Während die meisten Unternehmen klassische Risikofelder wie Finanz- oder Marktrisiken erkannt haben, besteht Nachholbedarf beim Management von IT-Risiken. Traditionelles IT-Controlling richtet sich üblicherweise an der Vergangenheit aus und ist auf das Budget fokussiert. Bislang untersuchen nur wenige Firmen systematisch mögliche künftige Unsicherheiten in der IT und berücksichtigen dabei deren Wertbeitrag für die einzelnen Fachbereiche sowie die Risiken bei Termineinhaltung und Qualität. Auch werden zu selten Maßnahmen zur Risikoreduktion definiert und umgesetzt.
IT- Risiko-Management darf nicht auf die IT-Abteilung beschränkt bleiben, sondern muss in das unternehmensweite Risiko-Management integriert werden. Hierbei gilt es, die Schnittstellen zu Fachbereichen und Controlling ebenso zu berücksichtigen wie Risiken innerhalb der IT.
Um ein wirksames IT-Risiko-Management aufzubauen, hat sich ein dreistufiges Verfahren bewährt. Zunächst entsteht ein unternehmensspezifisches Konzept. Dann wird das Konzept in einem Pilotprojekt erprobt. Nach den nötigen Verbesserungen wird das Konzept im gesamten Unternehmen implementiert.
Effektive Konzeption
Im Zuge der Konzeption werden die Abläufe und Werkzeuge des IT-Risiko-Managements bestimmt. Dazu sind vier Schritte erforderlich. Diese müssen permanent durchlaufen werden, da neue Risiken hinzukommen oder bestehende sich ändern können.
Erstens gilt es, die IT-Risiken zu identifizieren, zum Beispiel durch Meldungen der Mitarbeiter, die sie in strukturierten Templates erfassen. Auch in einem Workshop lassen sich Risiken ermitteln. Dabei bietet sich als Strukturierungshilfe ein Risikobaum an, der mögliche Risiken anhand der IT-Wertschöpfung des Unternehmens abbildet.
Zweitens werden die identifizierten IT-Risiken bewertet. Zunächst schätzt der Risikomelder, mit welcher Wahrscheinlichkeit das Risiko eintritt. Dann wird ermittelt, welches Ausmaß das Risiko in Bezug auf Funktion, Zeit und Ressourcen hat. Es empfiehlt sich, bei IT-Risiken mit einer Kennzahl zu arbeiten, Finanz- oder Marktrisiken dagegen absolut zu bewerten, beispielsweise in Euro.
Die Risikokennzahl ergibt sich aus der Kombination von Eintrittswahrscheinlichkeit und Risikoausmaß. Je größer die Kennzahl, desto größer die Wahrscheinlichkeit des Eintritts bzw. des Schadensausmaßes. Die Kennzahl erlaubt es, IT-Risiken in einer Risikomatrix nach Handlungsbedarf zu klassifizieren. Liegt die Kennzahl hoch, sind Gegenmaßnahmen dringend geboten.
Drittens gilt es, Maßnahmen einzuleiten, die den Risiken entgegenwirken. Bei IT-Projekten zählt dazu beispielsweise die Anpassung von Zielen, Plänen oder Ressourcen. Ist dieses Potenzial ausgeschöpft, können Risiken auch auf Dritte verlagert werden, etwa durch Outsourcing oder die Vereinbarung von Schadensersatz bei Nichterfüllung von Dienstleistungen durch Dritte. Übrig bleibt ein Restrisiko, das versichert oder vom Unternehmen getragen werden muss.
Diese Maßnahmen können nur greifen, wenn ein Umsetzungsverantwortlicher benannt ist und verbindliche, zeitnahe Termine festgelegt werden. Zudem ist konsequentes Maßnahmen-Management erforderlich, um den Stand der Umsetzung laufend zu prüfen und bei drohendem Terminverzug erforderlichenfalls den CIO einzuschalten.
Viertens sollte ein Frühwarnsystem zur effektiven Risikokontrolle und –kommunikation errichtet werden. Unternehmen müssen kontinuierlich beobachten, wie sich Risiken entwickeln, um frühzeitig Trends zu erkennen. Überschreitet eine Risikokennzahl ihren Toleranzwert, gilt es, unverzüglich Gegenmaßnahmen einzuleiten. Zudem hält ein gutes Frühwarnsystem wichtige Indikatoren bereit, wie etwa die Entwicklung der Gesamtrisikokennzahl oder die Anzahl offener und geschlossener Risiken.
Vom Problemmelder zum Risiko-Manager
Beschließt ein Unternehmen, IT-Risiko-Management einzuführen, empfiehlt es sich, eine Reihe von erfolgsbestimmenden Faktoren besonders zu berücksichtigen:
So muss das IT-Risiko-Management in das unternehmensweite Risiko-Management eingebettet sein. Auch sollten bestehende Systeme und Strukturen des Controllings und Reportings genutzt werden. Zudem müssen standardisierte Lösungen für das IT-Risiko-Management auf die unternehmensspezifischen Bedürfnisse zugeschnitten werden. Darüber hinaus sollten Risiken nicht nur aus der Perspektive der IT betrachtet werden. Es gilt, die Belange sämtlicher Fachbereiche einzubeziehen.
Überdies sollten betroffene Mitarbeiter aktiv an den Entscheidungen beteiligt sein, um sich von Problemmeldern zu Risiko-Managern wandeln zu können. Sind die IT-Risiken ermittelt, müssen Maßnahmen zur Risikoreduktion definiert und Fortschritte laufend überprüft werden. Ebenso kontinuierlich ist zu ermitteln, inwieweit die erkannten IT-Risiken fortbestehen oder möglicherweise neue auftreten.
Unternehmen, die sich kontinuierlich bemühen, IT-Risiken zu steuern und Maßnahmen zur Risikoreduktion umzusetzen, können die mit IT-Investitionen einhergehenden Unsicherheiten deutlich verringern. So steigt der Wertbeitrag der IT für die Unternehmen signifikant.
Gérard Richter ist Partner bei Roland Berger Strategy Consultants. Daniel Gerster ist Project Manager bei Roland Berger Strategy Consultans.