Freitag, 17. Oktober 2008

Interview: Risiko managen – bevor die Krise hereinbricht

In Zeiten der Krise trennt sich die Spreu vom Weizen – wer rechtzeitig begonnen hat, die Risiken des Unternehmens zu analysieren, zu bewerten und letztendlich ein passendes Risikomanagement etabliert, ist darauf vorbereitet, wenn Risiken schließlich zu einer konkreten Gefahr werden. Dr. Wolfgang Haidegger ist Spezialist für das Enterprise Risk Management und nimmt im Interview Stellung dazu, wie man mit Risiken umgehen muss, um wirtschaftliche Nachteile und vielleicht sogar Haftstrafen vermeiden kann.

Das Wort Krise hat zur Zeit Konjunktur – Wie können Unternehmen verhindern, dass es soweit kommt?

Das Hauptaugenmerk muss auf der Strategie liegen. Diese weist ja den generellen Weg eines Unternehmens und macht es ursprünglich erfolgreich. Was aber wichtig ist, ist ständig zu überprüfen, ob die Rahmenbedingungen, unter denen eine Strategie einst entwickelt wurde, noch immer gültig sind. Hierzu zählen die ursprünglich erhobenen Risken, gesetzliche Rahmenbedingungen, technische Weiterentwicklung uvm. Nachgeordnet zu diesem generellen Vorgehen muss ein klares Reporting aller notwendigen Informationen an die geeigenten Personen erfolgen – die Grundlage jedes Monitoring der Bewertung und Umesetzung einer Gesamtstrategie.

In wie weit muss ich auch der IT-Manager mit rechtlichen und wirtschaftlichen Risiken befassen?

Der IT Manager wird immer mehr zum Manager einer Serviceeinrichtung, die als Profit Center geführt wird. Daher muss er sich mit der Kostenstruktur und dem Wert der Services seiner IT Abteilung auseinandersetzen. Investitionen in Mensch und Material sind dann ebenso nach wirtschaftlichen Grundsätzen zu tätigen, wie die Planung operationeller Prozesse. Rechtliche Fragen muss der IT Manager im Rahmen seiner Reportingpflicht für seine Abteilung kennen, sowie alle Bestimmungen, die für die Services gültig sind, die seine Abteilung liefert (Aufbewahrung von Daten, Betreiben von Kommunikationsinfrastruktur – Integrität der transportierten Informationen, Bereitstellen von Applikationen zur Auswertung gewisser Daten)

Was passiert, wenn man Risikomanagement zu wenig Beachtung schenkt?

Risken, denen ein Unternehmen generell ausgesetzt sein kann, reichen von einer nicht richtig gewählten Geschäftsstrategie über nicht klar definierte Kompetenzen bis zu einer ungenügend ausgestatteten technischen Infrastruktur. Risikomanagement deckt viele dieser – durchaus gängigen – Risken schon in der Analysephase auf und minimiert durch rechtzeitig geplante und implementierte Gegenmaßnahmen somit den potentiellen Schaden, den ein Unternehmen sonst nehmen könnte. Risikomanagement nicht geeignete Beachtung zu schenken läßt ein Unternehmen also im Ungewissen über mögliche Probleme und erlaubt im Falle des Eintritts eines Problems (das eventuell sogar verhindert werden hätte können) auch keine gut durchdachte Reaktion.

Welche Möglichkeiten bieten internationale Standards, wie ITIL und COBIT?

Internationale Standards wie ITIL, COBIT, ISO/IEC 27001 geben zunächst einmal eine Menge Erfahrung der verschiedenen beteiligten Autoren zu Themen wie IT-Governance, Service Delivery oder Security Management wieder. Diese Rahmenwerke sind auch zu ihren Themen recht vollständig, sodass man bei der Planung oder Analyse des entsprechenden Themas wenig wichtige Themen übersehen sollte. Sie formen weiters ein gemeinsames Verständnis zu den Themen die sie behandeln, das heißt, dass Geschäftspartner, die sich über die Verwendung eines international standardisierten Rahmenwerks einigen, auch nicht das Risiko eines großen „semantical gap“ einhandeln.

Keine Kommentare: