IT-Risikomanagement

Sie bergen - das steht außer Zweifel für die Praxis - vielmehr erhebliche Gefahrenpotenziale in sich:

• Menschliches Versagen, etwa durch unzureichende Qualifizierung oder fehlende Leistungsbereitschaft (unqualifizierte bzw. unmotivierte Mitarbeiter).
• Ausfälle von IT-Systemen (etwa von IT-Infrastrukturen oder Softwarelösungen) verursachen immense Zusatzkosten. Sie haben zur Folge, dass vereinbarte Leistungen nicht oder nicht rechtzeitig erbracht werden.
• Fehlende Kontrollen, die den Anreiz auf betrügerisches Handeln erhöhen, können hohen Schaden verursachen.
• Fehlerhafte Abstimmungen und Fehler verursachende Kommunikationsprozesse können die Qualität der IT-Produkte signifikant verschlechtern.
• Eine Vielzahl von Einflussfaktoren kann dazu führen, dass das Erreichen der mit den IT-Projekten, den IT-Produkten sowie den IT-Services angestrebten Ziele gefährdet wird oder gar erhebliche negative Folgewirkungen (etwa aus Fehlern oder Verzögerungen in der Ausführung der IT-Prozesse oder der IT-Projekte) denkbar sind.

Für die Handhabung von IT-Risiken sind inzwischen einige hilfreiche und für die Praxis unverzichtbare Lösungsansätze entwickelt worden, die erhebliche Potenziale zur Zukunftssicherung eröffnen können. Sie helfen unter anderem, IT-Risiken frühzeitig zu erkennen und so zu verhindern, dass IT-Probleme die Geschäftsabläufe beeinträchtigen. Sicherheitslücken können so erfolgreich beseitigt und Haftungsrisiken minimiert werden. In jedem Fall müssen sich die IT-Verantwortlichen vergegenwärtigen,

• welche IT-Risiken bei den IT-Produkten, IT-Prozessen und IT-Projekten zu beachten sind,
• welche Aktivitäten für das IT-Risikomanagement üblich sind und sich bewährt haben (Best practices),
• wie eine Einordnung dieser Aktivitäten aus operativer und strategischer Sicht erfolgen kann sowie
• welche Zielgruppen für IT-Risikomanagement unterschieden werden können.

Zwar sind in größeren Organisationen schon zahlreiche Aktivitäten für eine Professionalisierung im IT-Risikomanagement vorgenommen worden. Die Mehrheit der Unternehmen steht heute aber genau vor der Herausforderung, ein Risikomanagement-System für den IT-Bereich neu aufzusetzen oder grundlegend zu erweitern. Zur Konzeptentwicklung sowie der Optimierung der Prozesse und Werkzeuge des IT-Risiko-Managements sind in jedem Fall vier Schritte permanent zu durchlaufen:

• Risiko-Identifikation: In einem ersten Schritt sind die IT-Risiken zu identifizieren. Dies geschieht etwa durch Meldungen der beteiligten und betroffenen Personen eines IT-Prozesses, durch die Nutzer der IT-Produkte oder durch die Mitglieder der IT-Projektteams.
• Risiko-Analyse: Die identifizierten IT-Risiken müssen anschließend hinsichtlich der Erreichung der Zielsetzungen einer genauen Analyse unterzogen werden. Dabei bietet sich fast immer Teamarbeit an.
• Risiko-Bewertung: Risikomelder müssen (ggf. ebenfalls in Abstimmung mit dem Team) einschätzen, mit welcher Wahrscheinlichkeit das Risiko eintritt. Dann wird ermittelt, welches Ausmaß das Risiko in Bezug auf Qualität, Zeit und Ressourcen hat. Festzulegen ist eine Risikokennzahl mit Bezug auf Eintrittswahrscheinlichkeit und Risikoausmaß.
• Maßnahmen zur Risikobehandlung: Es gilt Maßnahmen einzuleiten, die den identifizierten IT-Risiken entgegenwirken, insbesondere natürlich den Risiken, die mit hoher Wahrscheinlichkeit eintreten bzw. wo ein relativ hoher Schaden die Folge sein kann. Bei IT-Prozessen zählt dazu beispielsweise die Anpassung von Zielen, Plänen oder Ressourcen. Ist dieses Potenzial ausgeschöpft, können Risiken auch auf Dritte verlagert werden, etwa durch Outsourcing oder die Vereinbarung von Schadensersatz bei Nichterfüllung von Dienstleistungen durch Dritte.