Wird Risikomanagement nicht allein als „Pflichtaufgabe“ verstanden, um gesetzlichen Anforderungen Genüge zu leisten, sondern als Mehrwert für das Unternehmen als Ganzes gesehen, kann es den operativen Gewinn und die Qualität von Leistungen und Produkten nachhaltig steigern. Das betrifft Kontrollmechanismen wie ein Informationssicherheits-Managementsystem (ISMS), das sich auf die Datensicherheit bezieht, ebenso wie die Überwachung der Compliance im Allgemeinen, wie sie ein „Internes Kontroll-system“ (kurz IKS) vorsieht. Ein umfassendes Risikomanagement durchdringt im Idealfall alle die Wertschöpfung im Unternehmen betreffenden Segmente: Entwicklung, Fachbereiche, Produkte und Prozesse.

Warum sind Systeme wie IKS und ISMS sinnvoll?

In einem Unternehmen sichern viele einzelne technische Tools und unterschiedlichste organisatorische Vorgaben die Geschäftsprozesse. Sie erfüllen häufig sehr grundsätzliche Aufgaben, um mehrere Risiken dauerhaft abzuwehren. So ist zum Beispiel im Falle einer Störung ein Ticketsystem nicht nur zur Kommunikation mit den Kunden hilfreich. Es dient auch dazu, nachträglich auszuwerten, wie welche Aufgabe gelöst wurde, und daraus Vorgaben für die zukünftige Unternehmensstrategie abzuleiten. Oft kennen die Mitarbeiter einzelner Fach-abteilungen nur ihr eigenes Einsatzgebiet und gegebenenfalls noch die Schnittstellen zu anderen Abteilungen. Die Support-Mitarbeiter hingegen beschäftigen sich ausschließlich mit den Tickets und den aktuellen Kundenanliegen. Anhand eines gut strukturierten Ticketsystems kann die Unternehmensleitung sich jedoch einen umfassenden Überblick über die gesamte Genese eines Störfalls verschaffen. Das ist nur ein Beispiel für wichtige Prozesse in einem Unternehmen, deren Kontrolle, Dokumentation und Auswertung die Qualität langfristig sichern.

Risikomanagement im Großen: IKS 

Ein sogenanntes „Internes Kontrollsystem“ (kurz IKS) ist das ideale Instrument, mit dem alle Prozesse eines Unternehmens erfasst werden. Ein IKS strukturiert wichtige und damit dauerhaft zu überprüfende Maßnahmen, sodass die Unternehmensleitung den Überblick behält, ohne operativ am Tagesgeschäft beteiligt zu sein.

Zur Umsetzung eines IKS ist es wichtig, dass Unternehmen zunächst zentrale Ziele – sowohl grundsätzliche als auch qualitative – formulieren. Diesen Zielen können dann die Maßnahmen zugeordnet werden, die das Unternehmen umgesetzt hat oder umsetzen sollte, um kontrolliert (daher der Name) das jeweilige Ziel zu erreichen und Risiken zu vermeiden. Diese Maßnahmen sollten regelmäßig überprüft und neu bewertet werden, um Aktualität und Angemessenheit zu gewährleisten.

Durch die Implementierung und Aufrechterhaltung eines IKS erfüllen viele Unternehmen ihre allgemeine gesetzliche Risikopräventionspflicht gemäß dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). Wie ein solches IKS aufgebaut sein muss, gibt das Gesetz dabei nicht vor. Es kann sich nach dem Enterprise-Risk-Management-Modell COSO (The Committee of Sponsoring Organizations of the Treadway Commission) oder nach dem Prüfungsstandard für Compliance-Management-Systeme IDW PS 980 richten. Beide Standards versuchen allgemeingültige Vorgaben für alle Unternehmen zu formulieren. Diese können zudem um branchen- oder themenspezifische Standards ergänzt werden. Womit wir zum ISMS kommen …

Risikomanagement im Speziellen: ISMS

Der Schutz von Informationen vor unbefugter Nutzung genießt als Kontrollziel stets höchste Priorität in Unternehmen. Viele Unternehmen – so auch Adacor – haben deshalb ein System für Datenschutz und Informationssicherheit (ISMS) aufgesetzt, das den Richtlinien der internationalen Norm ISO 27001 folgt, um die Informationssicherheit dauerhaft zu steuern, zu kontrollieren, aufrechtzuerhalten und fortwährend zu verbessern. Die ISO 27001 ist die international führende Norm für Informationssicherheits-Managementsysteme. Sie wird in vielen privatwirtschaftlichen und öffentlichen Unternehmen sowie gemeinnützigen Organisationen eingesetzt und definiert die Forderungen für die Einführung, Umsetzung, Überwachung und Verbesserung eines ISMS. Sie bietet einen systematischen und strukturierten Ansatz, der vertrauliche Daten schützt, die Integrität betrieblicher Daten sicherstellt und die Verfügbarkeit von IT-Systemen in Unternehmen erhöht. Dazu werden wichtige Kontrollmaßnahmen von der Norm vorgegeben, die ein Unternehmen einsetzen sollte, um Informationssicherheit gewährleisten zu können.

Wie sich beide Systeme nun ergänzen und miteinander verbunden werden können und was dies letztendlich für Kunden bedeutet, lesen Sie im vollständigen Artikel auf all-about-security.de.