IT-Risikomanagement in der Praxis

In folgenden Beiträgen sollen die Grundlagen des IT-Risikomanagement, immer mit dem konkreten Bezug auf die Praxis und damit nachvollziehbar, vermittelt werden.

Die Betrachtungsweise zu dem Thema ist eine übergeordnete, ganzheitliche und unabhängige. Mittlerweile wird die Begrifflichkeit IT-Risikomanagement fast inflationär genutzt und in sehr vielen Fällen wird lediglich ein Teilbereich des Themas IT-Risikomanagement fokussiert (Risiko  "unzureichende IT-Sicherheit"). Ziel des IT-Risikomanagement sollte es sein, vollständige Risikotransparenz über alle Bereiche der IT zu erhalten und dies bezieht entsprechend auch alle IT-Funktionsbereiche mit ein (Organisation, Personal, Finanzen, Prozesse, Anwendungen, Betrieb, Projekte, Compliance).

IT-Risiken transparent und fest im Griff durch gezieltes IT-Risikomanagement
(Foto: ©S.Hofschläger, Pixelio)


Nur der ganzheitliche Ansatz des IT-Risikomanagements bringt den vollständigen Nutzen und die vielfachen Synergien, die man sich als Unternehmens- oder Informatikverantwortlicher wünscht und mit denen man z.B. den Aufbau und Betrieb eines IT-Risikomanagements innerhalb eines Unternehmens nachhaltig verargumentieren kann. Und letztlich kann nur mit dieser allumfassenden Risikosicht der Grad der IT-Compliance ermittelt, optimiert und kontrolliert werden.

Zudem ist es elementar wichtig, dass das IT-Risikomanagement nicht autark agiert, sondern sich mit den relevanten Schnittstellen im gesamten Unternehmen,  z.B. dem zentralen Risikomanagement, eng abstimmt. Dies betrifft z.B. eine einheitliche und abgestimmten Vorgehensweise, eingesetzten Methodiken, Darstellungen, Wege und Formen des Reportings und eingesetzte Werkzeuge. Diese schafft nicht nur die nötigen Synergien, sondern ist auch im Sinne einer geforderten zentralen Risikogesamtsicht und der damit verbundenen Einhaltung von übergeordneten "Governance-Aspekten" oder auch einer zentralen RiskMap extrem wichtig.

Bei Beiträgen oder Ausführungen zu diesen Themen und im speziellen zum Thema IT-Risikomanagement wird oftmals viel theoretisiert, ohne ganz konkret zu beschreiben, wie ein entsprechendes IT-Risikomanagements in der Praxis geplant, implementiert und gelebt werden kann und sollte.

Hier soll mit den folgenden IT-Risikomanagement-Beiträgen nachhaltig Abhilfe geschaffen werden. Die Beiträge bauen systematisch aufeinander auf und ergeben in der Gänze einen Fahrplan für die praxisorientierte Umsetzung von IT-Risikomanagement.

Wie ganzheitliches IT-Risikomanagement für bedarfs- und risikogerechte Budgets sorgt, darüber erfahren Sie mehr in dem folgenden Artikel zur Notwendigkeit von IT-Risikomanagement.

Freuen Sie sich auf praxisbezogenes IT-Risikomanagement !


Autor: Michael Scholz, August 2009