Die höchst unterschiedlichen Botschaften der Anbieter von Managementsoftware für Governance, Risk und Compliance (GRC) führen auch bei den Unternehmen zu sehr unterschiedlichen Definitionen des Themas. Für den CIO sollte ein software-unterstütztes Framework im Mittelpunkt stehen, das die verschiedenen Aspekte von GRC integriert.
Governance, Risk und Compliance (GRC) ist für viele immer noch ein nebulöser Begriff. Für manche ist es eine Art erweitertes Rollenmanagement, andere verstehen Kontroll-Aktivitäten darunter, die mit der IT wenig zu tun haben. Dies ist sicherlich durch die vielen verschiedenen Botschaften, die Hersteller aussenden, um Ihre Produkte unter dem Label »GRC« zu positionieren, bedingt. Eine Vorreiterrolle dabei spielen die großen Software-Hersteller wie SAP und Oracle, die nach ihren ERP-Anwendungen nun mit GRC-Suites den Erfolg anpeilen.
Und in der Tat ist ja der Druck, gesetzlichen Anforderungen gerecht zu werden und die unternehmenseigenen Prozesse gesetzeskonform zu gestalten, in den letzten Jahren zunehmend gestiegen. Viele Software-Hersteller haben diese Entwicklung als Chance wahrgenommen, Lösungen bereitzustellen - entweder ihre bestehenden Lösungen darauf auszurichten (Information Leakage Prevention ist ein gutes Beispiel) oder neue Lösungen dafür zu entwickeln (Risikomanagement-Frameworks sind hier insbesondere zu nennen).
Der Kern eines GRC Frameworks für eine Unternehmensorganisation sind die eigentlichen Prozesse rund um Risikomanagement und interne Kontrollen. Dies sind vorrangig betriebswirtschaftliche Themen und müssen von der Unternehmensleitung gewünscht, eingefordert und im Betrieb unterstützt werden.
Die wichtigsten Elemente sind:
- Requirements Engineering, das Einsammeln der verschiedenen Anforderungen bezüglich Compliance, Risiko Management und Unternehmenssicherheit an die unternehmenseigenen Ressourcen (Prozesse, Personen, Infrastruktur etc.)
- Status ermitteln, also das Zusammentragen von Informationen über den aktuellen Compliance Status
- Verbesserungsprojekte initiieren, bei denen gezielt gewisse Projekte durchgeführt werden, um die Compliance zu verbessern
Optional gehört auch ein Satz von reaktiven Kompetenzen dazu, etwa Incident Management
Auch wenn die Verantwortung für die Umsetzung dieser Prozesse vorrangig bei den Business Units liegt, kann die IT dabei eine starke Rolle als Lösungsanbieter spielen: statt einzelne Prozesse oder Lösungen für individuelle Compliance-Anforderungen für verschiedene Geschäftsbereiche anzubieten, kann die IT die Anforderungen zusammen führen und damit wesentliche Synergien für das Unternehmen aufdecken und zur Umsetzung bringen.
Im Zentrum des Interesses für einen CIO sollte dabei ein software-unterstütztes Framework sein, das es ermöglicht, die verschiedenen Aspekte von GRC ((IT) Security, Risk Management, Compliance management) zu integrieren. Die großen Softwarehersteller haben da naturgemäß einen Vorteil, es gibt aber auch kleinere, spezialisierte Anbieter, wie etwa MEGA.
Eine solche zentrale Plattform sollte zumindest folgendes leisten können:
- Risiko management
- Internal Control Monitoring
- Policy mapping sowie eine hohe Integrationsfähigkeit mit bestehenden Tools, die ebenfalls als Kontrollen eingebunden werden können sollten (Firewalls, Intrusion Prevention Systeme, Data Leakage Prevention)
Bei der Automatisierung gilt es jedoch, Augenmaß zu behalten: zu viel Automatisierung der Internen Kontrollen macht aus einem Unternehmen eine gläserne Organisation, und dies ist der Loyalität und Motivation der Mitarbeiter nicht unbedingt zuträglich. Auch der anderen Seite ist die Herausforderung, die Kontrollen auch in der »Cloud« zu realisieren. Dabei ist GRC zwar selbst als Plattform »outsource-bar«, aber die Risiken leider nicht...