Governance-, Risk- und Compliance-Management (GRC) beschreibt den integrierten Umgang mit verschiedenen, ähnlich gelagerten Aufgabenbereichen, die heute schon alle fixer Bestandteil moderner Unternehmensführung sind:

• Governance: das Erzielen höchstmöglicher Transparenz in Ent­scheidungen und Managementprozessen
• Risk: das aktive Steuern von Chancen und Risiken des Unternehmens
• Compliance: das Sicherstellen der Einhaltung gesetzlicher sowie interner Regelungen

Die meisten Unternehmen wurden bereits in der Vergangenheit mit Teil­aspekten dieser Anforderungen konfrontiert und haben anforderungs­gemäß jeweils die spezifischen Themen (z. B. Risiko­management) als Prozess in die Steuerungsinstrumente der Unternehmensführung eingebaut. Speziell die Divergenz externer Regularien zu den unternehmensinternen Anforderungen stellen Unternehmen hierbei vor große Herausforderungen – dies zeigt sich besonders beim alljährlichen Besuch der Wirt­schafts­prüfer.

Geht es um die Konformität zu externen Forderungen durch Gesetze und Vertragspartner, ist das Top-Management der richtige Ansprech­partner, während bei Kundenanforderungen häufig der Vertrieb und in der Regel auch die interne Revision noch ein Wort mitzureden haben. Aber alles dies stellt auch Anforderungen an die internen Kontroll­prozesse und damit gleichzeitig an die IT. Leider führen Unternehmen in allzu vielen Fällen noch redundante Aktivitäten aus, die alle das gleiche Ziel haben: Die Verein­barkeit der täglichen Praxis mit externen Regelungen, die Übersetzung in interne Regeln und deren Einhaltung beziehungsweise die Dokumentation und Überprüfung der Einhaltung sowie ein funktionierendes Risiko­management.

Eine in vielen Unternehmen bekannte Situation ist folgende: Der Wirtschaftsprüfer überprüft im Rahmen der Jahresabschlussprüfung auch die IT-Kontrollmechanismen. Oft wurden die Ansprechpartner, die nun vor dem Wirtschaftsprüfer Rede und Antwort stehen, dabei bereits davor schon mit sehr ähnlichen Fragen von der internen Revision, dem Qualitätsmanagement oder dem Informations­sicherheits­management konfrontiert.

Ein weiteres typisches Beispiel findet sich im Umfeld des Risiko­manage­ments: Das Controlling fühlt sich für das Enterprise Risk Management, also für die Erfassung von Unternehmensrisiken verantwortlich. Ein anderes ausgewiesenes Team fokussiert sich auf die Erfassung der Informations­sicherheitsrisiken und ein weiteres Team interessiert sich für Projektrisiken. Und alle richten ihre Fragen an die IT.

Was es heute kostet und was es wirklich kosten muss

Solche Redundanzen erzeugen sehr hohe Aufwände und binden übermäßig viele Unternehmens­ressourcen, die auch für andere Aufgaben verwendet werden könnten. Dabei betreffen diese Effekte nicht nur die IT, sondern alle Unternehmensbereiche – in der Folge dieser redundanten Aktivitäten entstehen zudem oft auch hohe Kosten.
Genau diesem Problem tritt GRC entgegen, indem es die unterschiedlichen Aufgaben konsolidiert in eine GRC-Methodik einordnet, die redundante Befragungen aus unterschiedlichen Blickwinkeln vereinheitlicht. Gleiche Fragestellungen aus unterschiedlichen Themenbereichen können so mit konsolidierten Fragekatalogen beantwortet werden, anstatt ohne GRC-­Lösung gleiche Fragen nur aus unterschiedlichen Sichten mehrfach zu stellen. Zu den durch GRC konsolidierten Aufgaben zählen auch die Aktivitäten des IT-Managements und des Informations­sicherheits­managements, beispielsweise im Sinne eines Managementsystems nach ISO 27001. Die Herausforderung ist hier also, diese Aufgaben unter einem Dach zusammenzuführen, anstatt weiter mit Insellösungen und einem hohen Aufwand zu arbeiten.

Neue GRC Software-Lösungen
Aus den genannten Anforderungen entwickelte sich in den letzten Jahren ein eigener Markt für GRC Software-Lösungen. Das Ziel dieser neuen Produkte ist es, ein einheitliches Enterprise Management Framework für verschiedene Anforderungsbereiche zur Verfügung zu stellen und durch Softwaremodule sowie Methoden die genannten Redundanzen zu vermeiden. Eine GRC-Lösung ist damit also ein modularer „Software-Baukasten“ für die Adressierung vielschichtiger Themenfelder, mit denen das Management moderner Unternehmen heutzutage kontinuierlich konfrontiert ist.

Oft kommt dem Informationssicherheitsmanagement bei GRC- Überlegungen die zentrale Aufgabe zu, das Thema als Vorreiter voranzutreiben und dadurch Mehrwerte für andere Bereiche zu schaffen. In einer solchen Integration werden nicht nur gemeinsame Prozesse geschaffen, sondern auch Methoden und Tools in einer einheitlichen Form themenübergreifend zusammengeführt. Damit lassen sich die Aufwände für die notwendigen Aktivitäten sowohl bei den Durchführenden als auch bei den Ansprechpartnern erheblich reduzieren.

Die Risiko­analyse für Informationssicherheit unterstützt so beispielsweise direkt die Darstellung und Kontrolle der gesamten Unternehmensrisiken. Interne Audits helfen bei der Darstellung der Überprüfung der Maßnahmen von der (IT-)Revision sowie bei der Beantwortung von Fragen gegenüber Wirt­schaftsprüfern und Kennzahlen für Informationssicherheit können nun zu einem ganzheitlichen Kennzahlensystem beitragen.

Ausblick
Im Unternehmen haben viele Parteien – Geschäftsführung, Wirt­schafts­prüfer, Interne Revision, Aufsichtsbehörden, Qualitäts­management und Informationssicherheitsmanagement – gleiche Informations­anforderungen. Genau aus diesem Grund liefern GRC-Lösungen ein ganzheitliches Re­porting, das die richtigen Sichtweisen auf vorhandene Informationen bereitstellt. Zusammengeführte Informationen und Methoden werden so in ziel­gruppengerechte, sichtbare Darstellungen gebracht. Damit reduziert GRC nicht nur den Aufwand bei den Aktivitäten des (IT-)Manage­ments, die ohnehin in Steuerungsmethoden eingebunden sein müssen, sondern steigert gleichzeitig auch besonders die Qualität durch effiziente Synergie­effekte – und das sogar noch bei erheblich geringerem Aufwand.

Originalquelle: Integralis Security Newsletter 02/2008
http://www.ic-security-world.com/newsletter/2008-02/neutral/grc-loesungen.php

zurück

Share