"Das Erfassen von Risiken ist in den meisten Unternehmen ein integraler Bestandteil jedes IT-Projekts und jeder strategischen Entscheidung, wird aber kaum jemals als solche ausformuliert", weiß Siegfried Raschke, Director of Operations von DNV IT Global Services, einem Geschäftsbereich der norwegischen Stiftung Det Norske Veritas. "Während das IT-Risiko-Management heute in den USA und anderen europäischen Ländern wie Frankreich oder Skandinavien ganz oben auf der Prioritätenliste der CIOs steht, herrscht in Deutschland noch erheblicher Nachholbedarf." Dabei lässt die geltende Rechtslage den Unternehmen wenig Spielraum: Spätestens seit Basel II, Sarbanes-Oxley (SOX) und MiFID (Markets in Financial Instruments Device) muss ein Corporate-Governance-Konzept auch Maßnahmen zur Risikosteuerung einbeziehen.
In modernen Unternehmen werden solche Maßnahmen durch die verschiedenen Management-, Betriebs-, Warn- oder Kommunikationssysteme überhaupt erst möglich. So ist die IT selbst risikobehaftet und zugleich unverzichtbar für die Risikoverhütung. Entsprechend geht das IT-Risiko-Management weit über die Steuerung der IT-Risiken hinaus und erstreckt sich auch auf die Risikosteuerung durch die IT. Hier kommt dem CIO eine tragende Rolle zu: "Die Rolle des CIO ändert sich vom Technik- zum Risiko-Manager des Unternehmens", sagt Raschke. "Um die Risiken zu kontrollieren, muss er die Entwicklungs- und Betriebsprozesse permanent im Auge haben."
