risikomanagement - pst · (information security management system) iso/iec 2700x . juristische...
TRANSCRIPT
Wintersemester 2009 / 2010 Folie 2 Inhalt - Risikomanagement
Inhalt
Roter Faden - Wo wir uns befinden seht ihr
unten
Fragen – bitte sofort stellen
1. Einleitung
2. Risikomanagementprozess
3. Juristische Hintergründe
4. Fazit
Wintersemester 2009 / 2010 Folie 3 Einleitung - Risikomanagement
Was ist Risikomanagement?
Risiko beschreibt die Wahrscheinlichkeit, dass ein, vorwiegend als schlechtes gesehenes Ereignis, eintritt.
DEFINITION RISIKO
→ Der systematische Prozess und deren Maßnahmen zum Umgang mit
diesen Risiken wird als Risikomanagement bezeichnet.
Wintersemester 2009 / 2010 Folie 4 Einleitung - Risikomanagement
Schadensfälle in der IT
GRAFIK: Dr. Zoller, Peter (2013). “Risikomanagement am Beispiel Projekt-Compliance & Projekt-Verträge“. Foliensatz Gastvorlesung LMU Juristisches IT-Projektmanagement, Seite 24
Wintersemester 2009 / 2010 Folie 5 Einleitung - Risikomanagement
Können Risiken ganz vermieden werden?
→ Risiken sind notwendiger Bestandteil, ungeplant, nicht vermeidbar
→ JEDOCH: gutes Risikomanagement schafft Abhilfe!
RISIKEN = CHANCEN
Wintersemester 2009 / 2010 Folie 6 Einleitung - Risikomanagement
Wann ist der richtige Zeitpunkt?
GRAFIK: „Risikomanagement und Phasen des Projekts. Risikomanagement beginnt bereits in der Projektvorphase. (Method Park)“. URL: http://www.elektronikpraxis.vogel.de/the- men/embeddedsoftwareengineering/management/articles/290447/ [Stand:10.01.2014]
Wintersemester 2009 / 2010 Folie 7 Risikomanagementprozess - Risikomanagement
UNTERNEHMENSZIELE
Risiko-identifikation
Risiko-kontrolle
Risiko-bewertung
Risiko-steuerung
Risikomanagementzyklus
KOMMUNIKATION
Wintersemester 2009 / 2010 Folie 8 Risikomanagementprozess - Risikomanagement
UNTERNEHMENSZIELE
→ Vision des Unternehmens
→ Die Unternehmensstrategie klärt die Fragen „WAS sind unsere Ziele?“, „WIE wollen wir diese erreichen?“, „WANN wollen wir diese erreichen?“
→ Risikopolitik / IT-Risikopolitik baut auf der Unternehmensstrategie auf
→ Alle Maßnahmen des Risikomanagements müssen im Einklang mit der Unternehmensstrategie stehen
Beispiel Marketing Satz
Hinarbeitung auf ein gemeinsames Ziel
(Bereichsstrategie...) – Wiederspruch-
Risikoausprägung und Prämissen zur Fällung
von En
Wintersemester 2009 / 2010 Folie 9 Risikomanagementprozess - Risikomanagement
→ Sammlung aller aktueller und möglicher zukünftiger Risiken
→ Wichtiger Prozess!
