Die Aufgabe eines CIO - die Orchestrierung aller Services.

IT-Risikomanagement und Digitalisierung

Große Chancen sind auch große Risiken

Die Digitalisierung bringt für Unternehmen und für die IT große Chancen mit sich. Große Chancen bedeuten aber auch große Risiken. Dies gilt v.a. dann, wenn Chancen nicht genutzt werden. Eine Chance zu verpassen bedeutet unter Umständen nicht nur, dass der mit der Chance verbundene Nutzen nicht realisiert wird. Es muss auch damit gerechnet werden, dass die Wettbewerber die Chance nutzen. Das kann die Existenz eines Unternehmens bedrohen, wenn dadurch z.B. wesentliche Marktanteil verloren gehen. Beispiele gibt es genug: Uber, amazon, airbnb, …

Aber auch wenn die Chancen der Digitalisierung genutzt werden, sind damit neue Risiken verbunden. Durch die Digitalisierung wird IT immer mehr zum Bestandteil aller Geschäftsprozesse. IT-Risiken sind somit nicht mehr nur ein Thema für die IT. IT-Risiken sind vielmehr Business-Risiken und können das Geschäft in seiner Substanz bedrohen.

Ein ‚Security-Management‘ allein reicht daher nicht mehr aus. 100%ige Sicherheit ist nicht möglich und es muss insofern entschieden werden, welche Risiken getragen werden können und welche nicht akzeptabel sind. Hinzu kommt, dass schon bald der Anteil für IT-Security am gesamten IT-Budget bei über 10% liegen wird. Die Frage nach der Wirtschaftlichkeit von Security-Maßnahmen wird daher immer brisanter und muss oft durch Business Cases belegt werden.

IT-Risiko-Klassen

Nach ISO 31000, dem Standard für das Enterprise Risk Management (ERM), ist ein Risiko die Auswirkung von Unsicherheit auf Ziele. Diese Auswirkungen man in folgenden Klassen unterteilen:

  1. Verpasste Chancen: In dieser Klasse finden sich die Programme und Projekte, die nicht oder zu spät gestartet wurden. Diese Risikoklasse muss bei der Festlegung der Unternehmensstrategie gemanagt werden. Die Ausgestaltung der Strategie ist dann Sache des Service-Portfolio-Managements (vgl. Thema Service-Portfolio-Management).
  2. Programm- und Projektrisiken: Die richtigen Programme zu starten ist Eines, die Programme zum Erfolg zu führen das Andere. Programm-Risiken, d.h. alles, was eine Realisierung des Nutzens im Rahmen des Budgets gefährden könnte, sollten bereits bei der Erstellung des jeweiligen Business Cases berücksichtigt (vgl. Business Cases und Agilität) und über den Business Case im Portfolio-Management gesteuert werden.
  3. Betriebsrisiken: In dieser Klasse finden sich die Gefahren, die der Nutzenrealisierung nach dem erfolgreichen Projektabschluss noch drohen, also z.B. Sicherheits- und Verfügbarkeitsprobleme. Identifiziert werden sollten diese Risiken
    1. Top-down, indem geprüft wird, durch welche Ereignisse in der IT wichtige Geschäftsziele gefährdet werden könnten.
    2. Bottom-up, indem die Auswirkungen von verschieden Bedrohungsszenarien auf das Business geprüft werden.

Beide Sichten ergänzen sich und sollten parallel durchgeführt werden. Wichtig ist auch zu berücksichtigen, dass in der Regel viele Bedrohungsszenarien von externen Service-Providern ausgehen. Der Bereich ‚Service Integration and Management (SIAM)‘ ist also auch aus der Risikoperspektive relevant. 

Verantwortung für IT-Risiken

IT-Risiken sind Business-Risiken und müssen als solche im Enterprise Risiko-Management-System (ERM) gemanagt werden. Verantwortlich ist dafür gemäß KonTraG zunächst einmal die Unternehmensleitung.

Hier muss festgelegt werden, wie groß der ‚Risikoappetit‘ des Unternehmens ist, d.h. welche Risiken noch akzeptabel sind und welche nicht.

Hier muss auch ein akzeptabler Level für die Risikotoleranz gesetzt werden. Die Risikotoleranz gibt an, welche Zielabweichungen erlaubt sind. Hierbei handelt es sich um einen wichtigen Stellhebel für die Agilität. Eine niedrige Risikotoleranz bedeutet, dass man in frühen Projekt-Phasen schon einen hohen Anspruch an die Reliabilität von Business Cases stellen muss. Agilität hat in einem solchen Umfeld kaum eine Chance. Besser ist aus dieser Sicht eine höhere Risikotoleranz und eine Nutzung von ‚real options‘, indem man z.B. ein Projekt nach einer Pilotphase abbricht, wenn sich zeigt, dass der erwartete Nutzen nicht realisierbar ist (vgl. Business Cases und Agiltät).

Das Zusammenspiel von Fachseiten und IT beim Thema IT-Risiken ist in der Praxis ein heikler Punkt. Wer ist z.B. für die Risiken verantwortlich, die aus dem Einsatz einer Cloud-Lösung resultieren, die von der Fachseite beschafft wurde? Wir zeigen in unserem Whitepaper „IT-Governance pragmatisch implementieren“ (Releasetermin: 06.05.2016) wie ein Portfolio-Risiko-Management implementiert und wie eine sinnvolle Rollenverteilung hier aussehen kann.

Eine gewichtige Rolle wird die IT in jedem Fall bei der Aggregation von Risiken im Rahmen einer Bottom-up-Identifikation von Risiken (vgl. Punkt 3a oben) spielen müssen, da nur sie über den dafür notwendigen Gesamtüberblick über die IT verfügt. Wichtig ist auch die Bewertung von Security-Maßnahmen aus Kosten-/Nutzen-Sicht um zu vermeiden, dass die Security sich im IT-Budget allzu breitmacht. Und auch das Projekt-Portfolio-Management (Punkt 2 oben) ist in der Regel Aufgabe der IT. Ein Aufbau von Risiko-Management-Kompetenzen in der IT ist für die Ausgestaltung der ‚neuen Rolle der IT‘ also auf jeden Fall ratsam. Wir behandeln das Thema Risikomanagement in unserer Schulung ‚Erstellung von Business Cases‘ daher ausführlich.