Risiken Los3: Unterschied zwischen den Versionen

Aus IVS-Wiki
Zur Navigation springen Zur Suche springen
 
(Eine dazwischenliegende Version von einem anderen Benutzer wird nicht angezeigt)
Zeile 1: Zeile 1:
  
== Risiken im Zuständigkeitsübergreifenden Verkehrsmanagement ==
+
== Risiken der Einführung einer IVS-Referenzarchitektur für zuständigkeitsübergreifendes Verkehrsmanagement ==
  
 
=== Einführung ===
 
=== Einführung ===
Zeile 18: Zeile 18:
 
=== Darstellung der Risiken ===
 
=== Darstellung der Risiken ===
  
Im Rahmen des Risikomanagements können Risiken '''vor und nach der Umsetzung der IVS-Architektur''' des zuständigkeitsübergreifenden Verkehrsmanagements identifiziert und in Bezug auf '''Eintrittswahrscheinlichkeit und Schwere''' bewertet werden. Zudem werden die Schritte für Identfikation und Bewertung fest und '''identifiziert mögliche Gegenmaßnahmen''' für kritische Risiken ('''Risikomanagement''') festgelegt. Die nachfolgende Tabelle zeigt eine Zusammenstellung der identifizierten Risiken.
+
Im Rahmen des Risikomanagements können Risiken '''vor und nach der Umsetzung der IVS-Architektur''' des zuständigkeitsübergreifenden Verkehrsmanagements identifiziert und in Bezug auf '''Eintrittswahrscheinlichkeit und Schwere''' bewertet werden. Zudem werden die Schritte für Identifikation und Bewertung fest und '''identifiziert mögliche Gegenmaßnahmen''' für kritische Risiken ('''Risikomanagement''') festgelegt. Die nachfolgende Tabelle zeigt eine Zusammenstellung der identifizierten Risiken.
  
{| border="1" cellpadding="1" cellspacing="1" width="958"
+
{| width="958" border="1" cellspacing="1" cellpadding="1"
 
|-
 
|-
| colspan="9" style="background-color: rgb(187, 187, 187)" | '''Beschreibung des Risikos'''
+
| style="background-color: rgb(187, 187, 187)" colspan="9" | '''Beschreibung des Risikos'''
 
|-
 
|-
 
| style="width: 216px" | Beschreibung
 
| style="width: 216px" | Beschreibung
| style="width: 125px" valign="top" | Personalmangel zur Umsetzung
+
| valign="top" style="width: 125px" | Personalmangel zur Umsetzung
 
| valign="top" | Akzeptanz der Beteiligten
 
| valign="top" | Akzeptanz der Beteiligten
 
| style="width: 151px" | Komplexität der IVS-Architektur
 
| style="width: 151px" | Komplexität der IVS-Architektur
 
| valign="top" | Unkonkrete Festlegungen in IVS-Architektur
 
| valign="top" | Unkonkrete Festlegungen in IVS-Architektur
| style="width: 142px" valign="top" | Verständlichkeit der IVS-Architektur
+
| valign="top" style="width: 142px" | Verständlichkeit der IVS-Architektur
 
| valign="top" | Umsetzbarkeit der IVS-Architektur in Organisationen
 
| valign="top" | Umsetzbarkeit der IVS-Architektur in Organisationen
| style="width: 143px" valign="top" | Pflege der IVS-Architektur
+
| valign="top" style="width: 143px" | Pflege der IVS-Architektur
| style="width: 30px" valign="top" | ...
+
| valign="top" style="width: 30px" | ...
 
|-
 
|-
| colspan="9" style="background-color: rgb(187, 187, 187)" | '''Mögliche Risikoquellen'''
+
| style="background-color: rgb(187, 187, 187)" colspan="9" | '''Mögliche Risikoquellen'''
 
|-
 
|-
 
| style="width: 216px" | Identifikation konkreter möglicher Quellen und Risiken aus den einzelnen Quellen
 
| style="width: 216px" | Identifikation konkreter möglicher Quellen und Risiken aus den einzelnen Quellen
| style="width: 125px" valign="top" |  
+
| valign="top" style="width: 125px" |  
 
*Finanzmittel-mangel  
 
*Finanzmittel-mangel  
 
*Qualifizierung des Personals  
 
*Qualifizierung des Personals  
Zeile 53: Zeile 53:
 
