Analysten-Kolumne

Wirksames Risiko-Management steigert IT-Leistungen

01. Juni 2005
Von Gérard Richter und
Bettina Dobe ist freie Journalistin aus München. Sie hat sich auf Wissenschafts-, Karriere- und Social Media-Themen spezialisiert. Sie arbeitet für zahlreiche Zeitungen und Zeitschriften in Deutschland.
Die wachsende Zahl von Naturkatastrophen, die fortschreitende Globalisierung, aber auch schärfere Corporate-Governance-Regeln machen Risiko-Management für Unternehmen wichtiger denn je. Zudem steigen die gesetzlichen Anforderungen an Risiko-Management, etwa durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich oder durch Basel II.

Während die meisten Unternehmen klassische Risikofelder wie Finanz- oder Marktrisiken erkannt haben, besteht Nachholbedarf beim Management von IT-Risiken. Traditionelles IT-Controlling richtet sich üblicherweise an der Vergangenheit aus und ist auf das Budget fokussiert. Bislang untersuchen nur wenige Firmen systematisch mögliche künftige Unsicherheiten in der IT und berücksichtigen dabei deren Wertbeitrag für die einzelnen Fachbereiche sowie die Risiken bei Termineinhaltung und Qualität. Auch werden zu selten Maßnahmen zur Risikoreduktion definiert und umgesetzt.

Gérard Richter ist Partner bei Roland Berger Strategy Consultants. (Quelle: Roland Berger)
Gérard Richter ist Partner bei Roland Berger Strategy Consultants. (Quelle: Roland Berger)

IT- Risiko-Management darf nicht auf die IT-Abteilung beschränkt bleiben, sondern muss in das unternehmensweite Risiko-Management integriert werden. Hierbei gilt es, die Schnittstellen zu Fachbereichen und Controlling ebenso zu berücksichtigen wie Risiken innerhalb der IT.

IT-Risiken müssen über den gesamten IT-Lebenszyklus betrachtet werden.
IT-Risiken müssen über den gesamten IT-Lebenszyklus betrachtet werden.

Um ein wirksames IT-Risiko-Management aufzubauen, hat sich ein dreistufiges Verfahren bewährt. Zunächst entsteht ein unternehmensspezifisches Konzept. Dann wird das Konzept in einem Pilotprojekt erprobt. Nach den nötigen Verbesserungen wird das Konzept im gesamten Unternehmen implementiert.

Effektive Konzeption

Im Zuge der Konzeption werden die Abläufe und Werkzeuge des IT-Risiko-Managements bestimmt. Dazu sind vier Schritte erforderlich. Diese müssen permanent durchlaufen werden, da neue Risiken hinzukommen oder bestehende sich ändern können.