3. Frühe Warnung verhindert Probleme
Die Einrichtung eines Frühwarnsystems war schließlich der dritte Schritt auf dem Weg zu einem neuen Risiko-Management. Dazu wurden zunächst Risikotreiber festgelegt, Frühwarnindikatoren definiert und die Kennzahlen zu den einzelnen Risikofeldern um qualitative Aspekte ergänzt. "Risikotreiber sind Einflussfaktoren und Stellschrauben für die Risikofelder, die sowohl intern aus dem Unternehmen als auch von außen auf ein System einwirken können", erklärt Müller. "Ihr Einfluss kann sowohl risikoerhöhend als auch risikomindernd sein." Darüber hinaus wurden in dieser Phase durch den jeweiligen Risikoverantwortlichen Score-Werte für die Risikotreiber festgelegt, die auf Experteneinschätzungen basieren.
Sorgfältig geplant - zügig umgesetzt
Im Jahr 2006 begann IZB Informatik-Zentrum mit der Einführung der neuen, auf dem Risiko-Management-Tool "Operational Risk Center" (ORC) des Mainzer Software- und Dienstleistungsunternehmens Interexa basierenden Lösung. Mit der Planung und Umsetzung des Projekts war ein Team von vier Mitarbeitern gut ein Jahr beschäftigt. Seither waren keine größeren Änderungen am Grundsystem erforderlich. Die weitere Integration des Risiko-Managements in das unternehmensinterne Qualitäts- und Sicherheits-Management ist allerdings eine Daueraufgabe.
Mit dem Ergebnis ist IZB zufrieden. Risiken und Objekte werden durch das System heute regelmäßig und automatisch bewertet. Dazu erfolgt an definierten Stichtagen eine standardisierte Neubewertung, um aktuelle Daten zu generieren. "Mit der Einführung des aktuellen Risiko-Management-Systems haben wir Neuland betreten", blickt Geschäftsführer Müller zurück. "Wir hatten Prioritäten zu setzen und festzulegen, was definitiv bewertet werden muss und welche Kontrollmechanismen für die gewünschten Ergebnisse einzubauen waren." Um das Projekt in der Führungsebene zu etablieren, habe sich das Unternehmen für eine Bewertung der einzelnen Bereiche von oben nach unten entschieden, so der Chef des IT-Dienstleistungsunternehmens. Stolz ist IZB Informatik-Zentrum darauf, dass das Projekt im vorgegebenen Kosten- und Zeitrahmen blieb. Die Installation lief ohne Probleme und liefert dem Unternehmen nach übereinstimmender Aussage aller Beteiligten heute deutlich aussagekräftigere Werte als das abgelöste Risiko-Management-System.
Projektsteckbrief
Projektart: Einführung eines IT-Risiko-Management-Systems.
Branche: National agierender IT-Service-Anbieter für Banken und Finanzdienstleister.
Zeitrahmen: Konzept und Implementierung im Jahr 2006.
Aufwand: Vier Mannjahre.
Produkt: Operational Risk Center (ORC) von der Interexa AG.
Ergebnis: Aussagekräftigere Daten zu Risiken und Bedrohungen.
Herausforderungen: Bündelung einer Vielzahl von Risikokennzahlen zu aussagekräftigen Risikofeldern, stärkere Einbindung in die Steuerungsprozesse des Managements.
"Auch rückblickend stehen wir hinter dem Projekt, denn es ist von der Planung bis zur Realisierung optimal gelaufen", lautet Müllers Fazit. Bis heute habe es keinen Anlass gegeben, das eingeführte Risiko-Management in irgendeiner Form zu verändern. "Der Aufwand hat sich gelohnt, wir sind im Markt gut aufgestellt." (kf)