Content

2.3 Risikoanalyse der IT in:

Ralf Kesten, Arno Müller, Hinrich Schröder

IT-Controlling, page 29 - 37

IT-Strategie, Multiprojektmanagement, Projektcontrolling und Performancekontrolle

2. Edition 2013, ISBN print: 978-3-8006-4534-3, ISBN online: 978-3-8006-4348-6, https://doi.org/10.15358/9783800643486_29

Bibliographic information
2. Ermittlung der strategischen Bedeutung der IT18 2.3 Risikoanalyse der IT Die hohe IT-Durchdringung der Unternehmen geht mit einer hohen Abhängigkeit von der Verfügbarkeit und Qualität der Systeme einher. Vor diesem Hintergrund ist der bereits zitierten These von Carr zuzustimmen, dass die IT Eigenschaften anderer Basistechnologien aufweist: Ein längerer Ausfall des zentralen Datenbankservers eines ERP-Systems hätte ohne entsprechende Vorsorgemaßnahmen ähnlich dramatische Auswirkungen auf ein Unternehmen wie der Ausfall der Energieversorgung oder des Transportwesens. Ein weiterer potenzieller Risikofaktor liegt in den gespeicherten Daten, die von erheblichem Wert sein können. Der Verlust kundenbezogener Daten oder deren Übertragung an Konkurrenten bedeutet für Unternehmen im Regelfall eine deutliche Benachteiligung im Wettbewerb. Die professionelle Beherrschung der IT-Risiken ist daher eine zentrale Aufgabe des Managements und nicht zuletzt durch bestehende Normen wie das KonTraG, Basel II oder den Sarbanes-Oxley- Act für viele Unternehmen obligatorisch.15 Neben dieser vornehmlich externen Motivation ist der Aufbau eines IT-Risikomanagements auch aus internen, betriebswirtschaftlichen Gründen notwendig. Der Eintritt eines Risikos ist in den meisten Fällen mit Kosten verbunden, die bei einer hohen Abhängigkeit von der IT-Unterstützung sogar existenzbedrohend für ein Unternehmen werden können. Risiken müssen jedoch eingegangen werden, da sie zu jedem unternehmerischen Handeln untrennbar dazugehören. Die Entscheidungsträger sollten eine Bewertung durchführen, die in Abhängigkeit von der geschätzten Eintrittswahrscheinlichkeit eines Risikos und der beim Eintritt erwarteten Schadenshöhe einen Erwartungswert für die potenziellen Kosten ermittelt. Diese sind dann den Kosten für die Maßnahmen zur Risikovermeidung oder -abwälzung (z. B. auf Versicherungen) gegenüberzustellen, um den richtigen „Grad“ des Risikomanagements einschätzen zu können. Eine „Überversicherung“ gegen mögliche Risiken ist betriebswirtschaftlich genauso falsch wie ein Ignorieren der potenziellen Gefahren des Einsatzes von IT-Systemen, wobei die persönliche Risikopräferenz der Entscheidungsträger die grundsätzliche Richtung vorgibt.16 Ein erster Schritt besteht darin, die spezifischen, in der IT-Nutzung begründeten Risiken zu identifizieren und zu bewerten, um daraus konkreten Handlungsbedarf auf der strategischen bis hin zur operativen Ebene abzuleiten. In Analogie zu der zuvor vorgestellten Chancenanalyse sind dabei unterschiedliche Risikokategorien voneinander abzugrenzen:17 Auf der strategischen Ebene sind Portfolio-Risiken einzuordnen, die vor allem bei heterogenen Systemlandschaften zum Tragen kommen. 15 Für einen Überblick der gesetzlichen Anforderungen vgl. u. a. Rauschen, T./Disterer, G. (Identifikation 2004), S. 19 ff.; Johannsen, W./Goeken, M. (IT Governance 2006), S. 11.; Knolmayer, G. (Compliance 2007), S. 99 f. 16 Zu den betriebswirtschaftlichen Implikationen des IT-Riskomanagements vgl. Pohlmann, N. (IT-Sicherheitsmaßnahmen 2006), S. 26 ff. 17 Die vorgenommene Kategorisierung basiert auf Junginger, M./Krcmar, H. (Risikomanagement 2003), S. 16 ff.; Junginger, M./ Krcmar, H. (Wahrnehmung und Steuerung 2004), S. 7 ff. 2.3 Risikoanalyse der IT Vahlen – Competence Reihe – Kesten/Müller/Schröder – IT-Controlling, 2. Auflage – Herstellung: Frau Deuringer Status: Druckdaten Stand: 30.11.2012 Seite 18 2.3 Risikoanalyse der IT 19 Da viele Aufgaben der IT über Projekte abgewickelt werden, liegen große Risikopotenziale in der Projektdurchführung und im Projektmanagement. Die Tendenz zur Arbeitsteilung bis hin zur Auslagerung kompletter Bereiche an externe Dienstleister führt zu Outsourcing-Risiken. Am offensichtlichsten sind schließlich die Risiken, die im IT-Betrieb begründet sind und deren Eintritt unmittelbare Auswirkungen auf die Prozesse nach sich zieht. 