Eine zentrale Frage, die jede IT-Leitung beschäftigt, lautet: Sind die uns betreffenden IT-Risiken bekannt und werden sie rigoros gemanagt?
Diese Frage hat in der Regel auch erhöhte Aufmerksamkeit im Top-Management und dient nicht selten zur Bewertung der Aufgabenerfüllung der gesamten IT-Abteilung. Gerade dann, wenn eine Gefährdung tatsächlich eingetreten ist und die Folgen spürbar waren.
Aber wie können IT-Risiken nachhaltig identifiziert und behandelt werden?
Gerade in kleinen und mittelständischen Unternehmen stellt diese Aufgabe viele IT-Abteilungen vor große Herausforderungen. Natürlich werden auch schon heute IT-Risiken behandelt. Zumeist intuitiv und häufig auch auf einem guten Niveau. Die Risiken und Maßnahmen fußen dabei in der Regel auf den eigenen Erfahrungen der IT-Mitarbeiter oder aus deren allgemeinen Experten-Wissensschatz. Mit einem nachhaltigen Risikomanagement hat das jedoch nichts zu tun.
Ziel, auch und gerade für KMU (kleine und mittlere Unternehmen) ist es, eine wiederholbare und nachhaltige Methodik zu verwenden, um Gefährdungen zu identifizieren, die dadurch entstehenden Risiken wiederkehrend zu bewerten und diese entsprechend zu behandeln. Solch eine Methodik würde das subjektive Bauchgefühl „Wir handeln hier nach bestem Wissen und Gewissen“, oder wie die Kölner sagen „et hätt noch immer jot jejange“ durch eine objektive Bewertung von Risiken ersetzen. Außerdem dient die begleitende Dokumentation der Risiken als Nachweis gegenüber Anforderungen von Wirtschaftsprüfern, dem Gesetzgeber oder weiteren Compliance-Anforderungen anderer Parteien.
"Angemessen" – das wichtige Wort für KMU
In kleinen und mittelständischen Organisationen ist unserer Erfahrung nach ein Adjektiv besonders wichtig: „angemessen“.
Genau wie die Maßnahmen, die zur Risiko-Minderung getroffen werden, muss bereits der Vorgang der Risikoanalyse und Behandlung „angemessen“ sein. Sprich, der Aufwand an Zeit und zu erlernender Methodenkompetenz muss sich in sehr engen Grenzen halten. Leider liegt genau hier „der Hund begraben“.
Die gängigen Rahmenwerke, die ein Risikomanagement beschreiben, sind sehr detailliert und in der Anwendung augenscheinlich komplex. Das persönliche Fazit des Autors fällt so aus: Sehr gut, aber nicht „angemessen“ für den Mittelstand.
Der Workshop für Risikoanalysen
Aus diesem Grund haben wir in der SIEVERS-GROUP ein eigenes Vorgehensmodell für Risikoanalysen entwickelt, welches insbesondere den Anforderungen von mittelständischen Unternehmen gerecht wird. Wir haben das Rad nicht neu erfunden, sondern lediglich verschiedene Methodiken zusammenführt, rigoros auf das Wesentliche reduziert und unseren 30-jährigen Erfahrungsschatz als Dienstleister mittelständischer Unternehmen einfließen lassen. Das Ergebnis ist ein Workshop, der praktisch, ergebnisorientiert, umsetzbar und vor allem eins ist: angemessen!