Risikomanagement (CRISC)

Risikomanagement (CRISC)

4. September 2021 - Die neueste Aktualisierung des ISACA-Berufsbildes.
Artikel erschienen in IT Magazine 2021/09
Eine der grossen Stärken der ISACA-Zertifikate CISA (IT-Revision), CISM (Informationssicherheitsmanagement), CGEIT (IT-Governance), CRISC (IT-Risikomanagement) und neu wohl auch CDPSE (Datenschutzlösungsbau) ist, dass diese Zertifikate alle paar Jahre an effektive und vermeintliche Änderungen der Berufstätigkeiten angepasst werden.

Jede Anpassung freut und ärgert mich gleichzeitig: Toll ist, dass die Zertifikatsanforderungen regelmässig an die aktuelle Realität angepasst werden. Persönlich nerven mich die Änderungen der Berufsbilder manchmal auch ein wenig, weil ich deswegen mit einem teils riesigen Aufwand meine entsprechenden Kurse anpassen muss. So ist mir immer noch gut in Erinnerung, dass ich bei der dritten Anpassung des CISA-Berufsbildes über 1’000 Arbeitsstunden investieren «durfte» – das ist aber ein extremes Beispiel.

Als nettes Weihnachtsgeschenk bekamen wir Ende 2020 von ISACA die Nachricht, dass das CRISC-Berufsbild auf 2021 aktualisiert würde. Nach mehreren Verschiebungen gilt die neue Version ab dem 1. August 2021. Das Hin und Her macht einem die Tätigkeit als ISACA-Kursanbieter nicht wirklich einfacher – zumal die eigentlichen Ausbildungsblöcke unserer Zertifikatskurse seit Jahren jeweils im Sommer laufen und die angekündigte CRISC-Änderung mitten im Kurs erfolgte. Tröstlich ist immerhin, dass wir bis zum Prüfungsvorbereitungskurs im Herbst noch ein paar Wochen für die notwendigen Kursumbauten Zeit haben ;-)
Nun – was ist den anders? Die seit 2015 geltende Version des CRISC-Berufsbildes hat vier eng voneinander abhängige «Domains» wie 1: Risikoidentifikation, 2: IT-Risikobewertung, 3: Risikoantwort und -verminderung sowie 4: Risiko- und Kontroll-Überwachung und Berichterstattung. Wenn man das neu gültige CRISC-Berufsbild ansieht, dann sind etwa die Hälfte der dort aufgeführten Aufgaben komplett anders – vor allem im grösstenteils neuen Kapitel 1 «Governance» sowie im vollständig neuen Kapitel 4 «Information Technology and Security». Auf den ersten Blick sieht das wieder einmal nach seeeeeehr viel Arbeit aus!

Das neue Kapitel 1 (Organizational Governance) umfasst einerseits übergeordnete organisatorische Aspekte wie Richtlinien, Standards, Geschäftsprozesse oder der Umgang mit Assets; zudem übergeordnete Risikomanagement-Grundsätze wie das entsprechende Risikomanagement-Framework, das (eigentlich etwas veraltete) «Three Lines of Defense»-Modell, rechtliche und regulatorische Anforderungen an das Risikomanagement oder zentrale ethische Grundprinzipien.

Domain 2 (IT Risk Assessment) und 3 (Risk Response & Reporting) umfassen die wesentlichen Inhalte der früheren Domains 1 bis 3 (IT Risk Identification, IT Risk Assessment, IT Risk Response and Mitigation), wobei es hier einige interessante Ergänzungen z.B. in Bezug auf den Umgang mit Drittparteien-Risiken, mit Ausnahmen oder den aufkommenden Risiken (Ermerging Risk) gibt.
 
Seite 1 von 3

Neuen Kommentar erfassen

Anti-Spam-Frage Vor wem mussten die sieben Geisslein aufpassen?
Antwort
Name
E-Mail
SPONSOREN & PARTNER