Unterstützung für den CIO
Selbstverständlich muss auch der IT-Risiko-Manager über gutes technisches Verständnis verfügen. Daneben benötigt er eine Vielzahl weiterer Qualitäten, denn er unterstützt den CIO schwerpunktmäßig bei folgenden Aufgaben:
-
Die Compliance-Kosten senken - durch Entwicklung und Implementierung übergreifender Vorgehensweisen, die alle Anforderungen aus dem Risiko-Management umfassend abdecken;
-
Das Risiko-Managements effizienter machen - durch Entwicklung und Implementierung automatisierter Kontrollen in Echtzeit;
-
Risikoerkennung und -vermeidung beziehungsweise den Umgang mit Risiken und Risikofaktoren verbessern;
-
Die Belastungen in den Geschäftseinheiten reduzieren - durch Risiko-Management-Funktionen und Verringerung von Redundanzen;
-
Die Qualität von Risiko-Management-relevanten Informationen steigern - durch globale Standardisierung der Risiko-Management-Regeln;
-
Vermögensrisiken für das Unternehmen weitgehend ausschalten;
-
umfassende Stakeholder-Berichte liefern, die verdeutlichen, dass alle IT-Risiken regelmäßig überwacht sowie intelligent gemanagt werden;
-
eine risikobewussten Unternehmenskultur einführen, in deren Rahmen schon im Vorfeld wichtiger Entscheidungen eine Risikobetrachtung vorgenommen wird;
-
Prozesse zur Dokumentation risikobasierender Entscheidungen entwickeln und implementieren - einschließlich deren Weiterverfolgung;
-
IT-spezifische Risiko-Anforderungen dokumentatieren, integrieren und pflegen;
-
Risikobewertungen integrieren und koordinieren.
Daneben sollte der IT-Risiko-Manager eng mit den anderen relevanten Geschäftseinheiten (Entwicklung, Fertigung, Vertrieb, Buchhaltung etc.) zusammenarbeiten. Nur so lassen sich die Herausforderungen einer umfassenden Risikoerkennung und -steuerung bewältigen. In Unternehmen, die ein Risiko-Management-Komitee haben, kann der IT-Risiko-Manager zur Entscheidungsfindung beitragen, indem er rasch die relevanten risikoorientierten Informationen aus den verschiedenen Geschäftseinheiten zur Verfügung stellt.
Während der IT-Risiko-Manager definitionsgemäß die Risiken im technischen Umfeld managt, sollte die zentrale Risiko-Management-Funktion des Unternehmens kontinuierlich den Stand der Dinge mit den Vorgaben abgleichen. Der IT-Risiko-Manager stellt - zusammen mit den anderen CIO-Funktionen - sicher, dass die IT auch für die nicht primär IT-bezogenen Risiken die notwendigen Messungen und Überwachungen unterstützt.