IT-Risiko, Compliance und Resilienz
Projekt: PROMISS: Erweiterung von Prozessmodellen für den Risikomanagementprozess
Projektbeschreibung
Das Ziel des Projektes PROMISS ist es, ein Verfahren "IT-Risikomanagement durch Entwurf" zu entwickeln, um bereits zum Entwurfszeitpunkt des Geschäftsprozessmodells Risiken berücksichtigen zu können und damit eine kontinuierliche Erhebung, Bewertung und Anzeige der IT-Risikolage von Geschäftsprozessen zu ermöglichen.
In Unternehmen gewinnt eine wertorientierte Unternehmensführung zunehmend an Bedeutung. Diese sieht vor, dass jederzeit unternehmensweit einheitliche Ertrags- und Risikoinformationen zur Verfügung gestellt werden. Während automatisierte Geschäftsprozesse aktuelle Informationen zur Ertragslage bereitstellen, sind solche Daten bezüglich der IT-Risikolage nicht verfügbar.
Die Ursache dafür liegt einerseits in der fehlenden Integration solcher Risiken in die Geschäftsprozessmodelle und andererseits in der Abhängigkeit der IT-Risiken von der Beschaffenheit der IT-Infrastruktur. Die Informationstechnologie ist damit Ausgangspunkt von Risiken, welche die übrigen operationellen Risiken in ihren wirtschaftlichen Folgen übertreffen können. Zudem hängen IT-Risiken vom Vernetzungs- und Automatisierungsgrad der Geschäftsprozesse ab. Trotzdem sind weder bei der anstehenden Service-Orientierten Architektur (SOA) noch bei anderen Standardisierungsbemühungen zur Unternehmensmodellierung IT-Risiken berücksichtigt, mit der Folge, dass sie betriebswirtschaftlich nicht adäquat behandelt werden.
IT-Risiken sind schwer zu quantifizieren, da sowohl der Vernetzungsgrad der IT-Infrastruktur als auch die Kontextbezogenheit bei der Bewertung von Schadensfällen einbezogen werden muss. Ausgehend von den auf Effizienzzielen ausgerichteten Geschäftsprozessen, ist es im Hinblick auf die wertorientierte Unternehmensführung zwingend, ergänzende IT-Kontrollprozesse zu modellieren, damit sowohl Kontrollziele beschrieben als auch eine kontextbezogene Bewertung und Einschätzung der IT-Risikolage zur "Laufzeit" erreicht werden kann.
Die Erweiterung von Geschäftsprozessmodellen ist damit die Voraussetzung, um jederzeit neben der Ertrags- auch die Risikolage anzuzeigen und ein betriebswirtschaftlich ausgerichtetes IT-Risikomanagement zu ermöglichen.
Das Ziel des Projektes PROMISS ist es, ein Verfahren "IT-Risikomanagement durch Entwurf" zu entwickeln, um bereits zum Entwurfszeitpunkt des Geschäftsprozessmodells die Risiken berücksichtigen zu können. Hierzu werden drei Forschungsfragen im Detail untersucht und Konzepte zur Risikointegration erforscht:
1) Prozessmodellerweiterung: Definition eines komplementären Kontrollmodells
2) IT-Risiko-Modell: Ebenenbezogene Erfassung der IT-Ursache-Wirkungsbeziehungen
3) Messung und Anzeige der IT-Risikolage
Das daraus resultierende Modell kann die Voraussetzung sein, um eine kontinuierliche Erhebung, Bewertung und Anzeige der IT-Risikolage von Geschäftsprozessen zu ermöglichen. Die Beziehung zwischen den technischen und den betriebswirtschaftlichen Fragestellungen bilden beim vorgeschlagenen Verfahren „IT-Risikomanagement durch Entwurf“ die Schwachstellen. Sie sind der Ansatzpunkt zum einen für die technischen Schutzmechanismen und für die Bewertung von Störungen im Hinblick auf den Unternehmenserfolg. Die Messung der IT-Risikolage erfolgt über Risiko- und Schutzindikatoren, die mit Hilfe des „IT-Risiko-Cockpits“ visualisiert werden.
