Ein Risikomanagement-Framework (RMF) ist eine Reihe von Kriterien, die festlegen, wie Unternehmen strukturiert und überwacht werden sollten, um ihre Assets zu schützen.
Risiko ist ein natürlicher Bestandteil des Geschäftslebens. Jede Investition, jedes neue Produkt, die Expansion in einen neuen Markt oder sogar eine Änderung der Struktur oder der Zuständigkeiten der Mitarbeiter kann zu Unterbrechungen führen – von den stets vorhandenen externen Risiken ganz zu schweigen. Andererseits kann eine zu strikte Haltung gegenüber Risiken das Geschäftswachstum bremsen und ein Unternehmen daran hindern, sein Potenzial auszuschöpfen. Spitzenunternehmen verstehen es stattdessen, strategisch an Gefahren heranzugehen, indem sie Chancen und Risiken gegeneinander abwägen, um das Risikopotenzial zu minimieren, ohne dabei ihre Wachstumschancen zu beeinträchtigen.
Um dies zu erreichen, verfolgen viele Geschäfte einen unternehmensweiten Ansatz zur Sicherung der betrieblichen Abläufe in Form eines Risikomanagement-Frameworks.
Ein RMF verfolgt einen systematischen Ansatz, der dazu beiträgt, geschäftliche Risiken aller Art zu erkennen und zu mindern. Es ist auch erwähnenswert, dass bestimmte Versionen eines RMF erforderlich sein können. Ein Beispiel dafür ist das Mandat, dass US-Bundesbehörden die NIST-Version des RMF einhalten müssen.
Obwohl es verschiedene Variationen für bestimmte Anwendungsfälle gibt, bestehen die meisten Risikomanagement-Frameworks im Wesentlichen aus denselben fünf Komponenten:
Bevor sich ein Geschäft vor Risiken schützen kann, muss es in der Lage sein, Gefahren zu erkennen, wenn sie entstehen. Diese Erkennung im Rahmen des Risikomanagements hilft dabei, das Risikouniversum zu definieren und damit einen vollständigen Katalog aller möglichen bekannten Risiken zu erstellen, denen das Unternehmen und seine Assets ausgesetzt sind. Diese Risiken sollten in spezifische Kategorien unterteilt werden, einschließlich digitaler Risiken, ESG-Risiken, Lieferanten-/Drittparteirisiken, Qualitätsrisiken, Risiken für die Geschäftskontinuität, Personalrisiken, Umwelt-, Gesundheits- und Sicherheitsrisiken, Ethik- und Compliance-Risiken, Datenschutz-/Rechtsrisiken, finanzielle Risiken, betriebliche Risiken und Technologie- oder Cyber-Risiken. Mit einer klaren Vorstellung von den potenziellen Bedrohungen und Unwägbarkeiten muss das Unternehmen als Nächstes die Risiken entweder als Kernrisiken (wesentliche Risiken, die zum Wachstum beitragen) oder als Nicht-Kernrisiken (unnötige Risiken, die nach Möglichkeit beseitigt werden können und sollten) kategorisieren.
Die Risiken selbst zu verstehen, ist nur ein Teil der Gleichung. Risikomanagement erfordert, dass Unternehmen sich selbst in Bezug auf die Wahrscheinlichkeit eines bestimmten Risikos oder einer Risikokategorie betrachten und berücksichtigen, was das Unternehmen möglicherweise verlieren könnte, wenn das Risiko eintritt. Bei der Berechnung dieser Risiken müssen Unternehmen die Gesamtauswirkungen des Risikos berücksichtigen. Auf diese Weise können sie Risiken auf Grundlage des potenziellen Schadens und der Wahrscheinlichkeit ihres Auftretens priorisieren, um den Risikoschwellenwert zu bestimmen.
Nach der Identifizierung und Priorisierung von Risiken besteht der nächste Schritt darin, effektive Pläne zur Risikominderung zu entwickeln. Mit einem geeigneten Plan zur Risikominderung kann das Unternehmen bestimmen, welche Kernrisiken akzeptiert, welche minimiert oder eliminiert werden müssen und wo es anfangen soll. An diesem Punkt sollte ein effektives Problem- oder POA&M-Managementverfahren zur Verfolgung und zur Erstellung eines Audit-Pfads eingesetzt werden.
