Risiken sind sehr vielfältiger Natur und mit dem Dasein eines jeden Unternehmens zwangsläufig verbunden. Die zunehmende Komplexität, Technizität und Vernetzung beeinflussen die Risikosituation negativ. Zusammenhänge werden allerding oft zu spät erkannt. Ein erfolgreicher Geschäftsgang und eine starke Marktposition können heute noch auch auf nicht Tatsache gewordenen Schadensszenarien beruhen.

Der Begriff Risiko bezeichnet den möglichen Eintritt eines Schadensereignisses und ergibt sich aus der Multiplikation des Schadens und der Eintretenswahrscheinlichkeit. Operational Risk Management (ORM) beschäftigt sich mit Risiken aufgrund menschlichem oder technischem Versagen und externen Ereignissen. Typische operationelle Risiken sind: Betrug (intern/extern), Schäden an Sachanlagen. vollständiger oder teilweiser Ausfall bzw. Unterbrechung von Systemen oder Prozessen oder Fehler bei der Abwicklung von Prozessen, beispielsweise von IT Projekten. Die Ursachen operationeller Risiken können sein: Organisation und Prozesse, Technologien, Externe Ereignisse, höhere Gewalt sowie der Mensch selbst.

Der Geschäftsalltag birgt eine Vielzahl solcher Risiken. (Operationelle) Risiken sind in jeder Branche und in jedem Unternehmen allgegenwärtig. Diverse Schadensereignisse der jüngeren Vergangenheit führten zu einer verbesserten Wahrnehmung und zu regulatorischen Aktivitäten im Bereich des Operational Risk Managements.

Diverse Regulatorien wie beispielsweise Basel II in der Bankbranche, Kontrag in Deutschland (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) oder Corporate Governance-Anforderungen fordern und fördern die formalisierte Identifikation und Bewertung der operationellen Risiken als Entscheidungsgrundlage für deren Behandlung.

Besonders die neuen, für Banken ab 2007 verbindlichen Eigenkapitalrichtlinien, Basel II, fördern das ORM. Zukünftig soll der Grad der Eigenmittelunterlegung nicht mehr fix sondern abhängig vom jeweiligen, individuellen Risiko des Bankinstitutes sein, wobei bei der Berechnung auch das ORM berücksichtigt wird. Es ist davon auszugehen, dass die Banken ihren Kunden die Verpflichtung zu Operational Risk Management weitergeben und aufgrund von Ratingverfahren die Höhe der Schuldzinsen beziehungsweise. Risikoprämien variabel festlegen. ORM wird dadurch generell zusätzlich an Gewicht gewinnen.

Innerhalb der operationellen Risiken spielen IT-Risiken eine grosse Rolle. Dies ist unter anderem durch die starke Abhängigkeit der Unternehmen sowie der Geschäftsprozesse von der IT zu erklären. Als herausragendes Risiko muss hier der Totalausfall der IT genannt werden. Die Bedeutung so genannter Geschäftskontinuitätsprojekte (Business Continuity Planning) hat aufgrund der zunehmenden Bedeutung von ORM besonders in der Finanzbranche stark zugenommen.

So können auch Betrugsrisiken ihren Ursprung in mangelhaft geschützten IT--Systemen haben. Diesem spezifischen operationellen Risiko widmet sich beispielsweise auch der Sarbanes Oaxley Act Section 404.

Eine Eigenheit der IT-Risiken ist die besondere Rolle der rufschädigenden Risiken, der sogenannten Reputationsrisiken. Diese sind definitionsgemäss bei Basel II ausgeklammert. Vielfach werden aber gerade IT Risiken - aufgrund möglicher Rufschädigung bei Bekanntwerden - erhöht eingestuft, wobei aber der jeweilige finanzielle Schaden nicht gegeben ist.

Auch wenn der finanzielle Schaden eines einzelnen IT-Ausfalls in Bezug auf die Systeme nicht hoch sein muss, kann er doch einen sehr grossen Imageschaden nach sich ziehen, der wiederum negative nicht direkt monetäre Auswirkungen haben kann.

Bezüglich Reputationsrisiken drängt sich also eine klare unternehmensinterne Definition auf. Das Unternehmen muss entscheiden, inwieweit Reputationsrisiken entgegen der Basel-II-Definition berücksichtigt werden sollen und wie deren Gewichtung vorzunehmen ist.