Risiko-identifikation
MET
HO
DIK
Möglichkeit der Clusterung nach zB.Fachbereich
SWOT - Analyse
GRAFIK: URL: http://www.thessenvitz.de/swot-analyse/ [Stand:12.01.2014]
Wintersemester 2009 / 2010 Folie 10 Risikomanagementprozess - Risikomanagement
Risiko-bewertung
→ Beurteilt die gefundenen Risiken
→ Bewertung erfolgt in den Dimensionen Eintrittswahrscheinlichkeit und Schadenshöhe
ZUSAMMENFASSEN
MET
HO
DIK
gering mittel hoch sehr hoch
gering
mittel
hoch
sehr
hoch
Schadenshöhe
Eintrittswahrscheinlichkeit
Abb. 7 Einfache Darstellung einer Risikomatrix
kein Handlungsbedarf
ggf. Handlungsbedarf
Handlungsbedarf
RISIKOMATRIX
Komplexität 3Kategorien
Kategorien erklären Workshops(Teilnehmer Kärtchen, Teilnehmer
frei aufschreiben lassen)
Wintersemester 2009 / 2010 Folie 11 Risikomanagementprozess - Risikomanagement
Risiko-bewertung
→ Optimal zur Nachverfolgung / meist als Excel-Datei ZUSAMMENFASSEN
Lässt sich gut im Zuge des Workshops
erstellen
Weitere Möglich:Kosten
Qualität Zeit
Zusatz: Risikoportfolio
Kategorie Risiko Auswirkung Eintritts-
wahrschein-lichkeit
Beschreibung der Auswirkung
Mögliche Maßnahme
Verantwortlicher Termin Status Kosten, Termine/Zeit, etc.
hoch - Projekterfolg gefährdet
mittel - (Teil-) Projektziel gefährdet
gering - Projektziel nicht beeinträchtigt
Für die laufende Überwachung der
Risiken.
Für den Status eignet sich das Ampelsystem.
Wintersemester 2009 / 2010 Folie 12 Risikomanagementprozess - Risikomanagement
Risiko-steuerung
→ Finden von Maßnahmen zum Umgang mit den Risiken
Vermeiden – Gegenmaßnahmen, die das Risiko komplett abwenden
Mindern – Maßnahmen, die die Auswirkungen verringern bzw. so gering wie möglich halten
Überwälzen – z.B. Versicherung abschließen oder Risiko an andere Projektmitglieder auslagern
Selbst tragen (Zuschläge und Reserven) – Risiko in Kauf nehmen, einkalkulieren, Kosten selbst tragen
GRAFI: Einerhand, Johanna (2011). „Risikosteuerung – wie können Risiken in der Landwirtschaft gesteuert werden?“. URL: http://web.altagenetics.com/germany/Article/Print/1083 [Stand: 13.01.2014]
Wintersemester 2009 / 2010 Folie 13 Risikomanagementprozess - Risikomanagement
Risiko-kontrolle
→ Laufende Tätigkeit des Risikomanagements
→ Sicherstellung, dass „SOLL“ und „IST“ Situation übereinstimmen
→ Berichtswesen oder Standardprozess implementieren
Wintersemester 2009 / 2010 Folie 14 Juristische Hintergründe - Risikomanagement
Juristische Hintergründe
GRAFIK: Dr. Zoller, Peter (2013). “Risikomanagement am Beispiel Projekt-Compliance & Projekt-Verträge“. Foliensatz Gastvorlesung LMU Juristisches IT-Projektmanagement, Seite 5
Wintersemester 2009 / 2010 Folie 15 Juristische Hintergründe - Risikomanagement
BISIG
Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik
„Sicherheit in der Informationstechnik im Sinne dieses Gesetzes bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen
1. in informationstechnischen Systemen, Komponenten oder Prozessen oder
2. bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen.“
(§ 2 Abs. 2)
Wintersemester 2009 / 2010 Folie 16 Juristische Hintergründe - Risikomanagement
KonTraG
Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
→ Bei Nichterfüllung der Vorschriften des KonTraG können Geschäftsleiter in die persönliche Haftung geraten können (OLG Düsseldorf, 26.4.01, 6 U 94/00)
→ Betroffene Rechtsformen: Aktiengesellschaft, GmbH, GmbH & Co. KG, KG / OHG (wenn keine natürliche Person haftet)
„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft
gefährdende Entwicklungen früh erkannt werden.“ (§ 91 Abs. 2 AktG)
Wintersemester 2009 / 2010 Folie 17 Juristische Hintergründe - Risikomanagement
Deutscher Corporate Governance Kodex
→ Regelwerk - von der Regierungskommission der Bundesrepublik Deutschland erarbeitet
→ Empfehlungen und Anregungen für börsennotierte Unternehmen, die auf eine gute Unternehmensführung zielen (Grundsätze guter Leitung und Kontrolle von großen Unternehmen)
→ „soll“ - Abweichungen jährlich offen legen und begründen „sollte“ - Anregungen von denen abgewichen werden kann
„Der Vorstand sorgt für ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen.[...]“
(4.1.4)
Eine von mehreren Stellen an denen das Risikomanagement angesprochen wird.
