Wie hoch ist das Risiko nicht genutzter Chancen?
Sie kennen die Fragen: "Wie hoch ist der Nutzen einer redundanten Serverlandschaft?", " … eines IT-Service Management Projekts", oder " … einer Regelung für die Klassifikation von Daten?". Sie zielen alle auf den wirtschaftlichen Nutzen ab, der einer Investition oder einem monetären Aufwand des Unternehmens gegenübergestellt werden muss. Um die Frage beantworten zu können, sind Kosten und Nutzen im Sinne einer betriebswirtschaftlichen Investitionsrechnung über die Nutzungsdauer der Maßnahme zu analysieren.
Übersteigt der Gesamtnutzen die zu investierenden Geldmengen, so trägt die geplante Maßnahme zu einer Steigerung des Wertbeitrages für das Unternehmen bei. Überragen die Kosten den resultierenden Nutzen, so ist aus rein monetärer Sicht kein Wertbeitragszuwachs zu erwarten.Dennoch ist Vorsicht bei einer rein monetären Bewertung geboten. Beispielsweise kann ein Imageverlust zu enormen indirekten Schäden führen.
Erst eine gründliche Kosten-Nutzen (Cost-Benefit) Analyse liefert nachvollziehbare Entscheidungsgrundlagen. CRISAM® RV liefert mit dem neuen Cost-Benefit-Analyzer Modul (CBA) ein adäquates Werkzeug, um Risiken aus dem Einsatz der IT im Unternehmen monetär transparent zu machen.
Folgende Vorgehensweise wird beim Einsatz des CRISAM® RV CBA angewandt:
Schritt 1: Aus dem Geltungsbereich wird im Interview mit den Prozess- bzw. Bereichsverantwortlichen der maximal mögliche Schaden (Maximum Forseeable Loss - MFL), der durch IT-Einwirkung entstehen kann, bewertet. Dieser stellt jenen Wert dar, der mit hoher Sicherheit nicht überschritten wird.
Schritt 2: Aus der CRISAM® Ratingkennzahl wird die Häufigkeit möglicher IT-Fehlfunktionen ermittelt.
Schritt 3: Durch die integrierte statistische Simulation (Monte Carlo Simulation) wird der erwartete Schaden (Most Likely) sowie der Best- und Worst Case errechnet und über die Prozesshierarchie aggregiert - Ergebnis ist das erwartete sowie Best- und Worst Case IT-Risiko auf Unternehmensebene.
Schritt 4: Aus der Maßnahmenplanung werden erforderliche Investitionen und Aufwendungen, um auf das gewünschte Zielrating zu kommen, aus monetärer Sicht bewertet sowie deren Betriebskosten, eventuell auch Finanzierungskosten, berücksichtigt - sie repräsentieren den Faktor "Kosten".
Schritt 5: Schritt 3 wird für das Zielszenario wiederholt und der reduzierte Risikowert ermittelt.Vom aggregierten Risikowert aus Schritt 3 werden der verbleibende Restrisikowert und die erforderlichen Aufwendungen aus Schritt 4 abgezogen, sodass der Nettonutzwert als Ergebnis verbleibt. Das Risiko, die Chance nicht auf den Zielwert zu reduzieren, kann mit dem Ergebnis aus Schritt 5, dem Nutzwert, beziffert werden.
In analoger Form können mehrere Alternativszenarien durch Wiederholen von Schritt 4 und 5 bewertet werden.Daraus kann sich durchaus auch ergeben, dass der Nutzwert einer Risikoreduktion auf "BBB" (wesentlich) höher ausgewiesen wird.
Eine kleine Case-Study soll diese Vorgehensweise noch verdeutlichen:
Eine Auswertung der IST-Situation mehrerer IT-Services, zwischen „B“ und „BBB“ geratet, verursachen im Unternehmen einen erwarteten (Most Likely) Schaden von € 380.000,-. Durch die CRISAM® GAP-Analyse wurden Maßnahmen identifiziert, welche Implementierungskosten von etwa € 700.000,- verursachen, eine erwartete Lebensdauer von 5 Jahren besitzen und jährliche Aufwendungen für Lizenzen und Betrieb von etwa € 20.000,- verursachen. Werden alle Maßnahmen umgesetzt, so erhöht sich das Rating auf „BBB“ und die Risikokosten reduzieren sich dabei auf etwa € 90.000,-.
Aus einer Total Cost of Ownership (TCO) Betrachtung kostet die Maßnahmenimplementierung, inklusive deren Betriebskosten auf 5 Jahre und 10%iger Finanzierungskosten, etwa Mio. € 1,26. Die Risikoreduktion im betrachteten Zeitraum, ebenfalls mit 10%igen Finanzierungskosten betrachtet, beträgt hingegen Mio. € 2,41. Der aus der Zuverlässigkeitsverbesserung der IT resultierende Nutzen beträgt über die Betriebszeit der Maßnahmen daher etwa Mio. € 1,15.
Dieses Beispiel zeigt, dass das Risiko, den Nutzen nicht zu lukrieren, ein ebenso bedeutendes und hohes Finanzrisiko darstellt wie das letztendlich betrachtete IT-Risiko!
Iht Nutzen: Mit dem CRISAM® Cost Benefit Analyzer kann der Nutzen der geplanten Maßnahmen dargestellt werden. Kernelemente sind die Risikosimulation, die Darstellung der Simulationsdaten als Bericht und die Integration in die CRISAM® Explorer Oberfläche.
