Risikomanagement integriert in das Management- System

Die Risiken, die wir in diesem Buch behandeln, wirken in der einen oder anderen Weise dem Erreichen von Unternehmens-Zielen und dem Erhalten von Unternehmens-Werten entgegen. Dies gilt auch für die Informationssicherheits- und IT-Risiken. Ein effektives Risikomanagement muss deshalb im Management-System des Unternehmens verankert sein, gilt es doch, die Chancen und die Risiken in einem ausgewogenen und für die Lebensfähigkeit des Unternehmens richtigen Verhältnis wahrzunehmen. Den Prozess eines solchen ganzheitlichen Risikomanagements bezeichnen wir als „Integrierten Risikomanagement-Prozess“.

In Anlehnung an zurzeit gebräuchliche Management-Konzepte, wie das Qualitäts-Management-System nach ISO 9001:2008, das St. Galler-Management-Konzept [Bleic92] und das „Balanced Scorecard“-Konzept [Kapl01], werden im Folgenden die Führungsaspekte und Anforderungen an ein integriertes Risikomanagement diskutiert. Diese Aspekte und Anforderungen müssen sodann auch beim Einsatz von in Abschnitt 5.5 behandelten Frameworks und Standards für Management-Systeme berücksichtigt werden. In einem integrierten Risikomanagement-Prozess wird das Risikomanagement in die Managementprozesse für das „normative“, das „strategische“ und das „operative“ Management eingegliedert (Abbildung 5.1).