Während des gesamten RMF-Prozesses sind Überwachung und Berichterstellung weiterhin von höchster Bedeutung. Je nach Geschäft und Branche sollte die Berichterstellung zum Risikomanagement automatisiert und in Echtzeit über Dashboards zugänglich sein. Auf diese Dashboards sollte nicht nur qualifiziertes Risikopersonal zugreifen können, das die Verantwortung für die Anpassung von Risikoelementen trägt, um aktuellen Gefahren besser Rechnung zu tragen. Auch die Mitarbeiter mit direktem Kundenkontakt sowie die Geschäftsleitung sollten Zugang erhalten. Alle branchenspezifischen Berichte sollten zur Überprüfung und Autorisierung erstellt werden. Eine angemessene Risikoüberwachung und -Berichterstellung kann auch dazu beitragen, die Einhaltung etablierter Standards zu gewährleisten.
Ein Risikomanagement-Framework ist genau, was der Name sagt: ein Framework zur Unterstützung und Strukturierung des Risikomanagements im Unternehmen. Es ist für sich keine vollständige Risikomanagementlösung, sondern ist darauf angewiesen, dass alle Beteiligten die im Framework festgelegten Praktiken übernehmen und befolgen. Die Governance-Komponenten von RMF-Lösungen sollen Mitarbeitern helfen, ihre Rollen und Verantwortlichkeiten zu verstehen, Aufgaben zuzuweisen und die Autorität von Risikomanagementleitern zu etablieren.
Es gibt Risikomanagement-Frameworks, um jeden Aspekt des Unternehmens vor möglichen Gefahren zu schützen. Dazu gehören Risiken, die mit unerwünschten oder fehlerhaften Produkten, volatilen Märkten, schlecht ausgeführten Geschäftsplänen usw. verbunden sind. Doch angesichts der stetigen Verbreitung digitaler Systeme sind einige der offensichtlichsten Risiken, denen Unternehmen heute ausgesetzt sind, Risiken für IT-Systeme.
IT-Risikomanagement-Frameworks sollen Unternehmen und sogar Behörden dabei unterstützen, mögliche Datenrisiken zu identifizieren und herauszufinden, für welche Systeme sie eine Bedrohung darstellen und welche Optionen sie haben, um diese Risiken zu verhindern oder zu beheben. Die Schritte in den verschiedenen RMF-Standards sind sehr ähnlich. Nehmen wir das NIST-RMF als Beispiel. Es ist eines der strengsten und wird zur Autorisierung von Systemen innerhalb der US-Bundesregierung verwendet. Es lässt sich in fünf wesentliche Phasen unterteilen:
Überprüfen und kategorisieren Sie alle IT-Systeme innerhalb des Unternehmens. Definieren Sie Systemgrenzen, und identifizieren Sie, welche Arten von Informationstypen mit dem System verknüpft sind. Berücksichtigen Sie auch relevante Informationen über das Unternehmen selbst, über die Betriebsumgebung des Systems, über Verbindungen zu anderen Systemen und über den Verwendungszweck.
Wählen Sie als Nächstes die richtigen Sicherheitskontrollen aus. Die Sicherheitskontrollen eines Unternehmens sind die Management-, Betriebs- und technischen Sicherheitsmaßnahmen, die einem Informationssystem im Unternehmen zur Verfügung stehen, um die Integrität und Verfügbarkeit des Systems zu schützen. Die verschiedenen Sicherheitskontrollen funktionieren für bestimmte Systeme und Informationen effektiver als für andere, und die Auswahl der richtigen Kontrollen kann den Unterschied zwischen angemessenem Schutz und Systemschwachstellen ausmachen. Sobald die Auswahl abgeschlossen ist, implementieren Sie die gewählte Sicherheitskontrolle und legen Nutzungsrichtlinien fest.
Wenn die Sicherheitskontrollen eingerichtet sind, besteht der nächste Schritt darin, ihre Funktionalität und ihre Ergebnisse zu bewerten. Sind die Kontrollen ordnungsgemäß installiert, und funktionieren sie wie vorgesehen? Wenn ja, erfüllen sie die erforderlichen Sicherheitsanforderungen? Wenn nicht, können die Kontrollen Geschäftsbetrieb und Daten weniger effektiv schützen.
