IT-Risikomanagement
Das Management von Risiken ist wichtiger Baustein der IT-Governance, um sicherzustellen, dass strategische Geschäftsziele nicht durch IT-Ausfälle gefährdet werden. Angesichts der zunehmenden IT-Bedrohungen, der steigenden Abhängigkeit von der Informationsverarbeitung und der aktuellen Regulierungen (MaRisk, BAIT, VAIT, KAIT, Basel II, ICT Risk) gewinnt das Thema IT-Risikomanagement weiter an Bedeutung. Wer sich mit dem Thema IT-Risikomanagement auseinandersetzen will, dem bieten eine Vielzahl von Standards und Normen (z.B. BSI-Standard 200-3, ISO/IEC 31000, COSO ERM) Hilfestellung an.
Der Ansatz von COBIT (in der Version 3) über 40 bestehende Standards und Rahmenwerke bei der Entwicklung des Rahmenwerkes zu berücksichtigen, macht die Anwendung von COBIT auch für das Thema IT-Risikomanagement attraktiv. COBIT stellt dem Management und den Geschäftsprozesseignern ein ganzheitliches IT-Governance-Modell zur Verfügung, das auch dabei hilft, die Risiken zu verstehen und zu managen, die mit der Anwendung von Informationstechnologie verbunden sind. Obwohl COBIT in erster Linie einen proaktiven Ansatz verfolgt, in dem bewährte Prozesspraktiken, die sich aus den Informationsanforderungen der Geschäftsprozesse ergeben, angewendet werden, enthält COBIT auch zwei dedizierte Prozesse für das IT-Risikomanagement sowie explizite Anforderungen an das Risikomanagement in kritischen IT-Prozessen. Weitere Elemente von COBIT, wie die Ziele und Metriken oder die Risikotreiber können im Risikomanagementprozess unterstützend eingesetzt werden und beispielsweise als Grundlage für Risikobeurteilungen in Risiko-Workshops dienen.
Das IT Governance Institute hat die besondere Bedeutung des Themas erkannt und in Ergänzung zu COBIT im Jahr 2009 mit Risk IT ein separates Rahmenwerk zum Thema IT-Risikomanagement herausgegeben. Risk IT stellt Unternehmen ein Rahmenwerk bereit, um IT-Risiken zu identifizieren, zu beurteilen und zu managen. Das Risk IT-Rahmenwerk ist eine Ergänzung zu COBIT und enthält folgende, wesentliche Elemente:
- Leitlinien (Risk IT principles),
- Prozessmodell mit Domänen und Prozessen sowie
- Techniken für das IT-Risikomanagement.
Die Inhalte von Risk IT sind seit April 2012 in das Rahmenwerk COBIT 5 sowie seit September 2013 in den Leitfaden „COBIT 5 for Risk" eingeflossen. Dieser Umsetzungsleitfaden wendet bereits das ganzheitliche Konzept der Enabler sowohl auf die für Risiken zuständige Organisationseinheit selbst an, um eine funktionsfähige Risikofunktion in einem Unternehmen aufzubauen und zu erhalten (Risk Function Perspective), als auch auf die eigentlichen Risikomanagementprozesse (Risk Management Perspective).
Im Juni 2020 wurde das Rahmenwerk Risk IT aktualisiert. Es besteht aus dem eigentlichen Rahmenwerk und (Risk IT Framework 2nd Edition) einem dazugehörigen Umsetzungsleitfaden (Risk IT Practitioner Guide). Darin werden grundlegende Risikomanagementprinzipien sowie Risikomanagementprozesse und -techniken konzeptionell und praxisnah dargestellt.
Ende 2021 wurde als Update für "COBIT 5 for Risk" ein COBIT-Leitfaden zum Schwerpunktthema IT-Risikomanagement (Focus Area Guide: Information and Technology Risk) veröffentlicht. Dieser Leitfaden zeigt auf, wie das Rahmenwerk COBIT 2019 für das I&T-Risikomanagement erweitert werden kann. Dabei werden vor allem die COBIT-Komponenten aus dem Kernmodell aus einer IT-Risikoperspektive ergänzt, um auf dieser Basis die IT-Risikofähigkeiten im Unternehmen konzeptionell verankern, umsetzen und steuern zu können.
Das COBIT-Kernmodell selbst adressiert das Thema IT-Risikomanagement aber bereits grundlegend in unterschiedlichen Governance- und Managementzielen. Die beiden wichtigsten Governance- und Managementziele zu diesem Thema sind EDM03 »Risiko-Optimierung ist sichergestellt« und APO12 »Risiko ist gemanagt«. COBIT betrachtet dabei nicht nur die Risiken beim Betrieb von Informationssystemen, sondern auch die Risiken in den Planungs- und Entwicklungsprozessen, die häufig ebenfalls ein erhebliches Risikopotenzial bergen. Vornehmlich zu nennen sind Projektrisiken oder Risiken in der Softwareentwicklung, aber auch strategische Risiken, die mit der Festlegung der IT-Strategie und des Investitionsportfolios begründet werden. In den COBIT-Prozesspraktiken zu diesen Themen werden daher ebenfalls konkrete Anforderungen an das IT-Risikomanagement gestellt.
Umfassend wird der Einsatz von COBIT 2019 für das IT-Risikomanagement in meinem Buch Praxiswissen COBIT dargestellt.