Aufgaben IT-Governance-Risk-und-Compliance-Management

Unser Soft­ware-Unter­neh­men ent­wi­ckelt eine neue Soft­ware für einen Kun­den.
Auf­tei­lung der Risi­ken in fol­gen­de Kategorien:

1. Pla­nungs­ri­si­ken
2. Anfor­de­rungs­ri­si­ken
3. Tech­ni­sche Risiken
4. Imple­men­tie­rungs­ri­si­ken
5. Per­so­nal­be­zo­ge­ne Risiken
6. Pro­dukt­ri­si­ken

1. Risi­ko-Ana­ly­se

2. Risi­ko­pla­nung

3. Risi­ko-Über­win­dung

4. Risi­ko­über­wa­chung

Es wer­den die Top-Ten Risi­ken bestimmt, wel­che in regel­mä­ßi­gen Sit­zun­gen (in die­sem Bei­spiel 2–3‑mal pro Woche) mit dem Kun­den und/oder den Ent­wick­lern über­prüft / bespro­chen wer­den und die als Gegen­stand die Besei­ti­gung der Risi­ken oder ihre Mini­mie­rung beinhalten.

5. Risi­ko­ana­ly­se nach Anwen­dung der Maßnahmen

Das Bei­spiel: Wir wol­len die Märk­te in Afri­ka, Süd­ame­ri­ka und Aus­tra­li­en ana­ly­sie­ren und rele­van­te Mar­ke­ting­ka­nä­le iden­ti­fi­zie­ren, um mög­lichst effek­ti­ve Mar­ke­ting­maß­nah­men anwen­den zu kön­nen.
In die­sem Bei­spiel wer­den Tools zur Markt­ana­ly­se ver­wen­det. Außer­dem wird Social Media als ein Instru­ment für das Mar­ke­ting genutzt.

Risi­ko­ana­ly­se:

Legen­de:
Wahr­schein­lich­keit: 1–3 / Aus­wir­kung: 1–3.
Risi­ko­am­pel: 1–3 (gering), 4–6 (mit­tel­mä­ßig), 7–9 (hoch)

Risi­ko­pla­nung / Risikosteuerung:

Risi­ko­über­wa­chung:

A) Man kann die Wir­kung von Social Media-Maß­nah­men zum Bei­spiel an Web­sei­ten-Auf­ru­fen erken­nen: Wenn also die Web­sei­te in dem zu über­wa­chen­den Gebiet nach den Maß­nah­men öfter auf­ge­ru­fen wird, dann funk­tio­nie­ren die Maßnahmen.

C) Regel­mä­ßi­ger IST- und SOLL-Ver­gleich mit den Daten­an­for­de­run­gen um fest­zu­stel­len, ob die ein­ge­ge­be­nen Daten mit den gestell­ten Anfor­de­run­gen übereinstimmen.

D) Ver­weis auf A). Immer wenn also ein Anstieg von Web­sei­ten­auf­ru­fen statt­fin­det oder gene­rell Anstieg an Inter­es­sen­ten vor­han­den ist, dann weiß man, dass die Mar­ke­ting­maß­nah­men funktionieren.

Anhand der fik­ti­ven Imple­men­tie­rung eines CRM-Sys­tem wer­den die Kern­auf­ga­ben des Risi­ko­ma­nage­ments exem­pla­risch durch­ge­führt. Die Kern­auf­ga­ben des Risi­ko­ma­nage­ments bestehen aus:

• Risi­ko­ana­ly­se
• Risi­ko­pla­nung und ‑steue­rung
• Risi­ko­über­wa­chung

Risi­ken sind inhä­ren­ter Bestand­teil jedes Pro­jekts. Unter einem Risi­ko wird eine nega­ti­ve Ent­wick­lung ver­stan­den, die das Errei­chen geplan­ter Zie­le gefähr­den kann. Das Risi­ko­ma­nage­ment soll durch einen geord­ne­ten und struk­tu­rier­ten Umgang mit Pro­jekt­ri­si­ken dafür sor­gen, dass ein Risi­ko recht­zei­tig erkannt und sein Ein­tre­ten im güns­tigs­ten Fall ver­hin­dert wird. Eines der Zie­le des  Risi­ko­ma­nage­ments soll­te also dar­in bestehen, die­se Feh­ler­ur­sa­chen mög­lichst früh zu iden­ti­fi­zie­ren und zu besei­ti­gen, um die Über­ar­bei­tungs­kos­ten mög­lichst gering zu hal­ten und damit gleich­zei­tig eine Qua­li­täts­stei­ge­rung zu erzielen.

