Governance Risk Management (GRC) ist eines der Top-Themen der IT. Getrieben durch stetig wachsende Compliance-Anforderungen und die Erkenntnis, dass ein definiertes Risikomanagement auf allen Ebenen des Unternehmens unerlässlich ist, wird gerade in der aktuellen Phase viel in GRC-Lösungen investiert.
Der immer noch junge GRC-Markt, der erst in der Folge des amerikanischen Sarbanes-Oxley Act (SOX) als solcher entstanden ist, ist noch stark in Bewegung. Der Trend geht hin zu GRC-Plattformen, mit denen nicht mehr nur eine spezifische Regulierung unterstützt wird, sondern sich ein durchgängiges Management von GRC-Anforderungen umsetzen lässt.
Bei diesen GRC-Plattformen handelt es sich aber keineswegs um ein homogenes Marktsegment. Vielmehr finden sich auch hier mehrere wichtige Gruppen. Dazu zählen Lösungen aus dem Bereich des Enterprise Risk Managements (ERM) für den Umgang mit operationalen Risiken, wie sie beispielsweise Openpages anbietet. Im Bereich des Risiko-Managements finden sich viele isolierte Lösungen für spezifische Risikobereiche wie Kredit- und Wertpapierhandelsrisiken oder Produkte für das IT Risk Management (IRM), deren Schwerpunkt bei den IT-Risiken liegt.
Aufgabentrennungen lassen sich regelbasiert umsetzen
Eine weitere wichtige Gruppe sind GRC-Plattformen, die mehr auf die Attestierung, die Umsetzung von Regeln zur Aufgabentrennung (SoD, Segregation of Duties) und teilweise auch die Steuerung der Autorisierung ausgerichtet sind. Neben generischen Plattformen wie denen von Aveksa, Bhold, Sun, Oracle, Engiweb und etlichen Anbietern, die unterschiedliche Systemumgebungen unterstützen, gibt es hier auch spezialisierte Produkte für ERP-Systeme mit vordefinierten SoD-Regeln.
Neben diesen Gruppen gibt es auch erste Lösungen, die stärker auf das Management von Richtlinien ausgelegt sind, also eine einheitliche Definition und Verwaltung von GRC-Regeln oberhalb der IT-GRC-Plattformen. Ein Beispiel dafür ist Agiliance.
Neben den einerseits vor allem auf das Risikomanagement und andererseits den auf „IAM-GRC“, also die Identity und Access Management ausgerichteten Produkten, spielt das Thema aber auch in anderen Bereichen wie dem Business Service Management mit Fokus auf die Verfügbarkeit von Systemen und Geschäftsprozessen, beim Security Incident and Event Management oder beim Enterprise Content Management in Bezug auf die Archivierung eine wichtige Rolle.
Bei der Auswahl von GRC-Lösungen gibt es zwei große Herausforderungen. Die eine ist, dass es sich noch um einen recht unreifen Markt mit schnellen Entwicklungen handelt. So verschwindet die Grenze zwischen ERM und IRM langsam, was Sinn macht, da operationale Risiken und IT-Risiken eng verknüpft sind. Insofern ist jede Investition mit einem Risiko verbunden, weil der Markt von einer schnellen Produktentwicklung geprägt ist. Trotz dieser Unsicherheit sollte man beim Einstieg in das Thema GRC den Fokus auf Plattform-Ansätze legen, die auf Dauer günstiger sind als Einzellösungen.
Die eierlegende Wollmilchsau gibt es noch nicht
Derzeit gibt es keine Plattform, die alle Funktionsbereiche auf hohem Niveau abdeckt, so dass man sich an den eigenen Anforderungen orientieren muss. Ein zweites wichtiges Kriterium ist der Fokus der Hersteller: GRC muss unterschiedliche Systemwelten umfassen und GRC-Plattformen müssen auf Dauer über die IAM-bezogenen Aspekte hinaus GRC-Anforderungen unterstützen. Trotz dieser Un- sicherheiten, die sich durch einen qualifizierten Auswahlprozess aber reduzieren lassen spricht heute schon vieles für den Schritt zu Plattformansätzen für GRC – weil man unterschiedliche Regularien mit einer Lösung adressieren kann, statt sich mit Punktlösungen zu verzetteln.