Die Risikomatrix für IT-Einführungen – ohne Ampelroutine.

Eine Risikomatrix wird schnell zum Pflichtdokument, das niemand mehr liest. Drei Spalten, drei Zeilen, eine ehrliche Bewertung – mehr braucht es nicht, damit sie wieder Steuerungswert hat.

Die Achsen: Eintrittswahrscheinlichkeit gering, mittel, hoch. Schadenshöhe gering, mittel, hoch. In die Felder gehören keine Adjektive, sondern konkrete Risiken einer IT-Einführung. Migrationsfehler in Stammdaten. Schnittstellen, die im Produktivbetrieb anders reagieren als im Test. Schlüsselpersonen, die den alten Prozess noch im Kopf haben, das neue System aber nicht bedienen wollen. Lieferanten, deren Roadmap sich nach dem Vertrag verändert. Datenschutzlagen, die erst beim Audit auffallen.

Entscheidend ist, was nach der Einordnung passiert. Felder oben rechts brauchen eine vorab definierte Reaktion – nicht nur einen Verantwortlichen, sondern eine Maßnahme mit Datum. Felder in der Mitte werden kalibriert, nicht ignoriert. Felder unten links werden notiert und nicht weiter bewirtschaftet.

Eine Matrix wirkt nur, wenn sie Entscheidungen erzwingt. Sonst ist sie Dekoration.

#Risikomanagement #ITGovernance #ITAdoption #Mittelstand #ITStrategie