Dies ist der erste von zwei Beiträgen zum Thema Risikominderung.
Der Change-Management-Prozess in IT-Organisationen verfolgt zwei Hauptziele: die Wirksamkeit der Implementierung von Änderungen zu maximieren und das Risiko für das Unternehmen zu steuern. IT-Organisationen haben sich im Allgemeinen an einen dokumentierten Change-Prozess gehalten und sich dabei meist auf die Prozess-Compliance konzentriert, anstatt konsequent darüber nachzudenken, Risiken dort, wo sie erforderlich sind, vorherzusehen und zu mindern.
IT-Teams erstellen und setzen diese Prozesse nach Frameworks wie ITIL® durch. Die Governance, die sich aus diesem Ansatz ergibt, hat Organisationen sehr reaktiv gemacht. Traditionelle Prozesse sind für das heutige Maß an Veränderung und Innovation zu langsam.
Das war in Ordnung, als die Geschwindigkeit des Wandels noch geringer war. Ein Change Advisory Board (CAB) konnte sich einmal pro Woche oder sogar einmal im Monat treffen und diese Änderungen in den Griff bekommen. Aber die Veränderungsrate, sowohl extern (getrieben durch den Wettbewerb) als auch intern (getrieben durch Innovationsmöglichkeiten), hat sich so stark beschleunigt, dass dieser Rhythmus nicht mehr funktioniert.
Infolgedessen werden wichtige Änderungen auf Eis gelegt, weil die IT und das Unternehmen nicht mehr Schritt halten können. Das Management erkennt nun die Bedeutung der Geschäftsrisiken, die diese Änderungen mit sich bringen können. Änderungsanträge bleiben im Überprüfungsprozess stecken, bis die Risiken verstanden sind. Zunehmend verspürt das Unternehmen die Notwendigkeit, diese Änderungen dennoch vorzunehmen, um Wettbewerbsbedrohungen zu begegnen und Chancen zu nutzen, sieht aber seine überlastete IT-Funktion eher als Hindernis denn als Verbündeten. Geschäftsleute beginnen nach Wegen zu suchen, die IT zu umgehen, anstatt mit ihr zusammenzuarbeiten.
Deshalb wird in Zeiten von Agile der traditionelle CAB-Ansatz in Frage gestellt. Neue Management-Philosophien wie DevOps haben beschleunigte Veränderungen und Innovationen gebracht, indem sie die mit jedem neuen Release verbundenen Risiken in viel kleinere Schritte zerlegt haben, indem der Umfang der Releases drastisch reduziert wurde. Dies verringert die Auswirkungen auf das Unternehmen, falls etwas schief geht – was unweigerlich passieren wird.
In diesem neuen Umfeld ist es für IT-Organisationen wichtig, Risiken anhand von drei verschiedenen Dimensionen zu bewerten:
- Die Wahrscheinlichkeit eines Problems, das sich aus einer Änderung ergibt, basierend auf Erfahrungen aus der Vergangenheit;
- Die Auswirkungen auf das Unternehmen – was der „Lean Change Management“-Guru Jason Little als „Explosionsradius“ (Blast Radius) der Änderung bezeichnet – einschließlich finanzieller Auswirkungen, Reputationsrisiken, Sicherheit usw.; und
- Die Wiederherstellbarkeit, falls etwas schief geht – die Leichtigkeit, der Aufwand und die Kosten, die mit dem Rückgängigmachen der Änderung oder einer anderweitigen Anpassung verbunden sind, wenn die Dinge nicht nach Plan verlaufen.
Diese Dimensionen bilden eine Triade, ähnlich der, die in dem bekannten Witz über den Kunden und den Bauunternehmer beschrieben wird. („Sie sagen, Sie wollen hohe Qualität; Sie wollen es billig und Sie wollen es schnell. Okay… wählen Sie zwei.“) Theoretisch kann das Unternehmen ein Problem mit hoher Wahrscheinlichkeit und großen Auswirkungen auf das Geschäft verkraften, solange es sich schnell und einfach davon erholen kann. Oder es ist bereit, die Möglichkeit einer Änderung mit großen Auswirkungen zu akzeptieren, selbst wenn die Wiederherstellung schwierig ist, sofern die Eintrittswahrscheinlichkeit gering ist. Aber das Unternehmen kann keine Änderung riskieren, die in allen drei Dimensionen hoch eingestuft wird.
Es ist hilfreich, das Risikoniveau, das sich aus Änderungen ergibt, anhand dieser Triade grob zu bewerten. Manchmal fallen Änderungen jedoch in größere Kategorien des Umfangs, die auch aus einer Minderungsperspektive nützlich sind. Wir werden diese Kategorisierung in unserem zweiten Beitrag in dieser Serie über Risiken betrachten.
KT bietet einen eintägigen Workshop zur Risikominderung für IT-Organisationen an, der eine nützliche, grundlegende Disziplin vermittelt, um eine Basis-Risikominderung in Ihrem Unternehmen zu etablieren. Erfahren Sie mehr über unser Training zur Risikominderung
