Risiko-Management, Corporate Governance und Compliance – diese Begriffe umschreiben die Herausforderungen, denen sich der CIO gegenwärtig zu stellen hat. Er muss die IT-spezifischen Risikopotenziale analysieren und darauf reagieren sowie die Risiko-Management-Leitlinien der Vorstandsebene in allen Unternehmensbereichen implementieren, so das Prüfungs- und Beratungsunternehmen Deloitte in einem aktuellen Whitepaper. Vor allem aber müsse der CIO in der Lage sein, die IT-Risiken in direkten Bezug zu Unternehmensstrategie und -erfolg zu setzen.
Führungspersönlichkeit, die strategisch handelt
Die Position des IT-Chefs im Unternehmen befindet sich inmitten einer Umbruchsphase, so hat Deloitte festgestellt. Zielbewusste CIOs seien heute weit mehr als "Herr der Unternehmens-IT". Ihre Verantwortung reiche weit über die IT-Abteilung hinaus. Dazu Jörg Engels, Partner Enterprise Risk Services bei Deloitte: "Die Zeiten, als der CIO in der Hauptsache der Techniker war, der das Unternehmensnetzwerk pflegt, sind definitiv vorbei. Der CIO der Zukunft ist eine Führungspersönlichkeit, die strategisch denkt und handelt." (zur Rolle des CIO siehe auch: "Veränderungen quälen die IT-Abteilungen")
Im Zentrum der neuen CIO-Rolle sieht Deloitte den Umgang mit IT-spezifischen Risiken – seien es nun Gefahrenpotenziale oder auch Chancen für unternehmerischen Erfolg. Letztere hingen keineswegs nur mit technischen Inhalten zusammenhängen. Das müsse der CIO bei Auswahl und der Schulung seiner Mitarbeiter berücksichtigen.
Wie Deloitte weiter ausführt, hat der der CIO die Aufgabe, sämtliche Aspekte der indentifizierten Risikoszenarien, insbesondere ihre möglichen Folgen für das gesamte Unternehmen, zu verstehen und einzuordnen. Dabei müsse er spartenübergreifend agieren können. Darüber hinaus sei er gefordert, Leitlinien und Maßgaben des IT-Risiko-Managements konsequent auf allen Ebenen im Unternehmen zu implementieren und zum integralen Bestandteil der Unternehmenskultur zu machen (zum Thema IT-Risiko-Management siehe beispielsweise: "Wo der CIO für Fehler des Outsourcers haftet").
Positionierung adäquat zur Aufgabe
Um diesen Management-Aufgaben zu entspreche, sollte sich aus Deloitte-Sicht auch die Position des IT-Chefs im Unternehmen ändern. Unverzichtbar sei ein direkter Zugang zur Unternehmensleitung, weil die Arbeit des CIO als Basis für grundsätzliche Entscheidungen des Topmanagements diene.
Ähnliches gelte aber auch umgekehrt, ergänzt das Beratungsunternehmen. Die Unternehmensleitung müsse ihr Technikverständnis erweitern, um Wesen und Tragweite von IT-spezifischen Risiken beziehungsweise deren Einfluss auf strategische Entscheidungen zu begreifen. Nur so seien Fehlentscheidungen vermeidbar, die durch vermeintliche Gegensätze entstünden – auf auf der einen Seite der mahnende, fordernde CIO, auf der anderen ein Top-Management, das die Kosteneffizienz in den Vordergrund stellt.
Integration von Technik und Governance
Um den Rollenwechsel umzusetzen, empfiehlt Deloitte zunächst kleine Schritte. Beispielsweise sollte das jeweilige Unternehmen eine Statusanalyse des Risikoprofils seiner IT-Abteilung vornehmen. Als nächsten Schritt müsse es Prioritäten setzen und Erfolg versprechende Maßnahmen identifizieren. Eine gute Möglichkeit, Compliance-Anforderungen zu vertretbaren Kosten zu erfüllen, seien intelligente, automatisierte Kontrollen. Die Aufgabe des CIO sei hier in erster Linie, das Management von diesen Maßnahmen zu überzeugen.
Als wichtig erachtet Deloitte zudem die Erstellung von detaillierten Anwenderprofilen, mit denen sich Zugangsberechtigungen definieren lassen (siehe dazu auch die COMPUTERWOCHE-Serie zum Thema "Identity-Mangement"). Vor allem aber sei eine umfassende Integration von Technik und Governance, von Risiko-Management- und Compliance-Initiativen anzustreben (weiterführende Informationen zum Thema IT-Sicherheit finden Sie im Security-Expertenrat).
"Die Anforderungen an die CIOs wachsen", fasst Engels zusammen. "Das bedeutet nicht nur, dass sie künftig immer mehr Aufgaben zu erledigen haben, sondern vor allem, dass sie ihre Position mit mehr Kreativität, Initiativkraft, Innovationsbereitschaft und strategischem Geschick ausfüllen müssen." (qua)