Die Erweiterung von Geschäftsprozessmodellen ist damit die Voraussetzung, um jederzeit neben der Ertrags- auch die Risikolage anzuzeigen und ein betriebswirtschaftlich ausgerichtetes IT-Risikomanagement zu ermöglichen.
In Unternehmen gewinnt eine wertorientierte Unternehmensführung zunehmend an Bedeutung. Diese sieht vor, dass jederzeit unternehmensweit einheitliche Ertrags- und Risikoinformationen zur Verfügung gestellt werden. Während automatisierte Geschäftsprozesse aktuelle Informationen zur Ertragslage bereitstellen, sind solche Daten bezüglich der IT-Risikolage nicht verfügbar.
Die Ursache dafür liegt einerseits in der fehlenden Integration solcher Risiken in die Geschäftsprozessmodelle und andererseits in der Abhängigkeit der IT-Risiken von der Beschaffenheit der IT-Infrastruktur. Die Informationstechnologie ist damit Ausgangspunkt von Risiken, welche die übrigen operationellen Risiken in ihren wirtschaftlichen Folgen übertreffen können. Zudem hängen IT-Risiken vom Vernetzungs- und Automatisierungsgrad der Geschäftsprozesse ab. Trotzdem sind weder bei der anstehenden Service-Orientierten Architektur (SOA) noch bei anderen Standardisierungsbemühungen zur Unternehmensmodellierung IT-Risiken berücksichtigt, mit der Folge, dass sie betriebswirtschaftlich nicht adäquat behandelt werden.
IT-Risiken sind schwer zu quantifizieren, da sowohl der Vernetzungsgrad der IT-Infrastruktur als auch die Kontextbezogenheit bei der Bewertung von Schadensfällen einbezogen werden muss. Ausgehend von den auf Effizienzzielen ausgerichteten Geschäftsprozessen, ist es im Hinblick auf die wertorientierte Unternehmensführung zwingend, ergänzende IT-Kontrollprozesse zu modellieren, damit sowohl Kontrollziele beschrieben als auch eine kontextbezogene Bewertung und Einschätzung der IT-Risikolage zur "Laufzeit" erreicht werden kann.
Die Erweiterung von Geschäftsprozessmodellen ist damit die Voraussetzung, um jederzeit neben der Ertrags- auch die Risikolage anzuzeigen und ein betriebswirtschaftlich ausgerichtetes IT-Risikomanagement zu ermöglichen.
Das Ziel des Projektes PROMISS ist es, ein Verfahren "IT-Risikomanagement durch Entwurf" zu entwickeln, um bereits zum Entwurfszeitpunkt des Geschäftsprozessmodells die Risiken berücksichtigen zu können. Hierzu werden drei Forschungsfragen im Detail untersucht und Konzepte zur Risikointegration erforscht:
1) Prozessmodellerweiterung: Definition eines komplementären Kontrollmodells
2) IT-Risiko-Modell: Ebenenbezogene Erfassung der IT-Ursache-Wirkungsbeziehungen
3) Messung und Anzeige der IT-Risikolage
Das daraus resultierende Modell kann die Voraussetzung sein, um eine kontinuierliche Erhebung, Bewertung und Anzeige der IT-Risikolage von Geschäftsprozessen zu ermöglichen. Die Beziehung zwischen den technischen und den betriebswirtschaftlichen Fragestellungen bilden beim vorgeschlagenen Verfahren „IT-Risikomanagement durch Entwurf“ die Schwachstellen. Sie sind der Ansatzpunkt zum einen für die technischen Schutzmechanismen und für die Bewertung von Störungen im Hinblick auf den Unternehmenserfolg. Die Messung der IT-Risikolage erfolgt über Risiko- und Schutzindikatoren, die mit Hilfe des „IT-Risiko-Cockpits“ visualisiert werden.
Die Erweiterung von Geschäftsprozessmodellen ist damit die Voraussetzung, um jederzeit neben der Ertrags- auch die Risikolage anzuzeigen und ein betriebswirtschaftlich ausgerichtetes IT-Risikomanagement zu ermöglichen.
Laufzeit
1. September 2008 bis 1. Februar 2011
Projektleitung
Mitarbeiter
Finanzierung
- Deutsche Forschungsgemeinschaft (DFG)
Neues Buch: Müller, G.:„Protektion 4.0: Das Digitalisierungsdilemma“