Sobald die Sicherheitskontrollen implementiert und überprüft wurden, ist es an der Zeit, die Kontrolle über das System zu autorisieren und es einsatzbereit zu machen. Wenn sie richtig implementiert wurden, starten automatisierte RMF-Workflows ihren Betrieb zum Schutz des Unternehmens.
Die Autorisierung von Systemsicherheitskontrollen ist nicht der letzte Schritt im IT-Risikomanagement. Die kontinuierliche Überwachung der Sicherheitskontrollen trägt dazu bei, dass das Risikomanagement-Framework während der gesamten Nutzungsdauer funktionsfähig bleibt. Dokumentieren Sie Änderungen, führen Sie regelmäßig Auswirkungsanalysen durch, und rufen Sie weiterhin Berichte über den Status von Sicherheitskontrollen ab, um eine kontinuierliche Wirksamkeit zu gewährleisten.
Wie bereits erwähnt, sind Geschäftsrisiken überall anzutreffen. Und während IT-Systeme wachsen und sich weiterentwickeln, wird die moderne digitale Geschäftslandschaft immer komplexer. Die richtigen Risikomanagement-Frameworks helfen Unternehmen dabei, sich in dieser Landschaft zurechtzufinden, und bieten hierdurch eine Reihe wichtiger Vorteile.
Zu den wichtigsten Vorteilen von Risikomanagement-Frameworks gehören:
Moderne Lieferketten werden immer komplexer und bergen ein erhebliches Risiko für Unternehmen, die sich bei Waren, Ressourcen und Produktbereitstellung auf diese Lieferkette verlassen. Effektive RMF-Lösungen ermöglichen es Unternehmen, die Qualität und Benutzerfreundlichkeit von Lieferketten-relevanten Datenströmen zu verbessern, darunter Wetterberichte, Social-Media-Trends, weltweite Nachrichtenagenturen und vieles mehr. So erhalten sie genauere Einblicke in die Faktoren, die sich auf wichtige Lieferketten auswirken können.
Ein Unternehmen ist nur so sicher wie seine Assets. Risikomanagement-Frameworks helfen dabei, diese Assets zu schützen, relevante Informationen zu identifizieren, Risiken zu verstehen und zu priorisieren, und versetzen das Unternehmen in die Lage, schnell zu reagieren, um auftretende Risiken zu mindern und zu beheben. Das richtige Framework bietet verschiedene Standards und einen Aktionsplan, um sicherzustellen, dass die wichtigsten Assets des Unternehmens sicher bleiben.
Risikomanagement-Frameworks bestimmen ebenfalls, wie geistiges Eigentum vor Diebstahl und Missbrauch geschützt werden kann. Auf Grundlage relevanter Daten und klarer Standards können Unternehmen in der Gewissheit agieren, dass ihr geistiges Eigentum besser geschützt ist und die Wahrscheinlichkeit eines Diebstahls minimiert wird.
Durch die Verfügbarkeit und Anwendung klarer Kriterien für Sicherheit und Betriebsstandards auf allen Ebenen eines Unternehmens bleiben Sicherheitsprozesse einheitlich. Das verbessert die Risikominimierung und verringert die Gefahr, dass Daten offengelegt werden. Und das trägt wiederum dazu bei, das Unternehmen vor kostspieligen Fehlern zu schützen, die sich negativ auf die öffentliche Wahrnehmung auswirken und zu Reputationsschäden führen könnten.
In aggressiven Märkten kann das Verständnis der Mitbewerber genauso wichtig sein wie das Verständnis des eigenen Unternehmens. Risikomanagement-Frameworks beziehen verschiedene externe Informationsquellen wie Social Media, Blogs, Nachrichtenberichte usw. mit ein, sodass Unternehmen ihre Mitbewerber genau im Auge behalten und bei Bedarf schnell reagieren können.
Bevor ein Geschäft von den oben genannten Vorteilen profitieren kann, muss es zunächst das Risikomanagement-Framework auswählen, das seinen Bedürfnissen am besten entspricht. Es gibt derzeit viele RMF-Lösungen, von denen einige besser und umfassender sind als andere.
