IT-Sicherheit ist nicht Selbstzweck

Besonders die neuen, für Banken ab 2007 verbindlichen Eigenkapitalrichtlinien, Basel II, fördern das ORM. Zukünftig soll der Grad der Eigenmittelunterlegung nicht mehr fix sondern abhängig vom jeweiligen, individuellen Risiko des Bankinstitutes sein, wobei bei der Berechnung auch das ORM berücksichtigt wird. Es ist davon auszugehen, dass die Banken ihren Kunden die Verpflichtung zu Operational Risk Management weitergeben und aufgrund von Ratingverfahren die Höhe der Schuldzinsen beziehungsweise. Risikoprämien variabel festlegen. ORM wird dadurch generell zusätzlich an Gewicht gewinnen.

Innerhalb der operationellen Risiken spielen IT-Risiken eine grosse Rolle. Dies ist unter anderem durch die starke Abhängigkeit der Unternehmen sowie der Geschäftsprozesse von der IT zu erklären. Als herausragendes Risiko muss hier der Totalausfall der IT genannt werden. Die Bedeutung so genannter Geschäftskontinuitätsprojekte (Business Continuity Planning) hat aufgrund der zunehmenden Bedeutung von ORM besonders in der Finanzbranche stark zugenommen.

So können auch Betrugsrisiken ihren Ursprung in mangelhaft geschützten IT--Systemen haben. Diesem spezifischen operationellen Risiko widmet sich beispielsweise auch der Sarbanes Oaxley Act Section 404.

Eine Eigenheit der IT-Risiken ist die besondere Rolle der rufschädigenden Risiken, der sogenannten Reputationsrisiken. Diese sind definitionsgemäss bei Basel II ausgeklammert. Vielfach werden aber gerade IT Risiken - aufgrund möglicher Rufschädigung bei Bekanntwerden - erhöht eingestuft, wobei aber der jeweilige finanzielle Schaden nicht gegeben ist.