Konzeption und Umsetzung der Anforderungen an die Ausgestaltung des IT-Risikomanagement für eine Landesbank

Ausgangssituation und Zielsetzung

  • Vor dem Hintergrund der steigenden Relevanz von IT-Risiken verlangen die SREP-Guidelines und die MaRisk (Konsultationsentwurf) den Aufbau von spezifischen Prozessen zum Management und Controlling von IT-Risiken
  • Die Integration des IT-Risikomanagements (ITRM) in die bestehenden Prozesse des OpRisk-Controllings ist dabei zwingend sicherzustellen

Projektergebnis

  • Konzeption und Umsetzung eines szenariobasierten Ansatzes für das IT-Risikomanagement unter Berücksichtigung der Vorgaben des COBIT5 Industriestandards
  • Sicherstellung der Methodenkonsistenz zwischen ITRM und OpRisk-Controlling
  • Konzeption und Etablierung eines IT-Risikoinventars inkl. korrespondierender Berichtslinien

Kurzbeschreibung

  • Die methodischen Vorgaben des OpRisk-Controllings zur Durchführung von Szenarioanalysen waren als Rahmenbedingung im Projekt zu berücksichtigen, um die methodische Konsistenz zwischen OpRisk-Controlling und IT-Risikomanagement sicherzustellen
  • Aufbauend auf dem COBIT5-Industriestandard wurden Musterszenarien für das IT-Risikomanagement abgeleitet, die von den einzelnen IT-Einheiten im Rahmen von Workshops (inkl. Fachbereichsbeteiligung) bewertet wurden
  • Die Szenarien wurden anschließend im IT-Risikoinventar erfasst und bildeten gleichzeitig die Grundlage für die Ableitung der OpRisk-Szenarioanalyse im IT-Bereich
  • Aufbauend auf den erfassten Informationen im IT-Risikoinventar wurde ein vierteljährliches Managementreporting konzipiert und umgesetzt

Service: IT Risk Management