, Bundesgesetzblatt Teil I, Nummer 50, Seiten 2681 ff., Berlin, 25. Juli 2002.
Risikomanagement entlang von Wertschöpfungsketten
Risikomanagement entlang von Wertschöpfungsketten Am Beispiel eines innovativen Ansatzes für Continuity Planning Prof. Dr. Peter Scholz, für die SioS GmbH Management Summary Management Summary In diesem
MehrSystemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5
Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat
MehrGPP Projekte gemeinsam zum Erfolg führen
GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.
MehrRisikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement
SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor Risikomanagement Gesetzlicher Rahmen IBR INSTITUT FÜR BETRIEBS- UND REGIONALÖKONOMIE Thomas Votruba, Leiter MAS Risk Management, Projektleiter, Dozent
MehrHandbuch ECDL 2003 Basic Modul 5: Datenbank Grundlagen von relationalen Datenbanken
Handbuch ECDL 2003 Basic Modul 5: Datenbank Grundlagen von relationalen Datenbanken Dateiname: ecdl5_01_00_documentation_standard.doc Speicherdatum: 14.02.2005 ECDL 2003 Basic Modul 5 Datenbank - Grundlagen
MehrTeil - I Gesetzliche Anforderungen an IT-Sicherheit
Teil - I an IT-Sicherheit Unternehmensrisiken (Einleitung Abschnitt-1) Jedes Unternehmen ist Risiken 1 ausgesetzt oder geht Risiken bewusst manchmal auch unbewusst ein. Risiken können entstehen in den
MehrAgile Vorgehensmodelle in der Softwareentwicklung: Scrum
C A R L V O N O S S I E T Z K Y Agile Vorgehensmodelle in der Softwareentwicklung: Scrum Johannes Diemke Vortrag im Rahmen der Projektgruppe Oldenburger Robot Soccer Team im Wintersemester 2009/2010 Was
MehrRudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz
Rudolf Schraml Beratung und Vertrieb IT-Security und Datenschutz Effektives IT-Risikomanagement Chance oder Risiko Was vor einiger Zeit nur für die großen Unternehmen galt, ist jetzt auch im Mittelstand
MehrContent Management System mit INTREXX 2002.
Content Management System mit INTREXX 2002. Welche Vorteile hat ein CM-System mit INTREXX? Sie haben bereits INTREXX im Einsatz? Dann liegt es auf der Hand, dass Sie ein CM-System zur Pflege Ihrer Webseite,
Mehr.. für Ihre Business-Lösung
.. für Ihre Business-Lösung Ist Ihre Informatik fit für die Zukunft? Flexibilität Das wirtschaftliche Umfeld ist stärker den je im Umbruch (z.b. Stichwort: Globalisierung). Daraus resultierenden Anforderungen,
MehrProzessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am 14.08.08
Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements von Stephanie Wilke am 14.08.08 Überblick Einleitung Was ist ITIL? Gegenüberstellung der Prozesse Neuer
MehrIT-Revision als Chance für das IT- Management
IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT
MehrMitarbeiterbefragung als PE- und OE-Instrument
Mitarbeiterbefragung als PE- und OE-Instrument 1. Was nützt die Mitarbeiterbefragung? Eine Mitarbeiterbefragung hat den Sinn, die Sichtweisen der im Unternehmen tätigen Menschen zu erkennen und für die
MehrInterne Revision Ressourcen optimieren. Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht!
Interne Revision Ressourcen optimieren Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht! Wertetreiber Interne Revision Internationalisierung und Wettbewerbsdruck zwingen Unternehmen dazu, ihre
MehrRisikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014
Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement Eine Einführung Risikomanagement ist nach der Norm ISO 31000 eine identifiziert, analysiert
MehrSkills-Management Investieren in Kompetenz
-Management Investieren in Kompetenz data assessment solutions Potenziale nutzen, Zukunftsfähigkeit sichern Seite 3 -Management erfolgreich einführen Seite 4 Fähigkeiten definieren und messen Seite 5 -Management
MehrGeyer & Weinig: Service Level Management in neuer Qualität.
Geyer & Weinig: Service Level Management in neuer Qualität. Verantwortung statt Versprechen: Qualität permanent neu erarbeiten. Geyer & Weinig ist der erfahrene Spezialist für Service Level Management.
