TUM-Studie über Risiken im Informationsmanagement: Befragung deutscher IT-Führungskräfte
Implementierungsstand und Herausforderungen des IT-Risk Managements in der deutschen Unternehmenspraxis
Markus Junginger und Prof. Dr. Helmut Krcmar, Lehrstuhl für Wirtschaftsinformatik der Technischen Universität München (TUM), haben in einer jüngst veröffentlichten Studie die praktische Umsetzung des IT-Risk-Managements in deutschen Unternehmen untersucht. Sie zeigen darin, wie Führungskräfte das Informationsmanagement in Zukunft verbessern und auf diese Weise erheblichen finanziellen Schaden von ihren Unternehmen abwenden können.
Beispielsweise belegt eine Studie der Standish Group, dass lediglich 28% der IT-Projekte im vorgegebenen Kosten- und Zeitrahmen beendet werden. Als jüngste Beispiele in diesem Zusammenhang sind das Projekt Toll Collect oder die Entwicklung des Internetportals der Bundesagentur für Arbeit zu nennen. Doch auch im Tagesgeschäft von Unternehmen gibt es erhebliche Behinderungen durch Virenangriffe aus dem Internet. So können schnell Schäden in Millionenhöhe entstehen. Um diesen Schäden entgegen zu wirken, beschäftigt sich das IT-Risk-Management mit der Steuerung und Überwachung solcher Bedrohungen.
Die Wirtschaftsinformatiker des Lehrstuhls Krcmar haben nun untersucht, was deutsche IT-Manager unter dem Begriff "IT-Risk-Management" verstehen und wie sie ihn tatsächlich in der Praxis umsetzen. Die Aufgabe des Risikomanagements und die damit verbundene Risikostrategiebildung ist im Problembewusstsein deutscher IT-Führungskräfte fest verankert. Doch welche Aktivitäten sind unter diesen Begriff zu subsumieren? Oft wird der Begriff mit der Aufgabe der technikorientierten Sicherstellung der IT-Security gleichgesetzt. Mit der Erfüllung des Sicherheitsziels ist aber nur ein wichtiger Teilaspekt der Risikomanagement-Aufgabe abgedeckt.
Junginger und Krcmar fanden heraus, dass die Absicherung von Wirtschaftlichkeits- und Effizienzzielen durch das Risikomanagement stark vernachlässigt wird. Das bedeutet, dass die Potenziale einer umfassenden betriebswirtschaftlichen Risikosteuerung nicht genutzt werden. Die Studie bringt zutage, dass die Bewältigung von Projektrisiken und strategischen Bedrohungen eher selten zum Aufgabenbereich des IT-Risk Managements gezählt werden. Dies ist um so erstaunlicher, weil die befragten Manager diese Risiken durchweg als höhere Gefährdungen einstufen als Sicherheitsbedrohungen.
Die Regelungen des KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich), des deutschen Corporate Governance Kodex und von Basel II stellen neue Anforderungen an den CIO bezüglich der Implementierung eines funktionierenden Risikomanagement-Systems. Die Wissenschaftler der TUM zeigen hier, dass es deutliche Verbesserungspotenziale im Bereich der Risikoberichterstattung gibt. So haben zahlreiche Berichtssysteme Lücken bei der gesetzlich geforderten Risikokommunikation.
Besonderer Handlungsbedarf besteht laut TUM-Studie bei der ökonomischen Bewertung von Risiken und der damit verbundenen Möglichkeit, Chancen und Risiken sinnvoll gegeneinander abzugleichen. In einem wertorientierten Unternehmensmodell muss sich die Aufgabe des IT-Risk Managements daher zukünftig von einem reinen Sicherheitsmanagement hin zu einer betriebswirtschaftlichen Gestaltungs- und Optimierungsfunktion entwickeln.
Die vollständige Studie erhalten Sie als Download unter der WWW-Adresse http://www.winfobase.de.
Weitere Auskünfte erteilt
Prof. Dr. Helmut Krcmar
Lehrstuhl für Wirtschaftsinformatik (I17)
Technische Universität München
Tel (089) 289 - 19532
krcmar@in.tum.de
