IT-Compliance-Risiken können aus der Nicht-Einhaltung von IT-bezogenen rechtlichen, regulativen oder unternehmensinternen Anforderungen entstehen. Ähnlich wie bei anderen Risikoarten ist es unter betriebswirtschaftlichen Gesichtspunkten in der Regel nicht sinnvoll, die Vermeidung jeglicher IT-Compliance-Risiken anzustreben. Vielmehr müssen diese in einem begründeten Verfahren gesteuert werden. Auf Basis einer umfangreichen begriffl ichen Einordnung der IT-Compliance-Risiken stellt die vorliegende Arbeit hierfür einen konsistenten, risikoorientierten Ansatz zur Identifizierung, Bewertung, Priorisierung, UmSetzung und Überwachung von rechtlichen, regulativen und unternehmensinternen ITComplianceAnforderungen vor. Der Ansatz basiert auf dem internationalen ITRisikomanagementStandard ISO/IEC 27005 und berücksichtigt den vollständigen ManagementProzess. Ergänzend zum Vorgehensmodell werden notwendige Techniken und beteiligte Rollen beschrieben, um dem Praktiker eine umfassende Unterstützung für das ITComplianceManagement an die Hand zu geben.