Markus Junginger Wertorientierte Steuerung von Risiken im Informationsmanagement Mit einem Geleitwort von Prof. Dr. Helmut Krcmar Deutscher Universitäts-Verlag
Inhaltsverzeichnis - Geleitwort Vorwort Inhaltsverzeichnis Abbildungsverzeichnis Tabellenverzeichnis Abkürzungsverzeichnis V VII IX XV XIX XXI 1 Einleitung, Forschungsfragen und Aufbau 1 1.1 Einleitung und Problemstellung 1 1.2 Forscbungsfragen und Zielsetzung der Arbeit 4 1.3 Forscbungsstrategie und Forschungsmethode 5 1.3.1 Forschungsstrategie 5 1.3.2 Forschungsmethode 7 1.4 Theoretischer Bezugsrahmen und Aufbau der Arbeit 8 2 Wertorientiertes Informationsmanagement 11 2.1 Informationsmanagement 11 2.1.1 Grundbegriffe der Informationsverarbeitung 11 2.1.2 Information als Managementaufgabe 14 2.1.3 Konzepte und Modelle des Informationsmanagements 18 2.1.4 rv-controlling 22 2.1.5 Strategische Bedeutung des Informationsmanagements 24 2.1.6 Zusammenfassung 29 2.2- Nutzen und Wirkungen der Informationsverarbeitung 30 2.2.1 Nutzenpotenziale der Informationsverarbeitung 30 2.2.1.1 Intraorganisationale Sichtweise 30 2.2.1.2 Interorganisationale Sichtweise 33 2.2.2 Wirkungen der Informationsverarbeitung 38 2.2.2.1 IKT-Potenziale und begrenzende Faktoren 38 2.2.2.2 Fokus Produktivität 39 2.2.2.3 Fokus Prozesse 41 2.2.2.4 Fokus Ressourcen 44 2.2.3 Zusammenfassung 46 2.3 Informationsmanagement und wertorientierte Unternehmensführung 49 2.3.1 Allgemeine Grundlagen der Unternehmensführung 49 2.3.1.1 Begriff, Merkmale und Ziele 49
Inhaltsverzeichnis 2.3.1.2 Aufgaben und Funktionen der Untemehmensführung 53 2.3.2 Charakteristika der wertorientierten Unternehmensführung 55 2.3.2.1 Entwicklung des wertorientierten Gedankens 55 2.3.2.2 Ziele der wertorientierten Unternehmensführung 58 2.3.2.3 Der Cash-Flow als zentrale Erfolgsgröße 60 2.3.2.4 Die Umsetzung wertorientierter Steuerungskonzepte 62 2.3.3 Wertorientierte Steuemngsgrößen 64 2.3.3.1 Discounted Cash-Flow-Ansatz 64 2.3.3.2 Economic Value Added-Ansatz 67 2.3.3.3 Cash-Flow Return on Investment-Ansatz 69 2.3.4 Bewertung wertorientierter Steuerungsgrößen im Kontext des IM 71 2.3.4.1 Wertorientierte Steuerungsgrößen und Anwendungslebenszyklus 71 2.3.4.2 Kategorien von Anwendungen und Wirkungen auf den Cash-Flow 74 2.3.5 Werttreiber als Verbinder zwischen Cash-Flow und operativem IM 76 2.3.6 Zusammenfassung 78 2.4 Wertorientierte Steuerung des IM mit der Balanced Scorecard 80 2.4.1 Klassische Steuerungsinstrumente und Bewertungsverfahren 80 2.4.2 x Balanced Scorecard als Grundlage einer wertorientierten Steuerung des IM...83 2.4.2.1 Grundkonzept der BSC 83 2.4.2.2 Perspektiven und Kennzahlen der BSC im Informationsmanagement 86 2.4.2.2.1 Finanzielle Ziele 87 2.4.2.2.2 Unterstützte Geschäftsprozesse: Kundenperspektive des IM 88 2.4.2.2.3 Interne Geschäftsprozesse des IM 89 2.4.2.2.4 Potenziale des IM 92 2.4.2.2.5 Ursache-Wirkungszusammenhänge der Werttreiber und Perspektiven der DvI-BSC 93 2.4.2.3 Implementierungsaspekte der IM-BSC 94 2.4.3 Zusammenfassung 99 3 Risikomanagement und Informationsmanagement 101 3.1 Risiko und Risikomanagement 101 3.1.1 Relevanter Ausschnitt der Realität und Anwendungsbereich 101 3.1.2 Der ökonomische Risikobegriff. 