*vage Festlegungen zu Prozessen  
 
*vage Festlegungen zu Prozessen  
  
| style="width: 142px" valign="top" |  
+
| valign="top" style="width: 142px" |  
 
*komplexe Prozesse  
 
*komplexe Prozesse  
 
*Organisations-strukturen  
 
*Organisations-strukturen  
Zeile 63: Zeile 63:
 
*Finanzmittel-mangel  
 
*Finanzmittel-mangel  
  
| style="width: 143px" valign="top" |  
+
| valign="top" style="width: 143px" |  
 
*Personalmangel  
 
*Personalmangel  
 
*Finanzmittel-mangel  
 
*Finanzmittel-mangel  
 
*Qualifizierung des Personals  
 
*Qualifizierung des Personals  
  
| style="width: 30px" valign="top" | ...
+
| valign="top" style="width: 30px" | ...
 
|-
 
|-
| colspan="9" style="background-color: rgb(187, 187, 187)" | '''Zusammenhang des Risikos mit IVS-Architektur'''
+
| style="background-color: rgb(187, 187, 187)" colspan="9" | '''Zusammenhang des Risikos mit IVS-Architektur'''
 
|-
 
|-
 
| style="width: 216px" |  
 
| style="width: 216px" |  
 
In welchem Kontext steht das Risiko mit Umsetzung von IVS-Architekturmaßnahmen?
 
In welchem Kontext steht das Risiko mit Umsetzung von IVS-Architekturmaßnahmen?
  
| style="width: 125px" valign="top" | Durch fehlendes und/oder nicht qualifiziertes Personal kann die Umsetzung der IVS-Architektur verzögert werden.
+
| valign="top" style="width: 125px" | Durch fehlendes und/oder nicht qualifiziertes Personal kann die Umsetzung der IVS-Architektur verzögert werden.
 
| valign="top" | Die IVS-Architektur wird nicht von allen Beteiligten (Managementebene und Mitarbeiter) getragen, was die Umsetzung verzögert oder gar verhindert.
 
| valign="top" | Die IVS-Architektur wird nicht von allen Beteiligten (Managementebene und Mitarbeiter) getragen, was die Umsetzung verzögert oder gar verhindert.
 
| style="width: 151px" | Die identifizierten Prozessabläufe sowie in vorhandenen Organisationsstrukturen  können die Komplexität der IVS-Architekzur steigern und damit die Umsetzbarkeit erschweren.
 
| style="width: 151px" | Die identifizierten Prozessabläufe sowie in vorhandenen Organisationsstrukturen  können die Komplexität der IVS-Architekzur steigern und damit die Umsetzbarkeit erschweren.
 
| valign="top" | Die identifizierten Prozessabläufe sind zu vage beschrieben und  können und somit die Umsetzbarkeit erschweren.
 
| valign="top" | Die identifizierten Prozessabläufe sind zu vage beschrieben und  können und somit die Umsetzbarkeit erschweren.
| style="width: 142px" valign="top" | Die identifizierten Prozessabläufe sowie in vorhandenen Organisationsstrukturen  können die Verständlichkeit der IVS-Architekzur verringern und damit die Umsetzbarkeit sowie die Pflege erschweren.
+
| valign="top" style="width: 142px" | Die identifizierten Prozessabläufe sowie in vorhandenen Organisationsstrukturen  können die Verständlichkeit der IVS-Architekzur verringern und damit die Umsetzbarkeit sowie die Pflege erschweren.
 
| valign="top" | Die komplexen Anwendungen sowie fehlende Personal und Finanzmittel können die Umsetzbarkeit der IVS-Architekzur in den Organisationen erschweren.
 
| valign="top" | Die komplexen Anwendungen sowie fehlende Personal und Finanzmittel können die Umsetzbarkeit der IVS-Architekzur in den Organisationen erschweren.
| style="width: 143px" valign="top" | Durch fehlendes und/oder nicht qualifiziertes Personal sowie fehlende Finanzmittel können eine weitergehende Pflege der IVS-Architektur verhindern werden. So wird die IVS-Architektur stillgelegt werden.
+
| valign="top" style="width: 143px" | Durch fehlendes und/oder nicht qualifiziertes Personal sowie fehlende Finanzmittel können eine weitergehende Pflege der IVS-Architektur verhindern werden. So wird die IVS-Architektur stillgelegt werden.
| style="width: 30px" valign="top" | ...
+
| valign="top" style="width: 30px" | ...
 