2.3.1 Portfolio-Risiken Die Zusammensetzung der IT-Landschaft eines Unternehmens stellt einen wesentlichen Risikofaktor dar, der in einer strategischen Analyse unbedingt erfasst und bewertet werden sollte. Zu überprüfen ist dabei, inwieweit die Zukunftssicherheit der genutzten Software und Hardware gewährleistet ist. Stabilität der Hersteller, Grad der Nutzung von Standards oder die Altersstruktur der Systeme sind wichtige Indikatoren, um die entsprechenden Gefährdungspotenziale einzuschätzen. Weiterhin muss geklärt werden, inwieweit strategische Richtungswechsel im Unternehmen zu erwarten sind, die Auswirkungen auf die IT haben bzw. durch die bestehende Infrastruktur nicht mitgetragen werden können. Eine Expansionsstrategie, die durch Übernahme anderer Unternehmen realisiert werden soll, lässt sich bspw. nur auf Basis einer IT umsetzen, die bereit und in der Lage ist, die notwendigen Datenintegrationen vorzunehmen. Flexibilität und Skalierbarkeit der Systeme sind typische Anforderungen, die sich insbesondere bei e-Business-Anwendungen zeigen. Wenn die bestehende IT-Infrastruktur nicht in der Lage ist, Belastungsspitzen abzufangen, und in diesen Fällen mit langen Antwortzeiten oder gar Systemausfällen reagiert, führt dies unweigerlich zur Unzufriedenheit der Online-Kunden mit entsprechenden negativen Auswirkungen auf Umsätze und Nachkaufraten. Ein weiteres Portfolio-Risiko liegt darin begründet, dass es die aktuelle IT- Landschaft nicht oder nur mit vergleichsweise hohem Aufwand erlaubt, neue Anwendungen oder Technologien zu integrieren. In diesen Fällen stellt die IT ein Hemmnis dar und verhindert möglicherweise, dass strategische Chancen innovativer Anwendungssysteme genutzt werden können. Die Diskussion um serviceorientierte Architekturen stellt ein gutes Beispiel dar. In vielen Unternehmen existieren Altsysteme, die aufgrund ihres Aufbaus nicht in moderne Architekturkonzepte passen, daher abgelöst oder aufwändig angepasst werden müssen.18 Risiken liegen aber nicht nur in der bestehenden IT-Landschaft begründet, sondern zeigen sich auch bei Richtungsentscheidungen, die für die IT getroffen werden. Die Auswahl eines ERP-Systems bindet ein Unternehmen bspw. für viele Jahre an einen Softwareanbieter, von dessen Leistungsfähigkeit und Flexibilität es abhängt, ob und wie schnell neue fachliche sowie technische Anforderungen realisiert werden. Für die Wahl der Hardwarepartner oder Systemsoftware gilt ähnliches. Das IT-Management ist gefordert, solche Entscheidungen 18 Vgl. exemplarisch Siedersleben, J. (SOA revisited 2007), S. 113 ff. Vahlen – Competence Reihe – Kesten/Müller/Schröder – IT-Controlling, 2. Auflage – Herstellung: Frau Deuringer Status: Druckdaten Stand: 30.11.2012 Seite 19 2. Ermittlung der strategischen Bedeutung der IT20 sorgfältig vorzubereiten, Chancen und Risiken abzuwägen und wirtschaftliche Auswahlkriterien heranzuziehen, um reine „Bauchentscheidungen“ in diesen strategisch wichtigen Bereichen zu vermeiden. 