Detailansicht
The use of Soft System ethodology as a basis for the analysis of IT-related risk
Daniel Nagj
Art der Arbeit
Masterarbeit
Universität
Universität Wien
Fakultät
Fakultät für Informatik
Betreuer*in
Gerald Quirchmayr
URN
urn:nbn:at:at-ubw:1-29582.99174.256363-8
Link zu u:search
(Print-Exemplar eventuell in Bibliothek verfügbar)
Abstracts
Abstract
(Deutsch)
In den letzten Jahren tendieren Organisationen vermehrt dazu, dem Business Continuity Management (BCM) eine höhere Aufmerksamkeit zu geben. BCM wird verwendet, um interne und externe Bedrohungen für eine Organisation zu identifizieren und Prävention sowie vorbeugende Gegenmaßnahmen durchzuführen. Ein zentraler Teil des BCM ist die Durchführung einer Risikoanalyse, die auf Identifizierung, Bewertung und Priorisierung der Risiken/Gefahren für eine Organisation basiert. Soft System Methodology (SSM) ist ein Modell, das verwendet wird, um eine Problem Situation ganzheitliche zu betrachten und deren Korrespondenzen ausführlich zu analysieren, um Verbesserungsmöglichkeiten zu finden. Das Ziel dieser Arbeit war es, ein BCM Referenzmodell für die Risikoanalyse zu erstellen das mit der Verwendung von SSM strukturiert und umgesetzt wird. Das entwickelte Referenzmodell wurde anschließend auf den Kreditkarteneröffnungsprozess der Erste Bank Österreich angewendet, um die Brauchbarkeit des Modells zu testen.
Nach einer kurzen Beschreibung der Terminologie ist die Arbeit in sechs Kapiteln gegliedert. In Kapitel 1 und 2 wird eine ausführliche Recherche der Prinzipien und Methoden von BCM und SSM durchgeführt. In Kapitel 3 wird beschrieben wie das BCM Referenzmodell mit Hilfe der siebenstufigen SSM entwickelt wurde.
In Kapitel 4 wurde die Anwendbarkeit des Referenzmodells für die Identifizierung und den Umgang mit Risiken gegen den aktuellen Kreditkarteneröffnungsprozess der Erste Bank Österreich getestet. Dies beinhaltet unter anderem: Die Problem Situation zum Ausdruck zu bringen; Formulierung einer „Root-Definition“ des Systems; den Aufbau eines Konzeptionellen Modelles für die relevanten Risiken im Gesamtsystem (Tätigkeiten, die innerhalb einer Risikoanalyse durchgeführt werden müssen); Vergleich des Modells mit der realen Welt; Formulierung von Veränderungen in der Struktur die wünschenswert wären, sowie abschließend eine Empfehlung, welche Tätigkeiten vorgenommen werden sollen, wie zum Beispiel eine erhöhte Automatisierung im Kreditkarteneröffnungsprozess. Für die Umsetzung der vorgeschlagenen Änderungen wären noch eine detaillierte Kostenschätzung und eine endgültige Genehmigung des Managements erforderlich. Diese Schritte sind aber nicht mehr Teil dieser Arbeit.
Kapitel 5 beschreibt dann die mit SSM erzielten Ergebnisse und vergleicht die Vor- und Nachteile dieses Ansatzes mit anderen Modellen, wie zum Beispiel der „Object – Process Methodology“ (OPM) und der „Structured Systems Analysis Design- Methode“ (SSADM) in Bezug auf Qualität, Klarheit, usw.
Der größte Nachteil von SSM ist ihr Schwachpunkt bei der Analyse von „hard facts“. Trotzdem ist diese Methodologie sehr nützlich für den Umgang mit „Soft-Systems“ (System die stark von menschlichen Aktivitäten abhängig sind). Durch den iterativen Prozess und die Nutzung eines „rich-picture“ kann ein sehr gutes Verständnis des Problems erzielt werden. Ein gutes Beispiel dafür ist die Risikoanalyse die in dieser Arbeit mit Hilfe von SSM gemacht wurde. Obwohl keine „Hard-facts“ bei der Analyse benutzt wurden war es trotzdem
möglich, zahlreiche Risiken im Kreditkarteneröffnungsprozess zu identifizieren, sowie wünschenswerte und machbare Änderungen vorzuschlagen.
