Risiken in der IT: Erkennen - Steuern - Verbessern
eBook - ePub

Risiken in der IT: Erkennen - Steuern - Verbessern

Ein Modell für effektives Risikomanagement in Entwicklung und Betrieb

  1. 84 Seiten
  2. German
  3. ePUB (handyfreundlich)
  4. Über iOS und Android verfügbar
eBook - ePub

Risiken in der IT: Erkennen - Steuern - Verbessern

Ein Modell für effektives Risikomanagement in Entwicklung und Betrieb

Angaben zum Buch
Buchvorschau
Inhaltsverzeichnis
Quellenangaben

Über dieses Buch

Managementsysteme werden für die unterschiedlichsten Einsatzzwecke benötigt. Dazu gehört die Führung eines Unternehmens ebenso wie die Steuerung eines IT-Vorhabens oder auch die Einhaltung eines Qualitäts-, Umwelt- oder Informationssicherheitsstandards. Sie zeigen dem Management Ziele auf und geben ihm bewährte Methoden zur Zielerreichung ebenso wie die zugehörigen Steuer- und Kontrollmechanismen an die Hand.Dieses Buch beschreibt anhand eines leicht umzusetzenden Modells mit vielen Praxisbeispielen aus der IT, wie der Kernprozess des Risikomanagements innerhalb eines solchen Managementsystems funktioniert. Hauptmerkmal des Modells ist die zyklische Wiederholung des Erkennens und Bewertens von Chancen und Risiken und der anschließenden Fokussierung aller Folgeaktivitäten auf das Wesentliche, insbesondere die Anwendung angemessener Optionen zur Risikobehandlung. Ein weiteres Merkmal des Modells ist seine permanente Verbesserung. Das Buch beschäftigt sich mit der Wirtschaftlichkeit des Risikomanagements und liefert Anregungen zur Optimierung mit Hilfe bewährter Methoden der IT wie Standardisierung und Automatisierung.

Häufig gestellte Fragen

Gehe einfach zum Kontobereich in den Einstellungen und klicke auf „Abo kündigen“ – ganz einfach. Nachdem du gekündigt hast, bleibt deine Mitgliedschaft für den verbleibenden Abozeitraum, den du bereits bezahlt hast, aktiv. Mehr Informationen hier.
Derzeit stehen all unsere auf Mobilgeräte reagierenden ePub-Bücher zum Download über die App zur Verfügung. Die meisten unserer PDFs stehen ebenfalls zum Download bereit; wir arbeiten daran, auch die übrigen PDFs zum Download anzubieten, bei denen dies aktuell noch nicht möglich ist. Weitere Informationen hier.
Mit beiden Aboplänen erhältst du vollen Zugang zur Bibliothek und allen Funktionen von Perlego. Die einzigen Unterschiede bestehen im Preis und dem Abozeitraum: Mit dem Jahresabo sparst du auf 12 Monate gerechnet im Vergleich zum Monatsabo rund 30 %.
Wir sind ein Online-Abodienst für Lehrbücher, bei dem du für weniger als den Preis eines einzelnen Buches pro Monat Zugang zu einer ganzen Online-Bibliothek erhältst. Mit über 1 Million Büchern zu über 1.000 verschiedenen Themen haben wir bestimmt alles, was du brauchst! Weitere Informationen hier.
Achte auf das Symbol zum Vorlesen in deinem nächsten Buch, um zu sehen, ob du es dir auch anhören kannst. Bei diesem Tool wird dir Text laut vorgelesen, wobei der Text beim Vorlesen auch grafisch hervorgehoben wird. Du kannst das Vorlesen jederzeit anhalten, beschleunigen und verlangsamen. Weitere Informationen hier.
Ja, du hast Zugang zu Risiken in der IT: Erkennen - Steuern - Verbessern von Stefan Luckhaus im PDF- und/oder ePub-Format sowie zu anderen beliebten Büchern aus Technik & Maschinenbau & Maschinenbau Allgemein. Aus unserem Katalog stehen dir über 1 Million Bücher zur Verfügung.

