3.4. Grundlagen des Risikomanagements

Die Forderung, ein Risiko-Management-System einzuführen, kann sich aus verschiedenen gesetzlichen Vorgaben z.B. KonTraG¹³ , SOX¹⁴ oder BilMoG¹⁵ , oft auch auf branchenspezifischen regulativen Vorgaben ergeben. Der Bayerkonzern folgt in seinem Risiko-Management den Vorgaben des KonTraG aber auch den Auflagen verschiedener pharmazeutischer Kontrollinstanzen wie BfArM¹⁶ oder FDA¹⁷ . IT- und Informationsrisiken sind eine Teilmenge aller Risiken, denen sich ein Unternehmen ausgesetzt sieht und die im Rahmen des Risiko-Managements zu steuern sind. Als Schnittmenge aus IT-Risiken und Risiken aus Regelverstößen ergeben sich die Risiken der IT-Compliance (siehe Abbildung 7). Hierbei adressiert die IT-Compliance Risiken, dass IT nicht wie geplant funktioniert, manipuliert oder nicht verfügbar ist, sodass gesetzliche Auflagen nicht erfüllt werden. (Klotz & Dorn, 2008).

Abbildung 7: Darstellung der IT-Compliance-Risiken als Schnittmenge und Darstellung der IT-Compliance als Element der Trias von Governance-Risk-Compliance: “GRC” (Klotz & Dorn, 2008).

Wie Abbildung 7 zeigt, verweisen hierbei Governance, Risiko-Management und Compliance aufeinander und sind somit inhaltlich voneinander abhängig. Deshalb müssen Strategie, Prozesse und Architektur der IT-Compliance stärker in die allgemeine Compliance integriert werden, wie dies für dieses Programm durch das Architekturmodell auch gewährleistet ist (siehe Abbildung 3). Auf diesem Wege kommt dem Management von IT-Risiken ein signifikanter Beitrag zur Gesamt-Compliance des Unternehmens zu.

¹³ KonTraG = Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, deutsches Bundesgesetz
¹⁴ SOX = Sarbanes-Oxley Act, US-amerikanisches Bundesgesetz
¹⁵ BilMoG = Gesetz zur Modernisierung des Bilanzrechts (Bilanzrechtsmodernisierungsgesetz)
¹⁶ BfArM = Bundesinstitut für Arzneimittel und Medizinprodukte
¹⁷ FDA = US Food and Drug Administration