Defizite im Umgang mit IT-Risiken

Prozesssteuerung hinkt der Technologiesteuerung hinterher

Für ein effektives IT-Risikomanagement ist neben Fachwissen eine Investition in die Prozess- und Technologiesteuerung zwingend notwendig. Die Studienergebnisse zeigen, dass die meisten Unternehmen ihre Stärken eher in der Technologiesteuerung sehen als in der Prozesssteuerung. 68 Prozent der Befragten stuften Authentifizierungs-, Autorisierungs- und Zugangs-Management als die effizientesten Module der Prozesssteuerung in ihren Unternehmen ein.

Gleichzeitig zeigen die Ergebnisse des Reports, dass die Mehrzahl der Unternehmen die Identifizierung, Klassifizierung und Verwaltung innerhalb ihrer IT-Infrastruktur noch vernachlässigt - diese Differenzierung ist aber zwingend notwendig, um das IT-Risiko für geschäftsrelevante Prozesse zu minimieren. Nur 38 Prozent der Unternehmen sind der Meinung, dass sie in dem Bereich schon sehr effizient vorgehen.

Unterschiedliche Einschätzung des Risikopotenzials

Einer der Gründe für die schwache Umsetzung einer effektiven IT-Risikostrategie liegt in der unterschiedlichen Einschätzung des Risikopotenzials. So stufen selbst innerhalb der IT-Abteilungen die Mitarbeiter die Risiken unterschiedlich ein.

Als Beispiel: Während acht Prozent der CIOs die Geschäftsprozesse als kritisch für das IT-Risiko ansehen, haben sie bei den IT-Leitern mit 22 Prozent einen viel höheren Stellenwert. Dafür stufen 23 Prozent der CIOs die Konformität mit Richtlinien und Regularien (Compliance) als besonders kritisch ein, aber nur 16 Prozent der IT-Leiter teilen diesen Gedanken.

Diese differenzierte Sichtweise innerhalb der IT-Abteilungen kann sogar einen eigenen Risikofaktor für die übergeordneten Geschäftsprozesse darstellen. Denn im Ergebnis können Steuerungsprozesse nicht gezielt eingesetzt, Ressourcen nicht genutzt und kein effektives IT-Risikomanagement betrieben werden.