MehrOUTSOURCING ADVISOR. Analyse von SW-Anwendungen und IT-Dienstleistungen auf ihre Global Sourcing Eignung. Bewertung von Dienstleistern und Standorten
Outsourcing Advisor Bewerten Sie Ihre Unternehmensanwendungen auf Global Sourcing Eignung, Wirtschaftlichkeit und wählen Sie den idealen Dienstleister aus. OUTSOURCING ADVISOR Der Outsourcing Advisor ist
MehrGuide DynDNS und Portforwarding
Guide DynDNS und Portforwarding Allgemein Um Geräte im lokalen Netzwerk von überall aus über das Internet erreichen zu können, kommt man um die Themen Dynamik DNS (kurz DynDNS) und Portweiterleitung(auch
MehrLeseauszug DGQ-Band 14-26
Leseauszug DGQ-Band 14-26 Einleitung Dieser Band liefert einen Ansatz zur Einführung von Prozessmanagement in kleinen und mittleren Organisationen (KMO) 1. Die Erfolgskriterien für eine Einführung werden
MehrDie vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante
ISO 9001:2015 Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante Prozesse. Die ISO 9001 wurde grundlegend überarbeitet und modernisiert. Die neue Fassung ist seit dem
MehrIDV Assessment- und Migration Factory für Banken und Versicherungen
IDV Assessment- und Migration Factory für Banken und Versicherungen Erfassung, Analyse und Migration von Excel- und AccessAnwendungen als User-Selfservice. Sind Ihre Excel- und Access- Anwendungen ein
MehrProjektmanagement in der Spieleentwicklung
Projektmanagement in der Spieleentwicklung Inhalt 1. Warum brauche ich ein Projekt-Management? 2. Die Charaktere des Projektmanagement - Mastermind - Producer - Projektleiter 3. Schnittstellen definieren
Mehr----------------------------------------------------------------------------------------------------------------------------------------
0 Seite 0 von 20 03.02.2015 1 Ergebnisse der BSO Studie: Trends und Innovationen im Business Performance Management (BPM) bessere Steuerung des Geschäfts durch BPM. Bei dieser BSO Studie wurden 175 CEOs,
MehrApplication Lifecycle Management als strategischer Innovationsmotor für den CIO
Application Lifecycle Management als strategischer Innovationsmotor für den CIO Von David Chappell Gefördert durch die Microsoft Corporation 2010 Chappell & Associates David Chappell: Application Lifecycle
Mehr7-it. ITIL Merkmale. ITIL ist konsequent und durchgängig prozessorientiert
ITIL Merkmale ITIL ist konsequent und durchgängig prozessorientiert ITIL berücksichtigt aber auch in allen Prozessen funktionale und organisatorische Strukturen sowie kosten- und benutzerorientierte Aspekte
Mehr50. Mathematik-Olympiade 2. Stufe (Regionalrunde) Klasse 11 13. 501322 Lösung 10 Punkte
50. Mathematik-Olympiade. Stufe (Regionalrunde) Klasse 3 Lösungen c 00 Aufgabenausschuss des Mathematik-Olympiaden e.v. www.mathematik-olympiaden.de. Alle Rechte vorbehalten. 503 Lösung 0 Punkte Es seien
MehrProfessionelle Seminare im Bereich MS-Office
Der Name BEREICH.VERSCHIEBEN() ist etwas unglücklich gewählt. Man kann mit der Funktion Bereiche zwar verschieben, man kann Bereiche aber auch verkleinern oder vergrößern. Besser wäre es, die Funktion
MehrDie Zukunft der Zukunftsforschung im Deutschen Management: eine Delphi Studie
Die Zukunft der Zukunftsforschung im Deutschen Management: eine Delphi Studie Executive Summary Zukunftsforschung und ihre Methoden erfahren in der jüngsten Vergangenheit ein zunehmendes Interesse. So
MehrWARENWIRT- SCHAFT UND ERP BERATUNG Mehr Sicherheit für Ihre Entscheidung
WARENWIRT- SCHAFT UND ERP BERATUNG Mehr Sicherheit für Ihre Entscheidung IT-SERVICE Warenwirtschaft (WaWi) und Enterprise Resource Planning (ERP) WaWi und ERP Beratung Kunden erfolgreich beraten und während
MehrFUTURE NETWORK 20.11.2013 REQUIREMENTS ENGINEERING
18/11/13 Requirements Engineering 21 November 2013 DIE GRUNDFRAGEN Wie erhält der Kunde den größten Nutzen? Wie kann der Kunde am besten spezifizieren, was er haben will? Welchen Detailierungsgrad braucht
MehrLineargleichungssysteme: Additions-/ Subtraktionsverfahren
Lineargleichungssysteme: Additions-/ Subtraktionsverfahren W. Kippels 22. Februar 2014 Inhaltsverzeichnis 1 Einleitung 2 2 Lineargleichungssysteme zweiten Grades 2 3 Lineargleichungssysteme höheren als
Mehr«PERFEKTION IST NICHT DANN ERREICHT, WENN ES NICHTS MEHR HINZUZUFÜGEN GIBT, SONDERN DANN, WENN MAN NICHTS MEHR WEGLASSEN KANN.»
