Konzeption und Umsetzung der Anforderungen an die Ausgestaltung des IT-Risikomanagements für eine Landesbank

Herausforderung

  • Vor dem Hintergrund der steigenden Relevanz von IT-Risiken verlangen die SREP-Guidelines und die MaRisk (Konsultationsentwurf) den Aufbau von spezifischen Prozessen zum Management und Controlling von IT-Risiken
  • Die Integration des IT-Risikomanagements (ITRM) in die bestehenden Prozesse des OpRisk-Controllings ist dabei zwingend sicherzustellen

Erfolg

  • Die Konzeption und Umsetzung eines szenariobasierten Ansatzes für das IT-Risikomanagement erfolgte unter Berücksichtigung der Vorgaben des COBIT5-Industriestandards
  • Die Methodenkonsistenz zwischen ITRM und OpRisk-Controlling wurde sichergestellt
  • Ein IT-Risikoinventar inkl. korrespondierender Berichtslinien wurde konzipiert und etabliert

Ansatz

  • Die methodischen Vorgaben des OpRisk-Controllings zur Durchführung von Szenarioanalysen waren als Rahmenbedingung im Projekt zu berücksichtigen, um die methodische Konsistenz zwischen OpRisk-Controlling und IT-Risikomanagement sicherzustellen
  • Aufbauend auf dem COBIT5-Industriestandard wurden Musterszenarien für das IT-Risikomanagement abgeleitet, die von den einzelnen IT-Einheiten im Rahmen von Workshops (inkl. Fachbereichsbeteiligung) bewertet wurden
  • Die Szenarien wurden anschließend im IT-Risikoinventar erfasst und bildeten gleichzeitig die Grundlage für die Ableitung der OpRisk-Szenarioanalyse im IT-Bereich
  • Aufbauend auf den erfassten Informationen im IT-Risikoinventar wurde ein vierteljährliches Managementreporting konzipiert und umgesetzt

Service: IT Risk Management