In einem kürzlich erschienenen Beitrag haben wir das Thema Risikominderung als Disziplin im IT-Change-Management vorgestellt. Wir haben vorgeschlagen, eine Triade von Dimensionen zur Risikobewertung anzuwenden: die Wahrscheinlichkeit des Auftretens eines Problems, die voraussichtlichen Auswirkungen dieses Problems und die Leichtigkeit der Wiederherstellung, falls das Problem auftritt.
Zusätzlich zu diesen Dimensionen kann das Risikomanagement vorgeschlagene Änderungen nach drei verschiedenen Umfangsebenen betrachten:
- Das Risiko, das mit einem Standard Change verbunden ist, wie DevOps es nennen würde – eine routinemäßige, erwartete Änderung, die idealerweise automatisiert ist, da das Gesamtrisiko sehr gering ist.
- Am anderen Ende des Spektrums steht ein erhebliches, unvorhergesehenes Risiko, das eine Gefahr für den Ruf des Unternehmens oder sogar für dessen Fortbestand darstellt – z. B. der Ausfall eines Rechenzentrums oder das Versagen einer kritischen kundenorientierten Anwendung bzw. die Entdeckung eines kritischen Fehlers darin. Für diese Risiken entwickeln Unternehmen mehrfache Redundanzen, Simulationen, Tabletop-Übungen und andere anspruchsvolle Verfahren für das Risikomanagement und die IT-Kontinuität.
- Mittlere Risiken – Risiken im Zusammenhang mit täglichen operativen Änderungen, die zwar nicht das gesamte Unternehmen gefährden, aber nicht durch Automatisierung beseitigt werden können, da es sich um Einzelfälle oder Fehlerbehebungen handelt oder sie komplex genug sind, um ernsthafte Probleme, Ausfälle, längere Stillstandszeiten und Frustration bei Nutzern/Kunden zu verursachen – Änderungen, die potenziell neue Incidents auslösen.
Risiken in dieser mittleren Kategorie werden häufig ignoriert oder nicht aktiv gesteuert, da sie nicht als geschäftskritisch angesehen werden und es keinen offensichtlichen Weg gibt, sie durch Automatisierung zu eliminieren. IT-Organisationen versäumen es häufig, diese Risiken auf mittlerer Ebene zu mindern – selbst Organisationen, die bei der Bewältigung kritischerer Risiken relativ effektiv sind.
Diese mittleren Risiken machen einen großen Teil dessen aus, womit sich ein Change Manager oder ein CAB täglich befasst. Tatsächlich betrachten Change Manager Standard-Changes, die automatisiert werden können, und geschäftskritische Risiken, die das Unternehmen bedrohen könnten, im Allgemeinen als Ausnahmefälle. Die Änderungen auf mittlerer Ebene – also alles andere, womit sich das CAB befasst – werden als der eigentliche Grund akzeptiert, warum das Unternehmen überhaupt ein Change Management eingeführt hat. Die Risiken sind unübersehbar. Es ist nicht so, dass das CAB ihnen gegenüber gleichgültig wäre; das Team ist vielmehr so sehr mit der Planung und Implementierung der Änderung beschäftigt, dass die Notwendigkeit, Risiken tatsächlich zu bewerten und zu steuern, oft ignoriert wird.
Dies stellt eine erhebliche Verbesserungsmöglichkeit dar, um zukünftige Incidents zu vermeiden.
Die Verbesserung umfasst die Bewertung dieser Änderungen auf mittlerer Ebene im Hinblick auf die drei Dimensionen und die Sichtbarmachung der tatsächlichen Risiken durch klare Problembeschreibungen und die zugrunde liegenden Ursachen als Basis für die Identifizierung und Auswahl von Minderungsmaßnahmen, sowohl auf der Ursachen- als auch auf der Wirkungsebene. Schließlich wird die Analyse in einen Aktionsplan mit klarer Verantwortlichkeit umgewandelt.
Wir können diese „Praxis“ im Rahmen unserer Bemühungen zur kontinuierlichen Serviceverbesserung weiter ausbauen, indem wir das, was wir „Thinking Beyond the Fix“ nennen, auf unsere Problem-Management-Bemühungen anwenden. Dabei erweitern wir unsere RCAs, um nach anderen Bereichen zu suchen, in denen unser Fix angewendet werden könnte, betrachten aber auch das Risiko, das unsere Fixes darstellen, da ein Fix nichts anderes als eine weitere Änderung ist.
Einer unserer Kunden aus dem Finanzdienstleistungssektor schätzte kürzlich, dass diese Disziplin es ihm ermöglicht hat, das Auftreten von über 10.000 Problemen zu verhindern.
Fazit: Risikominderung ist keine Kunst, sondern in erster Linie eine operative Disziplin.
KT bietet einen eintägigen Workshop zur Risikominderung für IT-Organisationen an, der eine nützliche, grundlegende Disziplin vermittelt, um eine Basis-Risikominderung in Ihrem Unternehmen zu etablieren.
