Ob Autoindustrie, Warenhausketten oder Bauunternehmen - immer wieder stellt der Niedergang populärer Namen unter Beweis, wie schnell nicht rechtzeitig erkannte Bedrohungen ein Unternehmen ruinieren können. Derartige Krisen haben Regierungen veranlasst, Gesetze zur Steuerung und Überwachung von Unternehmensrisiken - also auch IT-Risiken - zu formulieren. Im Rahmen der internationalen Corporate-Governance-Regeln müssen beispielsweise seit Anfang dieses Jahres kapitalmarktorientierte und konsolidierungspflichtige deutsche Unternehmen nach den International Financial Reporting Standards (IFRS) bilanzieren. Deutlich anspruchsvoller sind die Regulierungen des Sarbanes-Oxley Act (siehe Kasten: "Was SOX von Unternehmen verlangt") und die Ende 2006 in Kraft tretenden Richtlinien von Basel II. Mit Ersterem soll das Vertrauen der Anleger in die Rechnungslegung wiederhergestellt werden, Letztere betreffen die Sicherheiten, die Unternehmer Banken für Kredite bieten müssen.
Um es stärker als bisher vom Risiko abhängig zu machen, wie viel Kapital Banken vorhalten müssen, formulierte der Baseler Ausschuss für Bankenaufsicht die Basel-II-Regelungen. Sie teilen die unternehmerischen Risiken in Markt-, Kredit- und operationelle Risiken ein. Bei der dritten Gruppe handelt es sich um die Gefahr von Verlusten, die aus der Unangemessenheit oder dem Versagen von internen Verfahren, Menschen und Systemen oder infolge externer Ereignisse auftreten. Banken und Finanzinstitute sind verpflichtet, sich dagegen systematisch zu schützen. Als Richtlinie dafür gab der Baseler Ausschuss die "Sound Practices of the Management and Supervision of Operational Risk" heraus. Diese fordern als Mindestgrundlage eine definierte Aufbau- und Ablauforganisation mit einer Risikoleitlinie im Verantwortungsbereich der Geschäftsführung und die Prüfung dieser Organisation durch die interne Revision und einen externen Wirtschaftsprüfer.