2.3.2 Projektrisiken Projektrisiken beeinflussen die Erreichung des geplanten Projektergebnisses, aber auch die Zielsetzungen der Projektdurchführung, d. h. die Einhaltung der Zeit- und Budgetvorgaben, und stellen einen bedeutenden Anteil des operativen Risikos eines Unternehmens dar.19 Dies betrifft insbesondere den IT-Bereich, in dem Projektarbeit einen Großteil des Tagesgeschäftes ausmacht. Potenziale zur Gefährdung der Projektziele liegen in erster Linie in den Projektbeteiligten selbst begründet. Wenn interne oder externe Projektmitglieder aufgrund mangelnder Motivation oder zusätzlicher Belastung durch andere Aufgaben die geforderten Ergebnisse nicht in der vorgegebenen Zeit und/oder Qualität liefern können, hat dies möglicherweise negative Auswirkungen auf den Projekterfolg und kann sogar zum Scheitern des gesamten Projektes führen. Mitarbeiterbezogene Risiken sind auch darin zu sehen, dass Personen mit Schlüsselqualifikationen oder projektspezifischem Know-how das Unternehmen verlassen oder aus dem Projekt abgezogen werden. In Softwareprojekten haben die späteren Anwender ebenfalls Einfluss darauf, inwieweit sich der gewünschte Projekterfolg einstellt, indem sie während des Projektes den erforderlichen fachlichen Input geben und hinsichtlich ihrer Qualifikation und Motivation in der Lage sind, die entwickelten Programme in der richtigen Art und Weise anzuwenden. Bezogen auf die Zeit- und Budgetrestriktionen, die jedes Projekt begleiten, ist die Frage zu stellen, welchen Einfluss unvorhergesehene Ereignisse, z. B. Änderungen der Projektanforderungen, neue Parallelprojekte mit höherer Priorität oder unerwartete Kapazitätsbelastungen durch das Tagesgeschäft, ausüben. Veränderungen des geschäftlichen Umfeldes, mangelnde Unterstützung durch das Management, Projektmanagementfehler, ineffizienter Ressourceneinsatz oder unzureichende Aufnahme der Anforderungen sind weitere Beispiele für Risikopotenziale, die möglichst vollständig zu erfassen und zu einer ganzheitlichen Beurteilung des Projektrisikos zusammenzuführen sind.20 Checklisten und Erfahrungswerte aus abgeschlossenen oder abgebrochenen Projekten können dabei äußerst wertvolle Hilfestellung leisten. 2.3.3 Betriebsrisiken Die Gefährdungspotenziale, die in einer umfassenden IT-Unterstützung liegen, zeigen sich am ehesten in Form der Betriebsrisiken. Diese beinhalten alle potenziellen Probleme, die zu einer akuten Beeinträchtigung des laufenden 19 Vgl. Gaulke, M. (Risikomanagement 2003), S. 12. 20 Vgl. Gaulke, M. (Risikomanagement 2003), S. 12 f.; Rezagholi, M. (Risikomanagement 2007), S. 96. Vahlen – Competence Reihe – Kesten/Müller/Schröder – IT-Controlling, 2. Auflage – Herstellung: Frau Deuringer Status: Druckdaten Stand: 30.11.2012 Seite 20 2.3 Risikoanalyse der IT 21 Betriebes der Systemlandschaft des Unternehmens sowie zur Verletzung der Vertraulichkeit und Integrität der gespeicherten Daten führen können. Auf der technischen Seite betrifft dies zunächst den eigentlichen Rechenzentrumsbetrieb und umfasst die Gefahr des Ausfalls einzelner Server und Netzwerkkomponenten bis hin zur mangelnden Absicherung der Räumlichkeiten gegen Naturkatastrophen. Auch die Öffnung der Netzwerke nach außen, durch Internet und e-Business in den meisten Fällen zwingend erforderlich, birgt bekanntlich zahllose Gefahren durch Viren oder gezielte Angriffe. Auf keinen Fall zu vernachlässigen sind die personenbedingten Risiken, die negative Auswirkungen auf die IT-Betriebsbereitschaft haben können. Dazu gehört die Gefahr des Ausscheidens von Wissensträgern aus dem IT-Bereich, ohne die einzelne Anwendungen nicht mehr betreut oder weiterentwickelt werden können. Im Bereich der meist als Legacy-Anwendungen bezeichneten Altsysteme stellt sich dieses Risiko am häufigsten dar. Fehlerhafte Benutzeraktionen in Administrationswerkzeugen oder in Anwendungssystemen können ebenfalls Folgewirkungen nach sich ziehen, die zum Systemstillstand oder zur Verletzung der Integrität gespeicherter Daten führen. Bei der Bewertung der Betriebsrisiken ist zudem die potenzielle Gefahr zu berücksichtigen, dass wichtige Daten verlorengehen oder sensible Daten in unberechtigte Hände gelangen und auf diese Weise Folgeschäden verursacht werden, die teilweise unkalkulierbar sind. Dieses Gefährdungspotenzial hat sowohl