Fazit
Als Bestandteil eines unternehmensweiten Risiko-Managements ist das IT-Risiko-Management eine Aufgabe der IT. Es muss jedoch von der Firmenleitung in Auftrag gegeben werden und ist in Bezug zu Unternehmenszielen und vereinbarten IT-Leistungen zu setzen. Reines "Bottom-up"-Risiko-Management innerhalb der IT verfehlt leicht das eigentliche Ziel und kann unnötigen Aufwand verursachen.
IT-Risiken entstehen erst dadurch, dass eine bestimmte IT-Leistung in Auftrag gegeben wird. Für die Business-Seite gilt es daher, ihre Erwartungen an die IT-Services klar zu definieren. Die IT-Seite wiederum ist in der Pflicht, im Hinblick auf den Zusammenhang zwischen Kosten und Risiken fundiert zu beraten. (kf)