GRC (Governance, Risk Management, Compliance) ist eines der genauso populären wie unverstandenen Schlagwörter der IT. Wie so oft liegt das daran, dass zu viele Interessensgruppen, von unterschiedlichen IT-Herstellern bis zu Beratern und Wirtschaftsprüfern, den Begriff in unterschiedlicher Weise verwenden. Und doch gilt: GRC muss ein Thema bei der IT-Strategieentwicklung als auch bei den Investitionen sein.
Wie der Begriff GRC (Governance, Risk Management, Compliance) schon deutlich macht, geht es dabei um mehrere Themen: Governance kann man als Überbegriff verstehen, der das ordnungsgemäße Handeln als solches beschreibt. Risk Management und Compliance sind zwei Ansätze, um die Governance-Anforderungen umzusetzen. Während es bei der Compliance nur um das Erfüllen von definierten Richtlinien (Gesetze, Verordnungen, interne Richtlinien,…) geht, geht es beim Risiko-Management darum, Risiken zu identifizieren, sie kontinuierlich zu beobachten (messen) und sich darauf vorzubereiten, beim Eintreten eines Risikos handeln zu können. Im Gegensatz zu dem kontinuierlichen Risikomanagement wird Compliance oft eher zeitpunktorientiert gesehen – zum Jahresende oder anderen definierten Zeitpunkten muss man seine Häkchen hinter Anforderungen machen können.
GRC gibt es in verschiedenen Ausprägungen. Unternehmen müssen mit Blick auf ihre Geschäftsprozesse und die internen Abläufe das Thema GRC im Griff haben und beispielsweise handels- und steuerrechtliche Vorschriften erfüllen. In der IT geht es darum, dass die spezifischen an die IT gestellten Anforderungen erfüllt werden. Dazu gehören viele Teilbereiche, von der Verwaltung von Assets über das Lizenzmanagement hin zum Security und Incident Management oder der Steuerung und Kontrolle von Zugriffsberechtigungen. Dazu gehören aber auch das korrekte Management von IT-Projekten und –Diensten.
Durchgängige GRC-Initiativen noch sehr selten
Bisher gibt es nur wenige Unternehmen, die durchgängige GRC-Initiativen überhaupt angedacht haben. Während das Operational Risk Management (ORM) mit Blick auf operative Risiken zumindest in einigen Branchen verankert ist und das Management auch auf ausgewählte Regularien achtet, fehlen sowohl mit Blick auf das Kerngeschäft als auch die IT durchgängige Konzepte für GRC in den meisten Unternehmen – von der sinnvollen wie wichtigen Verknüpfung von „Enterprise GRC“ und „IT GRC“ ganz zu schweigen.
Die Gründe dafür sind vielschichtig. Fehlende organisatorische Strukturen für GRC, allzu fokussierte IT-Werkzeuge zur Unterstützung von GRC mit einem „Silo“-Ansatz und die fehlende Übersicht über die relevanten Vorschriften und mögliche Konflikte wie diesen sind nur einige Beispiele dafür.
Dabei ist gerade die Umsetzung von Risiko-Management in der IT nicht nur wichtig, sondern auch hilfreich. Durch ein Risiko-Management lassen sich Prioritäten für Investitionen setzen, Investitionen besser begründen, Folgekosten von Fehlern reduzieren, organisatorische Prozesse optimieren und vieles mehr.
Investitionen gezielt priorisieren und Fehlinvestitionen vermeiden
Klar ist, dass man dabei nicht sofort von 0 auf 100 kommen wird. Wer als CIO aber darauf verzichtet, sich mit dem Zusammenspiel von Enterprise GRC und IT GRC und einer Architektur für die GRC-Landschaft des Unternehmens zu beschäftigen, um diese dann – risiko-orientiert – Schritt für Schritt umzusetzen, ignoriert die Risiken des Nichtstuns und nimmt die potenziellen Folgen von Fehlern und Compliance-Verstößen billigend in Kauf. Gerade das „Big Picture“ lässt sich aber mit einem überschaubaren Aufwand zeichnen. Und das wird sich schon dadurch rechnen, dass man seine Investitionen gezielt priorisieren und Fehlinvestitionen vermeiden kann.