eine technische Dimension, gekennzeichnet durch Backup- und Recovery- Prozesse sowie Zugriffsschutzmechanismen und Verschlüsselungstechniken, als auch eine organisatorische Komponente, die z. B. die Zugangsmöglichkeiten zum Rechenzentrum bis hin zum Umgang einzelner Anwender mit ihren Passworten umfasst. Zu den unterschiedlichen Ausprägungen der Betriebsrisiken, die aufgrund ihres häufigen Eintretens und der i. d. R. sofortigen Auswirkungen auf die IT- Kunden am stärksten im Fokus der IT-Verantwortlichen stehen, existiert eine Reihe von Checklisten, die bei der Erfassung, Überprüfung und Bewertung der individuellen Risikolage hilfreich sein können.21 Als populärster Vertreter im deutschsprachigen Raum sind die Gefährdungskataloge des IT-Grundschutzes des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu nennen.22 2.3.4 Outsourcing-Risiken Den Outsourcing-Risiken kommt angesichts der zunehmenden Verlagerung von IT-Serviceleistungen zu externen Anbietern eine steigende Bedeutung zu.23 Durch ganzheitliche oder selektive Outsourcing-Strategien der Unternehmen entstehen neue Abhängigkeiten und Beziehungsnetzwerke, die professionell gemanagt werden müssen. Es ist zwar einerseits anzunehmen, dass 21 Zu einem Überblick über entsprechende Standardwerke vgl. Teubner, R.A./Terwey, J. (IT-Risikomanagement 2005), S. 95 ff. 22 Vgl. BSI (IT-Grundschutz 2011). 23 Zur Outsourcingproblematik vgl. im Detail die Ausführungen im Kapitel 10. Vahlen – Competence Reihe – Kesten/Müller/Schröder – IT-Controlling, 2. Auflage – Herstellung: Frau Deuringer Status: Druckdaten Stand: 30.11.2012 Seite 21 2. Ermittlung der strategischen Bedeutung der IT22 durch die Vergabe von IT-Leistungen an externe professionelle Anbieter die Be triebsrisiken tendenziell eher sinken bzw. verlagert werden, jedoch entstehen  neue  Risikopotenziale, die systematisch erhoben und bewertet werden sollten. Eine hohe Abhängigkeit von Outsourcing-Partnern kann auf Dauer zu einem erheblichen Kostenproblem führen, wenn der Provider die Preise für seine Dienstleistungen stetig anhebt. Bei einem selektiven Outsourcing, wenn einzelne austauschbare Leistungen, wie der Betrieb eines Rechenzentrums oder die Bereitstellung von Arbeitsplatzhardware, von externen Dienstleistern übernommen werden, stellt sich diese Problematik noch nicht als kritisch dar. Bei inakzeptablen Kostenanpassungen seitens des Providers besteht hier stets die  Möglichkeit eines Anbieterwechsels. Anders verhält es sich, wenn die komplette Anwendungsentwicklung, -betreuung und der Anwendungssupport auf einen externen Dienstleister übertragen werden. Aufgrund des damit verbundenen Know-how-Übergangs und der hohen Spezifität der Leistungen ist die Bindung des auslagernden Unternehmens an den Outsourcing-Anbieter sehr hoch, so dass ein Anbieterwechsel vielfach bereits aus Kostengründen ausscheidet. Ein weiteres Risikopotenzial liegt in der Vertragsgestaltung und Definition von Service Level Agreements (SLAs). Häufig existieren in Unternehmen diesbezüglich kaum Erfahrungen, bevor mit einem externen Dienstleister in Verhandlung getreten wird. Wenn die benötigten Reaktionszeiten bei Störungen oder maximal zulässige Ausfallzeiten von bestimmten Anwendungen vor der Vertragsgestaltung nicht hinreichend analysiert werden, ist es schwierig, anforderungsgerechte SLAs zu verhandeln, die einen effektiven IT-Betrieb sicherstellen. Kurzfristige Anpassungen von Service Levels sind meist nicht möglich oder mit zusätzlichen Kosten verbunden. Für eine strategische Analyse bedeutsam ist das Risiko einer verminderten Innovationsfähigkeit und Flexibilität der IT-Unterstützung. Wenn bei einer Auslagerung der gesamten IT an externe Provider nicht darauf geachtet wird, die IT-Koordination im Unternehmen zu belassen bzw. die dafür erforderlichen Know-how-Träger das Unternehmen verlassen