103 3.1.2.1 Wirkungsbezogene Begriffsbestimmungen 104 3.1.2.2 Ursachenbezogene Begriffsbestimmungen 105 3.1.2.3 Risikoarten und Risikosteuerung 107 3.1.3 Risikomanagement 109 3.1.3.1 Ziele 109 3.1.3.2 Definition 111 3.1.3.3 Prozess des Risikomanagements 112 3.1.4 Gesetzliche und andere regulatorische Rahmenbedingungen für das Risikomanagement 116 3.1.4.1 Corporate Govemance 116
Inhaltsverzeichnis ; XI 3.1.4.1.1 Anglo-amerikanische Ansätze und Regelungen 117 3.1.4.1.2 Bundesrepublikanische Regelungen zur Corporate Governance 118 3.1.4.2 Eigenkapitalanforderungen für Banken (Basel II) 121 3.1.4.3 Bedeutung für das Informationsmanagement 123 3.1.5 Zusammenfassung 125 3.2 Ursachen und Merkmale von Risiken im Informationsmanagement 126 3.2.1 Grundproblematik der inhärenten Risiken im IM 127 3.2.2 Klassische Sichten auf Risiken im IM - Datenschutz und Datensicherheit 128 3.2.3 Risikofaktor E-Business 132 3.2.4 Projektrisiken im IM 133 3.2.5 Strategische Dimension von Risiken im IM 136 3.2.6 Systematik der Risiken im IM 137 3.2.7 Zusammenfassung.?. 141 3.3 Existierende Ansätze des Risikomanagements im IM 142 3.3.1 Informationssystem-Portfolio 142 3.3.2 Spiralmodell der Software-Entwicklung 143 3.3.3 V-Modell der Software-Entwicklung r. 144 3.3.4 IT-Grundschutzhandbuch 145 3.3.5 CodeofPractice 146 3.3.6 Common Criteria 147 3.3.7 Cobit 149 3.3.8 Zusammenfassung 150 3.4 Risikosituation im IM in deutschen Unternehmen... 152 3.4.1 Zielsetzung und Zielgruppe 152 3.4.2 Umfragedurchführung und Antwortverhalten 153 3.4.3 Konstruktion und Aufbau des Fragebogens 154 3.4.4 Datenauswertung 155 3.4.5 Ergebnisse der Befragung 157 3.4.5.1 Teilnehmerstruktur 157 3.4.5.2 Risikosituation im Informationsmanagement 158 3.4.5.2.1 Verständnis des IT-Risk Managements 158 3.4.5.2.2 Portfolio-Risiken 160 3.4.5.2.3 Projekt-Risiken 161 3.4.5.2.4 Betriebs-Risiken 163 3.4.5.2.5 Outsourcing-Risiken 164 3.4.5.2.6 Strategie-Risiken 166 3.4.5.2.7 Tatsächlich aufgetretene Schäden 168 3.4.5.3 Gestaltungsmerkmale des Risikomanagements im IM 169 3.4.5.3.1 Risikoidentifikation 169 3.4.5.3.2 Risikoanalyse 170 3.4.5.3.3 Risikosteuerung 171 3.4.5.3.4 Risikoberichterstattung 172
