GRC: Von der Punktlösung zur Gesamtlösung

GRC (Governance, Risk Management, Compliance) ist seit einigen Jahren ein wichtiges Thema in der IT. Bisher gab es aber vor allem punktuelle Ansätze für verschiedene Bereiche. Nun wird der Trend zu integrierten GRC-Ansätzen aber immer stärker.

Bisher gab es vor allem eine ausgeprägte Trennung zwischen dem so genannten »Enterprise GRC« mit Fokus überwiegend auf manuelle Controls und der Zielgruppe des CFO und der Risk Manager auf der einen Seite und einer Reihe unterschiedlicher Ansätze für das IT-GRC mit manuellen Controls und einerseits der Zielgruppe der IT-Verantwortlichen, andererseits aber auch der Verantwortlichen für Geschäftsprozesse.

Operationale Risiken und IT-Risiken
Diese Trennung ist allerdings eher künstlich. Operationale Risiken sind heute in fast allen Fällen auch mit IT-Systemen und damit IT-Risiken verknüpft. Und IT-Risiken betrachtet man faktisch nur, weil dahinter eben auch operationale Risiken stehen. Dabei geht es sowohl um technische Aspekte wie die Verfügbarkeit von Systemen oder die IT-Sicherheit und beispielsweise unbefugte Zugriffe als auch inhaltliche Aspekte wie die korrekte Umsetzung und Nutzung von Geschäftsprozessen.

Lösungen, bei denen über manuelle Controls regelmäßig ein Risikostatus aktualisiert wird, reichen nicht aus, um schnell reagieren zu können. Bis zur Aktualisierung können längst erhebliche Schäden entstanden sein, weil falsche Auftragsbestätigungen umgesetzt oder verbotene Wertpapiertransaktionen durchgeführt wurden.

Es geht darum, schnell und zeitnah die Änderung von Risikoindikatoren zu erkennen und darauf reagieren zu können. Das bedingt aber automatisierte Controls und eine enge Verknüpfung der Business-Sichtweise mit den darunter liegenden IT-Systemen.

Corporate Risk Officer mag keine Details

Derzeit sind diese Ebenen oft aber noch organisatorisch in den Unternehmen getrennt. Die Corporate Risk Officer möchten sich nicht mit den Details aus der IT beschäftigen, die IT schaut zu sehr auf technische Aspekte und nicht den Zusammenhang zu den Geschäftsprozessen und damit den operationalen Einfluss von Risiken. Das gleiche Bild zeigte sich bis vor kurzem auch beim Markt für GRC-Lösungen – mit Enterprise GRC-Herstellern und darunter IT-orientierten Ansätzen.

SAP verknüpft GRC-Lösungen

Hier gibt es aber zunehmend Bewegung. SAP verknüpft seine GRC-Lösungen immer stärker miteinander. MetricStream verfolgt diesen Ansatz schon länger. RSA hat Archer gekauft, um nicht nur die technische, sondern auch die Business-Sicht abdecken zu können. Und IBM übernimmt nun OpenPages und setzt auf die Integration mit anderen Lösungen aus dem Business Analytics- und Tivoli-Portfolio, um eine aktuelle Gesamtsicht bieten zu können.

Der schnelle Überblick

Die Kunst liegt dabei darin, Controls so zu definieren, dass man abgeleitet von Business-Anforderungen die spezifischen Richtlinien für Geschäftsprozesse und IT-Systeme erhält und andererseits die Detailinformationen so zu aggregieren, dass man auf der Ebene des CFO einen schnellen Überblick über die wirklichen Risiken erhält – und sich dann wieder bis zu den Details durchhangeln kann, die durch Maßnahmen adressiert werden müssen. Hier ist noch einiges an Arbeit und Standardisierung zu leisten, um Informationen effizient und sinnvoll austauschen zu können.

Gerade die Übernahme von OpenPages durch IBM zeigt aber deutlich, dass die Entwicklung in diese Richtung geht. Damit wird sich auch der GRC-Markt verändern. Enterprise GRC-Lösungen, die keine ausreichende Integrationsfähigkeit mit den darunter liegenden Schichten haben, werden sich im Markt zunehmend schwer tun. Denn mit manuellen Controls und der reinen Business-Sicht bei gleichzeitiger Ignoranz dessen, was in den darunter liegenden IT-Businesssystemen geschieht, wird man die GRC-Anforderungen und, mehr noch, die Herausforderungen an eine effiziente operationale Steuerung von Unternehmen, nicht erfüllen können.


KuppingerCole Select

Register now for KuppingerCole Select and get your free 30-day access to a great selection of KuppingerCole research materials and to live trainings.

Stay Connected

KuppingerCole on social media

Subscribe to our Podcasts

KuppingerCole Podcasts - listen anywhere


How can we help you

Send an inquiry

Call Us +49 211 2370770

Mo – Fr 8:00 – 17:00