Auswirkungen von IT-Störungen werden unterschätzt

Risk Management oft nicht an Geschäfts-Strategie ausgerichtet

15.11.2007 von Christiane Pütter

Die oft propagierte Abstimmung von IT- und Business-Strategie endet offenbar beim Risk Management. Das behaupten zumindest die Analysten von Gartner. Ihre These: Wenn IT-Risiken nicht wie Geschäftsrisiken behandelt werden, setzt das Unternehmen die Wettbewerbsfähigkeit aufs Spiel. Drei Ansätze sollen das ändern.

Wenn der Rechner ausfällt, hat nicht nur die IT ein Problem.
Foto: MEV Verlag

Noch immer sei vielen Verantwortlichen nicht klar, wie stark System-Ausfälle oder andere IT-Störungen dem Geschäftsablauf schaden können. Gartner sieht Business-Manager wie Informationstechniker stärker in der Pflicht, beim Risk Management zusammenzuarbeiten. Betriebswirten wird es nicht erspart bleiben, sich ein Stück weit in die IT einzuarbeiten.

Dabei sollten vier Punkte genau unter die Lupe genommen werden:

Verfügbarkeit: Ist sichergestellt, dass die IT-Systeme und damit die Geschäftsabläufe störungsfrei laufen? Wie lange dauert es, bis Ausfälle behoben sind?
Zugang: Kommt jeder Mitarbeiter an die Daten und in die Systeme, die er braucht? Ist umgekehrt sichergestellt, dass Unberechtigten der Zugang versperrt ist?

Genauigkeit: Kann sich die Unternehmensführung darauf verlassen, dass die IT korrekt, pünktlich und umfassend die Daten liefert, die Management, Belegschaft, Kunden, Lieferanten und Behörden brauchen?
Beweglichkeit: Akquisitionen, Produkt-Launches oder das Re-Design eines größeren Geschäftsprozesses - ist die IT wendig genug, um das Unternehmen in solchen Fällen zu unterstützen?

Dabei wollen die Analysten niemanden in falscher Sicherheit wiegen: Das komplett IT-störungsfreie Unternehmen gibt es nicht, stellen sie klar. Aber: IT-Risiken müssen handhabbar sein.

Risk Management beginnt an der Unternehmensspitze

Um das zu gewährleisten, legt Gartner den Anwendern drei Ansätze ans Herz:

Einen soliden Grundstock an IT-Assets, Mitarbeitern, Prozessen und Kontrollen bilden, um ein Risk Management zu ermöglichen,

gut durchdachte Risk Governance mit Strukturen und Prozessen erstellen, um Risiken zu identifizieren, zu priorisieren und zu tracken sowie

eine Firmenkultur des Bewusstseins für IT-Risiken entwickeln. Die muss an der Spitze beginnen und sich nach unten durchsetzen.

Gartner-Analysten Richard Hunter hat diese Gedanken gemeinsam mit George Westerman vom Center for Information Systems Research an der MIT Sloan School of Management in dem Buch "IT Risk: Turning business threats into competitive advantage" ausgeführt.