Covid 19: Verantwortungsvoller Umgang mit technologischen Risiken heute und darüber hinaus Covid 19: Verantwortungsvoller Umgang mit technologischen Risiken heute und darüber hinaus Covid 19: Verantwortungsvoller Umgang mit technologischen Risiken heute und darüber hinaus

Technologie- und Risikofunktionen spielen eine entscheidende Rolle bei der Gewährleistung der technologischen und betrieblichen Belastbarkeit, während sie gleichzeitig die Aufrechterhaltung des Geschäftsbetriebs ermöglichen. 

Bei der Bewältigung der Covid-19-Reaktionen und darüber hinaus können viele Unternehmen einem Modell folgen, das „Belastbarkeit, Erholung und einer neuen Realität“ ähnelt. Derzeit machen viele Unternehmen Fortschritte in der Phase der Belastbarkeit und ergreifen sofortige Maßnahmen, um die Sicherheit der Mitarbeiter und die Belange des Geschäftsbetriebs anzugehen. Bald werden sich die Unternehmen wieder erholen und den Betrieb für die kommenden Wochen (wenn nicht Monate) stabilisieren. Auf der Grundlage zuverlässiger Signale werden die Unternehmen schließlich Pläne entwickeln und in eine neue Realität eintreten, in der der Geschäftsbetrieb eine Rolle bei der wirtschaftlichen Erholung spielt. 

Technologische Risikofunktionen, einschließlich aller technologischen Rollen im Unternehmen (CIO, CTO, CISO, IT-Risiko, IT-Audit usw.), müssen sich konzentrieren und engagieren, um diese dynamische Situation zu managen und dem Unternehmen durch eine effektive und risikobewusste Reaktion einen kritischen Mehrwert zu bringen. Die Maßnahmen der Regierung zur Durchsetzung der „sozialen Distanzierung“ haben mehr Menschen als je zuvor gezwungen, den Fernzugriff auf Unternehmensnetzwerke zu nutzen, was unmittelbare Herausforderungen und Risiken für Unternehmen mit sich bringt.

In unserem virtuellen Peer-Austausch zum Thema Technologie-Risikomanagement, der am 31. März 2020 stattfand, kamen weltweit führende Unternehmen der Branche zusammen und tauschten ihre aktuellen Erfahrungen und Vorschläge für das Management durch die Covid-19-Antwort aus. Wir erfuhren von Unternehmenspraktiken, die einen effektiven Ansatz ermöglichen: 

• rechtzeitig reagieren, um Stabilität und Geschäftskontinuität zu gewährleisten, und gleichzeitig staatliche Vorgaben überwachen; 
• sich um temporäre Maßnahmen und neue Arbeitsweisen herum stabilisieren; 
• und mit Schlüsselerfahrungen, Fähigkeiten und Fertigkeiten hervortreten, die die Widerstandsfähigkeit durch Wachstum und Transformation auf dem vor uns liegenden Weg stärken. 

Die folgenden Abschnitte geben einen Überblick über die Probleme und Herausforderungen, mit denen Technologierisiko-Teams konfrontiert werden, wenn sie die drei Phasen der Belastbarkeit, der Erholung und der neuen Realität durchlaufen, sowie Empfehlungen, wie sie diese Probleme erfolgreich bewältigen können. 

Auf das Unternehmen einwirkende Kräfte und Technologie-Risiko-Teams

Da die Reaktionsbemühungen auf der ganzen Welt in vollem Gange sind und eine Vielzahl von Interventionen im Bereich der öffentlichen Gesundheit durchgeführt wurden, wurden die Pläne für Geschäftskontinuität und Mitarbeitersicherheit eskaliert. Das Arbeiten aus der Ferne ist jetzt der Standardmodus, aber das hat Videokonferenzfähigkeiten und Internetkonnektivität erschwert. Technologiekontrollteams stehen unter Druck und balancieren nahezu vollständig integrierte Lebens- und Arbeitsaufgaben aus, was sich auf die damit verbundene Kontrollleistung (Qualität, Genauigkeit und Pünktlichkeit) auswirkt.

