Risiko-Management in komplexen IT-Projekten

Nur so lohnen sich IT-Investitionen

| Autor / Redakteur: André Wiedenhofer* / Ulrike Ostler

Verteidigungslinien im Risiko-Management - Drei Verteidigungslinien verhindern das Scheitern von Projekten, in dem sie eine schnelle und effiziente Reaktion auf Risiken und eingetretene Probleme ermöglichen.
Verteidigungslinien im Risiko-Management - Drei Verteidigungslinien verhindern das Scheitern von Projekten, in dem sie eine schnelle und effiziente Reaktion auf Risiken und eingetretene Probleme ermöglichen. (Bild: EY)

Gerade der dritte Punkt etabliert eine ständige Präsenz des Risikomanagements bei strategisch wichtigen Projekten. Durch die objektive Betrachtung können fundierte Entscheidungen zum frühestmöglichen Zeitpunkt getroffen werden. So werden eine bessere Programm-Performance und das Erreichen des erwarteten Nutzens ermöglicht. Es hat sich darüber hinaus bei vielen Kundenprojekten bewährt, drei „Verteidigungslinien“ gegen mögliche Gefahren zu errichten. So können die Auswirkungen der erkannten Risiken reduziert werden (siehe: Abbildung).

Verteidigungslinie 1:

Diese Linie ist die Entscheidende für das Risiko-Management in strategischen Programmen. Sie setzt sich zusammen aus verschiedenen Gruppen:

Auf Unternehmensebene gehören ihr die Geschäftsführung und das obere Management sowie der Portfolio-Risiko-Ausschuss an. Hier wird auf übergeordneter Ebene über die allgemeine Strategie und Ausrichtung entschieden. Auch ist hier das Sponsorship für strategische IT-Projekte aufgehängt. Im Rahmen des Risikomanagements ist das Executive Leadership Team in der ersten Verteidigungslinie zuständig für die Absegnung von Umfang, Ziel, Vorgehen und Budget des strategischen IT-Projektes.

Auf der Programmebene ist neben dem PMO auch die technische Programmleitung und der Lenkungsausschuss angesiedelt. Diese prüfen, ob das Programm effektiv umgesetzt ist und dabei stets die technischen Vorgaben und Anforderungen der Anwender beachtet werden.

Auf Projektebene sind die einzelnen Arbeitsgruppen, die das Programm und einzelne Workstreams umsetzen und dabei immer mögliche Risiken im Auge behalten, Teil der ersten Verteidigungslinie.

Verteidigungslinie 2:

Die zweite Verteidigungslinie ist das unabhängige IT-Projektrisiko-Management (PRM). Dies kann sich aus einer unabhängigen (zumeist externen) Partei oder eine Kombination aus internen Mitarbeitern und externen Dienstleistern zusammensetzen.

Das PRM ist verantwortlich für die unabhängige Überwachung der Risiken im Programm. Identifizierte Risiken werden mit den Projektbeteiligten diskutiert und effektive Gegenmaßnahmen entwickelt.

Aus einer externen Perspektive können Gegenmaßnahmen erarbeitet werden, die sich bei ähnlichen Programmen und Herausforderungen bewährt haben.

Verteidigungslinie 3:

Die dritte Verteidigungslinie umfasst die für die Auditierungen zuständigen Funktionen im Unternehmen. Der Auditierungsausschuss unterstützt das Management Board bei der Überprüfung der Effektivität des Risiko-Managements im Projekt und von etablierten Risiko-Kontrollen in den entscheidenden Geschäftsprozessen. Die interne Audit-Funktion unterstützt den Auditierungsausschuss dabei.

Durch die Unterstützung vertrauenswürdiger, unabhängiger Dritter können diese Rollen umfassend unterstützt werden. Die externe Perspektive sowie mögliche bewährte Handlungsempfehlungen können so eingebracht werden.

Inhalt des Artikels:

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43886460 / Services)