|-
 
|-
| colspan="9" style="background-color: rgb(187, 187, 187)" | '''Ursprüngliches Risiko'''
+
| style="background-color: rgb(187, 187, 187)" colspan="9" | '''Ursprüngliches Risiko'''
 
|-
 
|-
 
| style="width: 216px" | Klassifizierung und Bewertung des Risikos vor Umsetzung der IVS-Architektur(-maßnahme)
 
| style="width: 216px" | Klassifizierung und Bewertung des Risikos vor Umsetzung der IVS-Architektur(-maßnahme)
| style="width: 125px; text-align: center" valign="top" | hoch
+
| valign="top" style="width: 125px; text-align: center" | hoch
| style="text-align: center" valign="top" | mittel
+
| valign="top" style="text-align: center" | mittel
 
| style="width: 151px; text-align: center" | hoch
 
| style="width: 151px; text-align: center" | hoch
| style="text-align: center" valign="top" | hoch
+
| valign="top" style="text-align: center" | hoch
| style="width: 142px; text-align: center" valign="top" |  mittel
+
| valign="top" style="width: 142px; text-align: center" |  mittel
| style="text-align: center" valign="top" | hoch
+
| valign="top" style="text-align: center" | hoch
| style="width: 143px; text-align: center" valign="top" | hoch
+
| valign="top" style="width: 143px; text-align: center" | hoch
| style="width: 30px" valign="top" | ...
+
| valign="top" style="width: 30px" | ...
 
|-
 
|-
| colspan="9" style="background-color: rgb(187, 187, 187)" | '''Verbleibendes Risiko'''
+
| style="background-color: rgb(187, 187, 187)" colspan="9" | '''Verbleibendes Risiko'''
 
|-
 
|-
 
| style="width: 216px" | Klassifizierung und Bewertung des Risikos nach Umsetzung der IVS-Architektur(-maßnahme)
 
| style="width: 216px" | Klassifizierung und Bewertung des Risikos nach Umsetzung der IVS-Architektur(-maßnahme)
| style="width: 125px; text-align: center" valign="top" | -
+
| valign="top" style="width: 125px; text-align: center" | -
| style="text-align: center" valign="top" | niedrig
+
| valign="top" style="text-align: center" | niedrig
 
| style="width: 151px; text-align: center" | niedrig
 
| style="width: 151px; text-align: center" | niedrig
| style="text-align: center" valign="top" | mittel-hoch
+
| valign="top" style="text-align: center" | mittel-hoch
| style="width: 142px; text-align: center" valign="top" | niedrig
+
| valign="top" style="width: 142px; text-align: center" | niedrig
| style="text-align: center" valign="top" | niedrig
+
| valign="top" style="text-align: center" | niedrig
| style="width: 143px; text-align: center" valign="top" | hoch
+
| valign="top" style="width: 143px; text-align: center" | hoch
| style="width: 30px" valign="top" | ...
+
| valign="top" style="width: 30px" | ...
 
|-
 
|-
| colspan="9" style="background-color: rgb(187, 187, 187)" valign="top" | '''Bewertung der Risiken nach Eintrittswahrscheinlichkeit und Schwere'''
+
| valign="top" style="background-color: rgb(187, 187, 187)" colspan="9" | '''Bewertung der Risiken nach Eintrittswahrscheinlichkeit und Schwere'''
 
|-
 
|-
| style="width: 216px" valign="top" | Risikokennzahl = Wahrscheinlichkeit (1-5) * Schweregrad (1-5)
+
| valign="top" style="width: 216px" | Risikokennzahl = Wahrscheinlichkeit (1-5) * Schweregrad (1-5)
| style="width: 125px; text-align: center" valign="top" | 3 * 5 = 15
+
| valign="top" style="width: 125px; text-align: center" | 3 * 5 = 15
| style="text-align: center" valign="top" | 2 * 2 = 4
+
| valign="top" style="text-align: center" | 2 * 2 = 4
| style="width: 151px; text-align: center" valign="top" | 5 * 3 = 15
+
| valign="top" style="width: 151px; text-align: center" | 5 * 3 = 15
| style="text-align: center" valign="top" | 5 * 2 = 10
+
| valign="top" style="text-align: center" | 5 * 2 = 10
| style="width: 142px; text-align: center" valign="top" | 4 * 1 = 4
+
| valign="top" style="width: 142px; text-align: center" | 4 * 1 = 4
| style="text-align: center" valign="top" | 5 * 5 = 25
+
| valign="top" style="text-align: center" | 5 * 5 = 25
| style="width: 143px; text-align: center" valign="top" | 5 * 5 = 25
+
| valign="top" style="width: 143px; text-align: center" | 5 * 5 = 25
| style="width: 30px" valign="top" | ...
+
| valign="top" style="width: 30px" | ...
 
