Governance, Risk & Compliance: Die Rolle der IT
Die höchst unterschiedlichen Botschaften der Anbieter von Managementsoftware für Governance, Risk und Compliance (GRC) führen auch bei den Unternehmen zu sehr unterschiedlichen Definitionen des Themas. Für den CIO sollte ein software-unterstütztes Framework im Mittelpunkt stehen, das die verschiedenen Aspekte von GRC integriert.
Prof. Dr. Sacher Paulus, Senior Analyst beim Analystenunternehmen Kuppinger Cole.
Governance, Risk und Compliance (GRC) ist für viele immer noch ein nebulöser Begriff. Für manche ist es eine Art erweitertes Rollenmanagement, andere verstehen Kontroll-Aktivitäten darunter, die mit der IT wenig zu tun haben. Dies ist sicherlich durch die vielen verschiedenen Botschaften, die Hersteller aussenden, um Ihre Produkte unter dem Label »GRC« zu positionieren, bedingt. Eine Vorreiterrolle dabei spielen die großen Software-Hersteller wie SAP und Oracle, die nach ihren ERP-Anwendungen nun mit GRC-Suites den Erfolg anpeilen.
Und in der Tat ist ja der Druck, gesetzlichen Anforderungen gerecht zu werden und die unternehmenseigenen Prozesse gesetzeskonform zu gestalten, in den letzten Jahren zunehmend gestiegen. Viele Software-Hersteller haben diese Entwicklung als Chance wahrgenommen, Lösungen bereitzustellen - entweder ihre bestehenden Lösungen darauf auszurichten (Information Leakage Prevention ist ein gutes Beispiel) oder neue Lösungen dafür zu entwickeln (Risikomanagement-Frameworks sind hier insbesondere zu nennen).
Die wichtigsten Prozesse im Kern des GRC Frameworks
Der Kern eines GRC Frameworks für eine Unternehmensorganisation sind die eigentlichen Prozesse rund um Risikomanagement und interne Kontrollen. Dies sind vorrangig betriebswirtschaftliche Themen und müssen von der Unternehmensleitung gewünscht, eingefordert und im Betrieb unterstützt werden. Die wichtigsten Elemente sind:
- Requirements Engineering, das Einsammeln der verschiedenen Anforderungen bezüglich Compliance, Risiko Management und Unternehmenssicherheit an die unternehmenseigenen Ressourcen (Prozesse, Personen, Infrastruktur etc.)
- Status ermitteln, also das Zusammentragen von Informationen über den aktuellen Compliance Status
- Verbesserungsprojekte initiieren, bei denen gezielt gewisse Projekte durchgeführt werden, um die Compliance zu verbessern
- Optional gehört auch ein Satz von reaktiven Kompetenzen dazu, etwa Incident Management.
Auch wenn die Verantwortung für die Umsetzung dieser Prozesse vorrangig bei den Business Units liegt, kann die IT dabei eine starke Rolle als Lösungsanbieter spielen: statt einzelne Prozesse oder Lösungen für individuelle Compliance-Anforderungen für verschiedene Geschäftsbereiche anzubieten, kann die IT die Anforderungen zusammen führen und damit wesentliche Synergien für das Unternehmen aufdecken und zur Umsetzung bringen.
Software-unterstütztes Framework im Zentrum
Im Zentrum des Interesses für einen CIO sollte dabei ein software-unterstütztes Framework sein, das es ermöglicht, die verschiedenen Aspekte von GRC ((IT) Security, Risk Management, Compliance management) zu integrieren. Die großen Softwarehersteller haben da naturgemäß einen Vorteil, es gibt aber auch kleinere, spezialisierte Anbieter, wie etwa MEGA. Eine solche zentrale Plattform sollte zumindest folgendes leisten können:
- Risiko management
- Internal Control Monitoring
- Policy mapping sowie eine hohe Integrationsfähigkeit mit bestehenden Tools, die ebenfalls als Kontrollen eingebunden werden können sollten (Firewalls, Intrusion Prevention Systeme, Data Leakage Prevention).
Bei der Automatisierung gilt es jedoch, Augenmaß zu behalten: zu viel Automatisierung der Internen Kontrollen macht aus einem Unternehmen eine gläserne Organisation, und dies ist der Loyalität und Motivation der Mitarbeiter nicht unbedingt zuträglich. Auch der anderen Seite ist die Herausforderung, die Kontrollen auch in der »Cloud« zu realisieren. Dabei ist GRC zwar selbst als Plattform »outsource-bar«, aber die Risiken leider nicht...
Prof. Dr. Sacher Paulus ist Senior Analyst des Analystenunternehmens Kuppinger Cole.
- 1. Seite: Governance, Risk & Compliance: Die Rolle der IT
- 2. Seite: Die wichtigsten Prozesse im Kern des GRC Frameworks
- 3. Seite: Software-unterstütztes Framework im Zentrum
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Acer rockt die Eifel
Rund um den Nürburgring dröhnten einmal nicht die Rennmotoren: Beim Acer Kick-off 2012 brachten stattdessen Bässe und Gitarrensoli die Eifel zum Wackeln. Über 600 Acer-Partner rockten zum Ausklang des Partner-Events im Eifel Stadl zu Live Musik oder ließen sich im Rockstar-Outfit fotografieren.
Die besten Multifunktions-Farblaser ab 300 Euro
Im Gegensatz zu den ultrabilligen Tintenstrahl-Einsteigerdruckern, die oft schon unter 100 Euro zu haben sind, sollte die Investition in einen Multifunktions-Laserdrucker schon etwas besser überlegt sein. Wir sagen Ihnen, welcher Laser sich besonders für welchen Zweck lohnt.
Cisco zurück auf Wachstumskurs
Cisco ist zurück auf der Überholspur. Nach einem radikalen Stellenabbau und einer stärkeren Fokussierung hat der Netzwerkriese im zurückliegenden Quartal sowohl Umsatz als auch Gewinn deutlich ausgebaut.
» Bilderstrecken
» Meistgelesene News
Ist Ihrer auch zu breit?
Die linke Fahrspur ist in vielen Autobahn-Baustellen nur für Fahrzeuge mit maximal zwei Meter Breite zugelassen. Jetzt warnt der ADAC: 67 Prozent der Neuwagenmodelle sind breiter als zwei Meter! Wer nicht nachmisst, riskiert ein Bußgeld.
Chefs versagen im zwischenmenschlichen Umgang
Vielen Führungskräften fehlt es an Empathie im Umgang mit ihren Mitarbeitern und sie erfüllen ihre Aufgaben nicht effektiv. Zu diesem ernüchternden Ergebnis kommt eine Studie des Beratungsunternehmens Development Dimensions International (DDI).
» Bundesliga-Tippspiel 2011