haben, ist eine zielgerichtete Weiterentwicklung der IT-Unterstützung für die Geschäftsprozesse gefährdet. Aufgaben wie die Erschließung neuer Potenziale der IT oder die Bewertung sowie Priorisierung von Projekten haben strategischen Charakter und sollten vornehmlich im Unternehmen verbleiben. Muss dies dagegen auf den externen Partner verlagert werden, besteht die Gefahr, dass unternehmensspezifische Belange nicht hinreichend berücksichtigt werden. Bei einer vollständigen Auslagerung der IT-Applikationen wird nicht nur ITbezogenes Wissen übertragen, vielmehr steht auch das komplette, in den Systemen implementierte Prozesswissen dem Outsourcing-Partner zur Verfügung. Sofern die Chancenanalyse gezeigt hat, dass in einer IT-gestützten Prozessoptimierung keine Differenzierungsmöglichkeiten liegen, ist dies nicht als kritisch einzustufen. Wenn die Potenziale der IT zur Gestaltung der Geschäftsprozesse dagegen eine signifikante Stärkung der Wettbewerbsposition mit sich bringen, besteht bei einem Outsourcing die Gefahr, einen zentralen Wettbewerbsvorteil Vahlen – Competence Reihe – Kesten/Müller/Schröder – IT-Controlling, 2. Auflage – Herstellung: Frau Deuringer Status: Druckdaten Stand: 30.11.2012 Seite 22 2.3 Risikoanalyse der IT 23 zu verlieren. Die Kostensenkungspotenziale von Outsourcing-Dienstleistern sind gerade dann besonders hoch, wenn sie gleichartige Anwendungen und Prozesse für verschiedene Unternehmen bereitstellen können. Es besteht somit ein nachvollziehbares Interesse an einer Standardisierung, was im Extremfall dazu führen kann, dass Wettbewerbern, die vom gleichen Provider betreut werden, das gleiche Prozess- und Anwendungs-Know-how zur Verfügung steht, das sich ursprünglich exklusiv im eigenen Unternehmen befand. 2.3.5 Zusammenfassende Bewertung der Risikopotenziale Die systematische Analyse der vier Risikodimensionen ermöglicht es, eine ganzheitliche Sicht auf das IT-Risiko zu gewinnen. Analog der Chancenanalyse aus Abschnitt 2.2.5 bietet sich dafür als Instrument die Fragebogentechnik zur Einschätzung der wichtigsten Risiken je Dimension an. Auch hier gilt, dass die Beurteilung nicht von einer Person oder einem Unternehmensbereich allein vorzunehmen ist, sondern dass ein Konsens zwischen IT-Bereich, Fachabteilungen und Managementebene herzustellen ist. Die Zusammenführung der Einschätzungen je Dimension lenkt den Blick auf die für das Unternehmen kritischsten Risiken und lässt sich, ggf. unter Berücksichtigung von Gewichtungen für jede Frage, in einem Score-Wert für das gesamte Risikopotenzial zusammenfassen (vgl. Abb. 2-6). Abb. 2‑6 : Zusammenführung der Fragebögen zur Risikoanalyse 1. Portfolio-Risiken 1 2 3 4 5 11 Die von uns eingesetzten IT-Anwendungen können sich kurzfristig als nicht zukunftssicher erweisen. 12 … Ergebnis 3. Betriebsrisiken 1 2 3 4 5 31 Der Ausfall zentraler Komponenten im Rechenzentrum würde zu starken Umsatzeinbußen führen. 32 … Ergebnis 2. Projektrisiken 1 2 3 4 5 21 Externe und interne Projektbeteiligte sind unzuverlässig und können IT-Projekte zum Scheitern bringen. 22 … Ergebnis 4. Outsourcing-Risiken 1 2 3 4 5 41 Zugesagte Service Levels werden vom Outsourcing- Partner nicht eingehalten. 42 … Ergebnis Portfolio-Risiken Projektrisiken Betriebsrisiken Outsourcing-Risiken Gesamt IT-Risiken Vahlen – Competence Reihe – Kesten/Müller/Schröder – IT-Controlling, 2. Auflage – Herstellung: Frau Deuringer Status: Druckdaten Stand: 30.11.2012 Seite 23 2. Ermittlung der strategischen Bedeutung der IT24 Dabei sollte die gleiche Punkteskala wie bei der Chancenanalyse verwendet werden. Die Ermittlung einer aggregierten Maßzahl für das IT-Risiko macht allerdings nur dann Sinn, wenn entsprechende Benchmarks, z. B. aus anderen Unternehmensbereichen, vorliegen oder ein Vergleich mit früheren Beurteilungen angestrebt wird, um Veränderungen der