XII Inhaltsverzeichnis 3.4.5.3.5 Best-Practice 174 3.4.6 Zusammenfassung 175 4 Wertorientierte Steuerung von Risiken im IM 177 4.1 Ziele, Herausforderungen und Gestaltungsaufgaben 177 4.1.1 Ziele.- 177 4.1.2 Herausforderungen und Gestaltungsaufgaben 181 4.1.3 Zusammenfassung 183 4.2 Integration des Risikomanagements in die wertorientierte Steuerung des Informationsmanagements 183 '4.2.1 Werttreiber und Risikotreiber 184 4.2.2 Die Risikoperspektive der M-BSC 186 4.2.3 Top-Down-Identifikation und Bottom-Up-Analysen - Risk-Case und Risiko-Szenario 188 4.2.4 Zusammenfassung 193 4.3 Gestaltung des Risikomanagement-Prozesses 194 4.3.1 Der Risikomanagement-Prozess 194 4.3.2 Festlegung der Rahmenbedingungen 197 4.3.2.1 Interne und externe Rahmenbedingungen 197 4.3.2.2 Risikostrategie 199 4.3.2.2.1 Risikoneigung und Risikoposition 200 4.3.2.2.2 Risikoverteilung und Risikotragfähigkeit 202. 4.3.2.2.3 Festlegung der Risikomanagement-Organisation, Methoden und Grundsätze 206 4.3.2.3 Risikokultur 208 4.3.2.4 Best-Practice-Prozesse und Grundschutz 211 4.3.3 Risikoidentifikation 214 4.3.3.1 Überblick 214 4.3.3.2 Analytische Ansätze 215 4.3.3.2.1 Fehlerbaumanalyse 215 4.3.3.2.2 Fehlermöglichkeits- und Einflussanalyse 217 4.3.3.2.3 Checklisten 220 4.3.3.2.4 Schadensfalldatenbank im IM 222 4.3.3.2.5 (Virtual) Walkthroughs 224 4.3.3.3 Prognosetechniken 225 4.3.3.3.1 Befragungen 225 4.3.3.3.2 Szenario-Technik 226 4.3.3.3.3 Frühaufklärung 228 4.3.3.3.4 Trendexploration 230 4.3.3.4 Kreativitätstechniken." 232 4.3.3.4.1 Brainstorming und Brainwriting 232 4.3.3.4.2 Synektik 234
Inhaltsvereeichms XIII 4.3.3.5 Organisatorische Gestaltung des Teilprozesses der Risikoidentifikation 236 4.3.4 Risikoanalyse 241 4.3.4.1 Grundsystematik der Risikoanalyse im IM 241 4.3.4.2 Zur Bewertung von Schadenshöhen 244 4.3.4.3 Zur Bewertung von Schadenswahrscheinlichkeiten 245 4.3.4.4 Ansätze zur Bewertung der Risikohöhe 249 4.3.4.4.1 Risiko-Portfolio 250 4.3.4.4.2 Erwartungswerte 253 4.3.4.4.3 Operational Value at Risk \ 257 4.3.4.4.4 Korrelationsanalyse 264 4.3.4.4.5 Sensitivitätsanalyse 265 4.3.4.4.6 Risikobewertung im Kontext der wertorientierten Unternehmensführung 266 4.3.4.5 Organisatorische Gestaltung des Teilprozesses der Risikoanalyse 268 4.3.5 Risikosteuerung 280 4.3.5.1 Instrumente der Risikosteuerung im IM 280 4.3.5.2 Ist-Zustand und Soll-Planung 283 4.3.5.3 Ökonomische Überlegungen 284 4.3.5.4 N Maßnahmenbündel der Risikosteuerung im IM 286 4.3.5.4.1 Strategie- und Führungs-Risiken 286 4.3.5.4.2 Portfolio-Risiken 287 4.3.5.4.3 Projekt-Risiken 289 4.3.5.4.4 Betriebs-Risiken 290 4.3.5.4.5 Überwachungs-Risiken 291 4.3.5.5 Organisatorische Gestaltung des Teilprozesses der Risikosteuerung 292 4.3.6 Risikoüberwachung 297 4.3.6.1 Erfolgskontrolle und Änderungskontrolle 297 4.3.6.2 Risikoberichterstattung 299 4.3.6.3 Organisatorische Gestaltung des Teilprozesses der Risikoüberwachung 303 4.3.7 Überwachung des Risikomanagements im IM 309 4.3.8 Zusammenfassung 310 4.4 Informationssystemunterstützung :. 312 4.4.1 Überblick, 312 4.4.2 Anforderungen an die Software-Ergonomie und -Technik 313 4.4.3 Unterstützung der Phasen des Risikomanagement-Zyklus 314 4.4.4 Risikomanagement-Informationssysteme 315 4.4.5 Zusammenfassung 316 5 Kritische Würdigung und Ausblick, 319 Literaturverzeichnis 323 Anhang 351