«PERFEKTION IST NICHT DANN ERREICHT, WENN ES NICHTS MEHR HINZUZUFÜGEN GIBT, SONDERN DANN, WENN MAN NICHTS MEHR WEGLASSEN KANN.» www.pse-solutions.ch ANTOINE DE SAINT-EXUPÉRY 1 PROJECT SYSTEM ENGINEERING
MehrI N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte
I N F O R M A T I O N V I R T U A L I S I E R U N G Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Ausfallsicherheit durch Virtualisierung Die heutigen Anforderungen an IT-Infrastrukturen
MehrDie PROJEN-GmbH bietet ihren Kunden einheitliche
Die PROJEN-GmbH Hintergründe und Entstehung Der Ursprung der PROJEN-GmbH liegt in der Projektmanagement-Beratung. Die Firmengründer haben 2011 gemeinschaftlich ein ganzheitliches Konzept für professionelles
MehrWSO de. <work-system-organisation im Internet> Allgemeine Information
WSO de Allgemeine Information Inhaltsverzeichnis Seite 1. Vorwort 3 2. Mein Geschäftsfeld 4 3. Kompetent aus Erfahrung 5 4. Dienstleistung 5 5. Schulungsthemen 6
MehrSupply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN
Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN GLIEDERUNG Intro Risiko-Management Was bedeutet Risiko-Managment? Wie wird Risiko-Management umgesetzt? Nutzen von Risiko-Management Relevanz
Mehr«Eine Person ist funktional gesund, wenn sie möglichst kompetent mit einem möglichst gesunden Körper an möglichst normalisierten Lebensbereichen
18 «Eine Person ist funktional gesund, wenn sie möglichst kompetent mit einem möglichst gesunden Körper an möglichst normalisierten Lebensbereichen teilnimmt und teilhat.» 3Das Konzept der Funktionalen
Mehr1 Mathematische Grundlagen
Mathematische Grundlagen - 1-1 Mathematische Grundlagen Der Begriff der Menge ist einer der grundlegenden Begriffe in der Mathematik. Mengen dienen dazu, Dinge oder Objekte zu einer Einheit zusammenzufassen.
MehrIntegration mit. Wie AristaFlow Sie in Ihrem Unternehmen unterstützen kann, zeigen wir Ihnen am nachfolgenden Beispiel einer Support-Anfrage.
Integration mit Die Integration der AristaFlow Business Process Management Suite (BPM) mit dem Enterprise Information Management System FILERO (EIMS) bildet die optimale Basis für flexible Optimierung
MehrWann ist eine Software in Medizinprodukte- Aufbereitungsabteilungen ein Medizinprodukt?
DGSV-Kongress 2009 Wann ist eine Software in Medizinprodukte- Aufbereitungsabteilungen ein Medizinprodukt? Sybille Andrée Betriebswirtin für und Sozialmanagement (FH-SRH) Prokuristin HSD Händschke Software
MehrInformationsblatt Induktionsbeweis
Sommer 015 Informationsblatt Induktionsbeweis 31. März 015 Motivation Die vollständige Induktion ist ein wichtiges Beweisverfahren in der Informatik. Sie wird häufig dazu gebraucht, um mathematische Formeln
MehrQM: Prüfen -1- KN16.08.2010
QM: Prüfen -1- KN16.08.2010 2.4 Prüfen 2.4.1 Begriffe, Definitionen Ein wesentlicher Bestandteil der Qualitätssicherung ist das Prüfen. Sie wird aber nicht wie früher nach der Fertigung durch einen Prüfer,
MehrFachbericht zum Thema: Anforderungen an ein Datenbanksystem
Fachbericht zum Thema: Anforderungen an ein Datenbanksystem von André Franken 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis 1 2 Einführung 2 2.1 Gründe für den Einsatz von DB-Systemen 2 2.2 Definition: Datenbank
MehrKapitalerhöhung - Verbuchung
Kapitalerhöhung - Verbuchung Beschreibung Eine Kapitalerhöhung ist eine Erhöhung des Aktienkapitals einer Aktiengesellschaft durch Emission von en Aktien. Es gibt unterschiedliche Formen von Kapitalerhöhung.
MehrMedizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong
Medizintechnik und Informationstechnologie im Krankenhaus Dr. Andreas Zimolong DIN EN 80001-1:2011 Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten Teil 1: Aufgaben, Verantwortlichkeiten
MehrMultichannel Challenge: Integration von Vertriebsorganisation und Contact Center in der Versicherung
Philip Michel CRM Project Manager 23 June 2011 Multichannel Challenge: Integration von Vertriebsorganisation und Contact Center in der Versicherung 2009 IBM Corporation Die Multichannel Challenge eines
MehrInformationssicherheitsmanagement
Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und
MehrProzessmanagement Modeerscheinung oder Notwendigkeit
1 von5 Prozessmanagement Modeerscheinung oder Notwendigkeit Autor: Dr. Gerd Sonntag Beratender Ingenieur disocon (Unternehmensberatung Diekelmann & Sonntag) Das Thema Prozessmanagement wurde in einem kompakten
Mehr4. Versicherungsangebot
4. Versicherungsangebot Georg Nöldeke Wirtschaftswissenschaftliche Fakultät, Universität Basel Versicherungsökonomie (FS 11) Versicherungsangebot 1 / 13 1. Einleitung 1.1 Hintergrund In einem grossen Teil
MehrPrimzahlen und RSA-Verschlüsselung
Primzahlen und RSA-Verschlüsselung Michael Fütterer und Jonathan Zachhuber 1 Einiges zu Primzahlen Ein paar Definitionen: Wir bezeichnen mit Z die Menge der positiven und negativen ganzen Zahlen, also
MehrDie integrierte Zeiterfassung. Das innovative Softwarekonzept
Die integrierte Zeiterfassung Das innovative Softwarekonzept projekt - ein komplexes Programm mit Zusatzmodulen, die einzeln oder in ihrer individuellen Zusammenstellung, die gesamte Abwicklung in Ihrem
MehrEinführung Risk Management Konzept
Einführung Risk Management Konzept 1. Risiko unser ständiger Begleiter Das Risk Management ist ein wichtiges Führungsinstrument für das Erreichen der Zielsetzungen und für den Schutz der Mitarbeitenden,
MehrIT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS
IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit
MehrAustausch- bzw. Übergangsprozesse und Gleichgewichtsverteilungen
Austausch- bzw. Übergangsrozesse und Gleichgewichtsverteilungen Wir betrachten ein System mit verschiedenen Zuständen, zwischen denen ein Austausch stattfinden kann. Etwa soziale Schichten in einer Gesellschaft:
MehrZeichen bei Zahlen entschlüsseln
Zeichen bei Zahlen entschlüsseln In diesem Kapitel... Verwendung des Zahlenstrahls Absolut richtige Bestimmung von absoluten Werten Operationen bei Zahlen mit Vorzeichen: Addieren, Subtrahieren, Multiplizieren
MehrWie wirksam wird Ihr Controlling kommuniziert?
Unternehmenssteuerung auf dem Prüfstand Wie wirksam wird Ihr Controlling kommuniziert? Performance durch strategiekonforme und wirksame Controllingkommunikation steigern INHALT Editorial Seite 3 Wurden
MehrInfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.
InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle. RESSOURCEN BESTMÖGLICH NUTZEN. WORKSHOP INFOSEC AWARENESS DAS NOTWENDIGE
MehrDas Ziel ist Ihnen bekannt. Aber was ist der richtige Weg?
FOCAM Family Office Das Ziel ist Ihnen bekannt. Aber was ist der richtige Weg? Im Bereich der Finanzdienstleistungen für größere Vermögen gibt es eine Vielzahl unterschiedlicher Anbieter und Lösungswege.
