Analysten-Kolumne

Wirksames Risiko-Management steigert IT-Leistungen

01.06.2005
Von Gérard Richter und
Bettina Dobe war Autorin für cio.de.
Die wachsende Zahl von Naturkatastrophen, die fortschreitende Globalisierung, aber auch schärfere Corporate-Governance-Regeln machen Risiko-Management für Unternehmen wichtiger denn je. Zudem steigen die gesetzlichen Anforderungen an Risiko-Management, etwa durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich oder durch Basel II.

Während die meisten Unternehmen klassische Risikofelder wie Finanz- oder Marktrisiken erkannt haben, besteht Nachholbedarf beim Management von IT-Risiken. Traditionelles IT-Controlling richtet sich üblicherweise an der Vergangenheit aus und ist auf das Budget fokussiert. Bislang untersuchen nur wenige Firmen systematisch mögliche künftige Unsicherheiten in der IT und berücksichtigen dabei deren Wertbeitrag für die einzelnen Fachbereiche sowie die Risiken bei Termineinhaltung und Qualität. Auch werden zu selten Maßnahmen zur Risikoreduktion definiert und umgesetzt.

IT- Risiko-Management darf nicht auf die IT-Abteilung beschränkt bleiben, sondern muss in das unternehmensweite Risiko-Management integriert werden. Hierbei gilt es, die Schnittstellen zu Fachbereichen und Controlling ebenso zu berücksichtigen wie Risiken innerhalb der IT.

Um ein wirksames IT-Risiko-Management aufzubauen, hat sich ein dreistufiges Verfahren bewährt. Zunächst entsteht ein unternehmensspezifisches Konzept. Dann wird das Konzept in einem Pilotprojekt erprobt. Nach den nötigen Verbesserungen wird das Konzept im gesamten Unternehmen implementiert.

Effektive Konzeption

Im Zuge der Konzeption werden die Abläufe und Werkzeuge des IT-Risiko-Managements bestimmt. Dazu sind vier Schritte erforderlich. Diese müssen permanent durchlaufen werden, da neue Risiken hinzukommen oder bestehende sich ändern können.

Zur Startseite