Information

Verlag
tredition
Jahr
2018
ISBN
9783746902548
Thema
Technik & Maschinenbau
Thema
Maschinenbau Allgemein

Risiken erkennen und bewerten

Identifizierung spezifischer Ziele

In der Praxis lassen sich nicht alle möglichen Einflüsse auf ein IT-Vorhaben, beispielsweise ein Entwicklungsprojekt oder den Betrieb eines IT-Systems, permanent kontrollieren. Um Kontrollaktivitäten auf das Wesentliche einschränken zu können ist es zwingend erforderlich, die Ziele zu kennen, die mit dem Vorhaben verfolgt werden. Bei größeren Vorhaben ist das Management von Chancen und Risiken in der Regel nur dann ökonomisch machbar, wenn es sich auf möglichst wenig Ziele fokussieren lässt.
Ziele, die mit einem IT-Vorhaben verfolgt werden, lassen sich häufig in die folgenden allgemeinen Kategorien einordnen:
Zeit, genauer die Einhaltung vereinbarter Termine
die Einhaltung eines Budgets oder die Erfüllung konkreter Gewinnerwartungen
Qualität, genauer die Einhaltung bestimmter Qualitätsmerkmale
Dabei ist die Betrachtung eines Oberbegriffs wie Zeit, Budgeteinhaltung oder Qualität in der Praxis ein zu pauschales Ziel. Termine lassen sich datieren, Gewinnerwartungen quantifizieren. Qualität kann in einzelne Qualitätsmerkmale unterteilt werden. Eine praxisnahe Orientierung für statische Eigenschaften eines IT-Systems (die Produktqualität) wie auch für Aspekte seiner Nutzung (die Nutzungsqualität) gibt die Norm ISO/IEC 25010 [ISO/IEC 25010 2011]. Die verschiedenen in der Norm definierten Qualitätsmerkmale eines IT-Systems sind, ergänzt um zusätzliche Merkmale der Prozess- und der Dienstleistungsqualität, in den Abbildungen 3 bis 5 dargestellt – ohne Anspruch auf Vollständigkeit. Jedes dieser Merkmale kann ein Ziel sein, das mit einem IT-Vorhaben verfolgt wird und eine so große Bedeutung hat, dass Einflüsse auf die Zielerreichung einer besonderen Kontrolle unterzogen werden müssen.
Image
Abbildung 3: Qualitätsmerkmale (Top-Level)
Image
Abbildung 4: Qualitätsmerkmale und Untermerkmale (Teil 1)
Image
Abbildung 5: Qualitätsmerkmale und Untermerkmale (Teil 2)
Eine ähnliche Empfehlung kann hinsichtlich der Zielkategorie Informationssicherheit gegeben werden. Für diesen Bereich gibt der Standard ISO/IEC 27001 [ISO/IEC 27001 2015] eine gute Orientierung hinsichtlich möglicher Ziele:
Image
Abbildung 6: Ziele der Informationssicherheit
Neben der Identifizierung eines Ziels (genau genommen handelt es sich dabei nur um den Ziel-Typ) ist noch seine spezifische Ausprägung im jeweiligen IT-Vorhaben zu betrachten. Nachfolgend sind drei Beispiele aus der Praxis aufgeführt (Platzhalter für vorhabenspezifische Daten sind in geschweiften Klammern angegeben):
Ziel: „Vereinbarter Termin“ ➜ Spezifische Ausprägung (Beispiel): „Liefertermin für {Artefakt} am {Lieferdatum}“
Ziel: „Funktionstauglichkeit“ ➜ Spezifische Ausprägung (Beispiel): „Einhaltung der funktionalen Anforderungen aus {direkter Verweis auf das Fachkonzept bzw. das Pflichtenheft}“
Ziel: „Effizienz bzw. Belastbarkeit/ Leistungsfähigkeit“ ➜ Spezifische Ausprägung (Beispiel): „Einhaltung der Lastparameter aus {direkter Verweis auf die Anforderungsspezifikation bzw. das Lastenheft}“
Durch eine solche Präzisierung des Ziel-Typs in Richtung der für das Vorhaben spezifischen Ausprägung ergibt sich ein spezifisches Ziel.
Häufig beobachtet man, dass Organisationen ihre spezifischen Ziele planen, umsetzen, kontrollieren und steuern, dabei jedoch die Betrachtung von Einflüssen, welche die Zielerreichung gefährden oder begünstigen können, vernachlässigen. Analog dem Beispiel aus der Einleitung haben sie nur starr den direkten Weg zum Ziel im Blick und verlieren Einflüsse aus den Augen, die sie vom direkten Weg abbringen können.

