Wenn man sich den Markt für Governance, Risk-Management und Compliance betrachtet, wird man mit einer beachtlichen Vielfalt konfrontiert. Die Lösungen reichen von manuell befüllten Dashboards für das C-Level bis hin zu technischen Produkten für die Analyse und das Real Time-Monitoring von Ereignissen. Doch langsam beginnt die Integration.
Mancherorts wird die Kooperationsfähigkeit der für Governance, Risk und Compliance (GRC) verantwortlichen Mitarbeiter in den Fachbereichen und der Unternehmensführung angezweifelt. Im Unternehmen herrscht die Annahme, dass sie kaum zu einer konstruktiven Zusammenarbeit mit IT-Bereichen fähig sind, die sich beispielsweise um Access Governance und damit die Sicherheit von Informationssystemen kümmern.Derweil straft eine Reihe von Herstellern sogenannter „Enterprise GRC“-Lösungen die „IT GRC“ mit Desinteresse. Das Motto ist: Wir brauchen nur die Sicht des Managements – was in der IT läuft, interessiert uns nicht. Das ist offensichtlich falsch, da der wesentliche Teil des Geschäfts mit Hilfe von IT-Systemen abgewickelt wird.
Die strategischen und operativen Risiken sind oft unmittelbar mit IT-Risiken verknüpft. Gestohlene Kontodaten von Banken, die beim deutschen Staat landen, gefährden das Neugeschäft dieser Unternehmen. Der Missbrauch von Handelssystemen in Banken kann Unternehmen in den Ruin treiben oder zumindest massiv gefährden.
Beispiele dafür gibt es genug in der Finanzindustrie – aber nicht nur dort. Die fehlerhafte und missbräuchliche Durchführung von Beschaffungen, bei denen Aufträge (Purchase Orders, POs) erst nach dem Wareneingang geschrieben werden, kann gerade im produzierenden Gewerbe kritisch sein. Und interne Dokumente, die unberechtigt an die Öffentlichkeit oder Geschäftspartner gelangen, sind überall ein Problem.
Für all diese Fälle bringen aber ausschließlich manuelle Controls, bei denen Führungskräfte regelmäßig die Risiken in ihren Bereichen bewerten, nicht viel. Denn was tatsächlich in den Systemen passiert, wissen Abteilungsleiter und Manager nicht unbedingt. Und vielleicht wollen sie es auch überhaupt nicht wahrnehmen oder haben ein konkretes Interesse daran, etwas zu verbergen.
Kurz gesagt: Es geht um die sinnvolle und zielgerichtete Kombination von manuellen und automatisierten Controls. Und es geht darum, verschiedene getrennte GRC-Initiativen miteinander zu verknüpfen, um auf allen Ebenen die benötigten Steuerungs- und Kontrollinformationen zu erhalten.
Daher freut es mich auch wenn Hersteller damit beginnen, ihre Systeme zu öffnen und die eher business-orientierte Sicht mit einer stärker technischen getriebenen Funktionalität zusammengebracht wird. Die Zusammenarbeit von SAP und CA im GRC-Bereich ist ein aktuelles Beispiel dafür. MetricStream ist ein anderer Anbieter, der das vorantreibt. Wenn dann von Herstellern die Begründung kommt, dass die Kunden seit einigen Monaten verstärkt eine solche integrierte Sicht fordern, dann zeigt sich, dass nun Bewegung in den Markt kommt.
Die künstliche Trennung verschiedener Ebenen ist nicht sinnvoll. Das „Enterprise GRC“, das ohnehin besser „Business GRC“ oder so hieße, weil es ja eben nur einen kleinen Teil dessen, was in Unternehmen passiert, betrachtet, ist natürlich wichtig. Dort müssen sich aber eben immer mehr Informationen finden, die auf automatisierten Controls basieren. Das sind die Ergebnisse des CCM (Continuous Controls Monitoring), mit dem eben beispielsweise die Verläufe von „purchase orders“ und „goods received“ verglichen werden, das sind die aggregierten und auf konkrete Risiken bezogenen Resultate von SIEM oder von Access Governance-Lösungen.
Dabei gibt es zwei Herausforderungen: Es gibt eine Reihe von Werkzeugen im Bereich Enterprise GRC, die eine solche Integration heute nicht oder nur sehr unzureichend unterstützen – auch weil die Hersteller dieser Tools die Entwicklung schlicht noch nicht begriffen haben. Und es fehlen Standards für die Integration.
Hier sind die Anbieter gefordert. Kooperationen wie zwischen SAP und CA oder Hersteller, die Angebote auf (fast) allen Ebenen haben wie IBM oder Oracle sind diejenigen, die dieses Thema vorantreiben müssen. Dazu gehört, dass Controls und Risiken auf allen Ebenen unterstützt werden und dass die dazu gehörenden Informationen in standardisierter, effizienter (und damit sinnvoll aufbereiteter) Weise ausgetauscht werden können.
Der erste Schritt scheint aber langsam getan zu werden: Mehr und mehr Hersteller und Unternehmen beginnen damit, das zusammenzuführen, was zusammen gehört – GRC-Lösungen auf verschiedenen Ebenen. Denn Controls für den C-Level, die nicht mit validen Werten automatisiert gefüllt werden, mögen der Gewissensberuhigung dienen – die Risiken reduzieren sie nicht effizient.