Risikoorientiertes IT-Compliance-Management
Stefan Doppelbauer
IT-Compliance-Risiken können aus der Nicht-Einhaltung von IT-bezogenen rechtlichen, regulativen oder unternehmensinternen Anforderungen entstehen. Ähnlich wie bei anderen Risikoarten ist es unter betriebswirtschaftlichen Gesichtspunkten in der Regel nicht sinnvoll, die Vermeidung jeglicher IT-Compliance-Risiken anzustreben. Vielmehr müssen diese in einem begründeten Verfahren gesteuert werden. Auf Basis einer umfangreichen begriffl ichen Einordnung der IT-Compliance-Risiken stellt die vorliegende Arbeit hierfür einen konsistenten, risikoorientierten Ansatz zur Identifizierung, Bewertung, Priorisierung, Umsetzung und Überwachung von rechtlichen, regulativen und unternehmensinternen IT-Compliance-Anforderungen vor. Der Ansatz basiert auf dem internationalen IT-Risikomanagement-Standard ISO/IEC 27005 und berücksichtigt den vollständigen Management-Prozess. Ergänzend zum Vorgehensmodell werden notwendige Techniken und beteiligte Rollen beschrieben, um dem Praktiker eine umfassende Unterstützung für das ITCompliance-Management an die Hand zu geben.