Risiken Los3

Aus IVS-Wiki
Zur Navigation springen Zur Suche springen

Risiken der Einführung einer IVS-Referenzarchitektur für zuständigkeitsübergreifendes Verkehrsmanagement

Einführung

COBIT 5 erfordert die Definition von sog. "Enablern" (dt. Ermöglichern), mit deren Hilfe die IT-Ziele erreicht werden sollen. Diese sind in folgende sieben Kategorien eingeteilt:

  • Prinzipien, Richtlinien und Rahmenwerke sind das Vehikel für die Umsetzung des erwünschten Verhaltens in einen praktischen Leitfaden für das tagtägliche Management.
  • Prozesse beschreiben einen strukturierten Satz mit Praktiken und Aktivitäten zur Erreichung bestimmter Ziele und liefern einen Satz mit Ergebnissen, die zur Erreichung allgemeiner IT-bezogener Ziele beitragen.
  • Organisationsstrukturen sind die wichtigsten Entitäten der Entscheidungsfindung im Unternehmen.
  • Kultur, Ethik und Verhalten der Mitarbeiter und des Unternehmens werden als Erfolgsfaktoren für Governance- und Managementaktivitäten häufig unterschätzt.
  • Informationen sind in jeder Organisation allgegenwärtig. Zu ihnen gehören sämtliche vom Unternehmen produzierten und verwendeten Informationen. Informationen sind für die Aufrechterhaltung des Betriebs der Organisation und deren ordnungsgemäße Governance unverzichtbar. Auf operativer Ebene sind Informationen häufig sogar das wichtigste Produkt des Unternehmens überhaupt.
  • Services, Infrastruktur und Anwendungen umfassen die Infrastruktur, die Technologie und die Anwendungen, die innerhalb des Unternehmens die IT-Verarbeitung und IT-Services sicherstellen.
  • Mitarbeiter, Fähigkeiten und Kompetenzen beziehen sich auf das Personal und sind für die erfolgreiche Durchführung aller Aktivitäten, das Treffen der richtigen Entscheidungen und die Umsetzung korrektiver Maßnahmen erforderlich.

Auf diese Enabler bezieht sich das Risikomanagement. Auch beim Risikomanagement unterscheidet COBIT 5 zwischen der strategischen (Risk Function Perspective) und der Managementsicht (Risk Management Perspective).

Darstellung der Risiken

Im Rahmen des Risikomanagements können Risiken vor und nach der Umsetzung der IVS-Architektur des zuständigkeitsübergreifenden Verkehrsmanagements identifiziert und in Bezug auf Eintrittswahrscheinlichkeit und Schwere bewertet werden. Zudem werden die Schritte für Identifikation und Bewertung fest und identifiziert mögliche Gegenmaßnahmen für kritische Risiken (Risikomanagement) festgelegt. Die nachfolgende Tabelle zeigt eine Zusammenstellung der identifizierten Risiken.

Beschreibung des Risikos
Beschreibung Personalmangel zur Umsetzung Akzeptanz der Beteiligten Komplexität der IVS-Architektur Unkonkrete Festlegungen in IVS-Architektur Verständlichkeit der IVS-Architektur Umsetzbarkeit der IVS-Architektur in Organisationen Pflege der IVS-Architektur ...
Mögliche Risikoquellen
Identifikation konkreter möglicher Quellen und Risiken aus den einzelnen Quellen
  • Finanzmittel-mangel
  • Qualifizierung des Personals
  • Hemmnisse durch Managementebene
  • Qualifizierung des Personals
  • Fehlendes Vertrauen
  • komplexe Prozessabläufe
  • Organisations-strukturen
  • vage Festlegungen zu Prozessen
  • komplexe Prozesse
  • Organisations-strukturen
  • Qualifizierung des Personals
  • komplexe Anwendungen
  • Personalmangel
  • Finanzmittel-mangel
  • Personalmangel
  • Finanzmittel-mangel
  • Qualifizierung des Personals
...
Zusammenhang des Risikos mit IVS-Architektur

In welchem Kontext steht das Risiko mit Umsetzung von IVS-Architekturmaßnahmen?

Durch fehlendes und/oder nicht qualifiziertes Personal kann die Umsetzung der IVS-Architektur verzögert werden. Die IVS-Architektur wird nicht von allen Beteiligten (Managementebene und Mitarbeiter) getragen, was die Umsetzung verzögert oder gar verhindert. Die identifizierten Prozessabläufe sowie in vorhandenen Organisationsstrukturen  können die Komplexität der IVS-Architekzur steigern und damit die Umsetzbarkeit erschweren. Die identifizierten Prozessabläufe sind zu vage beschrieben und  können und somit die Umsetzbarkeit erschweren. Die identifizierten Prozessabläufe sowie in vorhandenen Organisationsstrukturen  können die Verständlichkeit der IVS-Architekzur verringern und damit die Umsetzbarkeit sowie die Pflege erschweren. Die komplexen Anwendungen sowie fehlende Personal und Finanzmittel können die Umsetzbarkeit der IVS-Architekzur in den Organisationen erschweren. Durch fehlendes und/oder nicht qualifiziertes Personal sowie fehlende Finanzmittel können eine weitergehende Pflege der IVS-Architektur verhindern werden. So wird die IVS-Architektur stillgelegt werden. ...
Ursprüngliches Risiko
Klassifizierung und Bewertung des Risikos vor Umsetzung der IVS-Architektur(-maßnahme) hoch mittel hoch hoch  mittel hoch hoch ...
Verbleibendes Risiko
Klassifizierung und Bewertung des Risikos nach Umsetzung der IVS-Architektur(-maßnahme) - niedrig niedrig mittel-hoch niedrig niedrig hoch ...
Bewertung der Risiken nach Eintrittswahrscheinlichkeit und Schwere
Risikokennzahl = Wahrscheinlichkeit (1-5) * Schweregrad (1-5) 3 * 5 = 15 2 * 2 = 4 5 * 3 = 15 5 * 2 = 10 4 * 1 = 4 5 * 5 = 25 5 * 5 = 25 ...
Gegenmaßnahmen
Identifikation und Beschreibung möglicher Gegenmaßnahmen für kritische Risiken
  • Qualifizierung/ Schulung des Personals
  • Finanzzuschüsse
-
  • Qualifizierung/ Schulung des Personals
  • Strukturierung der Prozesse und der Organisation
  • Qualifizierung/ Schulung des Personals
  • Strukturierung der Prozesse
-
  • Qualifizierung/ Schulung des Personals
  • Finanzzuschüsse
  • Strukturierung der Anwendungen
  • Finanzzuschüsse
  • Qualifizierung/ Schulung des Personals
  • Finanzzuschüsse
...

<< Zurück zur Hauptseite