Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

30.03.2001 - 

Trends im ERP-Markt/Gefahren bei IT-Einführungsprojekten bewältigen

Frühwarnsystem Risiko-Management

Die Abhängigkeit der Unternehmer von der DV wird stärker. Gleichermaßen nehmen die operativenGefahren zu, die sich aus der komplexen Informationstechnologie ergeben. Höchste Zeit also, ein Risiko-Management-System einzuführen, das nicht nur bei der Bewältigung bestehender Risiken hilft, sondern gefährliche Entwicklungen vorauszusehen und zu vermeiden in der Lage ist. Von Markus Gaulke*

Seit dem 1. Mai 1998 sind Aktiengesellschaften durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) aufgefordert, ein Überwachungssystem einzurichten, um "den Fortbestand der Gesellschaft gefährdende Entwicklungen" frühzeitig zu erkennen. Damit hält der Gesetzgeber Unternehmen erstmals explizit dazu an, alle Gefährdungen systematisch zu erfassen und erkannte Bedrohungen zu bewältigen. Mit diesem Regelwerk will er vor allem die Bedeutung eines soliden Risiko-Managements bewusst machen und Anreize zur Entwicklung von internen Risiko-Management-Systemen liefern.

Unter den operativen Gefährdungen, also den Risiken, die der reine Betrieb der Firma mit sich bringt, nehmen die technologischen eine exponierte Stellung ein, da die Abhängigkeit von der elektronischen Datenverarbeitung immer weiter zunimmt. Internet-Unternehmen sind bereits heute vollständig der Verfügbarkeit und Funktionsfähigkeit ihrer Datenverarbeitung ausgeliefert.

Sechs RisikokategorienUm IT-Schwierigkeiten zu bewältigen, muss eine differenzierte Betrachtung vorgenommen werden. Der hier gewählte Ansatz unterscheidet sechs Risikokategorien: Verlässlichkeit, Abhängigkeit, Management, Änderungen, Business-Fokus sowie Know-how und Ressourcen. Jede Kategorie gliedert sich wiederum in einzelne Bereiche. So berücksichtigt die Kategorie Änderungen neben dem Projekt-Management auch das Change-Management bei der Einführung neuer Technologien oder bei der Implementierung neuer Prozesse.

Das Projekt-Management wird von Risiko-Managern oftmals sträflich vernachlässigt, obwohl die Abwicklung von Projektaufgaben stets eine erhebliche Brisanz aufweisen. Ein fehlgeschlagenes IT-Einführungsprojekt kann dazu führen, dass Unternehmen ihre Geschäftsstrategie nicht erfolgreich umsetzen und in der Folge ihre Geschäftsziele nicht oder nur teilweise erreichen.

Allein US-Unternehmen investieren jedes Jahr die unvorstellbare Summe von 250 Milliarden Dollar in IT-Projekte. Der technologische Wandel und der zunehmende Wettbewerb erfordern es, permanent Änderungen an den bestehenden IT- und Kommunikations-Systemen vorzunehmen.

Gefährdungen sichtbar machenDie Bedeutung dieses Teilgebiets unterstreicht auch die erstaunlich hohe Zahl von Projekten, die scheitern oder erhebliche Zeit- und Budgetüberschreitungen aufweisen. Eine KPMG-Studie zu diesem Thema ergab, dass 45 Prozent der betrachteten IT-Projekte scheiterten, da sie nicht den geplanten Nutzen erbrachten. Zusätzlich haben 87 Prozent der untersuchten Projekte den Zeitrahmen um mehr als 30 Prozent und 56 Prozent das geplante Budget in der gleichen Größenordnung überschritten.

Um die Krisen eines Projektes frühzeitig zu erkennen und zu bekämpfen, sollte schon bei Projekt-Initiierung ein Risiko-Management eingerichtet werden. Dieser Prozess kann in folgende vier Phasen gegliedert werden:

- Identifikation der Projektrisiken

- Bewertung der Projektrisiken

- Definition und Umsetzung von Maßnahmen

- Laufende Verfolgung der Projektrisiken

Herzstück sind dabei die systematische Sichtbarmachung der inhärenten Gefährdungen und die Beurteilung der vorhandenen Projektkontrollen. Die Bedrohungen für ein Projekt müssen nicht akut sein, sollten jedoch dokumentiert und im Verlauf kontinuierlich überwacht werden.

