Web

Dachzeile

Aufsichtsräte unterschätzen IT-Risiken

05.09.2007
Einer Studie von PricewatherhouseCoopers (PwC) zufolge sind Aufsichtsräte (Boards) von Firmen bei ihren Entscheidungen oft mangelhaft informiert - weil die IT-Profis dabei versagen, ihnen technische Risiken begreiflich zu machen.

In Auftrag gegeben hatte die Studie das US-amerikanische Institute of Internal Auditors. Der Report zeigt ein Missverhältnis auf zwischen der Wahrnehmung von IT-Risiken im Verwaltungs/Aufsichtsrat, der Sicht der Internen Revisionen sowie der IT-Abteilungen.

Mehr als drei Viertel aller höheren Manager räumte ein, IT-Risiken stünden mittlerweile auf der Agenda des Boards; sogar 98 Prozent anerkennen den strategischen Schlüsselwert der (ITK-)Technik. Besorgniserregende 68 Prozent der befragten Innenrevisionsleiter glauben allerdings, dass ihre Board-Mitglieder IT-bezogene Risiken nicht voll verstehen; 74 Prozent von ihnen wünschen sich größere strategische Kontrolle, um diese Risiken zu managen.

Mehr als ein Drittel der Manager und die Hälfte der Internal Auditors gaben außerdem an, die Situation werde zusätzlich dadurch erschwert, dass die IT-Verantwortlichen außer Stande seien, die vollen Auswirkungen von IT-Risiken in verständlichen Worten zu erklären.

Damit seien die Aufsichtsräte hinsichtlich der IT-Risiken nur in ein "unvollständiges Bild" gesetzt, beklagt Grant Waterfall, Risk Assurance Services Partner bei PwC: "Über ein Drittel der befragten höheren Manager und fast die Hälfte der Revisionsleiter haben den Eindruck, dass die IT-Verantwortlichen IT-Risiken und ihre möglichen Auswirkungen auf das Geschäft nicht so kommunizieren können, dass sie das Board versteht."

Aus der Studie geht ferner hervor, dass die internen Auditoren mehr Verantwortung schultern müssten, und zwar sowohl durch Vermittlung von Gesprächen zwischen IT- und Linien-Managern als auch durch intensivere Beschäftigung mit IT-Risiken. Gegenwärtig verbringen zwei Drittel der Innenrevisionen lediglich 20 Prozent ihrer Zeit mit der Bewertung von IT-Risiken.

"Die Risikoabschätzung ist ein Mannschaftsspiel. Es bringt IT-Profis, die zwar die Technik, aber nicht notwendigerweise deren zu verwaltende Geschäftsauswirkungen verstehen, mit Business-Managern zusammen, denen zwar der technische Hintergrund fehlt, die dafür aber die möglichen Implikationen für das Geschäft abschätzen können", erläutert PwC-Mann Waterfall.

Für die Studie "IT Risk - Closing the Gap" hat PwC Gespräche mit 250 Managern und Leitern Interner Revisionen geführt. (tc)