Im Folgenden werden die vier wichtigsten Risikomanagement-Frameworks kurz vorgestellt:
Der Federal Information Security Modernization Act (FISMA) ist ein US-amerikanisches Gesetz, das darauf abzielt, gesetzlich verankerte Richtlinien und Sicherheitsstandards für Regierungssysteme und -einrichtungen festzulegen. Der FISMA-Ansatz wurde jedoch auch von nichtstaatlichen Einrichtungen in verschiedenen Branchen und an verschiedenen Standorten übernommen. Dieser Ansatz besteht aus einer Reihe von Schritten zur Auswahl, Implementierung und Überwachung wirksamer Sicherheitskontrollen.
Die Norm ISO 31000 verfolgt einen allgemeineren Ansatz für das Risikomanagement und ist so konzipiert, dass sie die Auswirkungen einer Vielzahl geschäftlicher Risiken effektiv bewältigen kann und für Unternehmen in praktisch jeder Branche relevant ist. Der Ansatz der ISO 31000 hilft bei der Entwicklung einer effektiven Risikophilosophie und -kultur im gesamten Unternehmen und schafft verschiedene organisatorische Prozesse, Rollen und Verantwortlichkeiten als Teil des Risikomanagement-Prozesses.
Das COSO Enterprise Risikomanagement-Framework ist nicht so flexibel wie FISMA oder ISO 31000 und besteht aus vier Kategorien (Strategie, Betrieb, Compliance und Berichterstellung), was es für eine unternehmensweite Umsetzung untauglich macht. Nichtsdestotrotz ist COSO ein zuverlässiger Ansatz für die Einführung einer risikoorientierten Kultur.
Das Framework des National Institute of Standards and Technology (NIST) integriert das Risikomanagement für Sicherheit, Datenschutz und digitale Lieferketten in die Systementwicklung und kann auf neue oder bestehende Systeme in jeder Art von Organisation, ob groß oder klein, in jeder Branche angewendet werden.
Ein gewisses Risiko sollte in Geschäften immer vorhanden sein, damit sie wettbewerbsfähig bleiben. Mit den richtigen Risikomanagement-Lösungen, -Ressourcen und -Strategien können Organisationen dieses Risiko jedoch effektiv managen und gleichzeitig die Resilienz und Kontinuität angesichts einer unsicheren Zukunft sicherstellen. ServiceNow, der Marktführer im Bereich IT-Management und Workflow-Automatisierung, ist Vorreiter in dieser Entwicklung.
ServiceNow sorgt dafür, dass Menschen effizienter und besser arbeiten können. ServiceNow bietet Unternehmen jeder Größe die Möglichkeit, Risikomanagement, Compliance-Aktivitäten und intelligente Automatisierung nahtlos in ihre digitalen Geschäftsprozesse einzubinden, um Risiken kontinuierlich zu überwachen und zu priorisieren. Die ServiceNow-Risikolösungen helfen dabei, ineffiziente Prozesse und Datensilos in Ihrem gesamten Unternehmen in ein automatisiertes, integriertes und umsetzbares Risikoprogramm zu transformieren. Sie können die risikobasierte Entscheidungsfindung verbessern und die Leistung im gesamten Unternehmen und bei Lieferanten steigern, um die Risiken für Ihr Unternehmen in Echtzeit zu verwalten. Und Sie können bei Ihrer täglichen Arbeit risikobasierte Entscheidungen treffen, ohne dass dies zu Lasten des Budgets geht.
ServiceNow unterstützt Unternehmen jeder Größe bei der nahtlosen Einbindung von Risikomanagement und Compliance in digitale Experiences und Workflows, damit Menschen und Unternehmen effizienter arbeiten können. Risk Management basiert auf der preisgekrönten Now Platform und bietet vollständige Transparenz und Kontrolle. Identifizieren und verwalten Sie Risiken und wichtige Informationen, überwachen Sie riskante Bereiche, diagnostizieren Sie Kontrollen, die nicht konform sind, und erstellen, und planen Sie wichtige Risikoselbsteinschätzungen, alles über einen einzigen, zentralen Ort. Und mit fortschrittlichen Berichten und Analysen, integrierten Leitfäden und Taxonomie-Bibliotheken sowie fortschrittlichen Automatisierungslösungen haben Unternehmen alles, was sie brauchen, um Risiken zu bewerten und sich darauf vorzubereiten – und das alles, ohne das Budget zu belasten.
Erfahren Sie, wie weit die richtige Vorbereitung Sie bringen kann – mit Risk Management von ServiceNow.