Risikolage zu verdeutlichen. Weitaus wichtiger ist das gemeinsame Verständnis der wichtigsten IT-Risikofaktoren, die in strategische Überlegungen mit einzubeziehen sind und als Anhaltspunkt dienen, um konkrete Handlungsempfehlungen und -vorgaben für das IT-Management zu definieren. Beim Einsatz der Fragebogenmethode zur Risikobeurteilung stellt sich häufig das Problem der Bewertung von Brutto- oder Nettorisiken. Nach bisheriger Erfahrung bewerten die Befragten das Risiko „netto“, also unter Einbeziehung der im Unternehmen bereits implementierten risikovermeidenden oder -vermindernden Verfahren. So ist zum Beispiel das Risiko, dass aufgrund eines Totalausfalls des Rechenzentrums kein Geschäftsprozess mehr abgewickelt werden kann, durch redundante Systeme oder Notfallrechenzentren häufig gut abgesichert. Das sog. Nettorisiko kennzeichnet das nach diesen Vorkehrungen verbleibende Restrisiko. Wird dies als Grundlage der Bewertung herangezogen, wird damit jedoch nicht die Abhängigkeit des Unternehmens von der IT beurteilt, sondern die Leistungsfähigkeit des IT-Managements, mit bestehenden Risiken umzugehen. Sinnvoller ist es an dieser Stelle, zunächst von den bereits getroffenen Vorkehrungen des Risikomanagements zu abstrahieren, und eine Bewertung der Bruttorisiken vorzunehmen, also die Gefährdungspotenziale der IT aufzunehmen, die bestünden, wenn im Unternehmen keinerlei risikovermeidende Verfahren und Hilfsmittel genutzt würden. Nur so erhält man eine klare Vorstellung von der strategischen Bedeutung der IT für das Unternehmen und bekommt ein Gefühl für die Notwendigkeit und den erforderlichen Umfang eines Risikomanagements. Erfahrungen der Autoren bei der Anwendung der Risikoanalyse zeigen, dass es durchaus schwerfällt, Teilnehmer zu einer Fokussierung auf die Bruttorisiken zu bewegen. Gerade IT-Verantwortliche tun sich schwer, die bereits implementierten Sicherheitsmaßnahmen gedanklich zu ignorieren. Als hilfreich hat sich erwiesen, dann bereits auf den nächsten Schritt der strategischen Analyse zu verweisen, in dem die Leistungsfähigkeit des IT- Managements einer Stärken- und Schwächen-Analyse unterzogen wird und dabei explizit auf den aktuellen Stand des Risikomanagements eingegangen wird (vgl. dazu näher Kapitel 3). Auch die Risikoanalyse kann alternativ zur ausführlichen Fragebogenerhebung in einem Management Workshop als „Quick Check“ durchgeführt werden, indem die Risikodimensionen abgefragt und gemeinsam mit Vertretern der Fachbereiche, des IT-Bereichs und der Unternehmensleitung erörtert werden. Eine mögliche Vorlage zur Diskussionsführung zeigt die Abb. 2-7. Vahlen – Competence Reihe – Kesten/Müller/Schröder – IT-Controlling, 2. Auflage – Herstellung: Frau Deuringer Status: Druckdaten Stand: 30.11.2012 Seite 24 2.3 Risikoanalyse der IT 25 Fallbeispiel: Strategische Risikoanalyse bei einem Konsumgüterhersteller Bei dem bereits oben dargestellten Konsumgüterhersteller (vgl. Abb. 2-5) wurde nicht nur eine Chancenanalyse durchgeführt. Unter Einsatz der Metaplantechnik wurde vom Managementteam auch das IT-Risiko beurteilt. Auch hierbei erfolgte zur Vorbereitung zunächst eine Vorbewertung aus Sicht der IT-Abteilung mit dem Ergebnis, dass die Bruttorisiken in allen Dimensionen als hoch bis sehr hoch eingestuft wurden. Die Betriebsrisiken wurden dabei als besonders kritisch herausgestellt. Interessant war es, mit den Fachbereichsverantwortlichen die Risikobeurteilung systematisch durchzugehen. Es zeigte sich, dass die IT-Risiken vom Management deutlich geringer eingeschätzt wurden als vom IT-Bereich selbst. Insgesamt erfolgte eine Positionierung im mittleren Feld, wobei für die Outsourcing- und die Portfolio-Risiken die niedrigsten Bewertungen abgegeben wurden. Erst nach intensiven Diskussionen wurden in der Geschäftsleitung die verschiedenen Meinungsbilder abgestimmt