Wenn jeder Prozess „kritisch“ ist, ist keiner mehr kritisch.

In vielen Governance-Dokumenten taucht die gleiche Beobachtung auf: Nahezu jeder Prozess, jede Anwendung, jedes Datensystem wird als „kritisch" oder „hoch" eingestuft. Die Folgen wirken auf den ersten Blick wie Sorgfalt. Tatsächlich sind sie das Gegenteil.

Wenn alles kritisch ist, kann nichts mehr priorisiert werden. Wenn jede Anwendung als „hochverfügbar" geführt wird, muss jede Anwendung dieselbe Behandlung erhalten – obwohl die Geschäftsauswirkung eines Ausfalls bei zwei Stunden Lohnbuchhaltung eine andere ist als bei zwei Stunden Produktionssteuerung. Die Konsequenz: gleichmäßige Schutzbemühungen über ungleichmäßige Risiken. Das ist teuer, langsam und untergräbt die Glaubwürdigkeit der Einstufung.

Eine brauchbare Risikoklassifizierung muss differenzieren. Ein einfacher Pragma-Test: Wenn weniger als 80 % der Bestandteile als „mittel" oder niedriger eingestuft sind, ist die Klassifizierung wahrscheinlich nicht trennscharf. Eine andere Heuristik: Welche zwei oder drei Systeme würden im Ausfall einen messbaren Umsatzeffekt erzeugen? Diese sind kritisch. Der Rest meistens nicht.

Risikobasierung ist nicht das Gegenteil von Sorgfalt. Sie ist die Form, in der Sorgfalt im Mittelstand überhaupt finanzierbar ist. Wer differenziert, kann an wenigen Stellen wirklich kontrollieren – statt überall ein bisschen.

#Risikomanagement #ITGovernance #Mittelstand #Priorisierung

ITGovernance Mittelstand Priorisierung Risikomanagement

Wenn jeder Prozess „kritisch“ ist, ist keiner mehr kritisch.

Wenn jeder Prozess „kritisch“ ist, ist keiner mehr kritisch.

Recent Posts

Categories