Sep 23 2008
Bange machen gilt nicht
In Unternehmen beschreibt der Begriff Risiko das Über- beziehungsweise Unterschreiten von Schwellenwerten. Das kann der zu hohe Druck einer Gasleitung, das zu langsame Antwortverhalten eines Servers, das Durchbrechen von Kreditlinien oder das Unterschreiten von Umsätzen und vieles andere mehr sein.
Die Kunst des Risikomanagements erschöpft sich jedoch nicht im Definieren dieser Schwellenwerte. Risikomanagement interpretiert diese Werte, priorisiert sie und leitet Maßnahmen ein, um Schwellenwerte zu senken. Die IT kann das Risikomanagement mit Sensoren und Agenten, Konsolen und dem automatischen Herunterfahren von Systemen und ähnlichem unterstützten. Doch die Risiken zu sehen, ihre Auswirkungen zu erkennen und Möglichkeiten zu finden, sie zu messen, ist Aufgabe aller Unternehmensbereiche. Auch Risikomanager können diesen Prozess nicht allen bewältigen, höchstens orchestrieren.
Aufgrund der großen Abhängigkeit der Unternehmen stellt die IT selbst inzwischen in mehrfacher Hinsicht ein erhebliches Risiko dar. Wenn sie ausfällt kann sie in sehr kurzer Zeit die Existenz eines ganzes Unternehmens gefährden. Wenn sie zu teuer und ineffizient ist, reduziert sie die Leistung, sprich die Profitabilität einer Firma. Wenn ihre Applikationen nicht den gesetzlichen Bestimmungen entsprechen, risikieren CEOs und CIOs empfindliche Strafen bis hin zu Gefängnis. Mit steigender Komplexität der IT sinkt die Transparenz und erhöht sich das Risiko.
Deshalb ist jeder CIO gut beraten, die Risiken seiner IT, sprich die entscheidenden Schwellenwerte, zu kennen und in ihren Auwirkungen auf das Unternehmen bewertet zu haben. Diese Arbeit muss er zwar nicht persönlich erledigen, aber sie muss innerhalb seines Teams verstanden und verantwortet werden. Sonst läuft er Gefahr, unter – oder überzureagieren, wenn es um die Maßnahmen geht, mit denen die zu hohen Schwellenwerte reduziert werden sollen. Wie häufig zu spät, falsch oder einfach mit zuwenig Nachdruck reagiert wird, davon zeugen die vielen fehlgeschlagenen IT-Projekte, die jeder von uns kennt.
Doch Überreaktionen sind genauso gefährlich – zumindest fürs Budget und das Vertrauen der Business-Seite. Vor allem Softwarehäuser und Berater tendieren zum Aufblasen. Basel II, Sarbanes Oxley und wohl auch das Jahr-2000-Problem beweisen, wie stark sie Risiken betonen, um IT-Verantwortliche zu Investitionen zu bewegen, manchmal zu unnötig hohen Ausgaben. So bleibt auch beim Risikomanagement in der IT Augenmaß das Gebot der Stunde – und wie auf dem Schulhof gilt auch hier: Bloß nicht bange machen lassen.
Lieber Herr Witte,
wahrscheinlich hat sich nicht viel veraendert- 2005 habe ich auf der IT meets Business in Muenchen ueber die Wichtigkeit dieses Themas gesprochen.
Das Dilemma ist, dass das Risiko sich fuer den Einzelfall - sprich Katastrophe - nicht minimieren laesst und somit dem Abarbeiten des Notfallplans eine enorm wichtige, wenn nicht die wichtigste Aufgabe zukommt - aber wer uebt schon wie die Feuerwehr?
lg aus dem regnerischen Hamburg
Ihr hr
… Wo sind die Notfallpläne?
Als weiterer - und überlebensnotwendiger - Aspekt kam das Thema Risiko-Management zur Sprache: Letzteres sei nicht nur für die Stabilität der unternehmenseigenen Produktions- und IT-Systeme, sondern auch im Hinblick auf die gesetzlichen Compliance-Anforderungen etwa nach Sarbanes-Oxley (SOX) oder Basel II von großer Bedeutung, mahnte Harald Rost, geschäftsführender Partner bei CIO Consults Nilsson Executive-Consulting. Von einem ganzheitlichen und IT-übergreifenden Präventivsystem sei das Gros der Firmen allerdings noch weit entfernt: So verfügten lediglich drei Prozent über einen Notfallplan. Mit einem institutionalisierten und aktiven Risiko-Management lassen sich laut Rost jedoch zwei Fliegen mit einer Klappe schlagen - es stelle sicher, dass die IT gesetztestreu bleibt, und erzeuge zudem einen direkten Business-Value.
in der tat wäre es hilfreich, wenn sich bei den it-security-verantwortlichen vor allem im mittelstand das rollenbild eines risikomanagers herausbilden würde. warum sind denn gerade im mittelständischen bereich heute die it-security-budgets rückläufig? weil bei mittelständischen geschäftführern noch immer die einstellung dominiert, es geht um “sicher oder unsicher”: wenn geld in it-sicherheit investiert wird, und dann hört man in den nachrichten und liest in der computerwoche, dass es wirkliche sicherheit nicht gibt, dann fährt man die budgets eben runter. ein anti-viren-produkt wird installiert, “mehr kann man ja nicht machen”.
ein risikomanager, wie wir ihn von großen unternehmen kennen, kalkuliert risiken gegen die investitionen zur risikominimierung. genau diese haltung fehlt heute im mittelstand.
auch die einführung eine berichtspflicht zur risikovorsorge als teil der publikationspflichten im rahmen von jahresabschlüssen wäre hilfreich. wenn ich mich über einen neuen lieferanten, kunden oder sonstigen geschäftspartner informiere, dann rufe ich heute automatisch eine creditreform-auskunft ab. aber was hilft mir hier eine positive auskunft, wenn ich nicht weiss, was das unternehmen tut, um seine betriebssicherheit zu garantieren?