computerwoche.de

IT-Strategie

Compliance ist komplex

Was ein IT-Risiko-Manager können mus

13.08.2008
Von Burkhard Kühle

Unterstützung für den CIO

Selbstverständlich muss auch der IT-Risiko-Manager über gutes technisches Verständnis verfügen. Daneben benötigt er eine Vielzahl weiterer Qualitäten, denn er unterstützt den CIO schwerpunktmäßig bei folgenden Aufgaben:

  • Die Compliance-Kosten senken - durch Entwicklung und Implementierung übergreifender Vorgehensweisen, die alle Anforderungen aus dem Risiko-Management umfassend abdecken;

  • Das Risiko-Managements effizienter machen - durch Entwicklung und Implementierung automatisierter Kontrollen in Echtzeit;

  • Risikoerkennung und -vermeidung beziehungsweise den Umgang mit Risiken und Risikofaktoren verbessern;

  • Die Belastungen in den Geschäftseinheiten reduzieren - durch Risiko-Management-Funktionen und Verringerung von Redundanzen;

  • Die Qualität von Risiko-Management-relevanten Informationen steigern - durch globale Standardisierung der Risiko-Management-Regeln;

  • Vermögensrisiken für das Unternehmen weitgehend ausschalten;

  • umfassende Stakeholder-Berichte liefern, die verdeutlichen, dass alle IT-Risiken regelmäßig überwacht sowie intelligent gemanagt werden;

  • eine risikobewussten Unternehmenskultur einführen, in deren Rahmen schon im Vorfeld wichtiger Entscheidungen eine Risikobetrachtung vorgenommen wird;

  • Prozesse zur Dokumentation risikobasierender Entscheidungen entwickeln und implementieren - einschließlich deren Weiterverfolgung;

  • IT-spezifische Risiko-Anforderungen dokumentatieren, integrieren und pflegen;

  • Risikobewertungen integrieren und koordinieren.

Daneben sollte der IT-Risiko-Manager eng mit den anderen relevanten Geschäftseinheiten (Entwicklung, Fertigung, Vertrieb, Buchhaltung etc.) zusammenarbeiten. Nur so lassen sich die Herausforderungen einer umfassenden Risikoerkennung und -steuerung bewältigen. In Unternehmen, die ein Risiko-Management-Komitee haben, kann der IT-Risiko-Manager zur Entscheidungsfindung beitragen, indem er rasch die relevanten risikoorientierten Informationen aus den verschiedenen Geschäftseinheiten zur Verfügung stellt.

Während der IT-Risiko-Manager definitionsgemäß die Risiken im technischen Umfeld managt, sollte die zentrale Risiko-Management-Funktion des Unternehmens kontinuierlich den Stand der Dinge mit den Vorgaben abgleichen. Der IT-Risiko-Manager stellt - zusammen mit den anderen CIO-Funktionen - sicher, dass die IT auch für die nicht primär IT-bezogenen Risiken die notwendigen Messungen und Überwachungen unterstützt.