Basierend auf der durchgeführten Analyse werden in Kapitel 6 einige Schlüsse gezogen. Die wesentlichste Schlussfolgerung ist, dass obwohl die SSM Struktur verwendet werden kann um eine Risikoanalyse durchzuführen, es fraglich ist, ob es sich auszahlt, ein siebenstufiges Modell zu durchlaufen um das Ziel zu erreichen. Eventuell könnten ähnliche Ergebnisse mit dem gleichen Modell aber mit weniger Ablaufschritten erreicht werden. Außerdem wäre der Einsatz von quantitativen Daten für einige Risiken sicher vorteilhaft gewesen. Darüber hinaus wäre es empfehlungswert, anstatt des Referenz-Modelles ein vollständiges Modell zu entwickeln, um ein umfassendes „Framework“ für die Verwendung von SSM für Risikoanalysen zu haben.
Abstract
(Englisch)
In recent years Business Continuity Planning (BCP) has received greater attention within many organizations. It is used to identify internal and external threats to an organization as well as to identify effective prevention and mitigation strategies to the threats discovered. An important part of the BCP process is the conduct of a risk analysis which is based on identifying, assessing and prioritizing the risks/threats to an organization. Soft Systems Methodology (SSM) is a model based on the holistic and systematic characteristics of complex organizations. The purpose of this thesis was to develop a BCP reference model by using SSM for structuring and performing a risk analysis. The reference model developed was then used on the credit card opening process of the Erste Bank in Austria to establish the usefulness of the model.
Following a brief description of terminology, the thesis is structured as six Chapters. Chapters 1 and 2 are based on thorough background research conducted by the author and describe the principles, methodologies and practice of BCP and SSM. Chapter 3 then describes the development of a BCP reference model that uses the seven-stage step-wise SSM methodology as the basis for risk analysis.
In Chapter 4, the applicability of the reference model was tested for both identifying and dealing with risks inherent in the current process or “system” used by the Erste Bank Austria for opening a credit card account. This involved inter alia: entering and expressing the “problem situation”; formulating a “root definition” of the system based on both rigorous and comprehensive criteria that ensured inclusion of all tasks involved and therefore likely to be affected by subsequent changes; building a Conceptual Model covering the relevant risks within the overall system (covering tasks/activities that have to be performed within a risk analysis); comparing the model with the real world; formulating changes in structure, procedures and/or attitudes that would be both desirable and feasible; and finally, making recommendations for actions that would improve the real world situation such as increased automation, although because of increased capital and/or operational costs the feasibility of doing this would require detailed analysis prior to presentation to higher management and/or the Board for final approval. These steps are not covered by this thesis.
Chapter 5 then discusses the results obtained using SSM, comparing the advantages and disadvantages of this approach for conducting risk analysis with other available models such as the Object-Process Methodology (OPM) and the Structured Systems Analysis Design Method (SSADM) in terms of quality, clarity, extent of stakeholder involvement etc. While it is acknowledged that SSM has deficiencies for analyzing hard facts, its advantages in terms of dealing with soft systems (i.e. systems highly dependent on human activity and interactions such as opening a credit card account with a bank), arise from the improved understanding it provides of the problem at hand through its inherently iterative processes and use of the rich picture. As exemplified by the bank case study described in this thesis, even in the absence of hard facts, it was possible to use the SSM for both conducting a comprehensive risk analysis and identifying potentially desirable and feasible changes for
improving the current system in operation at the Erste Bank for opening a credit card account.
Based on the study and analyses undertaken, the fundamental conclusions reached by the author in Chapter 6 are firstly, that while SSM can indeed be used to structure and perform a risk analysis for the purpose envisaged in the thesis, it is questionable whether it was worth the effort to go through a seven-stage model to achieve the goal; possibly, similar results could be obtained using the same model with fewer or by combining steps. Secondly, that the use of quantitative data concerning some risks would be advantageous for improving the rigour of the analysis. And finally, it is recommended that a fully-fledged model is created to provide a comprehensive framework for using SSM to perform a risk analysis.
Schlagwörter
Schlagwörter
(Englisch)
Soft System Methodology Business Contiunity Planning Risk Analysis Risk Assessment Impact Analysis
Schlagwörter
(Deutsch)
Soft System Methodology Business Contiunity Planning Risk Analysis Risk Assessment Impact Analysis
Autor*innen
Daniel Nagj
Haupttitel (Englisch)
The use of Soft System ethodology as a basis for the analysis of IT-related risk
Publikationsjahr
2014
Umfangsangabe
117 S.
Sprache
Englisch
Beurteiler*in
Gerald Quirchmayr
Klassifikationen
54 Informatik > 54.04 Ausbildung, Beruf, Organisationen ,
83 Volkswirtschaft > 83.70 Banken, Versicherungen
AC Nummer
AC11756354
Utheses ID
29764
Studienkennzahl
UA | 066 | 926 | |