MehrWarum sich das Management nicht für agile Softwareentwicklung interessieren sollte - aber für Agilität
Warum sich das Management nicht für agile Softwareentwicklung interessieren sollte - aber für Agilität Marcus Winteroll oose GmbH Agenda I. Ziele und Zusammenarbeit II. Was wir vom agilen Vorgehen lernen
MehrLineare Gleichungssysteme
Lineare Gleichungssysteme 1 Zwei Gleichungen mit zwei Unbekannten Es kommt häufig vor, dass man nicht mit einer Variablen alleine auskommt, um ein Problem zu lösen. Das folgende Beispiel soll dies verdeutlichen
Mehrgeben. Die Wahrscheinlichkeit von 100% ist hier demnach nur der Gehen wir einmal davon aus, dass die von uns angenommenen
geben. Die Wahrscheinlichkeit von 100% ist hier demnach nur der Vollständigkeit halber aufgeführt. Gehen wir einmal davon aus, dass die von uns angenommenen 70% im Beispiel exakt berechnet sind. Was würde
MehrLizenzen auschecken. Was ist zu tun?
Use case Lizenzen auschecken Ihr Unternehmen hat eine Netzwerk-Commuterlizenz mit beispielsweise 4 Lizenzen. Am Freitag wollen Sie Ihren Laptop mit nach Hause nehmen, um dort am Wochenende weiter zu arbeiten.
MehrUse Cases. Use Cases
Use Cases Eigenschaften: Ein Use Case beschreibt einen Teil des Verhaltens eines Systems aus externer Sicht (Formuliert in der der Fachsprache der Anwendung) Dies geschieht, indem ein Systemdialog beschrieben
MehrVirtual Roundtable: Business Intelligence - Trends
Virtueller Roundtable Aktuelle Trends im Business Intelligence in Kooperation mit BARC und dem Institut für Business Intelligence (IBI) Teilnehmer: Prof. Dr. Rainer Bischoff Organisation: Fachbereich Wirtschaftsinformatik,
MehrRISIKOMANAGEMENT IM UNTERNEHMEN
RISIKOMANAGEMENT IM UNTERNEHMEN Studie zum Einsatz von Risikomanagement-Vorgehensweisen in Unternehmen Risikomanagement ist ein wesentlicher Bestandteil der Unternehmensführung. Aber in welchen Firmen
Mehr1 Einleitung. 1.1 Motivation und Zielsetzung der Untersuchung
1 Einleitung 1.1 Motivation und Zielsetzung der Untersuchung Obgleich Tourenplanungsprobleme zu den am häufigsten untersuchten Problemstellungen des Operations Research zählen, konzentriert sich der Großteil
MehrGeyer & Weinig. Geyer & Weinig EDV-Unternehmensberatung GmbH
Geyer & Weinig Wenn Sie Fragen haben zu Ihrer IT-Qualität, dann ist Service Level Management die Antwort. IT-Service-Qualität Wissen Sie, wie es um Ihre IT-Qualität steht? NEIN! Aber warum nicht? Die Messung
Mehr1 topologisches Sortieren
Wolfgang Hönig / Andreas Ecke WS 09/0 topologisches Sortieren. Überblick. Solange noch Knoten vorhanden: a) Suche Knoten v, zu dem keine Kante führt (Falls nicht vorhanden keine topologische Sortierung
MehrSchweizer Bank Schweizer Bank Schweizer Bank Unternehmensrisiken steuern (Frankfurter Allgemeine) René F. Manser und Agatha Kalhoff Chancen und Risiken sind zwei Seiten derselben Medaille vor allem
MehrMean Time Between Failures (MTBF)
Mean Time Between Failures (MTBF) Hintergrundinformation zur MTBF Was steht hier? Die Mean Time Between Failure (MTBF) ist ein statistischer Mittelwert für den störungsfreien Betrieb eines elektronischen
MehrISO 9001:2015 REVISION. Die neue Struktur mit veränderten Schwerpunkten wurde am 23. September 2015 veröffentlicht und ist seit 15.09.
