Fachgruppe IT-Risikomanagement mit COBIT

Kontaktdaten

Wenn Sie an der Mitarbeit in der Fachgruppe interessiert sind, dann wenden Sie sich bitte per E-Mail an den Leiter der Fachgruppe Werner Syndikus email-Kontakt: FG-it-riskmanagement-cobit@isaca.de

Termine

Die Fachgruppe tagt im Rhythmus von ca. 2-4 Monaten. Die aktuellen Termine des nächsten Fachgruppentreffens können per E-Mail beim Fachgruppenleiter angefragt werden.

Aufgaben

Der von der Fachgruppe veröffentlichte Leitfaden 'IT-Risikomanagement mit Cobit' soll weiterentwickelt werden - insbesondere im Hinblick auf Cobit 5.

Die Ausgangsbasis für die Arbeit der Fachgruppe war eine Zusammenstellung von Fragen, die sich in der Praxis bei der Ausgestaltung eines IT-Risikomanagements stellen und auf die Antworten gefunden werden sollten. Im Wesentlichen ergaben sich folgende Fragestellungen:

  1. Wie kann eine möglichst vollständige Liste von Risikofeldern definiert werden, damit im Rahmen von Risikoinventuren keine wesentlichen Risiken übersehen werden?
  2. Welche Kennziffern können zur Messung von Schwachstellen verwendet werden, welche Kennziffern können bei der Implementierung eines Frühwarnsystems unterstützen?
  3. Wie können Risikoauswirkungen, insbesondere gegenüber dem IT-Management und dem Business, dargestellt werden?
  4. Wie können geeignete Maßnahmen zur Risikobehandlung identifiziert werden?

Daraus abgeleitet wurde das Ziel der Fachgruppe definiert: Erarbeitung von Hilfsmitteln für die obigen Praxisfragen, die der relevanten Zielgruppe - IT-Verantwortlichen, Risikomanagern, aber auch Linienverantwortlichen - in Form eines praktischen Leitfadens zur Verfügung gestellt werden können.

Eine Detailanalyse von COBIT hat ergeben, dass mit den Informationen aus dem Framework wertvolle Hinweise zur inhaltlichen Ausgestaltung eines IT-Risikomanagements erarbeitet werden können. Für deren Ausarbeitung wurden folgende Arbeitspakete in der Fachgruppe definiert, an denen die Mitglieder momentan arbeiten:

  1. Ableitung von IT-Schwachstellen aus COBIT
  2. Identifikation von Risikoindikatoren zur effektiven Bewertung von Risiken
  3. Ableitung von Risikobehandlungsmaßnahmen
  4. Analyse der Auswirkung von IT-Risiken auf die Geschäftsziele
  5. Veröffentlichung eines Praxisleitfadens
  6. Erstellung eines Tools zur Unterstützung bei dem Einsatz des Leitfadens

Veröffentlichungen

Eine erste Darstellung des Vorgehensmodells der Fachgruppe wurde bereits in folgenden Artikeln veröffentlicht:

  • „IT-Risikomanagement: Nutzung von COBIT in der Praxis" in IT-Governance, 2010
  • „Using COBIT to Support IT Risk Management" in COBIT Focus, 2011
  • "IT-Risikomanagement – leicht gemacht mit Cobit" zum Download