Teil der IT-Governance
Der Risiko-Management-Prozess der IT-Abteilung (Identifizierung, Bewertung, Management und Bericht der IT-spezifischen Risiken) sowie die Vorkehrungen zu Informationssicherheit, Datenschutz und Kontinuität der Geschäftsprozesse (Business Continuity) gehören zur IT-Governance eines Unternehmens. Weiter umfasst dieses Gebiet auch die Entwicklung und Implementierung einer globalen Applikation für die Unterstützung des Risiko-Management-Prozesses.
Last, but not least ist darin auch die Beratung des Topmanagements gefordert. Sie zielt darauf ab, die Zusammenhänge des (IT-)Risiko-Managements für alle maßgeblich Beteiligten verständlich darzustellen und eine gemeinsame Sprache für die betroffenen Sachverhalte zu entwickeln. Auf diese Weise ist gewährleistet, dass das Management die Risiken versteht und Dritten, zum Beispiel den Aufsichtsgremien, transparent machen kann. Darauf aufbauend sollte das Management Maßnahmen ergreifen, um die Risikolage in Einklang mit der eigenen Risikoakzeptanz zu bringen. So fällt es leichter, zu entscheiden, welche Risiken mit wie viel Aufwand minimiert oder ausgeschlossen werden sollen.
Ein Auszug aus den IT-Risiken
Software-Lizenz-Management;
Informationssicherheit im Netz zur Absicherung vertraulicher Firmendaten;
Outsourcing und Offshoring von IT-Leistungen;
Nutzung von externen Speichermedien (Gefahr von Datenverlusten oder -manipulationen);
wachsende Verbreitung von Computerviren;
zunehmende Merger-and-Acquistion-Aktivitäten der Unternehmen.
Zwar muss sich der IT-Risiko-Manager auch mit oganisatorischen und gesetztlichen Rahmenbedingungen auskennen, doch seine Kernkompetenzen beziehen sich auf die IT-Risiken. Deren Bewertung fällt ihm leichter, wenn es ein standardisiertes Risiko-Management für sämtliche IT-Einheiten gibt.