Was haben 400 ISACA-Vorstandsmitglieder aus über 90 Ländern gemeinsam mit einem internen IT-Revisor aus der Schweiz? Beide beschäftigen sich – eventuell, ohne dass sie sich dessen wirklich bewusst sind – mit Risiken.
Die ISACA-Mitglieder, welche sich in Lissabon über die Zukunft des Berufsverbandes unterhielten, setzen sich vor allem mit dem Erzeugen von Chancen auseinander, also mit den "positiven Risiken": Die unzähligen Präsentationen, Kurzvideos und anderen Darstellungen zu Themen wie «Chapter of the Future» können bei optimaler Umsetzung in hohem Masse Nutzen stiften. Ein IT-Revisor, der seine Toolbox einsetzt, um ein direktes, ungefärbtes Bild der Sachlage zu schaffen, beschäftigt sich wohl vorwiegend mit den "negativen Risiken".

Die systematische Auseinandersetzung mit dieser Dualität ist Teil eines umfassenden Risikomanagements, das dafür eine entsprechende Aufbau- und Ablauforganisation benötigt – sowie entsprechende Richtlinien oder z.B. die Festlegung der Risikotoleranz des Unternehmens. Die Kombination höchst unterschiedlicher Fragestellungen wie Compliance (Einhaltung von Gesetzen, regulatorischen Auflagen oder Verträgen), operationelles Risikomanagement, Kredit-, Markt- oder strategischen Risiken sowie natürlich auch die IT-Risiken stellt höchste Anforderungen an die entsprechenden Fachkräfte.

Das auf das letzte Jahr aktualisierte internationale Zertifikat und Berufsbild CRISC (Certified in Risk and Information Systems Control) deckt die 39 Aufgaben eines Risikomanagers in fünf übergeordneten Themenbereichen ab: Es geht einerseits um die Identifikation, Einschätzung und Bewertung von Risiken sowie um deren Management und Überwachung. Anderseits geht es um Design und Implementation von IT-Kontrollen sowie deren Überwachung und Unterhalt. Spannend ist auch das Spezialthema Risiko-Monitoring: Alleine für diesen Teilbereich definiert CRISC vier Aufgaben: die Sammlung und Validierung von Risikoschlüsselindikatoren über deren Überwachung, die Berichterstattung an relevante Stakeholder, die Durchführung unabhängiger Risikobewertungen und Reviews sowie die Überwachung von Compliance-Risiken.

Das ISACA Switzerland Chapter bietet eine solide Grundausbildung zum CRISC an. Der CRISC-Kurs wird jeweils im Sommer (Juni/Juli) als Kompaktkurs durchgeführt – mit einem strukturierten Selbststudium ab Februar und einem separaten Prüfungstraining im Spätherbst zur Vorbereitung auf die internationale Zertifikatsprüfung anfangs Dezember (insgesamt 12 Kurstage).