Die Befragung zum Thema IT-Risikomanagement ergibt, dass die Vielzahl der Unternehmen, die Risikoanalysen durchführen, dies nur punktuell tun (62%). Nur bei 40% der Unternehmen handelt es sich um regelmäßige Risikoanalysen.

Nur ein Drittel aller Unternehmen betreibt Risiko-Analysen unter Einbezug der Business-Bereiche (fachliche Prozesse und Schnittstellen).

Bei der Interpretation einer solchen Befragung ist natürlich mit einzukalkulieren, dass die Interpretationen dazu, was man unter einer IT-Risikoanalyse versteht weit auseinandergehen werden.

Es ist davon auszugehen, dass selbst bei den regelmässigen Analysen nicht um ganzheitliche und systematische IT-Risikoanalysen über alle IT-Bereiche handelt. Gleiches dürfte auch auf die 33% der Risikoanalysen mit Businessbezug zutreffen.

Aufgrund der Praxiserfahrung, insbesondere in grossen Unternehmen, kann abgeleitet werden, dass es nur wenige Unternehmen gibt, die ihre kritischen Anwendungen wirklich kennen und wissen, welche Anwendungen und Systeme welche wie kritischen Geschäftsprozesse stützen.

Wenn man diese Qualität mit einbezieht, dann dürften sich die 33% noch ein ganzes Stück nach unten korrigieren.