IT-Security ist nicht Selbstzweck. Die zu ergreifenden Massnahmen im Bereich IT Security müssen immer durch ihr Risikoreduktionspotenzial begründet werden können. Der anerkannte internationale Standard BS7799/ISO17799 fordert den Aufbau eines Information Security Management System (ISMS).

Innerhalb des ISMS ist ein systematischer Ansatz zur Risikobewertung festzulegen, sind die Risiken auf ein akzeptables Niveau zu reduzieren und die Kriterien zu bestimmen, nach denen Risiken akzeptiert und das akzeptable Risikoniveau identifiziert werden.

Die Risiken sind zu identifizieren und zu bewerten. Anschliessend sind die Optionen für die Risikobehandlung zu identifizieren und zu evaluieren. Mögliche Optionen sind hier:

o Anwendung angemessener Sicherheitsmassnahmen/Controls (bspw. BS7799, Cobit, IT Grundschutzhandbuch)

o Wissentliche und objektive Akzeptanz der Risiken, unter der Bedingung, dass die Politik der Organisation und die Kriterien für die Akzeptanz von Risiken klar erfüllt sind

o Vermeidung von Risiken

o Transfer der verbundenen Geschäftsrisiken auf Dritte, beispielsweise Versicherer oder Lieferanten

Die Grundkonzepte von Operational Risk Management und Information Security Management (ISM) sind also identisch. In beiden Fällen werden Risiken identifiziert, bewertet und anschliessend angemessen behandelt. Hinzu kommt, dass alle operationellen Risiken eine Entsprechung in den IT-Risiken finden und umgekehrt.

IT Risk Management behandelt eine Teilmenge der vom Operational Risk Management erfassbaren Risiken. Der Begriff «IT Risk Management» wird in der Praxis häufig vereinfacht «Risk Management» gleichgesetzt, das durch BS7799 gefordert wird und Teil eines umfassenden Information Security Managements ist. Wichtige und zentrale, der IT nahe Risiken werden jedoch durch das Security Management nicht abgedeckt, so beispielsweise Projektrisiken und IT Strategierisiken. Diese Risikokategorien sind eher dem IT Controlling zuzuordnen und werden beispielsweise durch COBIT (Control Objectives for information and related Technology) abgedeckt, einem Werkzeug, das insbesondere bei Informatikrevisionen zum Einsatz gelangt.

Grundsätzlich ist es die Aufgabe des Unternehmens beziehungsweise der eingesetzten und möglichst unabhängigen Stelle für das Operational Risk Management, die wesentlichen operationellen Risiken, welche den Produkten, Prozessen und Systemen des Unternehmens entstammen, zu identifizieren, zu messen, zu steuern und schliesslich auch zu überwachen. Das Ziel dabei ist es, die operationellen Risiken frühzeitig zu identifizieren, zu messen und proaktiv zu steuern. Entsprechende Prozesse, Regelungen und Richtlinien müssen unbedingt schriftlich festgehalten und interne Kontrollsysteme darauf aufbauend implementiert werden.

Die Aufgabe der Stelle ORM ist das Reporting gegenüber dem Management und das Liefern der nötigen Entscheidungsgrundlagen für die Risikobehandlung. Für die identifizierten Risiken sind Risk Owner in der Linie zu bestimmen.

Die Stelle für IT Security rapportiert der Stelle für Operational Risk Management regelmässig. Die Schnittstellen zwischen IT Security und Operational Risk Management sind zu definieren. Beispiele: Eine Aufgabe der Stelle für Operational Risk Management ist das Führen einer so genannten Verlustdatenbank. Die innerhalb des Security Incident Managaments gewonnenen Informationen zu Art, Umfang und Grund der Schäden beziehungsweise Fastschäden müssen in die Verlustdatenbank einfliessen. Die Methodik der Risikoanalysen muss aufeinander abgestimmt werden.

Information Security Management gemäss BS7799 umfasst weite Teile des IT Risk Managements. Die nicht im ISM zu behandelnden IT- Risiken sind, wie auch die übrigen operationellen Risiken, ausdrücklich anderen Linien- oder Stabsstellen (IT Controlling, Compliance) zuzuordnen. Der Aufbau einer eigentlichen Stelle für das IT Risk Management ist bei einem funktionierenden Information Security Management überflüssig beziehungsweise direkt durch das Information Security Management abzudecken.

Der Information Security Officer muss regelmässig aufgrund von definierten Anforderungen gegenüber dem Operational Risk Management rapportieren. Verantwortlich für die Risikobehandlung (Risktreatment) ist schliesslich jene Linie, die von den eingesetzten Stabs- und Fachstellen unterstützt wird.