BS 31100 Risk-Management: Briten Vorreiter beim Setzen von Standards

Nicht nur bei gutem Humor, guter Musik, Trendsetting und British Style sind die Briten Vorreiter in der EU – auch im Setzen guter, umfassender und handhabbarer Standards. Speziell im IT-Sicherheitsumfeld kennen wir den anfänglichen BS 7799, und deren Versionsnachfolger 17799-1 und -2 schon lange, der sich erst zu guter letzt nur noch von DIN ISO 27001 für Informationssicherheit “quasi” in Ablösung befindet. Das hat Jahre gedauert, und der 17799 war uns in punkto Informationssicherheitsmanagement immer ein weit verbreiteter und guter Helfer, in Bereichen in denen die IT-Sicherheit zum Teil schon etabliert war.

Nun gesellt sich ein neuer Standard in die Reihe der Erfolgsgeschichte. Der BS 31100, Code of Practice für Risk Management. Ich hatte die Ehre, auf der Liste der Draft-Reviewer des BSI zu sein, und durfte ihn ein klein wenig mit gestalten.

Er ist gelungen, der BS 31100. Es verhält sich wie beim BS 17799. Der BS 31100 adressiert Risiko-Management im Unternehmensbereich und spricht die Mitarbeiter im Unternehmen an, die…

– das Erreichen von Zielen im Unternehmen im Allgemeinen verantworten;
– sicherstellen, dass Risiken in bestimmten Unternehmensbereichen gemanaged werden;
– das Risikomanagement im Unternehmen überblicken;
– das Risikomanagement im Unternehmen sicherstellen.

Dabei orientiert er sich an den Prinzipien der Erfahrung, Best Practices und der Corporate Governance. Ich wiederhole gerne für diejenigen, die sich leider nicht damit abfinden können, dass alle Risiken eines Unternehmens in der Corporate Governance/Security Governance konsolidiert werden müssen, anstatt in der IT… Corporate Governance.
Dazu bedient er sich der folgenden 10 Schlüsselgrundsätzen des Risikomanagements:

– Systematisches und strukturiertes Risikomanagement;
– Auf Fakten basierendes Risikomanagement;
– Adressierung von Risikofaktoren und ihre Ursachen;
– Risikomanagement als Teil der Entscheidungsfindung;
– Menschliche Faktoren und menschliches Handeln;
– Implementierung von Vorteilen und Werten;
– Maßschneidern von Risikomanagement;
– Transparenz unter Einbeziehung von Anspruchsberechtigten;
– Reaktionen auf Veränderungen;
– Konzernweites Risikomanagement.

Das zugrunde gelegte Risikomanagement-Modell basiert auf dem Unternehmensumfeld und dessen Organisation, dem Prozess an sich, sowie einem Grundgerüst, das generisch beschreibt, auf welchen verschiedenen Stufen das Risikomanagement angewendet werden kann. Diese Stufen beschreiben die Strategie (Policies, Märkte, Produkte und Zielsetzung), zu etablierende Programme und Prozesse (strategische Unternehmensziele und deren Nachverfolgung innerhalb von Programmen zur Umsetzung und von Prozessen) sowie den operationellen Teil (Tagesgeschäft mit allen Risikobeteiligten wie z.B. der Finanz, HR, und…wie auch sonst, der IT).

Im Grundgerüst zum Risikomanagement kommen die Details des Risikomanagements zum Tragen. Dieser wesentliche und besondere Teil des BS 31100 erstreckt sich im Dokument generisch, und doch sehr umfassend über 13 Seiten. Er zeigt alle wesentlichen Ansätze für die Ausführung der in seinem Grundgerüst beschriebenen Disziplinen und ist äußerst hilfreich für eine richtige Vorgehensweise. Es ist der “Heart-Beat” des BS 31100. Vor allem ist er mit 13 Seiten doch relativ prägnant, verständlich und vor allem handhabbar. Der BS 31100 hat nichts vergessen, und stellt für mich einen progressiven guten Ansatz zum unternehmensweiten Risikomanagement dar. Er ist trotz allgemeiner Ausrichtung hilfreich speziell für diejenigen, die neu im Geschäft sind, und nicht wissen, auf welche Basis sie ihr Risikomanagement stellen sollen. Er gibt denjenigen Hilfestellung, die Anweisungen in der Vorgehensweise benötigen – verständlich, und ohne wichtige Aspekte außer Acht zu lassen.

Am Ende beschreibt er einen einfachen Risikomanagement-Prozess, der aus sechs klaren Schritten mit diversen nützlichen Unterfunktionen besteht, der stark zielorientiert ist. Er setzt dabei noch einen drauf, in dem er die wichtigsten Tools, Methoden und Hilfsmittel aufzeigt, die dem Verantwortlichen Hilfestellung in den Risikomanagementbereichen…

– Identifizierung von Risiken,
– Bewertung von Risiken,
– Maßnahmen auf Risiken

…liefert.

Meine Meinung zu dem Dokument: Alles in allem ein wirklich gelungenes Werk, umfassend, generisch (dadurch stellt es meiner Meinung nach Flexibilität in der Handlung bereit) und doch systematisch. Einfach. Praktisch. Gut. Gratulation den Briten zu einem weiteren Erfolg in Serie des BSI. Ich denke, er wird wie der BS 17799 seinen Platz in einer globalen Anwendung finden.

Das Werk zeigt wieder einmal eindeutig, dass IT-Risikomanagement in das Corporate Risk Management gehört, und keinesfalls in die IT.

Wer sich den BS 31100 gerne genauer anschauen möchte, besuche bitte die Webseite des BSI unter http://www.bsi-global.com/, er wird ihn dort finden

27.7.2010
Alexander Tsolkas