Risi­ko­ana­ly­se: Die Risi­ken wer­den durch ein gemein­sa­mes Brain­stor­ming des gesam­ten Pro­jekt­teams initi­al iden­ti­fi­ziert. Anschlie­ßend wer­den mit­tels Check­lis­ten, Risi­ko­wahr­schein­lich­keits­ta­bel­len und Erfah­run­gen aus frü­he­ren Pro­jek­ten, die in einer Risi­ko- Daten­bank auf­be­rei­tet vor­lie­gen, die Ergeb­nis­se des Brain­stor­mings ergänzt und kon­kre­ti­siert. Die iden­ti­fi­zier­ten Risi­ken wer­den in der Fol­ge ana­ly­siert, um ihre Ein­tritts­wahr­schein­lich­keit sowie ihre Scha­dens­hö­he im Ein­tritts­fal­le abschät­zen zu kön­nen. Mit die­sen bei­den Daten lässt sich der indi­vi­du­el­le Risi­ko­fak­tor errech­nen und damit das Risi­ko quan­ti­ta­tiv bewerten.

Risi­ko­fak­tor = Ein­tritts­wahr­schein­lich­keit x Schadenshöhe

Je höher der Fak­tor, des­to höher ist die Prio­ri­tät die­ses Risi­kos. Um den Über­blick auch über eine Viel­zahl von iden­ti­fi­zier­ten Risi­ken zu bewah­ren, wer­den die­se in einer Risi­ko­ma­trix visu­ell auf­be­rei­tet, sodass sich die gra­vie­rends­ten Risi­ken auf einen Blick able­sen lassen.

Risi­ko­pla­nung und ‑steue­rung: Nach der Risi­ko­ana­ly­se erfolgt für jedes ein­zel­ne Risi­ko die Fest­le­gung von Stra­te­gien zur Risi­ko­mi­ni­mie­rung sowie von Maß­nah­men, die bei Ein­tre­ten des Risi­kos ergrif­fen wer­den sol­len (Even­tu­al­fall­plä­ne). Für Letz­te­re müs­sen im Pro­jekt­plan auch zeit­li­che und finan­zi­el­le Reser­ven ent­spre­chend der Höhe des Risi­ko­fak­tors ein­ge­plant wer­den. Die Umset­zung der  Stra­te­gien zur Risi­ko­mi­ni­mie­rung und die Pla­nung der Maß­nah­men zur Risi­ko­be­wäl­ti­gung erfolgt durch die jeweils ver­ant­wort­li­chen Pro­jekt­mit­glie­der, Kon­trol­le und Doku­men­ta­ti­on oblie­gen der Pro­jekt­lei­tung. Bei der Umset­zung von prä­ven­ti­ven Maß­nah­men ist zu berück­sich­ti­gen, dass deren Kos­ten auch dann anfal­len, wenn das iden­ti­fi­zier­te Risi­ko nicht ein­tre­ten sollte.

Auf­grund der Anwen­dung von Stra­te­gien zur Risi­ko­mi­ni­mie­rung wer­den die Schä­den beim tat­säch­li­chen Ein­tre­ten des Risi­kos redu­ziert. Daher soll­te eine neue Ein­schät­zung des Risi­kos erfolgen.

Risi­ko­über­wa­chung: Es wer­den sowohl die Ein­tritts­in­di­ka­to­ren der iden­ti­fi­zier­ten Risi­ken, als auch die Wirk­sam­keit der umge­setz­ten Maß­nah­men zur Risi­ko­prä­ven­ti­on bzw. ‑bewäl­ti­gung über­wacht. Falls sich die Ein­tritts­wahr­schein­lich­keit eines Risi­kos ver­än­dern soll­te oder die durch­ge­führ­ten Maß­nah­men nicht erfolg­reich sein soll­ten, müs­sen die­se ange­passt oder ergänzt werden.