Derzeit gibt es, insbesondere in den USA, einige Diskussionen darüber, ob GRC (Governance, Risk Management, Compliance) oder, genauer, standardisierte Lösungen für GRC, Sinn machen. Interessant sind hierzu beispielsweise die Blog-Beiträge von Archie Reed, HP sowie auf securosis.com. In einem aktuellen Blog-Beitrag von mir habe ich dazu auch schon Stellung genommen blogs.kuppingercole.com

In der Diskussion werden einige interessante Punkte deutlich:

  • Es fehlt noch am umfassenden Verständnis für den Begriff GRC, seine Teilbereiche und deren Bedeutung.
  • Es gibt offensichtlich deutliche Unterschiede bei den Herangehensweisen in Europa und den USA.
  • Es ist, eng damit zusammenhängend, noch nicht klar, wo GRC eigentlich zusätzlichen Nutzen bringt.
  • Und es gibt zudem auch noch viele „GRCs". Mehr dazu weiter unten.

Mit dem GRC Market Report 2008 haben wir erstmals eine Definition dieses Marktes vorgenommen. GRC-Tools adressieren mehr als nur das Auditing. Ein wichtiges Element ist auch die Steuerung von Autorisierungen.

GRC besteht aus den drei Teilbereichen Governance, Risk Management und Compliance. Der ja immer etwas unscharfe Begriff der Governance (man denke dabei an „Gouvernante") ist das Dach - es geht um das richtige, ordnungsgemäße Tun. Bei der Corporate Governance um die Unternehmensführung, bei der IT Governance um das IT-Management.

Compliance ist der am meisten beachtete und dennoch unwichtigste Teilbereich. Dabei geht es um das formale Einhalten von Regelungen. Das wird leider meist als Selbstschutz für die Verantwortlichen interpretiert, als einmalige oder alle Jahre wiederkehrende Aktivität, aber nicht in kontinuierliche Prozesse umgesetzt, um daraus auch Nutzen schöpfen zu können.

Risk Management ist schließlich der Bereich, der sich ohne organisatorische Strukturen und Kontinuität nicht umsetzen lässt und damit auch am interessantesten ist. Es geht um die Definition von Risiken, ihre Messung und den strukturierten Umgang damit - und im Ergebnis damit darum, sich beim Management auf die Ausnahmesituationen zu konzentrieren, weil man diese besser erkennen kann.

In den USA liegt der Blick auf das Thema GRC dabei derzeit stark auf dem Compliance-Aspekt. Auditing steht im Vordergrund, mit der Unterstützung der Wirtschaftsprüfer und mit Dashboards für die Führungskräfte. Das ist aber eben nur ein Teil des Ganzen. Wenn man daraus keine kontinuierliche Steuerung ableitet und kein kontinuierliches Adressieren der Ausnahmen, schöpft man das Potenzial von GRC nicht annähernd aus.

In Europa hat der steuernde Aspekt dagegen eine sehr viel größere Bedeutung. Auch die Methodiken, bis hin zum Rollenmanagement, haben ein größeres Gewicht. Das Risiko dabei ist sicherlich eine größere Komplexität - der Vorteil ist aber, dass man ein Gesamtkonzept und das Zusammenspiel zwischen Business und IT auf der gesamten Ebene im Blick hat.

Vor allem kann man so aber auch Nutzen generieren. Compliance ist zunächst ein klassischer negativer Treiber - man vermeidet Probleme und Strafen. Ein standardisierter Ansatz, der sich nicht nur auf eine Regulierung beschränkt, bringt schon Vorteile, weil man auf Dauer günstiger sein sollte als mit vielen Einzelansätzen. Zudem muss man bei vielen Regulierungen auch steuern - und das sollte man automatisieren. Damit ist man bereits im Bereich der Steuerung und damit in einem Bereich, der mehr Nutzen bringt. Am wichtigsten ist aber die Fähigkeit, Abweichungen zu erkennen und darauf schnell und gezielt reagieren zu können - und die Fähigkeit, vieles wie einen wesentlichen Teil von Zugriffsberechtigungen automatisiert vergeben zu können.

Es geht also nicht nur darum, dass sich manche Prüferanforderungen ohne GRC-Werkzeuge nicht oder nur mit hohem Aufwand erfüllen lassen. Wenn man die Werkzeuge richtig nutzt, kommt man dem Ziel einer Business-Kontrolle über die IT und damit auch einer höheren Flexibilität der IT sehr viel näher. Denn wenn man neue Anforderungen des Business über ein GRC-Werkzeug in Rollen und Regeln beschreiben und weitgehend automatisiert auf Entitlements umsetzen kann, ist man auch bei der Business-Unterstützung durch die IT einen wichtigen Schritt vorangekommen.

Das macht aber bereits deutlich, dass sich GRC-Initiativen nicht auf das Identity und Access Management beschränken dürfen. Es ist insofern auch nicht überraschend, dass viele Hersteller in anderen Segmenten wie dem Enterprise Content Management (ECM, früher meist als Dokumentenmanagement bezeichnet) oder dem BSM (Business Service Management) ebenfalls die Lösung der GRC-Anforderungen versprechen. Letztlich muss man das Thema daher auch in einer Gesamtsicht sehen, bei der man Steuerungsfunktionen für alle Teile der IT realisiert - mit durchgängigen Konzepten, aber durchaus mit unterschiedlichen, spezialisierten Werkzeugen mit ausreichender Tiefe. Bei den aggregierten Informationen sollte aber alles zusammen kommen, was Standards für den Austausch von Rollen, Audit-Informationen und Richtlinien sowie Regeln erfordert - über die einzelnen Domänen hinaus. Hier ist noch viel Arbeit zu leisten.

Klar ist aber, dass man GRC braucht. Daran führt kein Weg vorbei, denn das Thema ist für die IT und das Business einfach zu wichtig. Man muss es aber richtig machen und darf sich nicht nur auf einzelne Teilbereiche beschränken. Insofern ist GRC auch eher eine Initiative als ein Projekt nur für die Einführung eines Werkzeugs.

Eine interessante Frage im Zusammenhang mit der Diskussion ist aber, ob der Begriff GRC wirklich sinnvoll ist. Die Erweiterung auf GRCE (für Entitlement Management) ist keine wirkliche Lösung. Letztlich geht es um die business-getriebene Steuerung und Kontrolle der IT - nicht nur im Identity Management, sondern auch in anderen Bereichen. GRC-Tools sind damit, in einer weiteren Definition mit Blick nicht nur auf Identitäten, Zugriffsrechte und Segregation of Duties, eigentlich Lösungen für das Business-Alignment der IT.