Gegenwärtige und sich entwickelnde technologische Risikopraktiken

• Im Zuge der Neubewertung von Technologieinvestitionen können Unternehmen die Risikotoleranz der Informationstechnologie (IT) neu bewerten (wobei einige Risikoniveaus deutlich ansteigen, z. B. die Zugangskontrolle) und die Anforderungen in den kritischsten IT-Kontrollbereichen nach oben oder unten drosseln.
• Technologierisiko-Teams verbessern die Geschäftsausrichtung und die Zusammenarbeit mit Partnern, um Echtzeitinformationen zur Verfügung zu stellen, die bei der schnellen Entscheidungsfindung an vorderster Front berücksichtigt werden können, und um (wo möglich) quantifizierbare Geschäfts-Key-Risk-Indikatoren (KRIs) zu nutzen, um die Kontrollleistung zu messen und die Überprüfung der „Risikobereitschaft“ zu unterstützen, falls die Pandemie länger andauert.
• Technologierisiko-Teams führen weiterhin granulare Szenarioevaluierungen durch, um potenziell risikoreiche Ergebnisse zu identifizieren (Ressourcenkapazitätsmangel, Betrugsrisiko, Mitarbeitermoral, Steuerung der Kommunikations- und Kooperationstechnologien am Arbeitsplatz usw.).

KPMG Perspektiven

• Steuerung von Kollaborationstools  - Technologie-Risiko-Führungskräfte sollten bei der Bereitstellung von Kollaborationstools (z. B. WebEx, Slack, Microsoft Teams) eine Risikosteuerung sicherstellen und Leistung, Produktivität und risikoreiche Arbeitsumgebungen in großem Maßstab testen.
• Risikoreduzierung  - Arbeiten Sie mit CISOs zusammen, um den Fernzugriff, den Zugriff auf sensible Daten und den Zugang zur Softwareentwicklung als Folge einer Zunahme der Arbeit an entfernten Standorten risikofrei zu gestalten.
• Interne Kontrollen  - Bewertung von Kontrollhäufigkeiten, Verlässlichkeit, Dokumentationsmethoden; Vorbereitung auf alternative Ansätze für externe Prüfer (virtuelle Prüfungsdurchführung und datengesteuerte Methoden).
• Überwachung von Schlüsselrisiken  - Analyse von KRIs in Bezug auf spezifische technologische Risiken, einschließlich der Durchsetzung von Schwellenwerten und der Kommunikation/Eskalation von Fällen, in denen die Toleranz nicht eingehalten wird, insbesondere bei KRIs in Führungspositionen oder Appetitaussagen auf Vorstandsebene.

Auf das Unternehmen einwirkende Kräfte und Technologie-Risiko-Teams

Da die aktuelle Gesundheitssituation wirtschaftliche Unsicherheit über Umfang, Dauer und Form des anhaltenden Rückgangs des Bruttoinlandsprodukts schafft, müssen sich die Organisationen weiterhin mit Liquiditäts- und Solvenzproblemen auseinandersetzen, die für die Bemühungen der Zentralbanken und Regierungen, das Finanzsystem funktionsfähig zu halten, von entscheidender Bedeutung sind. Da die Unternehmen weiterhin operieren, ist die Risiko- und Kontrollüberwachung sehr gefragt, um der Geschäftsleitung und den Vorständen wichtige Erkenntnisse und Entscheidungshilfen zu liefern.

Gegenwärtige und sich entwickelnde technologische Risikopraktiken

• Die Unternehmen werden weiterhin das Technologierisiko optimieren und die Ressourcenmodelle und -aktivitäten kontrollieren, die zur Erfüllung der behördlichen Anforderungen erforderlich sind, einschließlich der Vorbereitung auf alternative behördliche und externe Prüfungsmodelle. Stark regulierte Unternehmen (z. B. Finanzdienstleistungen) arbeiten mit lokalen Regulierungsbehörden zusammen, um Entlastung bei Aktivitäten im Zusammenhang mit der Einhaltung von Vorschriften zu erhalten. 
• Die Teams für die interne IT-Prüfung reduzieren ihre restlichen Jahrespläne und konzentrieren sich nur auf geschäftskritische Bereiche, um die Auswirkungen auf das Geschäft zu reduzieren und anderen Unternehmensbereichen Kapazitäten aufzuzeigen.
• Einige Unternehmen setzen Programme zur kontinuierlichen Überwachung der Kontrollen ein, um einen frühzeitigen Einblick in aufkommende Probleme zu erhalten und so die Fähigkeit zum Umgang mit Risiken und Chancen zu verbessern.

