Print

IT-Risikomanagement

Das Management von Risiken ist wichtiger Baustein der IT-Governance, um sicherzustellen, dass strategische Geschäftsziele nicht durch IT-Ausfälle gefährdet werden. Angesichts der zunehmenden IT-Bedrohungen, der steigenden Abhängigkeit von der Informationsverarbeitung und der aktuellen Regulierungen (MaRisk, BAIT, VAIT, KAIT, Basel II, ICT Risk) gewinnt das Thema IT-Risikomanagement weiter an Bedeutung. Wer sich mit dem Thema IT-Risikomanagement auseinandersetzen will, dem bieten eine Vielzahl von Standards und Normen (z.B. BSI-Standard 200-3, ISO/IEC 31000, COSO ERM) Hilfestellung an.

Der Ansatz von COBIT (in der Version 3) über 40 bestehende Standards und Rahmenwerke bei der Entwicklung des Rahmenwerkes zu berücksichtigen, macht die Anwendung von COBIT auch für das Thema IT-Risikomanagement attraktiv. COBIT stellt dem Management und den Geschäftsprozesseignern ein ganzheitliches IT-Governance-Modell zur Verfügung, das auch dabei hilft, die Risiken zu verstehen und zu managen, die mit der Anwendung von Informationstechnologie verbunden sind. Obwohl COBIT in erster Linie einen proaktiven Ansatz verfolgt, in dem bewährte Prozesspraktiken, die sich aus den Informationsanforderungen der Geschäftsprozesse ergeben, angewendet werden, enthält COBIT auch zwei dedizierte Prozesse für das IT-Risikomanagement sowie explizite Anforderungen an das Risikomanagement in kritischen IT-Prozessen. Weitere Elemente von COBIT, wie die Ziele und Metriken oder die Risikotreiber können im Risikomanagementprozess unterstützend eingesetzt werden und beispielsweise als Grundlage für Risikobeurteilungen in Risiko-Workshops dienen.

Das IT Governance Institute hat die besondere Bedeutung des Themas erkannt und in Ergänzung zu COBIT im Jahr 2009 mit Risk IT ein separates Rahmenwerk zum Thema IT-Risikomanagement herausgegeben. Risk IT stellt Unternehmen ein Rahmenwerk bereit, um IT-Risiken zu identifizieren, zu beurteilen und zu managen. Das Risk IT-Rahmenwerk ist eine Ergänzung zu COBIT und enthält folgende, wesentliche Elemente:

Die Inhalte von Risk IT sind seit April 2012 in das Rahmenwerk COBIT 5 sowie seit September 2013 in den Leitfaden COBIT 5 for Risk" eingeflossen. Dieser Umsetzungsleitfaden wendet bereits das ganzheitliche Konzept der Enabler sowohl auf die für Risiken zuständige Organisationseinheit selbst an, um eine funktionsfähige Risikofunktion in einem Unternehmen aufzubauen und zu erhalten (Risk Function Perspective), als auch auf die eigentlichen Risikomanagementprozesse (Risk Management Perspective).

Das COBIT-Kernmodell adressiert das Thema IT-Risikomanagement in unterschiedlichen Governance- und Managementzielen. Die beiden wichtigsten Governance- und Managementziele zu diesem Thema sind EDM03 »Risiko-Optimierung ist sichergestellt« und APO12 »Risiko ist gemanagt«. COBIT betrachtet aber nicht nur die Risiken beim Betrieb von Informationssystemen, sondern auch die Risiken in den Planungs- und Entwicklungsprozessen, die häufig ebenfalls ein erhebliches Risikopotenzial bergen. Vornehmlich zu nennen sind Projektrisiken oder Risiken in der Softwareentwicklung, aber auch strategische Risiken, die mit der Festlegung der IT-Strategie und des Investitionsportfolios begründet werden. In den COBIT-Prozesspraktiken zu diesen Themen werden daher ebenfalls konkrete Anforderungen an das IT-Risikomanagement gestellt

Umfassend wird der Einsatz von COBIT 2019 für das IT-Risikomanagement in meinem Buch Praxiswissen COBIT dargestellt.