Das größte Risiko ist, Risiken nicht zu managen Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


05.08.2009 Edmund E. Lindau

Das größte Risiko ist, Risiken nicht zu managen

Kennzahlen und monetäre Bewertungen sind für Unternehmen von zentraler Bedeutung.

»Gerade in wirtschaftlich herausfordernden Zeiten ist für Unternehmen die Kenntnis aller Unternehmensbelange und Kennzahlen von zentraler Bedeutung. Im Zusammenhang mit der IT stellt sich beispielsweise die Frage nach dem Risiko und den Möglichkeiten, dieses Risiko auf ein adäquates Niveau zu bringen und zu halten.

Gleichzeitig stellt sich jeder CIO die Frage, worin der monetäre Nutzen für das Unternehmen liegt, wenn das IT-Risiko so weit wie möglich minimiert wird«, erklärt Manfred Stallinger, Chef der Calpana Business Consulting. Diese Frage- und Problemstellungen kennt wohl jeder CIO, wobei er ihnen meist ratlos gegenübersteht, da die verwendeten Toolsets zur Risikodarstellung nicht die entsprechenden Antworten bringen.

FAKTEN, FAKTEN, FAKTEN »Was kostet Ihr Risiko aus dem Einsatz der IT im Unternehmen in den nächsten fünf Jahren?« »Worin liegt der monetäre Nutzen, dieses Risiko auf ein adäquates Niveau zu bringen und zu halten?« »Blumig« formulierte Antworten, Aussagen oder Schätzungen, basierend auf einem »IT-Bauchgefühl«, sind in wirtschaftlich angespannten Situationen nicht mehr zeitgemäß. Stattdessen müssen beide Fragen mit einem monetären Wert in Euro, in einer Bandbreite Best-, Worst- und MostLikely Case beantwortet werden. Dazu gilt es, Daten und Fakten zu liefern, sowie verschiedene Maßnahmenimplementierungen, Alternativen und »was wäre wenn«-Szenarien in ihrem monetären Nutzen zu simulieren.

CRISAM UND DIE SCHADENSVERTEILUNG Bisher im Einsatz befindliche Spinnendiagramme bringen jedoch nicht das gewünschte Ergebnis. Sie dienen lediglich dazu, qualitative Bewertungen von Risiken zu visualisieren, ohne ein gesamtheitliches Risiko zu quantifizieren. Manfred Stallinger gibt einen Einblick, was stattdessen notwendig ist: »Risiken monetär zu bewerten, erfordert die Häufigkeit eines Schadens mit der möglichen Schadensauswirkung »zu falten«. Daraus wird die aus der Versicherungswirtschaft bekannte »Schadensverteilung« erzeugt. Der untere und der obere fünf Prozent Grenzwert bestimmen den Best- und WorstCase, sowie den erwarteten Mittelwert als MostLikely Case.«

Die Crisam-Analysesoftware ist in der Lage, die Häufigkeit von IT-Fehlfunktionen aus den im Fehlerbaum ermittelten Ratingkennzahlen abzuleiten. Dazu wird in Crisam, im Rahmen der Business Impact Analyse (Schritt 2: Geltungsbereich), ein maximal durch IT-Einwirkung möglicher monetärer Schaden am unterstützten Geschäftsprozess im Sinne eines »Maximum Forseeable Loss« (MFL) festgestellt. Diesem wird eine statistische Schadensverteilung unterlegt. Durch Simulation beider statistisch verteilten Faktoren wird eine Verlustverteilung mathematisch »gefaltet«. Diese mathematisch-statistische Simulation ist zwingend erforderlich, um zu validen Ergebnissen zu kommen.

FINANCIAL EVALUATION BEI DER MUSTERMANN AG »Beispiele sind immer hilfreich, um Vorgehensweisen zu erklären, oder transparenter zu machen«, sagt Manfred Stallinger und führt als Beispiel die MaxMustermann AG an: In dem Unternehmen werden drei wesentliche Geschäftsprozesse – nämlich Finanz&Controlling, Forschung&Entwicklung und die Produktion – von IT-Services unterstützt. Diese sind E-Mail, SAP, Office und Internet. Aus dem kontinuierlich betriebenen Crisam Risikomanagement Prozess stehen verschiedene Daten und Fakten bereit. Basierend darauf ermittelt die Crisam FV-Lite Extension in Crisam RV eine monetäre Evaluierung des IST-Ergebnisses (siehe Abbildung). Dabei ergeben sich folgende Zahlenwerte: der BestCase zu 38.000 Euro und der WorstCase zu 490.000 Euro. Der zu erwartende Schaden »MostLikely« pro Jahr ergibt sich zu 188.000 Euro.

KOSTENDÄMPFENDE RATINGVERBESSERUNGEN Aus der Crisam RV-GAP-Analyse konnten Maßnahmen identifiziert werden, die das aktuelle IST-Rating auf »BBB« bringen. Diese wurden mit etwa 300.000 Euro Investment und 10.000 Euro jährlichen Folgekosten bewertet. Ein durchgängiges »BBB«-Rating bringt eine Reduktion des erwarteten Risikos auf 38.000 Euro. Im gegenständlichen Beispiel werden in der Amortisationsrechnung sowohl eine 5-Jahresperiode als auch Kapitalkosten von zehn Prozent zugrunde gelegt.

Auf fünf Jahre diskontiert, stehen dem Barwert des Ausgangsrisikos von 1,26 Millionen Euro Restrisikokosten einer »BBB«-IT von 255.000 Euro und diskontierte Invest- und Betriebskosten von 550.000 Euro gegenüber. Der Nettonutzen aus der Risikoreduktion auf »BBB« beträgt somit 455.000 Euro.

Wird eine analoge Rechnung für eine Risikoreduktion auf »A« bei einem zugehörigen Investment von etwa 450.000 Euro und 15.000 Euro jährlichen Folgekosten durchgeführt, reduziert sich der Nettonutzen aufgrund höherer Invest- und Betriebskosten auf etwa 350.000 Euro. Kann diese Reduktion des Restrisikos durch nicht-monetäre Risiken wie Image etc. nicht bestätigt werden, sollten sich der CIO und CFO der MaxMustermann AG auf eine Risikokennzahl von »BBB« festlegen.

Abschließend hält Manfred Stallinger fest: »Das Risiko aufgrund des Verzichts einer Risikoreduktion auf »BBB« liegt in unserer Beispielrechnung bei mehr als 80 Prozent der dazu erforderlichen Investition. Eine Frage, die sich dabei natürlich aufdrängt, lautet: »Kann sich dies, besonders in wirtschaftlich sehr angespannten Zeiten, ein Unternehmen wirklich leisten?«

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.



Hosted by:    Security Monitoring by: