Methoden und Werkzeuge sind stets auf die spezifische Branche und den Kontext abzustimmen und können hier nur beispielhaft aufgeführt werden. Dennoch gibt es Gemeinsamkeiten. Die methodischen Ansätze zielen häufig und vor allem auf die Dokumentation ab, wobei Rahmenwerke hierfür zunächst sehr umfangreiche Checklisten liefern, die alle Möglichkeiten bieten und lediglich auf den konkreten Fall reduziert werden müssen. Dazu passende (IT-basierte) Werkzeuge helfen bei der Organisation der Dokumentation, die durch verteilte Verantwortlichkeiten im Unternehmen und ständig wechselnde Aktualität recht komplex ausfallen kann.

Rahmenwerke benutzen als Grundlage Standards und Normen, die mehr oder weniger streng Berücksichtigung finden. Als breit aufgestellt für das unternehmensweite Risikomanagement einer Organisation gilt das “Enterprise Risk Management – Integrated Framework“ der COSO (siehe unter Standards/Normen), wofür zahlreiche Werkzeuge angeboten werden (z.B. OBSERVAR, Enterprise Risk Register). Auch das SAP-GRC Modul für Governance, Risk und Compliance dient überwiegend als Dokumentationswerkzeug für Standards nach COSO und COBIT.

Daneben sind kaufmännisch orientierte Methoden der Wirtschaftsprüfer auf dem Markt. Anwendung findet zum Beispiel der internationale Prüfungsstandard „Statement on Standards for Attestation Engagements (SSAE) No.16“ - als Nachfolger der SAS70 und weitgehender als der IDW PS 951 PS 951 . Ohnehin werden Methoden und Werkzeuge als solche oft ausschließlich innerhalb von Dienstleistungen angeboten. Die konkrete Aussagekraft dieser Audits und Dienstleistungen ist gelegentlich umstritten (siehe "SAS 70: The Emperor Has No Clothes").

Die verfügbaren Methoden arbeiten meist mit umfangreichen Checklisten. Der konkrete Wert einer Checkliste sollte jedoch kritisch betrachtet werden. Die Dokumentation beschreibt häufig das, was sich im Auge des Betrachters individuell abbildet und nach dem Motto, "Papier ist geduldig" bewertet wird. Dazu gehören empfundene Bewertungsskalen der Sorte "schlecht - besser - gut", wobei diese Form der Bewertung allgemein als "soft controls" bezeichnet wird. Dies ist praktisch jedoch kaum zu vermeiden, da im Allgemeinen nicht zu jedem wichtigen Sachverhalt rechtzeitige und verläßliche harte Fakten vorliegen.

Der wissensbasierte und verlässlichere Ansatz beruht auf "hard controls", die sich in Mengenbilanzen, Ereigniszählern und mathematisch-technischen Plausibilitätskontrollen ausdrücken. Ein Risikomanagment, das auch nur ansatzweise einem Hauch von manipulierender Energie widerstehen kann, benötigt "hard controls".

Auch hierzu sind mathematisch orientierte Methoden und Werkzeuge auf dem Markt.Dazu zählen Simulation und Verfahren, wie z.B. "Real Options Valuation" und Entscheidungsbaumverfahren. Daneben entstehen ontologiebasierte Werkzeuge, die den Prozess der Datenerfassung für das Risikomanagement vereinfachen und logisch kontrollieren sollen. Dazu werden Ontologie-Datenbanken aufgebaut, die als Grundlage für eine weitgehend automatisierte Verknüpfung der Daten sowie die kontextbasierte Anzeige relevanter Informationen und Auswahlmöglichkeiten dienen. Als Beispiel sei auf einen dedizierten Prototypen "AUtomated Risk and Utility Management (AURUM)" verwiesen, wobei sich aber auch neutrale Entwicklungsplattformen für Risikomanagementsysteme eignen können (siehe ONTOPRISE).

Abhängig von der Dynamik der Geschäftsprozesse entscheidet die Aktualität und Benutzerfreundlichkeit der Werkzeuge über die tatsächliche Aussagekraft - veraltete Quelldaten und mühsame Benutzung erschweren jede Aktualisierung.

Eine abgewogene Mischung aus Schätzmethode über "soft controls" und mathematisch-technischen Verfahren vermittels "hard controls" gibt wohl die beste Chance für ein wirksames unternehmensweites Risikomanagement. Dabei ist die individuelle Konzeption in jedem Fall zu empfehlen.

Die Herausforderung für ein wirksames Risikomanagement besteht in der effizienten Verknüpfung der operativen ERP-Systeme, z.B. SAP, mit den entspechenden Risiko-Kontroll-Instrumenten. Die meist sehr individuelle Anpassung kann über die gängigen Werkzeuge (z.B. bei SAP-BI der BEX-Analyzer) und zugeordneten betriebswirtschaftlichen Objekten erfolgen. Die eindrucksvolle Präsentation der Ergebnisse kann schließlich über ein hochverdichtbares Reporting als Dashboards erfolgen (z.B. relativ neu über SAP-Crystal-Lösungen für Dashboards oder mit langjähriger Praxis von arcplan).

Geht es um Methoden und Werkzeuge für das Risikomanagement der informationstechnischen Systeme selbst, kann hier auf ein funktionsreiches Angebot zugegriffen werden, wobei ebenfalls in "hard" und "soft controls" unterschieden werden kann - trotz der generell gegebenen verbesserten Messbarkeit. Passend zum Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) gibt es hier das Grundschutztool, als GSTOOL bezeichnet (zu finden unter BSI). Eine Übersicht aktueller Standards ist hier aufgelistet.

Für fast alle wichtigen Standards, wie z.B. COBIT, ITIL, ISO27001 oder ISO31000, stehen checklistenorientierte Werkzeuge in Risiko-Management-Template-Sammlungen zur Verfügung.

Sehr technisch auf Sicherheit geprägt ist die Common Criteria Toolbox, die auf die Zertifizierung nach ISO15408 ausgelegt ist. Weitere Toolkits rund um die ISO 2700 sind unter "ISO27k Toolkit" verfügbar.

Besonders bezüglich der Flexibilität soll auf OpenSource Werkzeug "verinice" verwiesen werden. "verinice" ist ein Werkzeug für das Informations-Sicherheits-Management (ISMS-Tool). Diese Software wird unter der Lizenz GPLv3 zum freien Download als OpenSource-Software kostenfrei bereit gestellt und eignet sich nach eigener Darstellung für ein recht breites Spektrum, das individuell angepaßt werden kann :

•zur Implementierung von BSI IT-Grundschutz

•zum Durchführen einer Risikoanalyse nach ISO 27005

•für den Betrieb eines ISMS nach ISO 27001

•für das Durchführen eines IS-Assessments nach VDA Vorgaben

•für den Nachweis von Compliance mit Standards wie ISO 27002, IDW PS 330 u.v.m