Standards
Appetit auf Risiko?
Das "Risk-IT-Framework" zur Unterstützung des Managements von IT-Risiken
Wolfgang Johannsen
Abstract
Die aktuelle ökonomische Krise hat nicht nur das allgemeine Risikobewusstsein geschärft, sondern auch die Forderungen nach verbindlichen Regeln im Umgang mit spezifischen Risiken und damit nach "Governance" der IT lauter werden lassen. Dazu gehört auch das spezifische Management der IT-Risiken. Obwohl diese Risiken in nahezu jedem Unternehmen vorhanden sind, fehlt doch ein verbindlicher Rahmen, in dem sie einzuordnen und dann zu behandeln sind.
Für die Behandlung grundsätzlicher und übergreifender Aspekte des Risikomanagements wurde in den vergangenen Jahren eine Reihe von Frameworks und Standards definiert. Trotz eines erheblichen Abdeckungsgrades bei spezifischen Risiken klafft eine deutliche Lücke bei der breiten Analyse und dem Management von allgemeinen IT-Risiken - also solchen, die über Sicherheitsfragen hinausgehen. Zur Schließung dieser Lücke wurde das "Risk-IT-Framework" des "IT Governance Institute (ITGI)" geschaffen. Das Risk-IT-Framework (im Folgenden auch "RITF") ergänzt das COBIT-Framework durch die Bereitstellung eines umfassenden Prozessmodells für das IT-Risikomanagement.
Der vorliegende "Exposure Draft" des RITF umfasst sowohl eine allgemeine Einführung in das Gebiet der IT-Risiken als auch eine Darstellung des eigentlichen Risk-IT-Frameworks und seiner einzelnen Prozesse. Dieser Beitrag widmet sich den strukturellen und konzeptionellen Grundlagen des RITF und den wechselseitigen Ergänzungen von COBIT und "Val IT". Der Einordnung des Frameworks in die gegenwärtigen Entwicklungen anhand der Betrachtung von Auswirkungen und Zielsetzungen folgt eine Betrachtung der konzeptuellen Grundlagen des Risk-IT-Frameworks. Darauf aufbauend wird dann eine Darstellung und Diskussion des Prozessmodells und seiner Komponenten vorgenommen.