|-
 
|-
| colspan="9" style="background-color: rgb(187, 187, 187)" valign="top" | '''Gegenmaßnahmen'''
+
| valign="top" style="background-color: rgb(187, 187, 187)" colspan="9" | '''Gegenmaßnahmen'''
 
|-
 
|-
| style="width: 216px" valign="top" | Identifikation und Beschreibung möglicher Gegenmaßnahmen für kritische Risiken
+
| valign="top" style="width: 216px" | Identifikation und Beschreibung möglicher Gegenmaßnahmen für kritische Risiken
| style="width: 125px" valign="top" |  
+
| valign="top" style="width: 125px" |  
 
*Qualifizierung/ Schulung des Personals  
 
*Qualifizierung/ Schulung des Personals  
 
*Finanzzuschüsse  
 
*Finanzzuschüsse  
  
| style="text-align: center" valign="top" | -
+
| valign="top" style="text-align: center" | -
| style="width: 151px" valign="top" |  
+
| valign="top" style="width: 151px" |  
 
*Qualifizierung/ Schulung des Personals  
 
*Qualifizierung/ Schulung des Personals  
 
*Strukturierung der Prozesse und der Organisation  
 
*Strukturierung der Prozesse und der Organisation  
Zeile 136: Zeile 136:
 
*Strukturierung der Prozesse  
 
*Strukturierung der Prozesse  
  
| style="width: 142px; text-align: center" valign="top" | -
+
| valign="top" style="width: 142px; text-align: center" | -
 
| valign="top" |  
 
| valign="top" |  
 
*Qualifizierung/ Schulung des Personals  
 
*Qualifizierung/ Schulung des Personals  
Zeile 143: Zeile 143:
 
*Finanzzuschüsse  
 
*Finanzzuschüsse  
  
| style="width: 143px" valign="top" |  
+
| valign="top" style="width: 143px" |  
 
*Qualifizierung/ Schulung des Personals  
 
*Qualifizierung/ Schulung des Personals  
 
*Finanzzuschüsse  
 
*Finanzzuschüsse  
  
| style="width: 30px" valign="top" | ...
+
| valign="top" style="width: 30px" | ...
 
|}
 
|}
  

Aktuelle Version vom 7. März 2018, 10:25 Uhr

Risiken der Einführung einer IVS-Referenzarchitektur für zuständigkeitsübergreifendes Verkehrsmanagement

Einführung

COBIT 5 erfordert die Definition von sog. "Enablern" (dt. Ermöglichern), mit deren Hilfe die IT-Ziele erreicht werden sollen. Diese sind in folgende sieben Kategorien eingeteilt:

  • Prinzipien, Richtlinien und Rahmenwerke sind das Vehikel für die Umsetzung des erwünschten Verhaltens in einen praktischen Leitfaden für das tagtägliche Management.
  • Prozesse beschreiben einen strukturierten Satz mit Praktiken und Aktivitäten zur Erreichung bestimmter Ziele und liefern einen Satz mit Ergebnissen, die zur Erreichung allgemeiner IT-bezogener Ziele beitragen.
  • Organisationsstrukturen sind die wichtigsten Entitäten der Entscheidungsfindung im Unternehmen.
  • Kultur, Ethik und Verhalten der Mitarbeiter und des Unternehmens werden als Erfolgsfaktoren für Governance- und Managementaktivitäten häufig unterschätzt.
  • Informationen sind in jeder Organisation allgegenwärtig. Zu ihnen gehören sämtliche vom Unternehmen produzierten und verwendeten Informationen. Informationen sind für die Aufrechterhaltung des Betriebs der Organisation und deren ordnungsgemäße Governance unverzichtbar. Auf operativer Ebene sind Informationen häufig sogar das wichtigste Produkt des Unternehmens überhaupt.
  • Services, Infrastruktur und Anwendungen umfassen die Infrastruktur, die Technologie und die Anwendungen, die innerhalb des Unternehmens die IT-Verarbeitung und IT-Services sicherstellen.
  • Mitarbeiter, Fähigkeiten und Kompetenzen beziehen sich auf das Personal und sind für die erfolgreiche Durchführung aller Aktivitäten, das Treffen der richtigen Entscheidungen und die Umsetzung korrektiver Maßnahmen erforderlich.

Auf diese Enabler bezieht sich das Risikomanagement. Auch beim Risikomanagement unterscheidet COBIT 5 zwischen der strategischen (Risk Function Perspective) und der Managementsicht (Risk Management Perspective).

