Wer ist eigentlich für GRC zuständig?:
GRC: Organisatorische Unklarheiten als Herausforderung
GRC (Governance, Risk Management, Compliance) ist in den vergangenen Jahren zu Recht zu einem wichtigen Thema nicht nur der IT, sondern des Managements insgesamt geworden. Doch immer klarer wird: Oft hängen Fortschritte in diesem Bereich an unklaren Verantwortlichkeiten.
Martin Kuppinger, Gründer des Analystenunternehmens Kuppinger Cole.
Wer hat eigentlich den Hut auf für das Thema GRC? An dieser Frage scheiden sich die Geister. Und viele naheliegende Antworten erweisen sich bei näherer Betrachtung als zu einfach. Der CFO kann es nicht alleine sein, denn dann müsste sich einer der wichtigsten Bereiche im Business selbst kontrollieren. Der CIO kann es allenfalls für die IT-Controls sein, die er dem Business bereitstellt. Die Revision hat oft einen zu eingeschränkten Auftrag. Und spezielle CCOs (Chief Compliance Officers) oder CROs (Chief Risk Officers) – beides schon vom Begriff her etwas unvollständig, weil auf zwei Funktionen aufgeteilt- fehlen meist auch.
Das ist vielleicht auch der Grund dafür, dass es heute viele isolierte GRC-Ansätze gibt. Im sogenannten »Enterprise GRC«, das man besser als »Business GRC« bezeichnen würde, geht es um Business-Controls und deren Unterstützung durch IT-Lösungen - sozusagen der Ersatz für die Spreadsheets und der Schritt von nur manuellen hin zu immer mehr automatischen Controls.
Beim Continuous Controls Monitoring geht es um eine automatisierte Überwachung von Controls – in IT-Systemen, aber typischerweise mit Business-Fokus. Oft halten die Lösungen nicht, was der Ansatz verspricht. Auch die Process- und Risk Control-Lösungen mit IT-Fokus liegen zwischen den Enterprise GRC-Lösungen und eher technischen Lösungen.
Von IAM-GRC über SIEM bis BSM
Darunter finden sich viele spezifische »GRCs«, wie beispielsweise die Lösungen für die Attestierung und Rezertifizierung von Zugriffsberechtigungen, die man als »IAM-GRC« (Identity und Access Management-bezogenes GRC) bezeichnen könnte, aber auch einige SIEM-Lösungen (Security Incident and Event Management), manche BSM-Ansätze (Business Service Management) und mehr. Solche Lösungen adressieren typischerweise wenige Controls, diese aber dafür sehr detailliert und mi hohem Automatisierungsgrad.
Die fehlende Klarheit über die Verantwortlichkeiten für GRC und deren Aufteilung auf mehrere Schultern ist auch die Ursache dafür, dass oft unkoordiniert an verschiedenen Stellen mit GRC-Lösungen begonnen wird und dass auch die Hersteller nur langsam die Integration zwischen Produkten auf verschiedenen Ebenen vorantreiben. Das aber wäre nötig, um die Verknüpfung zwischen Business-Controls und zugehörigen IT-Controls und einen hohen Automatisierungs- und Detaillierungsgrad bei den Controls zu erreichen – über die verschiedenen Ebenen einer Organisation hinweg.
Um das zu adressieren, sind CIOs gefordert. Denn CIOs sind diejenigen, die am ehesten eine Gesamtsicht haben. Sie müssen sich um die IT-Controls bis hin zu Detaillösungen kümmern, sie müssen aber auch die business-getriebenen Lösungen bis hoch zum Enterprise GRC umsetzen und betreiben. Deshalb können sie auch am besten die Notwendigkeit integrierter Lösungen und den Weg dorthin aufzeigen – und das Business-/IT-Alignment im Unternehmen damit signifikant voranbringen.
*Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole [1], das sich im Schwerpunkt mit den Themenbereichen Identity und Access Management, Governance, Risk Management, Compliance sowie Cloud Computing und Virtualisierung beschäftigt.
[1] http://www.kuppingercole.com/
- 1. Seite: GRC: Organisatorische Unklarheiten als Herausforderung
- 2. Seite: Von IAM-GRC über SIEM bis BSM
» Tipp der Redaktion
Das sind die deutschen Top IT-Managerinnen 2010
IT-Riesen wie Microsoft, IBM oder Dell haben längst erkannt, dass Frauen in Führungspositionen gehören. Nachdem wir Ihnen in den vergangenen Woche die weltweit mächstigesten IT-Damen vorgestellt haben, folgen jetzt die deutschen Top IT-Managerinnen 2010 - mit einigen Neuzugängen und Managerinnen die schon seit Jahren ihre »Frau« in der IT stehen.
50 Jahre IFA
2010 feiert Berlin die 50. IFA. Seit dem Startschuss zur ersten IFA sind aber fast doppelt so viele Jahre vergangen. Die ersten »Große Deutsche Funk-Ausstellung« hatte bereits 242 Aussteller und 180.000 Besucher auf einer Fläche von 7.000 Quadratmetern. Seither war die IFA Schauplatz für zahlreiche Premieren und Neuvorstellungen, etwa den Startschuss für das Farbfernsehen 1967.
» Top-Stories der Woche
50 Jahre IFA
2010 feiert Berlin die 50. IFA. Seit dem Startschuss zur ersten IFA sind aber fast doppelt so viele Jahre vergangen. Die ersten »Große Deutsche Funk-Ausstellung« hatte bereits 242 Aussteller und 180.000 Besucher auf einer Fläche von 7.000 Quadratmetern. Seither war die IFA Schauplatz für zahlreiche Premieren und Neuvorstellungen, etwa den Startschuss für das Farbfernsehen 1967.
Was der 1&1-Werbestar wirklich will
Ist er ein Schauspieler, oder ist er »echt«? Seit diesem Frühjahr wirbt Marcell D’Avis als »Leiter Kundenzufriedenheit« in TV-Spots für den Internetprovider 1&1. CRN hat D’Avis getroffen.
Weitere Artikel
» Meistgelesene News
Das sind die deutschen Top IT-Managerinnen 2010
IT-Riesen wie Microsoft, IBM oder Dell haben längst erkannt, dass Frauen in Führungspositionen gehören. Nachdem wir Ihnen in den vergangenen Woche die weltweit mächstigesten IT-Damen vorgestellt haben, folgen jetzt die deutschen Top IT-Managerinnen 2010 - mit einigen Neuzugängen und Managerinnen die schon seit Jahren ihre »Frau« in der IT stehen.
Nokia N8 mit Symbian 3
Mit seinem neuen Touchscreen-Smartphone N8 will Nokia endlich Apples iPhone und der wachsenden Andoid-Konkurrenz wieder ernsthaft Paroli bieten. Eine besonders wichtige Rolle kommt daher dem neuen Symbian 3 zu, das die Bedienung per Touchscreen weit besser unterstützt als die Vorgängerversionen.
» Preisvergleich Top 5
- Hier finden Sie Software zum Thema Spesenabrechnung
Die Leserkommentare sind für diesen Artikel deaktiviert.