| Was ein IT-Risiko-Manager können mus | |
| Unterstützung für den CIO | |
| Teil der IT-Governance | |
| Standardisierte Management-Ansätze | |
| Empfehlungen für die Praxis | |
| Fazit |
Selbstverständlich muss auch der IT-Risiko-Manager über gutes technisches Verständnis verfügen. Daneben benötigt er eine Vielzahl weiterer Qualitäten, denn er unterstützt den CIO schwerpunktmäßig bei folgenden Aufgaben:
Die Compliance-Kosten senken - durch Entwicklung und Implementierung übergreifender Vorgehensweisen, die alle Anforderungen aus dem Risiko-Management umfassend abdecken;
Das Risiko-Managements effizienter machen - durch Entwicklung und Implementierung automatisierter Kontrollen in Echtzeit;
Risikoerkennung und -vermeidung beziehungsweise den Umgang mit Risiken und Risikofaktoren verbessern;
Die Belastungen in den Geschäftseinheiten reduzieren - durch Risiko-Management-Funktionen und Verringerung von Redundanzen;
Die Qualität von Risiko-Management-relevanten Informationen steigern - durch globale Standardisierung der Risiko-Management-Regeln;
Vermögensrisiken für das Unternehmen weitgehend ausschalten;
umfassende Stakeholder-Berichte liefern, die verdeutlichen, dass alle IT-Risiken regelmäßig überwacht sowie intelligent gemanagt werden;
eine risikobewussten Unternehmenskultur einführen, in deren Rahmen schon im Vorfeld wichtiger Entscheidungen eine Risikobetrachtung vorgenommen wird;
Prozesse zur Dokumentation risikobasierender Entscheidungen entwickeln und implementieren - einschließlich deren Weiterverfolgung;
IT-spezifische Risiko-Anforderungen dokumentatieren, integrieren und pflegen;
Risikobewertungen integrieren und koordinieren.
Daneben sollte der IT-Risiko-Manager eng mit den anderen relevanten Geschäftseinheiten (Entwicklung, Fertigung, Vertrieb, Buchhaltung etc.) zusammenarbeiten. Nur so lassen sich die Herausforderungen einer umfassenden Risikoerkennung und -steuerung bewältigen. In Unternehmen, die ein Risiko-Management-Komitee haben, kann der IT-Risiko-Manager zur Entscheidungsfindung beitragen, indem er rasch die relevanten risikoorientierten Informationen aus den verschiedenen Geschäftseinheiten zur Verfügung stellt.
Während der IT-Risiko-Manager definitionsgemäß die Risiken im technischen Umfeld managt, sollte die zentrale Risiko-Management-Funktion des Unternehmens kontinuierlich den Stand der Dinge mit den Vorgaben abgleichen. Der IT-Risiko-Manager stellt - zusammen mit den anderen CIO-Funktionen - sicher, dass die IT auch für die nicht primär IT-bezogenen Risiken die notwendigen Messungen und Überwachungen unterstützt.
