Buchbesprechung
Praxisorientiertes IT-Risikomanagement
Konzeption, Implementierung und Überprüfung
dpunkt.verlag, Heidelberg
2014
364 Seiten
ISBN 978-3-89864-833-2 € 44,90
Das Managen von IT-Risiken ist mit hohem Aufwand verbunden und fällt deshalb vielen Unternehmen schwer. Fragen der adäquaten Einrichtung von Risikomanagementsystemen, Prozesse zur Identifizierung und Bewertung von Risiken und letztlich die Ableitung geeigneter Maßnahmen beschäftigen große Konzerne, aber auch kleine und mittlere Unternehmen. Oft fehlt es neben dem theoretischen Know-how an praktischen Beispielen und Handlungsempfehlungen, um nicht das Risiko unternehmerischen Handelns in den Vordergrund zu stellen, sondern zunächst einmal die Chancen neuer technologischer Entwicklungen begreifbar und nutzbar zu machen.
Matthias Knoll hat sich in seinem Buch "Praxisorientiertes IT-Risikomanagement – Konzeption, Implementierung und Überprüfung" die Aufgabe gestellt, den Leser nicht nur mit den theoretischen Grundlagen des Risikomanagements vertraut zu machen, sondern durch Praxisbeispiele und Handlungsempfehlungen den Aufbau eines IT-Risikomanagementsystems in Unternehmen zu erleichtern.
Nach einer Einführung werden im zweiten Kapitel "IT-Risiko" die Begrifflichkeiten und Ausprägungen des IT-Risikos erläutert sowie die Bestimmungsfaktoren des IT-Risikomanagements – das IT-Risikobewusstsein, die IT-Risikokultur, die IT-Risikoneigung und die IT-Risikopolitik – diskutiert. Die auch visuell hervorgehobene Unterscheidung zwischen Definitionen, erläuternden Textstellen, Beispielen und Handlungsempfehlungen erleichtert schon in diesen ersten Kapiteln, wie auch in allen nachfolgenden Kapiteln, die Lesbarkeit und schnelle Auffindbarkeit von Textstellen. Dem Leser seien insbesondere die Handlungsempfehlungen ans Herz gelegt, die eine Vielzahl von praktischen Anleitungen und Verfahrensweisen zur Implementierung eines IT-Risikomanagementsystems in Unternehmen enthalten.
Das Kapitel 3 "IT-Risikomanagement" widmet sich den Schnittstellen zum unternehmensweiten Enterprise Risk Management und erläutert die gängigen gesetzlichen Anforderungen, Frameworks und Standards, die bei der Gestaltung von Risikomanagementsystemen zu beachten sind. Für den Leser ist dabei die Diskussion der vermeintlichen Vor- und Nachteile der Standards von besonderem Interesse, da die Frage von COSO, COBIT oder ISO als für das Risikomanagement geeignetem Standard in der Praxis gerne und kontrovers diskutiert wird.
Das Kapitel 4 "Aufbauorganisation des IT-Risikomanagements" definiert u. a. Rollen, Verantwortlichkeiten und Aufgaben der am Risikomanagement Beteiligten und gibt erste Hinweise für die Verankerung in der Unternehmensorganisation. Bei diesem Kapitel stand die Organisation von großen Konzernen Pate, für kleine und mittlere Unternehmen werden allerdings Hinweise zur Zusammenfassung der verschiedenen Rollen im IT-Risikomanagementprozess gegeben.
Im Kapitel 5 "Der IT-Risikomanagement-Prozess" werden die einzelnen Prozesse von der Risikoidentifikation über die Analyse und Bewertung von Risiken bis zur Maßnahmendefinition und der Überwachung des gesamten Risikomanagementprozesses behandelt.
Die Grundlagen des Aufbaus eines IT-Risikomanagementsystems werden abgerundet durch das Kapitel 6 "Methoden und Werkzeuge für das IT-Risikomanagement", das dem Leser Hilfestellung bei der Auswahl von Methoden und Werkzeugen und der zu ihrer Unterstützung verwendeten Software gibt. Besonders hervorzuheben ist die Darstellung und Bewertung von quantitativen und qualitativen Bewertungsmethoden. Durch die Darstellung der Vor- und Nachteile der unterschiedlichen Methoden kann der Leser die Eignung einer Methode für sein unternehmensspezifisches Umfeld besser beurteilen. Von praktischer Bedeutung ist auch die Zusammenstellung der derzeit am Markt angebotenen Software für die Unterstützung des Risikomanagements.
Die beiden nachfolgenden Kapitel beschäftigen sich mit den Besonderheiten und typischen Beispielen für das Risikomanagement im IT-Betrieb und in IT-Projekten. Während das IT-Risikomanagement des IT-Betriebs sehr ausführlich behandelt wird, beschränkt sich das IT-Risikomanagement im Bereich der Anwendungsentwicklung auf das Projektgeschäft und Open-Source-Projekte. Die Diskussion von IT-Risiken aus dem Change-Management wäre eine wünschenswerte Erweiterung für die nächste Auflage.
Kapitel 9 erläutert die "Einführung des IT-Risikomanagements" als Projekt in einem Unternehmen mit den großen (und kleinen) Schritten, die zur Implementierung eines neuen Prozesses in das Unternehmensumfeld erforderlich sind.
Das Kapitel 10 "Das Interne Kontrollsystem in der IT" beschreibt die Grundzüge und die Kontrollen eines Internen Kontrollsystems in der IT, das wesentliche Grundlage, ja Voraussetzung für die Beherrschung organisatorischer, personeller und technischer Risiken in Unternehmen ist.
Das 11. Kapitel ist der Prüfung des IT-Risikomanagements gewidmet, wobei hier allerdings die Methodik zur Prüfung von Sachverhalten durch interne oder externe Prüfer mehr oder weniger im Allgemeinen dargestellt wird.
Insgesamt wird Matthias Knoll dem selbst gestellten Anspruch eines praxisorientierten Buches gerecht. Die vielen Beispiele, Handlungsempfehlungen, Templates, Arbeitshilfen und Checklisten sind bei der Gestaltung und Ausprägung von Risikomanagementsystemen eine profunde Hilfe und eignen sich auch zum Nachschlagen bei vielen täglichen Praxisfragen des Risikomanagements.
Dr. Martin Fröhlich
CISA, CGEIT
PricewaterhouseCoopers AG WPG,
Düsseldorf
martin [dot] froehlich [at] de [dot] pwc [dot] com
