Suchen

Governance, Risk and Compliance

Gesamtsicht auf GRC hilft bei der Risiko-Erkennung und -Bewertung

Seite: 2/2

Kombination manueller und automatisierter Lösungen

Kurz gesagt: Es geht um die sinnvolle und zielgerichtete Kombination von manuellen und automatisierten Controls. Und es geht darum, verschiedene getrennte GRC-Initiativen miteinander zu verknüpfen, um auf allen Ebenen die benötigten Steuerungs- und Kontrollinformationen zu erhalten.

Daher freut es mich auch wenn Hersteller damit beginnen, ihre Systeme zu öffnen und die eher business-orientierte Sicht mit einer stärker technischen getriebenen Funktionalität zusammengebracht wird. Die Zusammenarbeit von SAP und CA im GRC-Bereich ist ein aktuelles Beispiel dafür. MetricStream ist ein anderer Anbieter, der das vorantreibt. Wenn dann von Herstellern die Begründung kommt, dass die Kunden seit einigen Monaten verstärkt eine solche integrierte Sicht fordern, dann zeigt sich, dass nun Bewegung in den Markt kommt.

Die künstliche Trennung verschiedener Ebenen ist nicht sinnvoll. Das „Enterprise GRC“, das ohnehin besser „Business GRC“ oder so hieße, weil es ja eben nur einen kleinen Teil dessen, was in Unternehmen passiert, betrachtet, ist natürlich wichtig. Dort müssen sich aber eben immer mehr Informationen finden, die auf automatisierten Controls basieren. Das sind die Ergebnisse des CCM (Continuous Controls Monitoring), mit dem eben beispielsweise die Verläufe von „purchase orders“ und „goods received“ verglichen werden, das sind die aggregierten und auf konkrete Risiken bezogenen Resultate von SIEM oder von Access Governance-Lösungen.

Dabei gibt es zwei Herausforderungen: Es gibt eine Reihe von Werkzeugen im Bereich Enterprise GRC, die eine solche Integration heute nicht oder nur sehr unzureichend unterstützen – auch weil die Hersteller dieser Tools die Entwicklung schlicht noch nicht begriffen haben. Und es fehlen Standards für die Integration.

Hier sind die Anbieter gefordert. Kooperationen wie zwischen SAP und CA oder Hersteller, die Angebote auf (fast) allen Ebenen haben wie IBM oder Oracle sind diejenigen, die dieses Thema vorantreiben müssen. Dazu gehört, dass Controls und Risiken auf allen Ebenen unterstützt werden und dass die dazu gehörenden Informationen in standardisierter, effizienter (und damit sinnvoll aufbereiteter) Weise ausgetauscht werden können.

Der erste Schritt scheint aber langsam getan zu werden: Mehr und mehr Hersteller und Unternehmen beginnen damit, das zusammenzuführen, was zusammen gehört – GRC-Lösungen auf verschiedenen Ebenen. Denn Controls für den C-Level, die nicht mit validen Werten automatisiert gefüllt werden, mögen der Gewissensberuhigung dienen – die Risiken reduzieren sie nicht effizient.

Inhalt

  • Seite 1: GRC betrifft alle Geschäftsbereiche
  • Seite 2: Kombination manueller und automatisierter Lösungen

Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

(ID:2046874)