ISO 9001:2015 REVISION Die neue Struktur mit veränderten Schwerpunkten wurde am 23. September 2015 veröffentlicht und ist seit 15.09.2015 in Kraft 1 Präsentationsinhalt Teil 1: Gründe und Ziele der Revision,
Mehr27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich
ISO 27001 im Kundendialog Informationssicherheit intern und extern organisieren Juni 2014 Was steckt hinter der ISO/IEC 27001:2005? Die internationale Norm ISO/IEC 27001:2005 beschreibt ein Modell für
MehrOECD Programme for International Student Assessment PISA 2000. Lösungen der Beispielaufgaben aus dem Mathematiktest. Deutschland
OECD Programme for International Student Assessment Deutschland PISA 2000 Lösungen der Beispielaufgaben aus dem Mathematiktest Beispielaufgaben PISA-Hauptstudie 2000 Seite 3 UNIT ÄPFEL Beispielaufgaben
MehrAgieren statt Reagieren. Risikomanagement das Werkzeug der Zukunft
Agieren statt Reagieren Risikomanagement das Werkzeug der Zukunft alps... arbeitet seit mehr als 10 Jahren erfolgreich mit regionalen, nationalen und internationalen Behörden im Bereich Risikomanagement
MehrAlbert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen
Open Source professionell einsetzen 1 Mein Background Ich bin überzeugt von Open Source. Ich verwende fast nur Open Source privat und beruflich. Ich arbeite seit mehr als 10 Jahren mit Linux und Open Source.
MehrIRF2000 Application Note Lösung von IP-Adresskonflikten bei zwei identischen Netzwerken
Version 2.0 1 Original-Application Note ads-tec GmbH IRF2000 Application Note Lösung von IP-Adresskonflikten bei zwei identischen Netzwerken Stand: 27.10.2014 ads-tec GmbH 2014 IRF2000 2 Inhaltsverzeichnis
MehrAgile Unternehmen durch Business Rules
Xpert.press Agile Unternehmen durch Business Rules Der Business Rules Ansatz Bearbeitet von Markus Schacher, Patrick Grässle 1. Auflage 2006. Buch. xiv, 340 S. Hardcover ISBN 978 3 540 25676 2 Format (B
MehrIT-Sicherheitsmanagement bei der Landeshauptstadt München
IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung
MehrKriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.
Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz (SigG) datenschutz cert GmbH Version Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für Bestätigungen
MehrAufgabenheft. Fakultät für Wirtschaftswissenschaft. Modul 32701 - Business/IT-Alignment. 26.09.2014, 09:00 11:00 Uhr. Univ.-Prof. Dr. U.
Fakultät für Wirtschaftswissenschaft Aufgabenheft : Termin: Prüfer: Modul 32701 - Business/IT-Alignment 26.09.2014, 09:00 11:00 Uhr Univ.-Prof. Dr. U. Baumöl Aufbau und Bewertung der Aufgabe 1 2 3 4 Summe
MehrService Level Management: Qualität für IT-Services. Management Summary.
Service Level Management: Qualität für IT-Services. Management Summary. Nach vorne planen: Nachhaltigkeit als Unternehmensziel. Konsequent realisiertes Service Level Management wirkt sich in allen Bereichen
MehrDas große ElterngeldPlus 1x1. Alles über das ElterngeldPlus. Wer kann ElterngeldPlus beantragen? ElterngeldPlus verstehen ein paar einleitende Fakten
Das große x -4 Alles über das Wer kann beantragen? Generell kann jeder beantragen! Eltern (Mütter UND Väter), die schon während ihrer Elternzeit wieder in Teilzeit arbeiten möchten. Eltern, die während
MehrUnsere vier hilfreichsten Tipps für szenarienbasierte Nachfrageplanung
Management Briefing Unsere vier hilfreichsten Tipps für szenarienbasierte Nachfrageplanung Erhalten Sie die Einblicke, die Sie brauchen, um schnell auf Nachfrageschwankungen reagieren zu können Sales and
MehrGüte von Tests. die Wahrscheinlichkeit für den Fehler 2. Art bei der Testentscheidung, nämlich. falsch ist. Darauf haben wir bereits im Kapitel über
Güte von s Grundlegendes zum Konzept der Güte Ableitung der Gütefunktion des Gauss im Einstichprobenproblem Grafische Darstellung der Gütefunktionen des Gauss im Einstichprobenproblem Ableitung der Gütefunktion
MehrProzessoptimierung. und. Prozessmanagement
Prozessoptimierung und Prozessmanagement Prozessmanagement & Prozessoptimierung Die Prozesslandschaft eines Unternehmens orientiert sich genau wie die Aufbauorganisation an den vorhandenen Aufgaben. Mit
MehrVgl. Ehrmann, Harald: Kompakt-Training Risikomanagement: Rating - Basel II, Ludwigshafen (Rhein), 2005, S.52, 188, 201.