Eine RisikochecklisteInhärente Gefährdungen sind solche, die in einem Prozess grundsätzlich existieren, das heißt bevor Kontrollen eingerichtet worden sind. Diese hängen unter anderem von der Art des Geschäftes, des Industriezweiges und der eingesetzten Technologie ab. Ihre systematische Identifikation sollte auf einem Katalog basieren, der die Erfahrungen aus vielen Projekten zusammenfasst.

Ein Beispiel für einen solchen Katalog ist eine Risikocheckliste, in der KPMG die vorhandene Projekterfahrung weltweit zusammengetragen hat. Neben möglichen Schwierigkeiten beim Projekt-Management werden dort die inhärenten Risiken in den kritischen Bereichen Business-Fokus, Geschäftsprozesse, Mitarbeiter, Technologie und Daten analysiert. Diese werden beim Project Risk Review im Rahmen des Business-Fokus zum Beispiel anhand folgender Leitfragen analysiert: Ist die Fachabteilung ausreichend involviert? Können Veränderungen in der Unternehmensorganisation zu einer Änderung des Umfangs führen? Haben Marktveränderungen Modifikationen zur Folge? Gibt es andere spezifische Problembereiche (zum Beispiel Allianzen, Übernahmen, vertragliche Verpflichtungen), die dem Erfolg und der beabsichtigten Geschäftsstrategie entgegenstehen?

Dabei wird jeder Fragenbereich durch Unteraspekte und Beispiele weiter erläutert. Für jede Leitfrage wird am Ende das Risiko auf einer Skala (hoch, mittel, niedrig) bewertet. Genauere Messgrößen wären zwar wünschenswert, allerdings verfügen die Unternehmen in der Regel über keine historischen Daten zu diesen weitgehend internen Gefahren. Um trotzdem eine einheitliche Einschätzung zu gewährleisten, werden für die einzelnen Aspekte jeweils Beispiele aufgeführt. Ziel der Analyse ist, für jeden Projektbereich ein Gesamtgefährdungspotenzial zu ermitteln, das in der folgenden Phase bewertet wird.

Unabhängige KontrolleureFür die Bewertung müssen die Kontrollen in den definierten kritischen Projektbereichen aufgenommen und deren Effektivität beurteilt werden. Durch die Gegenüberstellung von bewerteten Risiken und existierenden Kontrollen kann das vorhandene Projektrisiko somit für jeden der sechs oben genannten Risikokategorien ermittelt werden. Eine Einschätzung auf dieser Ebene erlaubt eine fokussierte Definition und Umsetzung von Maßnahmen.

Auf Basis der ermittelten Projektgefahren können in dieser Phase des Prozesses gezielt Maßnahmen zur Minimierung möglicher Probleme festgelegt werden. Hilfreich bei der Priorisierung ist die Bildung eines Risikofaktors, der ein Produkt aus einem Maßstab (zum Beispiel 1 = gering bis 5 = sehr hoch) für die Eintrittswahrscheinlichkeit und einen für die Auswirkung beziehungsweise Schadenshöhe darstellt. Dieser sollte gemeinsam mit den Projektverantwortlichen festgelegt werden, um aus wirtschaftlicher Sicht angemessene Maßnahmen treffen zu können.

Die zur Gefährdungsbekämpfung festgelegten Maßnahmen sind in den Projektplan zu integrieren. Eine einmalige Aufnahme der IT-Risiken stellt jedoch kein ausreichendes Management dar. Vielmehr sollten die Beurteilung der Bedrohungen und Kontrollen in regelmäßigen Abständen aktualisiert sowie gegebenenfalls weitere Maßnahmen definiert und umgesetzt werden.

Die Erfahrung zeigt, dass das Risiko-Management nicht unter der alleinigen Kontrolle des Projektleiters stehen darf. Vielmehr sollte dies ein unabhängiges Kontrollgremium übernehmen.

*Markus Gaulke ist Senior Manager im Bereich Information Risk Management der KPMG in Frankfurt

Abb.1: Stufe für Stufe weniger Risiko

Durch verschiedene Maßnahmen lassen sich potenzielle Bedrohungen weitgehend ausschließen - auch wenn ein Restrisiko bleibt. Quelle: KPMG

Abb.2: Qualitätssicherung

Durch kontinuierliche Überprüfung der Gefahren lassen sich Probleme frühzeitig erkennen und vermeiden. Quelle: KPMG