KPMG Perspektiven

• Quantifizierung von Technologierisiken  - Aktivieren Sie Fähigkeiten zur Quantifizierung von Technologierisiken (falls verfügbar), um relevantere Einblicke in die Risiken für das Unternehmen zu gewinnen und gleichzeitig wichtige Stabilisierungsentscheidungen zu treffen. 
• Beginn der Kontrollautomatisierung  - Nutzung von IT-gestützter Überwachung (falls verfügbar), insbesondere wenn ein vertrauenswürdiges Source System genutzt wird. Ziehen Sie kleine Investitionen in einen ersten Satz von Schlüsselkontrollen für die Automatisierung in Betracht, die sich längerfristig auszahlen, wenn anhaltende Ressourcenknappheit besteht und zusätzliche Automatisierungspläne in Gang gesetzt werden sollen. 
• Rekalibrierung von Risikoschwellen  - Rekalibrieren Sie (so weit wie möglich) bestimmte Risikoschwellen für die Technologie je nach Situation (z. B. erwägen Sie eine Lockerung bestimmter Zugangskontrollen und eine Verstärkung der Kontrollen in Bezug auf die Lieferanten- und Betrugsrisiken).
• Management kritischer Fähigkeiten/Personal  - Identifizierung und, wenn möglich, Ergänzung kritischer Fähigkeiten zur Minderung der Risiken von Schlüsselpersonen, insbesondere im Bereich der Schlüsseltechnologiekontrollen (ob interner Mitarbeiter oder Lieferant). Erwägen Sie Cross-Skilling- und Job-Shadowing-Maßnahmen, um die Abdeckung und das Wissen auf kontinuierlicher Basis sicherzustellen. 

 Auf das Unternehmen und die Technologie-Risiko-Teams einwirkende Kraft 

Die Unternehmen fragen jetzt nach. „Wie wird normal aussehen? “ Sie stehen vor der Herausforderung, in die Kristallkugel zu schauen und den Bedarf an Geschäftswiederaufnahmen und Scale-ups sowie die damit verbundenen technologischen Risiken vorherzusagen. Da die Antworten eines Unternehmens auch nach einem möglicherweise längeren Zeitraum in den Blickpunkt rücken, können wir erwarten, dass morgen nicht wie gestern oder heute aussehen wird. Der alltägliche Technologiebetrieb wie auch die Investitionsprogramme werden genauestens unter die Lupe genommen, um die führenden Praktiken und Lehren aus der Covid-19-Ära zu übernehmen und anzupassen, und um eine risikobewusste Umsetzung zu unterstützen.

Gegenwärtige und sich entwickelnde technologische Risikopraktiken

•  Einige Unternehmen erwägen ein Reverse Engineering ihrer Geschäftskontinuitätspläne unter Einbeziehung von Covid-19-Informationen, um die Maßnahmen der Geschäftsauswirkungsanalyse für eine genauere Szenariodefinition, die Wahrscheinlichkeit und die Auswirkungen gleicher oder ähnlicher Ereignisse auf das Unternehmen zu verfeinern.
• Technologisches Risiko und Kontrollaktivitäten nutzen die Daten und technologischen Möglichkeiten für eine zeitgerechtere Leistung und genauere Einblicke.
• Die damit verbundenen technologischen Risiko- und Kontrollprozesse sind zunehmend digital und flexibel, sodass sie geändert oder verbessert werden können, wenn Unternehmen ihr Betriebsmodell verfeinern. 
• Verbesserte Beziehungen zwischen Geschäfts- und Technologierisiken ermöglichen beschleunigte Investitionsmöglichkeiten auf der Grundlage der von Covid-19 gewonnenen Erkenntnisse darüber, was erforderlich ist, um die Produktivität auszurichten und zu steigern.

KPMG Perspektiven

• Haushalt und neue Investitionen  - Überprüfung der Richtlinien zur Zugriffsverwaltung, um die Kontrollen in Bezug auf Multifaktor-Authentifizierung, Zugriff für persönliche Geräte usw. zu verbessern.
• Anwendung der heutigen Erkenntnisse zum Aufbau von Ausfallsicherheit  - Erfassung von Erfahrungen und Lehren, die nicht nur in Aktualisierungen der Business-Continuity-Pläne, sondern auch in Bezug auf technologische Risiken und Kontrollaktivitäten insgesamt einfließen.
• Kontrollüberwachung  - Erwägen Sie den Aufbau von Fähigkeiten, die eine kontinuierliche Überwachung der Kontrollen ermöglichen.