Suchen

Governance, Risk and Compliance Gesamtsicht auf GRC hilft bei der Risiko-Erkennung und -Bewertung

| Autor / Redakteur: Martin Kuppinger / Stephan Augsten

Wenn man sich den Markt für Governance, Risk-Management und Compliance betrachtet, wird man mit einer beachtlichen Vielfalt konfrontiert. Die Lösungen reichen von manuell befüllten Dashboards für das C-Level bis hin zu technischen Produkten für die Analyse und das Real Time-Monitoring von Ereignissen. Doch langsam beginnt die Integration.

Eine umfassende GRC-Strategie erfordert die Zusammenarbeit über verschiedene Abteilungen und Hierarchieebenen hinweg.
Eine umfassende GRC-Strategie erfordert die Zusammenarbeit über verschiedene Abteilungen und Hierarchieebenen hinweg.
( Archiv: Vogel Business Media )

Mancherorts wird die Kooperationsfähigkeit der für Governance, Risk und Compliance (GRC) verantwortlichen Mitarbeiter in den Fachbereichen und der Unternehmensführung angezweifelt. Im Unternehmen herrscht die Annahme, dass sie kaum zu einer konstruktiven Zusammenarbeit mit IT-Bereichen fähig sind, die sich beispielsweise um Access Governance und damit die Sicherheit von Informationssystemen kümmern.

Derweil straft eine Reihe von Herstellern sogenannter „Enterprise GRC“-Lösungen die „IT GRC“ mit Desinteresse. Das Motto ist: Wir brauchen nur die Sicht des Managements – was in der IT läuft, interessiert uns nicht. Das ist offensichtlich falsch, da der wesentliche Teil des Geschäfts mit Hilfe von IT-Systemen abgewickelt wird.

Die strategischen und operativen Risiken sind oft unmittelbar mit IT-Risiken verknüpft. Gestohlene Kontodaten von Banken, die beim deutschen Staat landen, gefährden das Neugeschäft dieser Unternehmen. Der Missbrauch von Handelssystemen in Banken kann Unternehmen in den Ruin treiben oder zumindest massiv gefährden.

Beispiele dafür gibt es genug in der Finanzindustrie – aber nicht nur dort. Die fehlerhafte und missbräuchliche Durchführung von Beschaffungen, bei denen Aufträge (Purchase Orders, POs) erst nach dem Wareneingang geschrieben werden, kann gerade im produzierenden Gewerbe kritisch sein. Und interne Dokumente, die unberechtigt an die Öffentlichkeit oder Geschäftspartner gelangen, sind überall ein Problem.

Für all diese Fälle bringen aber ausschließlich manuelle Controls, bei denen Führungskräfte regelmäßig die Risiken in ihren Bereichen bewerten, nicht viel. Denn was tatsächlich in den Systemen passiert, wissen Abteilungsleiter und Manager nicht unbedingt. Und vielleicht wollen sie es auch überhaupt nicht wahrnehmen oder haben ein konkretes Interesse daran, etwas zu verbergen.

Inhalt

  • Seite 1: GRC betrifft alle Geschäftsbereiche
  • Seite 2: Kombination manueller und automatisierter Lösungen

(ID:2046874)