Obwohl das IT-Risikomanagement (IT-RM) ein wichtiges Teilsystem des unternehmensweiten Risikomanagements (Enterprise Risk Management, ERM) darstellt, ist in der Praxis oft nur eine schwache Kopplung beider festzustellen. Es mangelt an Gestaltungsempfehlungen, um die Integration zu verbessern. Der Beitrag thematisiert die Integration von IT-RM und ERM auf Ebene ihrer Be- grifflichkeiten (Konzepte). Mit Techniken der Grounded Theory werden aus bestehenden Standards und Normen des ERM relevante Konzepte für die Integration mit dem IT-RM herausgearbeitet. Diese werden verwendet, um IT-RM-Ontologien zu evaluieren und Weiterentwicklungspotenziale aufzuzeigen.