IT-Risikomanagement

Das Management von Risiken ist wichtiger Baustein der IT-Governance, um sicherzustellen, dass strategische Geschäftsziele nicht durch IT-Ausfälle gefährdet werden. Angesichts der zunehmenden IT-Bedrohungen, der steigenden Abhängigkeit von der Informationsverarbeitung und der aktuellen Regulierungen (MaRisk, Basel II, Sarbanes-Oxley Act, BilMoG) gewinnt das Thema IT-Risikomanagement weiter an Bedeutung. Wer sich mit dem Thema IT-Risikomanagement auseinandersetzen will, dem bieten eine Vielzahl von Standards und Normen (z.B. BSI-Standard 100-2, ISO/IEC 31000, COSO ERM) Hilfestellung an.

Der Ansatz von COBIT (in der Version 3) über 40 bestehende Standards und Rahmenwerke bei der Entwicklung des Rahmenwerkes zu berücksichtigen, macht die Anwendung von COBIT auch für das Thema IT-Risikomanagement attraktiv. COBIT stellt dem Management und den Geschäftsprozesseignern ein ganzheitliches IT-Governance-Modell zur Verfügung, das auch dabei hilft, die Risiken zu verstehen und zu managen, die mit der Anwendung von Informationstechnologie verbunden sind. Obwohl COBIT in erster Linie einen proaktiven Ansatz verfolgt, in dem bewährte Prozesspraktiken, die sich aus den Informationsanforderungen der Geschäftsprozesse ergeben, angewendet werden, enthält COBIT auch zwei dedizierte Prozesse für das IT-Risikomanagement sowie explizite Anforderungen an das Risikomanagement in kritischen IT-Prozessen. Weitere Elemente von COBIT, wie die Ziele und Metriken oder die Risikotreiber können im Risikomanagementprozess unterstützend eingesetzt werden und beispielsweise als Grundlage für Risikobeurteilungen in Risiko-Workshops dienen.

Das IT Governance Institute hat die besondere Bedeutung des Themas erkannt und in Ergänzung zu COBIT im Jahr 2009 mit Risk IT ein separates Rahmenwerk zum Thema IT-Risikomanagement herausgegeben. Risk IT stellt Unternehmen ein Rahmenwerk bereit, um IT-Risiken zu identifizieren, zu beurteilen und zu managen. Das Risk IT-Rahmenwerk ist eine Ergänzung zu COBIT und enthält folgende, wesentliche Elemente:

Die Inhalte von Risk IT sind seit April 2012 in das Rahmenwerk COBIT 5 sowie seit September 2013 in den Leitfaden COBIT 5 for Risk" eingeflossen. In COBIT 5 werden unter IT-Risiken Unternehmensrisiken (business risk) im Zusammenhang mit der Nutzung der IT verstanden. IT-bezogene Risiken können Bestandteil aller anderen Risiken (wie strategische Risiken, operationelle Risiken, Compliance-Risiken, etc.) sein. Umfassend wird der Einsatz von COBIT 5 für das IT-Risikomanagement in meinem Buch Praxiswissen COBIT dargestellt.