In Unternehmen beschreibt der Begriff Risiko das Über- beziehungsweise Unterschreiten von Schwellenwerten. Das kann der zu hohe Druck einer Gasleitung, das zu langsame Antwortverhalten eines Servers, das Durchbrechen von Kreditlinien oder das Unterschreiten von Umsätzen und vieles andere mehr sein.
Die Kunst des Risiko-Managements erschöpft sich jedoch nicht im Definieren dieser Schwellenwerte. Risikomanagement interpretiert diese Werte, priorisiert sie und leitet Maßnahmen ein, um Schwellenwerte zu senken. Die IT kann das Risikomanagement mit Sensoren und Agenten, Konsolen und dem automatischen Herunterfahren von Systemen und ähnlichem unterstützten. Doch die Risiken zu sehen, ihre Auswirkungen zu erkennen und Möglichkeiten zu finden, sie zu messen, ist Aufgabe aller Unternehmensbereiche. Auch Risikomanager können diesen Prozess nicht allen bewältigen, höchstens orchestrieren.
Aufgrund der großen Abhängigkeit der Unternehmen stellt die IT selbst inzwischen in mehrfacher Hinsicht ein erhebliches Risiko dar. Wenn sie ausfällt, kann sie in sehr kurzer Zeit die Existenz eines ganzen Unternehmens gefährden. Wenn sie zu teuer und ineffizient ist, reduziert sie die Leistung, sprich die Profitabilität einer Firma. Wenn ihre Applikationen nicht den gesetzlichen Bestimmungen entsprechen, risikieren CEOs und CIOs empfindliche Strafen bis hin zu Gefängnis. Mit steigender Komplexität der IT sinkt die Transparenz und erhöht sich das Risiko.
Deshalb ist jeder CIO gut beraten, die Risiken seiner IT, sprich die entscheidenden Schwellenwerte, zu kennen und in ihren Auwirkungen auf das Unternehmen bewertet zu haben. Diese Arbeit muss er zwar nicht persönlich erledigen, aber sie muss innerhalb seines Teams verstanden und verantwortet werden. Sonst läuft er Gefahr, unter – oder überzureagieren, wenn es um die Maßnahmen geht, mit denen die zu hohen Schwellenwerte reduziert werden sollen. Wie häufig zu spät, falsch oder einfach mit zuwenig Nachdruck reagiert wird, davon zeugen die vielen fehlgeschlagenen IT-Projekte, die jeder von uns kennt.
Doch Überreaktionen sind genauso gefährlich – zumindest fürs Budget und das Vertrauen der Business-Seite. Vor allem Softwarehäuser und Berater tendieren zum Aufblasen. Basel II, Sarbanes Oxley und wohl auch das Jahr-2000-Problem beweisen, wie stark sie Risiken betonen, um IT-Verantwortliche zu Investitionen zu bewegen, manchmal zu unnötig hohen Ausgaben. So bleibt auch beim Risikomanagement in der IT Augenmaß das Gebot der Stunde – und wie auf dem Schulhof gilt auch hier: Bloß nicht bange machen lassen.
Weitere Meinungsbeiträge und Analysen finden Sie im Blog des Autors unter www.wittes-welt.eu