Wintersemester 2009 / 2010 Folie 18 Juristische Hintergründe - Risikomanagement
ISO 31000
→ Beinhaltet Definitionen, Begriffserklärungen, Grundsätze des Risikomanagements, eine Beschreibung der Elemente des Risikomanagementsystems sowie eine Beschreibung des Risikomanagementprozesses
→ nicht zertifizierbar
Erste weltweilt gültige ISO Norm (Standard) für Risikomanagement.
Wintersemester 2009 / 2010 Folie 19 Juristische Hintergründe - Risikomanagement
→ Anleitung zur IT Risikoanalyse und zum Risikomanagement im IT Bereich
→ Der Prozess orientiert sich an der ISO 31000
→ nicht verpflichtend / zertifizierbar
Informationssicherheitsmanagement ISMS (Information Security Management System)
ISO/IEC 2700x
Wintersemester 2009 / 2010 Folie 20 Juristische Hintergründe - Risikomanagement
BSI 100-3
Risikoanalyse auf der Basis von IT-Grundschutz
→ IT-Grundschutz-Kataloge des BSI enthalten Standard-Sicherheitsmaßnahmen aus den Bereichen Organisation, Personal, Infrastruktur und Technik
→ spezifiziert ergänzende, vereinfachte Risikoanalysen, falls die Sicherheitsanforderungen deutlich über das normale Maß hinausgehen ...
Wintersemester 2009 / 2010 Folie 21 Juristische Hintergründe - Risikomanagement
IDW PS 340
→ Teil der Corporate Governance
→ Gilt für Großunternehmen, Aktiengesellschaften,...
→ Verantwortung beim Management
→ Zuständig ist Risikomanager
Prüfungsstandard –
Die Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB
Wintersemester 2009 / 2010 Folie 22 Juristische Hintergründe - Risikomanagement
CobiT
Control Objectives for Information and Related Technology
→ International anerkanntes Framework zur IT-Governance
→ COBIT definiert hierbei nicht vorrangig wie die Anforderungen umzusetzen sind, sondern primär WAS umzusetzen ist
→ In Summe definiert das COBIT 5-Frameworks und 37 IT-Prozesse
Wintersemester 2009 / 2010 Folie 24 Fazit - Risikomanagement
Fazit
→ Risikomanagement ist nicht nur empfehlenswert, es ist auch juristisch verpflichtend
→ Bewusstsein für Risiken schaffen
→ Risikomanagement ist Teil der Governance
→ Frühzeitiges und sauberes Risikomanagement ist von großer Bedeutung
→ Risikomanagement ist transparent
→ Es ist dynamisch, iterativ und reagiert auf Veränderungen
Wintersemester 2009 / 2010 Folie 25 Fazit - Risikomanagement
Quellenangabe / Literaturhinweis
→ Dr. Zoller, Peter (2013). “Risikomanagement am Beispiel Projekt-Compliance & Projekt-Verträge“. Foliensatz Gastvorlesung LMU Juristisches IT-Projektmanagement
→ „IT-Grundschutz-Standards“. URL: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/ITGrundschutzStandards_node.html [Stand:14.01.2014]
→ Prof. Dr. Krystek, Ulrich & Prof. Dr. Fiege, Stefanie. „Gabler Wirtschaftslexikon, Stichwort: Risikomanagement„. Springer Gabler Verlag. URL: http://wirtschaftslexikon.gabler.de/Archiv/7669/risikomanagement-v9.html [Stand: 12.01.2014]
→ Regierungskommission (2013). „Deutscher Corporate Governance - Kodex“. URL: http://www.corporate-governance-code.de/ger/kodex/index.html [Stand: 12.01.2014])
→ URL: http://www.risikomanagement-iso-31000.de [Stand: 14.01.2014]