Der Microsoft System Center Service Manager bietet die Möglichkeit Risiken zu verwalten. Diese Risiken können einem Compliance Programm innerhalb des Service Managers zugewiesen werden.
Die Risiko Verwaltung ist ein eigener Menüpunkt (neben der Control und Programm Verwaltung) innerhalb des Compliance und Risk Management Bereichs:
Das Risiko wird über ein Formular in den Service Manager eingegeben.
Neben dem Titel für das Risiko werden die Ursache und die Auswirkung beschrieben. Für die Risikobewertung wird prinzipiell die Auswirkung, Eintrittswahrscheinlichkeit und Steuerungsgrad bewertet. Hier können standardmäßig Werte zwischen 1 und 5 gesetzt werden, wobei 5 den höchsten Wert darstellt (höchste Auswirkung, höchste Eintrittswahrscheinlichkeit und höchster Grad der Steuerung). Der Service Manager unterscheidet zwischen inhärentem und dem Restrisiko. Beim inhärenten Risiko wird nur die Auswirkung und Eintrittswahrscheinlichkeit betrachtet (Multiplikation der beiden Werte). Beim Restrisiko wird auch der Grad der Risikosteuerung in Betracht gezogen (Subtraktion des Grades der Steuerung vom inhärenten Risiko). Folgendes Beispiel zeigt die Bewertung des inhärenten und Restrisikos anhand dieser Regelung:
- Inhärentes Risiko = Auswirkung x Eintrittswahrscheinlichkeit = 5 x 2 = 10
- Restrisiko = Inhärentes Risiko – Steuerungsgrad = 10 – 4 = 6
Der Service Manager bietet vier Einstufungen der Risikobehandlung:
Die Akzeptierung, Verhinderung, Reduzierung und Teilung des Risikos. Der Risikobehandlungsplan wird im nachfolgenden Feld textuell beschrieben.
Jedes Risiko muss einen Eigentümer besitzen und kann optional einer Person zugewiesen werden. Ein Fälligkeitsdatum kann bei Bedarf ebenfalls definiert werden.
Das Risiko kann beliebigen Configuration Items (CI) der Configuration Management Datenbank (CMDB) zugewiesen werden. Die Zuweisung zu Control Objectives, Aktivitäten, Störungen (Vorfällen) bzw. jeglichem Arbeitsauftrag ist ebenfalls möglich und in der Praxis durchaus üblich. Auch Dateien können zu dem Risiko hinzugefügt werden.
Um ein Risiko aktiv zu setzen (Published) ist standardmäßig eine Review Aktivität durchzuführen.
Wie bei allen anderen Service Manager Formularen sind auch direkt aus dem Risikoformular Aktionen steuerbar:
Wird z.B. innerhalb der Risikobearbeitung festgestellt, dass ein Change Request erforderlich ist, dann kann direkt ein entsprechender Request aus dem Formular eröffnet werden und das entsprechende Risiko wird im Change Request als “Config Items to Change” automatisch hinzugefügt.
Abgerundet wird die Risikoverwaltung durch die Protokollierung jeglicher Änderungen an dem Risiko. Diese Änderungen sind im History-Bereich einsehbar:
IT-Compliance Blog 