Corporate Risk Application Method

CRISAM® steht für „Corporate Risk Application Method“ und ist ein ganzheitlicher Ansatz zur Implementierung eines unternehmensweiten IT-Risikomanagement Prozesses. Der Anspruch aus dem mehrstufigen Implementierungsmodell ist nicht zu verwechseln mit dem einer Vorschrift oder Norm. CRISAM® dient dazu aus Strategie, Organisation und den (Geschäfts-) Prozessen nachvollziehbare Anforderungen an die Informationstechnologie abzuleiten. Den daraus ermittelten Sicherheitsvorgaben werden operationelle Risiken aus dem Betrieb der IT-Systeme gegenübergestellt. Abweichungen des IST (bewertete operationelle Risiken der IT) vom SOLL (aus dem Unternehmen abgeleitete Anforderungen) werden als potentielle Bedrohungen aus dem IT-Einsatz identifiziert. Der erforderliche Regelungsprozess, der Abweichungen vom vorgegebenen Sollwert identifiziert und durch geeignete Maßnahmen kompensiert, wird im Unternehmen als kontinuierlicher Risikomanagement Prozess implementiert.

 

Die wesentlichen Unterscheidungsmerkmale zu derzeit verfügbaren Methoden, Standards und Best Practices, nach denen Risikomanagement Prozesse in Unternehmen implementiert werden, sind:

  1. eine nachvollziehbare Quantifizierung von IT-Risiken.
  2. eine Bewertung der Risiken entsprechend ihrer Auswirkungen auf die unterstützten IT-Prozesse.
  3. die Umsetzung in einem kontinuierlichen Verbesserungsprozess (KVP).

 

Risikokennzahl

Die Quantifizierung  in CRISAM® erfolgt nach einem aus der Finanz- und Versicherungswirtschaft anerkannten Ratingsystem. Risiken werden in Form einer quantitativ dargestellten Kennzahl analog dem Standard & Poor’s Versicherungsratingansatz bewertet.  >> mehr

 

Prozesseinführung

Damit der CRISAM® Managementprozess im Unternehmen als kontinuierlicher Verbesserungsprozess betrieben werden kann, sind einige Rahmenbedingungen zu schaffen. >> mehr