Analyse der Einflussgrößen

Sind die spezifischen Ziele eines IT-Vorhabens identifiziert, ist der nächste Schritt - für jedes dieser Ziele - eine Analyse der Einflüsse auf die Zielerreichung. Ist eine Einflussgröße in der Lage, die Zielerreichung zu gefährden, bezeichnet man sie als ein Risiko. Kann sie demgegenüber das Erreichen eines Ziels begünstigen, so spricht man von einer Chance. Auch wenn der Begriff Risikomanagement weit verbreitet ist, so geht es dabei stets um beides: das Vermeiden von Bedrohungen und das Fördern von Chancen.
Ein Hilfsmittel zur Visualisierung der maßgeblichen Einflussgrößen auf ein Ziel ist das Ursache-Wirkungs-Diagramm. Abbildung 7 zeigt den prinzipiellen Aufbau eines für Zwecke der Risikoanalyse gegenüber dem Standard modifizierten Diagramms. Seine Basis ist ein horizontaler, nach rechts gerichteter Pfeil, an dessen Spitze das Ziel steht, das mit einem Vorhaben erreicht werden soll. Schräg auf diesen Pfeil stoßen Pfeile der Haupteinflussgrößen. Ein Pfeil in Richtung des Zielpfeils hat die Bedeutung „trägt zur Zielerreichung bei“. Auf die Pfeile der Haupteinflussgrößen stoßen nun Pfeile aller Einflüsse, die eine Auswirkung auf die Zielerreichung in diesem Bereich haben. Ein Pfeil, der in Richtung des Ziels zeigt, steht für eine Chance, ein Pfeil, der davon weg gerichtet ist, steht für eine Bedrohung bzw. ein Risiko.
Image
Abbildung 7: Ursache-Wirkungs-Diagramm (Prinzip)
Abbildung 8 zeigt das Beispiel eines Ursache-Wirkungs-Diagramms für das Ziel eines IT-Projekts, den vereinbarten Liefertermin für ein bestimmtes Artefakt, beispielsweise das nächste Release einer Anwendung, einzuhalten. Auf die Termineinhaltung haben (ohne Anspruch auf Vollständigkeit) das Anforderungsmanagement, die Spezifikation, das Entwicklungsteam und die QS-Prozesse entscheidenden Einfluss. Charakteristisch für eine solche Betrachtung ist, dass es selten gelingt, alle möglichen Einflussgrößen zu identifizieren und darzustellen, durch einen solchen Anspruch jedoch auch der Aufwand zum Risikomanagement unverhältnismäßig steigen würde. Empfehlenswert ist eine Fokussierung auf solche Einflussgrößen, die besonders kritisch erscheinen und auf die das Vorhaben bzw. seine Verantwortlichen selbst einwirken können.
Image
Abbildung 8: Ursache-Wirkungs-Diagramm (Beispiel 1)
Das Diagramm in Abbildung 8 zeigt, dass schon im Bereich des Anforderungsmanagements konkurrierende, widersprüchliche Anforderungen den vereinbarten Termin gefährden können. In diesem Fallbeispiel wurden weitere Risiken in diesem Bereich als so unwahrscheinlich eingestuft, dass sie nicht aufgeführt sind. Dies bedeutet keinesfalls, dass es in diesem Kontext keine weiteren Bedrohungen gibt. Ändert sich die Bedrohungslage oder die eigene Einschätzung, könnte es bei einer späteren Analyse erforderlich werden, zusätzliche Risiken in die Betrachtung aufzunehmen, beispielsweise „Anzahl der Anforderungen ist für den Zeitraum bis zum Liefertermin zu groß“.
Abbildung 8 zeigt ferner, dass der Liefertermin auch durch einen unerwartet hohen Spezifikationsaufwand, durch eine zu geringe Produktivität, Ausbildungsdefizite oder zu wenig Erfahrung des Entwicklungsteams bzw. durch einen unerwartet hohen Aufwand für funktionale Tests gefährdet werden kann. Aus Sicht der Ersteller dieser Analyse sind dies die wesentlichen Einflüsse auf das Erreichen des spezifischen Ziels.
Image
Abbildung 9: Ursache-Wirkungs-Diagramm (Beispiel 2)
Abbildungen 9 und 10 zeigen ähnliche Ursache-Wirkungs-Diagramme für andere Ziele des IT-Projekts. Dabei geht es um die Funktionstauglichkeit und die Belastbarkeit/ Leistungsfähigkeit des zu erstellenden Systems – jeweils mit Bezug zu präzise beschriebenen und vereinbarten Anforderungen. Auch die in den Diagrammen angegebenen Einflussgrößen sind nicht als allgemeine Einflüsse zu verstehen, sondern es sind die für das betrachtete IT-Vorhaben konkreten Einflussgrößen gemeint, d.h. das in genau diesem Projekt praktizierte Anforderungsmanagement, das dort eingesetzte Entwicklungsteam, die Spezifikation des geplanten Systems und die in genau diesem Vorhaben geplanten QS-Prozesse...

Inhaltsverzeichnis

  1. Cover
  2. Titel
  3. Impressum
  4. Inhaltsverzeichnis
  5. Einleitung
  6. Ein Modell zum Management von Chancen und Risiken
  7. Risiken erkennen und bewerten
  8. Risiken steuern
  9. Die permanente Verbesserung des Managementsystems
  10. Fazit
  11. Glossar
  12. Literaturverzeichnis
  13. Über den Autor
  14. Buchempfehlungen