ICT Risk Management – Praxis

ICT Risk Management ist das Herzstuck der DORA-Anforderungen. Aufsichtspruefungen fokussieren stark auf die Vollstaendigkeit des Rahmens und die Nachweisbarkeit der Governance-Kette vom Leitungsorgan bis zur operativen Ebene. Was konkret geprueft wird, zeigt dieser Abschnitt.

Was Auditoren konkret pruefen

Bei einer Pruefung von ICT Risk Management prueft der Auditor die Vollstaendigkeit des dokumentierten Rahmens und den Nachweis der aktiven Governance durch das Leitungsorgan. Das BAM-Objekt CROSS-IRM-01 definiert im Evidence-Feld, was konkret vorgelegt werden muss.

Haeufige Fehler

• IKT-Risikomanagement-Rahmen existiert, wurde aber nicht vom Leitungsorgan genehmigt
• Keine Schulungsnachweise fuer Leitungsorganmitglieder
• IKT-Asset-Inventar unvollstaendig -- Cloud-Dienste und Drittanbieter fehlen
• Risikoappetit nicht definiert oder nicht im Rahmen verankert

Umsetzung Schritt fuer Schritt

Erster Schritt: IKT-Asset-Inventar aufbauen -- alle Systeme, Dienste, Datenbestaende und Abhaengigkeiten. Zweiter Schritt: IKT-Risikomanagement-Rahmen dokumentieren und vom Leitungsorgan genehmigen lassen. Dritter Schritt: Risikoappetit fuer IKT-Risiken festlegen und dokumentieren. Vierter Schritt: Risikobewertung fuer alle IKT-Assets und Drittabhaengigkeiten durchfuehren. Fuenfter Schritt: Resilienztest-Programm aufbauen. Sechster Schritt: Jaehrliche Ueberpruefung durch das Leitungsorgan nachweisen.

Evidence-Anforderungen im Audit

Der Auditor erwartet: den datierten und vom Leitungsorgan genehmigten IKT-Risikomanagement-Rahmen, vollstaendiges IKT-Asset-Inventar, dokumentierte IKT-Risikoappetit-Festlegung, aktuelle Risikobewertungen fuer alle wesentlichen IKT-Systeme, Schulungsnachweise fuer das Leitungsorgan und Protokolle der jaehrlichen Rahmen-Ueberpruefung.

Die strategische Einordnung -- warum ICT Risk Management langfristig mehr als eine regulatorische Pflicht ist -- findet sich auf Ebene 3.