IT Risk Management muss die ganze Firma erfassen

Wer IT Risk Management als technische Frage allein auffasst, kann sich in einer Vielzahl von Problemen verstricken. Einerseits wird natürlich die Unterstützung durch die Technik gebraucht. Doch andererseits kommt es darauf an, die organisatorischen Fragen richtig zu lösen und die richtigen Menschen an die richtige Stelle zu setzen. Das ist die Grundthese, die in dem Report ‘IT Risk Management’ der Butler Group zum Ausdruck kommt.

Das Thema muss gewissermaßen die ganze Firma erfassen. Die Konsequenzen aus schlechtem Management von Risikomaßnahmen sind nach Ansicht von Report-Autor Rob Hailstone sehr hoch. Alle Maßnahmen des IT Risk Management sollten durch das Topmanagement abgesichert sein. Und sie sollten als Teil einer breiter angelegten Initiative wirken.

Das liegt an der komplexen Natur der IT-Aufgaben und an den Möglichkeiten für externe Anwender und mobile Mitarbeiter, auf die Systeme zuzugreifen. Das macht Rsik Management gleichzeitig dringlicher und komplexer. Daher müsse Risk Management schon früh in das IT-Design einfließen. Und die Risiken müssen über alle Ebenen der Firma hinweg bekannt sein, um richtig eingeschätzt werden zu können.

Das heißt: enges Zusammenwirken von Business und Fachabteilungen, Organisation, Technik und Standardisierungsfragen. Hintergrund der Forderung nach einer unternehmensweiten Aufmerksamkeit für IT Risk Management ist folgender: IT-Fehler haben laut Butler Group ihre Ursache immer in Fehlern auf Seiten der Menschen und der Prozesse.