Darstellung der Risiken

Im Rahmen des Risikomanagements können Risiken vor und nach der Umsetzung der IVS-Architektur des zuständigkeitsübergreifenden Verkehrsmanagements identifiziert und in Bezug auf Eintrittswahrscheinlichkeit und Schwere bewertet werden. Zudem werden die Schritte für Identifikation und Bewertung fest und identifiziert mögliche Gegenmaßnahmen für kritische Risiken (Risikomanagement) festgelegt. Die nachfolgende Tabelle zeigt eine Zusammenstellung der identifizierten Risiken.

Beschreibung des Risikos
Beschreibung Personalmangel zur Umsetzung Akzeptanz der Beteiligten Komplexität der IVS-Architektur Unkonkrete Festlegungen in IVS-Architektur Verständlichkeit der IVS-Architektur Umsetzbarkeit der IVS-Architektur in Organisationen Pflege der IVS-Architektur ...
Mögliche Risikoquellen
Identifikation konkreter möglicher Quellen und Risiken aus den einzelnen Quellen
  • Finanzmittel-mangel
  • Qualifizierung des Personals
  • Hemmnisse durch Managementebene
  • Qualifizierung des Personals
  • Fehlendes Vertrauen
  • komplexe Prozessabläufe
  • Organisations-strukturen
  • vage Festlegungen zu Prozessen
  • komplexe Prozesse
  • Organisations-strukturen
  • Qualifizierung des Personals
  • komplexe Anwendungen
  • Personalmangel
  • Finanzmittel-mangel
  • Personalmangel
  • Finanzmittel-mangel
  • Qualifizierung des Personals
...
Zusammenhang des Risikos mit IVS-Architektur

In welchem Kontext steht das Risiko mit Umsetzung von IVS-Architekturmaßnahmen?

Durch fehlendes und/oder nicht qualifiziertes Personal kann die Umsetzung der IVS-Architektur verzögert werden. Die IVS-Architektur wird nicht von allen Beteiligten (Managementebene und Mitarbeiter) getragen, was die Umsetzung verzögert oder gar verhindert. Die identifizierten Prozessabläufe sowie in vorhandenen Organisationsstrukturen  können die Komplexität der IVS-Architekzur steigern und damit die Umsetzbarkeit erschweren. Die identifizierten Prozessabläufe sind zu vage beschrieben und  können und somit die Umsetzbarkeit erschweren. Die identifizierten Prozessabläufe sowie in vorhandenen Organisationsstrukturen  können die Verständlichkeit der IVS-Architekzur verringern und damit die Umsetzbarkeit sowie die Pflege erschweren. Die komplexen Anwendungen sowie fehlende Personal und Finanzmittel können die Umsetzbarkeit der IVS-Architekzur in den Organisationen erschweren. Durch fehlendes und/oder nicht qualifiziertes Personal sowie fehlende Finanzmittel können eine weitergehende Pflege der IVS-Architektur verhindern werden. So wird die IVS-Architektur stillgelegt werden. ...
Ursprüngliches Risiko
Klassifizierung und Bewertung des Risikos vor Umsetzung der IVS-Architektur(-maßnahme) hoch mittel hoch hoch  mittel hoch hoch ...
Verbleibendes Risiko
Klassifizierung und Bewertung des Risikos nach Umsetzung der IVS-Architektur(-maßnahme) - niedrig niedrig mittel-hoch niedrig niedrig hoch ...
Bewertung der Risiken nach Eintrittswahrscheinlichkeit und Schwere
Risikokennzahl = Wahrscheinlichkeit (1-5) * Schweregrad (1-5) 3 * 5 = 15 2 * 2 = 4 5 * 3 = 15 5 * 2 = 10 4 * 1 = 4 5 * 5 = 25 5 * 5 = 25 ...
Gegenmaßnahmen
Identifikation und Beschreibung möglicher Gegenmaßnahmen für kritische Risiken
  • Qualifizierung/ Schulung des Personals
  • Finanzzuschüsse
-
  • Qualifizierung/ Schulung des Personals
  • Strukturierung der Prozesse und der Organisation
  • Qualifizierung/ Schulung des Personals
  • Strukturierung der Prozesse
-
  • Qualifizierung/ Schulung des Personals
  • Finanzzuschüsse
  • Strukturierung der Anwendungen
  • Finanzzuschüsse
  • Qualifizierung/ Schulung des Personals
  • Finanzzuschüsse
...

<< Zurück zur Hauptseite