Risikomanagement, Corporate Governance und Compliance – diese Begriffe umschreiben die Herausforderungen, denen sich der CIO gegenwärtig zu stellen hat. Er muss die IT-spezifischen Risikopotenziale analysieren und darauf reagieren sowie die Risikomanagement-Leitlinien der Vorstandsebene in allen Unternehmensbereichen implementieren, so das Prüfungs- und Beratungsunternehmen Deloitte in einem aktuellen Whitepaper. Vor allem aber müsse der CIO in der Lage sein, die IT-Risiken in direkten Bezug zu Unternehmensstrategie und -erfolg zu setzen.

Die Position des IT-Chefs im Unternehmen befindet sich inmitten einer Umbruchsphase, so Deloitte. Zielbewusste CIO seien heute weit mehr als "Herr der Unternehmens-IT". Ihre Verantwortung reiche weit über die IT-Abteilung hinaus. Im Zentrum der neuen CIO-Rolle sieht Deloitte den Umgang mit IT-spezifischen Risiken – seien es nun Gefahrenpotenziale oder auch Chancen für unternehmerischen Erfolg. Letztere hingen keineswegs nur mit technischen Inhalten zusammenhängen. Das müsse der CIO bei Auswahl und der Schulung seiner Mitarbeiter berücksichtigen. Ähnliches gelte aber auch umgekehrt, ergänzt das Beratungsunternehmen. Die Unternehmensleitung müsse ihr Technikverständnis erweitern, um Wesen und Tragweite von IT-spezifischen Risiken beziehungsweise deren Einfluss auf strategische Entscheidungen zu begreifen. Nur so seien Fehlentscheidungen vermeidbar, die durch vermeintliche Gegensätze entstünden – auf der einen Seite der mahnende, fordernde CIO, auf der anderen ein Top-Management, das die Kosteneffizienz in den Vordergrund stellt.

Um den Rollenwechsel umzusetzen, empfiehlt Deloitte zunächst kleine Schritte. Beispielsweise sollte das jeweilige Unternehmen eine Statusanalyse des Risikoprofils seiner IT-Abteilung vornehmen. Als nächsten Schritt müsse es Prioritäten setzen und Erfolg versprechende Maßnahmen identifizieren. Eine gute Möglichkeit, Compliance-Anforderungen zu vertretbaren Kosten zu erfüllen, seien intelligente, automatisierte Kontrollen. Die Aufgabe des CIO sei hier in erster Linie, das Management von diesen Maßnahmen zu überzeugen.

Als wichtig erachtet Deloitte zudem die Erstellung von detaillierten Anwenderprofilen, mit denen sich Zugangsberechtigungen definieren lassen. Vor allem aber sei eine umfassende Integration von Technik und Governance, von Risikomanagement- und Compliance-Initiativen anzustreben.