Risikomanagement und Frühwarnsystem bei IT-Projekten

• IIR-Arbeitskreis „IT-Revision“

Projektrisiken sollten durch eine differenzierte, analytische Betrachtung transparent gemacht werden. Dabei kann die Risikoanalyse systematisiert und werkzeuggestützt erfolgen. Durch systematische, regelmäßige Wiederholung der Risikobewertungen kann ein Frühwarnsystem mit dem Ziel etabliert werden, wesentliche Risiken zeitnah zu erkennen. Gegensteuernde Maßnahmen helfen dann, „rote Ampeln“ zu beseitigen oder zu minimieren, um den Projekterfolg „on time“ und „on budget“ zu gewährleisten. Wie wichtig es ist, Risiken bei IT-Projekten rechtzeitig zu erkennen und zu beheben, wird oftmals erst dann erkannt, wenn öffentlich über das Scheitern des Projekts gesprochen wird. Die Revision sollte – mit ihrer Aufgabe, die Ordnungsmäßigkeit und die Sicherheit unternehmensinterner Prozesse zu unterstützen – auf den Einsatz entsprechender Frühwarnsysteme drängen.

Daher haben die Autoren ein Modell als Hilfsmittel zur Ermittlung, Bewertung und Dokumentation von Risiken bei IT-Projekten entwickelt, welches zunächst die Relevanz ausgewählter Risikokategorien bezüglich der Phasen eines IT-Entwicklungszyklus in einer Risiko-Analyse-Matrix betrachtet.

Im zweiten Teil des Fachbeitrags werden exemplarisch Risikodetaillierungen ausgewählter Risikokategorien in Tabellenform aufgrund von Annahmen für ein fiktives Unternehmen vorgestellt. Die konkrete Quantifizierung der IT-Risiken hängt dabei sehr stark vom einzelnen Unternehmen ab und kann nicht pauschalisiert werden. Die im Artikel wiedergegebenen Werte sind vor diesem Hintergrund nur als beispielhafte Ausprägungen zu verstehen, die im jeweiligen Einzelfall an die konkrete Situation angepasst werden müssen.

Abschließend werden im dritten Kapitel Anforderungen dargestellt, um ein Risiko-Frühwarnsystem im Unternehmen zu etablieren.

Seiten 166 - 173