Die Aufgaben der IT
Wie sich im Hinblick auf Strategie und Ziele ein Business-IT-Alignment empfiehlt, ist ein Risk-Alignment bezogen auf das Risiko-Management sinnvoll. Das IT-Risiko-Management wird aus dem übergeordneten Management der Unternehmensrisiken abgeleitet. Als Handlungsfeld der IT-Governance obliegt es der Verantwortung des CIO.
- Den IT-Risiko-Management-Prozess etablieren: Der CIO veranlasst und fördert den Aufbau des IT-Risiko-Managements, indem er Verantwortliche benennt und die vom Unternehmen vorgegebenen Instrumente nutzt.
- Die Vorgehensweise festlegen: Auf Basis der für das Unternehmen definierten Vorgehensweise legt der IT-Bereich seinen eigenen Umgang mit Risiken fest. Dazu gehören IT-spezifische Methoden zur Risikoerkennung und -bewertung (wo erforderlich), Strategien zur Risikominderung sowie die zugehörige Kommunikation im Unternehmen.
- Die IT-Risiken ermitteln und bewerten: Auf Basis der Unternehmensziele, der in SLAs vereinbarten IT-Leistungen sowie der jeweiligen Kritikalität aus der Business-Impact-Analyse werden die IT-Risiken ermittelt und bewertet. IT-Risiken können auf unterschiedlichen Ebenen und in unterschiedlichen Bereichen liegen. Beispiele dafür sind infrastrukturelle, anwendungsbezogene, prozessuale oder organisationsbedingte Risiken.
- Die IT-Risiken reduzieren: Für jedes Risiko gilt es, Maßnahmen zur Verringerung der Eintrittswahrscheinlichkeit und des Schadensausmaßes zu planen. Die Entscheidung für eine Maßnahme hängt sowohl von der Unternehmensstrategie als auch von der IT-Strategie ab, sei es Risikovermeidung, Risikoreduktion, Auslagerung des Risikos an Dritte oder Risikoakzeptanz. In der Regel ergibt sich an diesem Punkt Kommunikationsbedarf zwischen IT und Business, da hier die Kosten für unterschiedliche Risikostrategien offen zutage treten. Dem Business fehlt häufig das Bewusstsein, mit welchen Risiken und Kosten IT-Leistungen verbunden sind. So kommt schnell der Wunsch nach hohen Verfügbarkeiten auf, aber die Kosten für die Minderung des Ausfallrisikos (Backup, Recovery, redundant ausgelegte Systeme) werden nicht berücksichtigt. Die IT hat in diesem Kontext also einen Beratungsauftrag gegenüber der Business-Seite, der auch zu Änderungen der Leistungsvereinbarungen führen kann. Nachdem die Vorgehensweise geklärt ist, gilt es, die Maßnahmen zur Risikominderung zu treffen. Deren Nachhaltigkeit lässt sich steigern, indem die jeweils Verantwortlichen benannt werden.
- Regelmäßig überprüfen: Risiko-Management ist keine einmalige Aufgabe, sondern ein iterativer Prozess. Alle ergriffenen Maßnahmen sind zu überwachen und durch erneute Risikobewertung auf ihre Wirksamkeit zu prüfen. Die Risikoanalyse muss regelmäßig wiederholt werden - wie häufig, hängt von der Bedeutung der IT-Dienstleistungen für das Unternehmen ab.