und eine einheitliche Beurteilung der IT-Risiken gefunden. Das Gesamtrisiko wurde am Ende der Diskussion brutto als hoch bewertet, da das Unternehmen ohne eine effiziente und einsatzbereite IT bereits nach wenigen Tagen in seiner Existenz gefährdet ist. Kurzfristige Systemausfälle wurden jedoch als nicht kritisch eingeschätzt. Das Feedback im Managementkreis zeigte, dass es für die beteiligten Führungskräfte sehr wertvoll war, sich auf diese Weise mit der Bedeutung der IT intensiv auseinanderzusetzen. Die zunächst isolierte Bewertung von Chancen und Risiken wurde sehr begrüßt, da nur so der ungefilterte Blick auf die jeweiligen Potenziale ermöglicht wurde. Das eingesetzte Verfahren der Fragebogentechnik in Kombination mit Management- Workshops wurde als ausgesprochen praktikabel und zielführend beurteilt. Abb. 2‑8: Fallbeispiel: Strategische Risikoanalyse □ Die Auswahl der falschen Projekte in der IT hat starken negativen Einfluss auf die Wettbewerbsfähigkeit des Unternehmens. □ Wenn IT-Projekte nicht effizient abgewickelt werden, hat dies negativen Einfluss auf die Kundenbeziehungen. □ Wenn der IT-Betrieb unzuverlässig ist, ist das Unternehmen nicht arbeitsfähig. □ Wenn externe Partner nicht effizient in die Geschäftsprozesse integriert sind, hat dies starke negative Auswirkungen auf das Geschäft. 1 2 3 4 5 Bewertung trifft nicht zu trifft voll zuBeurteilen Sie die folgenden Aussagen: Risikoanalyse Abb. 2‑7 : Quick Check zur Risikoanalyse Vahlen – Competence Reihe – Kesten/Müller/Schröder – IT-Controlling, 2. Auflage – Herstellung: Frau Deuringer Status: Druckdaten Stand: 30.11.2012 Seite 25 2. Ermittlung der strategischen Bedeutung der IT26 2.4 Zusammenführung von Chancen- und Risikoanalyse im IT-Portfolio Die Zusammenführung der Ergebnisse der Chancenanalyse mit denen der Risikoanalyse in einem IT-Portfolio (vgl. Abb. 2-9) ermöglicht eine klare Aussage hinsichtlich der IT-Basisstrategie des Unternehmens. Die Positionierung in einem Portfolio über einen exakten Punktwert ist natürlich diskussionswürdig, es kommt allerdings vielmehr auf das Herausarbeiten einer Tendenzaussage an. Die Kombination der ermittelten Chancen- und Risikopotenziale der IT für ein Unternehmen ist ein zentraler Anhaltspunkt für die Beurteilung der Stärken und Schwächen und damit des Reifegrades des IT-Managements und liefert der IT-Abteilung möglicherweise wichtige Argumente zur Positionierung innerhalb des Unternehmens. Im praktischen Einsatz hat sich die Anwendung einer klassischen Vier-Felder- Matrix als geeignet erwiesen. Eine weitere Detaillierung ist nicht notwendig, um die Zielsetzungen der strategischen Analyse zu erfüllen, und wird meist von den Beteiligten angesichts der immer vorhandenen Subjektivität bei der Bewertung der Potenziale nicht akzeptiert. Die Abb. 2-10 zeigt das Portfolio mit seinen vier Quadranten, die sich hinsichtlich ihrer inhaltlichen Beurteilung an die Kategorisierung nach Nolan/McFarlan anlehnen.24 24 Vgl. Nolan, R./McFarlan, W. (IT-Strategie 2006), S. 70. 2.4 Zusammenführung von Chancen- und Risikoanalyse im IT-Portfolio Chancenanalyse Risikoanalyse □ Potenzial zur Senkung der Prozesskosten □ Potenzial zur Senkung der IT-Kosten □ Potenzial zur Stärkung des Umsatzes bei den bestehenden Kundenbeziehungen □ Potenzial zur Ausweitung des Umsatzes durch neue Kundenbeziehungen □ Portfolio-Risiken □ Projektrisiken □ Betriebsrisiken □ Outsourcing-Risiken Höchste Attraktivität der IT Höchste strategische Relevanz der IT IT als Infrastrukturtechnologie IT doesn’t matter Risiken Chancen hoch hoch gering gering Umstrukturierung Strategischer Modus Supportmodus Fabrikmodus Abb. 2‑9 : Ableitung des Chancen‑/Risiko‑Portfolios Vahlen – Competence Reihe – Kesten/Müller/Schröder – IT-Controlling, 2. Auflage – Herstellung: Frau Deuringer Status: Druckdaten Stand: 30.11.2012 Seite 26

