GRC (Governance, Risk Management, Compliance) ist in den vergangenen Jahren zu Recht zu einem wichtigen Thema nicht nur der IT, sondern des Managements insgesamt geworden. Doch immer klarer wird: Oft hängen Fortschritte in diesem Bereich an unklaren Verantwortlichkeiten.
Wer hat eigentlich den Hut auf für das Thema GRC? An dieser Frage scheiden sich die Geister. Und viele naheliegende Antworten erweisen sich bei näherer Betrachtung als zu einfach. Der CFO kann es nicht alleine sein, denn dann müsste sich einer der wichtigsten Bereiche im Business selbst kontrollieren. Der CIO kann es allenfalls für die IT-Controls sein, die er dem Business bereitstellt. Die Revision hat oft einen zu eingeschränkten Auftrag. Und spezielle CCOs (Chief Compliance Officers) oder CROs (Chief Risk Officers) – beides schon vom Begriff her etwas unvollständig, weil auf zwei Funktionen aufgeteilt- fehlen meist auch.Das ist vielleicht auch der Grund dafür, dass es heute viele isolierte GRC-Ansätze gibt. Im sogenannten »Enterprise GRC«, das man besser als »Business GRC« bezeichnen würde, geht es um Business-Controls und deren Unterstützung durch IT-Lösungen - sozusagen der Ersatz für die Spreadsheets und der Schritt von nur manuellen hin zu immer mehr automatischen Controls.
Beim Continuous Controls Monitoring geht es um eine automatisierte Überwachung von Controls – in IT-Systemen, aber typischerweise mit Business-Fokus. Oft halten die Lösungen nicht, was der Ansatz verspricht. Auch die Process- und Risk Control-Lösungen mit IT-Fokus liegen zwischen den Enterprise GRC-Lösungen und eher technischen Lösungen.
Darunter finden sich viele spezifische »GRCs«, wie beispielsweise die Lösungen für die Attestierung und Rezertifizierung von Zugriffsberechtigungen, die man als »IAM-GRC« (Identity und Access Management-bezogenes GRC) bezeichnen könnte, aber auch einige SIEM-Lösungen (Security Incident and Event Management), manche BSM-Ansätze (Business Service Management) und mehr. Solche Lösungen adressieren typischerweise wenige Controls, diese aber dafür sehr detailliert und mi hohem Automatisierungsgrad.
Die fehlende Klarheit über die Verantwortlichkeiten für GRC und deren Aufteilung auf mehrere Schultern ist auch die Ursache dafür, dass oft unkoordiniert an verschiedenen Stellen mit GRC-Lösungen begonnen wird und dass auch die Hersteller nur langsam die Integration zwischen Produkten auf verschiedenen Ebenen vorantreiben. Das aber wäre nötig, um die Verknüpfung zwischen Business-Controls und zugehörigen IT-Controls und einen hohen Automatisierungs- und Detaillierungsgrad bei den Controls zu erreichen – über die verschiedenen Ebenen einer Organisation hinweg.
Um das zu adressieren, sind CIOs gefordert. Denn CIOs sind diejenigen, die am ehesten eine Gesamtsicht haben. Sie müssen sich um die IT-Controls bis hin zu Detaillösungen kümmern, sie müssen aber auch die business-getriebenen Lösungen bis hoch zum Enterprise GRC umsetzen und betreiben. Deshalb können sie auch am besten die Notwendigkeit integrierter Lösungen und den Weg dorthin aufzeigen – und das Business-/IT-Alignment im Unternehmen damit signifikant voranbringen.