Ausfallwahrscheinlichkeit: Die Ausfallwahrscheinlichkeit Probability of Default (PD) gibt die prozentuale Wahrscheinlichkeit für die Nichterfüllung innerhalb eines Jahr an. Beispiele: Forderungsausfälle,
Mehri x k k=1 i u i x i v i 1 0,2 24 24 0,08 2 0,4 30 54 0,18 3 0,6 54 108 0,36 4 0,8 72 180 0,60 5 1,0 120 300 1,00 2,22 G = 1 + 1 n 2 n i=1
1. Aufgabe: Der E-Commerce-Umsatz (in Millionen Euro) der fünf größten Online- Shopping-Clubs liegt wie folgt vor: Club Nr. Umsatz 1 120 2 72 3 54 4 30 5 24 a) Bestimmen Sie den Ginikoeffizienten. b) Zeichnen
MehrLeseprobe. Sage HR Focus. Teil V: Effizientes Workforce Management für den Mittelstand
Leseprobe Sage HR Focus Teil V: Effizientes Workforce Management für den Mittelstand 2 Effizientes Workforce Management für den Mittelstand Was verstehen wir unter Workforce Management? 4 Warum ist Workforce
MehrTender Manager. Sparen Sie Zeit und Kosten durch eine optimierte Erstellung Ihrer individuellen IT-Ausschreibungen
Tender Manager Sparen Sie Zeit und Kosten durch eine optimierte Erstellung Ihrer individuellen IT-Ausschreibungen Tender Manager Der plixos Tender Manager reduziert drastisch den Aufwand bei der Durchführung
MehrMobile Intranet in Unternehmen
Mobile Intranet in Unternehmen Ergebnisse einer Umfrage unter Intranet Verantwortlichen aexea GmbH - communication. content. consulting Augustenstraße 15 70178 Stuttgart Tel: 0711 87035490 Mobile Intranet
MehrLineare Funktionen. 1 Proportionale Funktionen 3 1.1 Definition... 3 1.2 Eigenschaften... 3. 2 Steigungsdreieck 3
Lineare Funktionen Inhaltsverzeichnis 1 Proportionale Funktionen 3 1.1 Definition............................... 3 1.2 Eigenschaften............................. 3 2 Steigungsdreieck 3 3 Lineare Funktionen
MehrÜBERGABE DER OPERATIVEN GESCHÄFTSFÜHRUNG VON MARC BRUNNER AN DOMINIK NYFFENEGGER
GOOD NEWS VON USP ÜBERGABE DER OPERATIVEN GESCHÄFTSFÜHRUNG VON MARC BRUNNER AN DOMINIK NYFFENEGGER In den vergangenen vierzehn Jahren haben wir mit USP Partner AG eine der bedeutendsten Marketingagenturen
MehrErfolg und Vermögensrückgänge angefertigt im Rahmen der Lehrveranstaltung Nachrichtentechnik von: Eric Hansen, eric-hansen@gmx.de am: 07.09.
Abstract zum Thema Handelssysteme Erfolg und Vermögensrückgänge angefertigt im Rahmen der Lehrveranstaltung Nachrichtentechnik von: Eric Hansen, eric-hansen@gmx.de am: 07.09.01 Einleitung: Handelssysteme
MehrHerzlich Willkommen beim Webinar: Was verkaufen wir eigentlich?
Herzlich Willkommen beim Webinar: Was verkaufen wir eigentlich? Was verkaufen wir eigentlich? Provokativ gefragt! Ein Hotel Marketing Konzept Was ist das? Keine Webseite, kein SEO, kein Paket,. Was verkaufen
MehrFragebogen zur Qualität unserer Teamarbeit
Fragebogen r Qualität unserer Teamarbeit Die folgenden Aussagen beschreiben wesentliche Aspekte der Teamarbeit wie Kommunikation, Informationsaustausch, Zielfindung, Umgang miteinander etc. Bitte kreuzen
MehrBUSINESS PARTNER STATT ZAHLENKNECHT
UPDATE 4 CONTROLLER BUSINESS PARTNER STATT ZAHLENKNECHT Die Anforderungen an Controller haben sich in den letzten Jahren merklich gewandelt. Statt einer Konzentration auf die Aufbereitung und Analyse von
Mehr