Risiken auch jenseits der IT im Blick
Neben dem eigentlichen Ziel - der strategischen Sicherung des Unternehmens - lassen sich mit einem Risiko-Management in operativen Abteilungen kurz- bis mittelfristig Mehrwerte generieren. Voraussetzung ist jedoch, dass das Risiko-Management nicht nur auf Erfassung, Bewertung und Tracking reiner Finanz- oder IT-Risiken ausgelegt, sondern zudem für die Herausforderungen der Fachabteilungen gewappnet ist.Der Blick in die Praxis zeigt, dass die zu schützenden Werte häufig völlig unterschiedlicher Natur und die Informationen oft nur unstrukturiert verfügbar sind. Reduzieren Unternehmen ihr Risiko-Management einzig auf das Ziel der Erfüllung von Audit-Anforderungen, greifen die Maßnahmen zu kurz. Sowohl die interne Revision als auch externe Auditoren führen in ihren umfangreichen Audits große Daten- und Informationsmengen zusammen. Sie gewinnen so ein realistisches Bild über die aktuelle (IT-)Infrastruktur, Prozesse und Datenflüsse. Nicht selten bringen Audits auch neue Erkenntnisse hervor, die helfen, ungenutzte Ressourcen und Potenziale besser auszuschöpfen. Leider werden diese Potenziale in den seltensten Fällen korrekt analysiert oder nur selten für die Umsetzung möglicher Verbesserungen genutzt. Größtenteils erfolgt lediglich eine Problembeschreibungen in Excel, die als "Findings" in den Audit-Bericht einfließen. Weder eine sinnvolle Nachverfolgung dieser "Findings" noch eine strategisch mehr als sinnvolle Ursachenforschung wird so unterstützt. Die ergriffenen Gegenmaßnahmen beschränken sich oft darauf, die Symptome eines Problems zu bekämpfen, anstatt die Ursachen nachhaltig zu beseitigen. Zudem erschwert diese Vorgehensweise die eigentliche Nachverfolgung der Umsetzung. Es liegt auf der Hand, dass sowohl eine ganzheitliche Betrachtung hinsichtlich der zu ergreifenden Gegenmaßnahmen, als auch eine zentrale Stelle zur Dokumentation und Nachverfolgung der Findings eine bedeutende Rolle spielen. Um eine Nachvollziehbarkeit des Status bereits erkannter Risiken und etab
