Am Risk-Management scheiden sich die Geister

Wer jammert, ist selbst schuld. Das gilt zumindest für Entscheider, denen das Budget für Risk-Management zusammengestrichen wird. Gartner-Analyst Jay Heiser gibt Tipps zur Vermeidung dessen. Seine These: Knackpunkt ist, dass die IT das Business nicht ausreichend in die Pflicht nimmt.

Das gilt in zweierlei Hinsicht: Einerseits tendieren IT-ler dazu, Fachabteilungen und Geschäftsführung für - zurückhaltend formuliert - nicht kompetent genug zu halten. Andererseits hebt das Business nicht unbedingt von sich aus den Finger, wenn es um die Frage der Verantwortlichkeit geht. Liegt aber die Verantwortung bei der Geschäftsführung, ist der Etat für Risk-Management weniger antastbar.

CIOs und Chief Risk Officer (CRO) sollten dabei laut Heiser bedenken, dass jede Geschäftseinheit ihre eigenen Risiken und Sicherheitsbedürfnisse aufweist. Damit kein Bereich über- oder unterversorgt ist, muss sich der IT-Entscheider in dieser Hinsicht auskennen.

Der Gartner-Analyst betrachtet Risk-Management als ein weiteres Feld, auf dem die IT Business-Denke entwickeln muss. Bisher seien CIOs mehr nach ihrem technischen Interesse als den Business-Anforderungen gegangen, so Heiser. Von daher braucht sich mancher nicht zu wundern, wenn beim Risiko-Management der Rotstift angesetzt wird.