Risiken Los3
Risiken der Einführung einer IVS-Referenzarchitektur für zuständigkeitsübergreifendes Verkehrsmanagement
Einführung
COBIT 5 erfordert die Definition von sog. "Enablern" (dt. Ermöglichern), mit deren Hilfe die IT-Ziele erreicht werden sollen. Diese sind in folgende sieben Kategorien eingeteilt:
- Prinzipien, Richtlinien und Rahmenwerke sind das Vehikel für die Umsetzung des erwünschten Verhaltens in einen praktischen Leitfaden für das tagtägliche Management.
- Prozesse beschreiben einen strukturierten Satz mit Praktiken und Aktivitäten zur Erreichung bestimmter Ziele und liefern einen Satz mit Ergebnissen, die zur Erreichung allgemeiner IT-bezogener Ziele beitragen.
- Organisationsstrukturen sind die wichtigsten Entitäten der Entscheidungsfindung im Unternehmen.
- Kultur, Ethik und Verhalten der Mitarbeiter und des Unternehmens werden als Erfolgsfaktoren für Governance- und Managementaktivitäten häufig unterschätzt.
- Informationen sind in jeder Organisation allgegenwärtig. Zu ihnen gehören sämtliche vom Unternehmen produzierten und verwendeten Informationen. Informationen sind für die Aufrechterhaltung des Betriebs der Organisation und deren ordnungsgemäße Governance unverzichtbar. Auf operativer Ebene sind Informationen häufig sogar das wichtigste Produkt des Unternehmens überhaupt.
- Services, Infrastruktur und Anwendungen umfassen die Infrastruktur, die Technologie und die Anwendungen, die innerhalb des Unternehmens die IT-Verarbeitung und IT-Services sicherstellen.
- Mitarbeiter, Fähigkeiten und Kompetenzen beziehen sich auf das Personal und sind für die erfolgreiche Durchführung aller Aktivitäten, das Treffen der richtigen Entscheidungen und die Umsetzung korrektiver Maßnahmen erforderlich.
Auf diese Enabler bezieht sich das Risikomanagement. Auch beim Risikomanagement unterscheidet COBIT 5 zwischen der strategischen (Risk Function Perspective) und der Managementsicht (Risk Management Perspective).
Darstellung der Risiken
Im Rahmen des Risikomanagements können Risiken vor und nach der Umsetzung der IVS-Architektur des zuständigkeitsübergreifenden Verkehrsmanagements identifiziert und in Bezug auf Eintrittswahrscheinlichkeit und Schwere bewertet werden. Zudem werden die Schritte für Identifikation und Bewertung fest und identifiziert mögliche Gegenmaßnahmen für kritische Risiken (Risikomanagement) festgelegt. Die nachfolgende Tabelle zeigt eine Zusammenstellung der identifizierten Risiken.
Beschreibung des Risikos | ||||||||
Beschreibung | Personalmangel zur Umsetzung | Akzeptanz der Beteiligten | Komplexität der IVS-Architektur | Unkonkrete Festlegungen in IVS-Architektur | Verständlichkeit der IVS-Architektur | Umsetzbarkeit der IVS-Architektur in Organisationen | Pflege der IVS-Architektur | ... |
Mögliche Risikoquellen | ||||||||
Identifikation konkreter möglicher Quellen und Risiken aus den einzelnen Quellen |
|
|
|
|
|
|
|
... |
Zusammenhang des Risikos mit IVS-Architektur | ||||||||
In welchem Kontext steht das Risiko mit Umsetzung von IVS-Architekturmaßnahmen? |
Durch fehlendes und/oder nicht qualifiziertes Personal kann die Umsetzung der IVS-Architektur verzögert werden. | Die IVS-Architektur wird nicht von allen Beteiligten (Managementebene und Mitarbeiter) getragen, was die Umsetzung verzögert oder gar verhindert. | Die identifizierten Prozessabläufe sowie in vorhandenen Organisationsstrukturen können die Komplexität der IVS-Architekzur steigern und damit die Umsetzbarkeit erschweren. | Die identifizierten Prozessabläufe sind zu vage beschrieben und können und somit die Umsetzbarkeit erschweren. | Die identifizierten Prozessabläufe sowie in vorhandenen Organisationsstrukturen können die Verständlichkeit der IVS-Architekzur verringern und damit die Umsetzbarkeit sowie die Pflege erschweren. | Die komplexen Anwendungen sowie fehlende Personal und Finanzmittel können die Umsetzbarkeit der IVS-Architekzur in den Organisationen erschweren. | Durch fehlendes und/oder nicht qualifiziertes Personal sowie fehlende Finanzmittel können eine weitergehende Pflege der IVS-Architektur verhindern werden. So wird die IVS-Architektur stillgelegt werden. | ... |
Ursprüngliches Risiko | ||||||||
Klassifizierung und Bewertung des Risikos vor Umsetzung der IVS-Architektur(-maßnahme) | hoch | mittel | hoch | hoch | mittel | hoch | hoch | ... |
Verbleibendes Risiko | ||||||||
Klassifizierung und Bewertung des Risikos nach Umsetzung der IVS-Architektur(-maßnahme) | - | niedrig | niedrig | mittel-hoch | niedrig | niedrig | hoch | ... |
Bewertung der Risiken nach Eintrittswahrscheinlichkeit und Schwere | ||||||||
Risikokennzahl = Wahrscheinlichkeit (1-5) * Schweregrad (1-5) | 3 * 5 = 15 | 2 * 2 = 4 | 5 * 3 = 15 | 5 * 2 = 10 | 4 * 1 = 4 | 5 * 5 = 25 | 5 * 5 = 25 | ... |
Gegenmaßnahmen | ||||||||
Identifikation und Beschreibung möglicher Gegenmaßnahmen für kritische Risiken |
|
- |
|
|
- |
|
|
... |