GRC-Management-Tipps für die Praxis

Tool-Unterstützung
ja oder nein?

Professionelles GRC-Management ermöglicht eine integrierte Herangehensweise: Es erlaubt eine ganzheitliche Sicht auf das Unternehmen, die alle Managementsysteme und Maßnahmen im Fokus hat. Das Ergebnis sind eine verbesserte Steuerung von Informationssicherheitsmanagement, IT-Risikomanagement sowie IT-Compliance, um die unterschiedlichen Anforderungen an das aktive Risikomanagement und den geforderten Reportings bzw. Berichtspflichten effizient nachkommen zu können.
Was macht professionelles GRC-Management aus? Es basiert auf einer objektiven Analyse der Unternehmenssituation, die Umsetzung erfolgt auf strategischer, taktischer und operativer Ebene, die Prozesslandschaft ist belastbar und stimmig. Eine Unterstützung durch eine darauf spezialisierte Management-Softwarelösung ist nicht zwingend, aber ab einer gewissen Größenordnung oder einem gewissen Geschäftsmodell des Unternehmens nahezu unverzichtbar. Möglicherweise fällt die Entscheidung dafür nach einer Wirtschaftsprüfung, bei der die Revisionssicherheit des Risikomanagements angezweifelt wird – möglicherweise, weil Inkonsistenzen im Berichtswesen bestehen, die sich nicht kurzfristig konsolidieren lassen. Auch die Ausweitung der Geschäftsaktivitäten z.B. in die USA hinein, wo etwaige Compliance-Verstöße teils drastischer geahndet werden, kann ein Grund sein, sich an dieser Stelle zu professionalisieren.

Informationen richtig beurteilen

Mit GRC-Software lassen sich manuelle Prozesse effizienter gestalten, Informationen aus verschiedenen Quellen sinnvoll zusammenführen und mit dem eigentlichen Unternehmenskontext in Verbindung bringen. Das bedeutet: Im Rahmen eines risikozentrierten Ansatzes lassen sich die einzelnen Informationen nur dann sinnvoll auf ihre Kritikalität für das Unternehmen beurteilen, wenn sie sich im Zusammenhang mit für das Unternehmen wesentlichen Geschäftsprozessen, damit verbundenen Produkten oder Services, Anwendungen oder Standorten betrachten lassen. Allerdings sollten Nutzer von GRC-Software nicht dem Irrtum erliegen, verantwortliche Unternehmensführung und unternehmensweites Risikomanagement ließen sich so per Knopfdruck erledigen. Das Unternehmen muss im Vorfeld definieren, welchen internen und externen Vorschriften es unterliegt und welche Workflows am besten in die Abläufe des Unternehmens passen. Mit einem toolgestützten Ansatz verbessern sich Nachvollziehbarkeit und Auswertbarkeit von Informationen erheblich – und damit auch die Steuerungsmöglichkeiten innerhalb des Risikomanagements, selbst wenn Compliance-Anforderungen einem schnellen Wandel unterliegen.

Auswahl der GRC-Software

Es gibt zahlreiche Lösungsanbieter, die auf der funktionalen Ebene miteinander konkurrieren. Zurzeit geht der Trend stark in Richtung integrierte Compliance-Frameworks: Diese Tools bieten bereits vordefinierten Standard-Content, der die Anforderungen diverser Rahmenwerke und Regularien wie der ISO27001 oder der EU-Datenschutzgrundverordnung berücksichtigt und sich relativ einfach mit den individuellen Kontrollstrukturen des jeweiligen Unternehmens verknüpfen lässt. Neue Gesetze lassen sich einfach in das bestehende Compliance Framework integrieren, was dazu beiträgt, den Pflegeaufwand des Compliance-Systems überschaubar zu halten. Wer sich einen ersten Überblick verschaffen will, wirft am besten einen Blick in die Produktübersichten von Analysten wie Forrester und Gartner. Im Rahmen eines Ausschreibungsverfahrens sollten Unternehmen ihre funktionalen und technischen Anforderungen an die Managementsoftware-Lösung definieren. Dabei kommt es darauf an, dass die Technologie nicht nur in der Lage ist, die aktuelle Situation abzubilden, sondern auch mitzuwachsen, um künftigen Anforderungen gerecht zu werden. Darüber hinaus liefern die Analysten wertvolle Informationen über die Stärken und Schwächen der hinter der Software-Lösung stehenden Anbieter und deren Strategien, um den Kunden langfristig und mit ausreichender Manpower mit notwendigen Services rund um die gewählte GRC-Lösung lokal zu betreuen. Genau anschauen sollte man sich, ob es ein funktionierendes Partnernetzwerk oder eine regionale Präsenz gibt, die über das Vorhandensein eines Vertriebsansprechpartners hinausgeht. Denn ein Tool ohne Experten, die die Anwendung fachmännisch und zweckmäßig einrichten können, ist nahezu wertlos. Experten müssen nicht nur theoretisch verfügbar sein, sondern praktisch für den Kunden da sein.