Um das Unternehmensgeschäft zu unterstützen und technisch ausgereifte Wirtschaftskriminalität zu unterbinden, befasst sich der CIO tagtäglich mit Problemen aus den Bereichen Governance, Risiko-Management und Compliance. Künftig muss er also nicht nur IT-spezifische Risikopotenziale analysieren und managen, sondern auch darauf ausgerichtete Leitlinien in allen Unternehmensbereichen implementieren. So sieht es das CIO-Modell der Zukunft vor, das die Management-Beratung Deloitte in ihrer Studie "Risk Intelligent CIO" identifiziert hat.

Das Anforderungsprofil

Die Informationstechnik kennt eine ganze Reihe von Risiken. Die Aufgabe, sie im Auge zu behalten, kann einem speziell qualifizierten IT-Risiko-Manager übertragen werden. Dessen Tätigkeiten umfassen im Wesentlichen vier Phasen:

1. eine Statusanalyse des IT-Risikoprofils erstellen,

2. Prioritäten setzen,

3. Maßnahmen planen und

4. diese Maßnahmen umsetzen.

Die spezifischen IT-Risiken sind keineswegs isoliert, sondern immer im Zusammenhang mit dem gesamten Unternehmen zu betrachten. Dazu benötigt der IT-Risiko-Manager besondere Kompetenzen:

• Er muss sämtliche Risikoszenarien, insbesondere mögliche Folgen für das Unternehmen, verstehen und ordnen können.

• Zudem sollte er in der Lage sein, Risiken zu kategorisieren und ihnen wirkungsvoll zu begegnen.

• Und - ganz wichtig! - er versteht es, Leitlinien und Maßgaben des IT-Risiko-Managements auf allen Unternehmensebenen zu implementieren, so dass sie integraler Bestandteil der Unternehmenskultur werden.

Dafür braucht der Risiko-Manager einen direkten Zugang zur Unternehmensleitung. Schließlich bildet seine Arbeit die Basis für Grundsatzentscheidungen des Topmanagements. In diesem Zusammenhang ist es auch wichtig, dass die Unternehmensleitung ihr Technikverständnis erweitert. Sie sollte in der Lage sein, Wesen und Tragweite von IT-spezifischen Risiken sowie deren Einfluss auf strategische Entscheidungen zu erfassen.