Chapter Preview

References

Zusammenfassung

Instrumente zur Messung und Steuerung des Wertbeitrages der IT

Zum Buch

IT-Investitionen entscheiden heute maßgeblich über die Wettbewerbsfähigkeit und den Erfolg eines Unternehmens. Sie stehen deshalb zurecht im Fokus des Managements. Die hohe Änderungsdynamik von IT-Ressourcen sowie steigender Kostendruck führen jedoch dazu, dass IT-Manager den Wertbeitrag und Nutzen der IT gerade vor dem Hintergrund reduzierter Budgets darstellen müssen. In kompakter Form und mit zahlreichen Fallbeispielen stellt dieses praxisorientierte Buch Führungskräften aus den Bereichen IT-Controlling und IT-Management in Unternehmen aller Branchen die Methoden vor, die für die Planung, Steuerung und Kontrolle des IT-Bereichs notwendig sind.

Aus dem Inhalt

• Die strategische Bedeutung der IT im Unternehmen und die Analyse des IT-Reifegrades

• Prozessorientierte Planung von IT-Systemen

• Multiprojektmanagement zur Steuerung des IT-Projektportfolios

• Projektcontrolling und Wirtschaftlichkeit von IT-Projekten

• Performancekontrolle von IT-Projekten

• Kalkulation und Verrechnung von IT-Leistungen

• Controlling im Prozess des IT-Outsourcings

• Performance Measurement der IT

Die Autoren

Dr. Ralf Kesten ist Professor für Rechnungswesen und Corporate Finance an der Nordakademie - Hochschule der Wirtschaft in Elmshorn, an der auch Prof. Dr. Arno Müller die Fachgebiete Prozessmanagement und e-Business sowie Prof. Dr. Hinrich Schröder die Fachgebiete IT-Controlling und Informationsmanagement lehren.