Studie zu Governance, Risk & Compliance

Mit GRC-Software & -Services zum Erfolg

31.08.2015 von Lubor Ptacek

Eine effiziente GRC-Strategie bietet Unternehmen zahlreiche Vorteile. Bei der Umsetzung gibt es jedoch noch jede Menge Nachholbedarf, wie eine aktuelle Studie von AIIM und OpenText zeigen möchte.

Eine effiziente Governance, Risk & Compliance-Strategie stellt Unternehmen vor zahlreiche Herausforderungen.
Eine aktuelle Studie von OpenText und AIIM will belegen, dass Unternehmen im Bereich GRC Nachholbedarf haben.
Die Basis einer effizienten GRC-Strategie bilden ECM- und BPM-Tools.

"Risiko" mit meiner Familie zu spielen, zählt zu meinen liebsten Freizeitbeschäftigungen. Das populäre Brettspiel erlaubt es, nach und nach die ganze Welt zu erobern. Als ich mir die Spielregeln einmal genauer ansah, fiel mir auf: Das zentrale Thema des Spiels lässt sich auch auf die Herausforderungen ummünzen, mit denen Unternehmen hinsichtlich Governance, Risk and Compliance (GRC) konfrontiert sind. So heißt es in der Spielanleitung: "Entwickeln Sie für Ihren Feldzug clevere Taktiken (...). Nur eine Macht kann triumphieren, also sollten Sie Ihre Entscheidungen sorgfältig treffen, damit Ihre Siegeschancen nicht zur vernichtenden Niederlage werden."

Der Umgang mit großen, komplexen Datenvolumen - sprich Big Data - ist für Unternehmen heutzutage Segen und Fluch. Sie sind sozusagen das Pulverfass im digitalen Zeitalter: Richtig genutzt, katapultieren sie Firmen an die vorderste Front beim Kampf um Kunden und bilden den Schlüssel für eine wettbewerbsfähige Unternehmensstrategie. In den falschen Händen können sie die Reputation eines Unternehmens hingegen völlig zerstören. Firmen sind sich dieser Problematik bewusst. Viele verwenden schon heute Unmengen an Ressourcen, um sensible Informationen vor Verlusten zu schützen und staatliche Compliance-Vorgaben zu erfüllen.

Die richtige GRC-Strategie kann Unternehmen zu mehr Erfolg führen. Dennoch gibt es hinsichtlich Governance, Risk & Compliance jede Menge Nachholbedarf im Unternehmensumfeld.
Foto: Creativa Images - shutterstock.com

GRC-Grundlagen: ECM & BPM

Die Basis für eine effiziente GRC-Strategie bilden dabei vor allem zwei Tools: Enterprise Content Management (ECM) und Business Process Management (BPM). Durch die Kombination beider Lösungsansätze können Unternehmen das Risiko für den Verlust sensibler Daten erheblich verringern und den Wert der Informationen um ein Vielfaches steigern. Sie sorgen für eine richtlinienkonforme Information - Governance, ein operationales Monitoring, das Aufspüren von Risiken und die Prüfung von Compliance-Vorschriften.

Doch GRC ist zeit- und kostenintensiv. In einer weltweiten Studie fand das Marktforschungsinstitut Forrester kürzlich heraus, dass 89 Prozent der 211 befragten Unternehmen im Jahr 2015 noch mehr Geld für Information-Governance-Programme ausgeben werden als im Jahr 2014. Eine kürzlich von OpenText und AIIM (Association for Information and Image Management) durchgeführte Studie zeigte zudem, dass unter den 1.200 befragten Unternehmen 46 Prozent in den nächsten zwölf Monaten in GRC-Software oder -Services investieren wollen. Davon sollen 15 Prozent für Lizenzen und zwölf Prozent für Cloud/SaaS-Services ausgegeben werden. Wenn firmenintern wenig Know-how im Umgang mit GRC vorhanden ist, suchen 24 Prozent Rat bei professionellen Dienstleistern.

OpenText interessierte in der Studie besonders, welche GRC-Bereiche den Unternehmen am meisten Sorge bereiten. Zudem wurde hinterfragt, ob und wie Firmen ECM, BPM und andere Enterprise-Information-Management (EIM)-Technologien einsetzen, um GRC-Herausforderungen zu meistern und mit welchen Mitteln sie Programme, Prozesse und Tools rund um GRC verbessern wollen.

Konjunktur und Trends in der ECM-Branche

Bitkom-Prognose auf der CeBIT
Der Markt für Enterprise Content Management (ECM) in Deutschland soll in diesem Jahr deutlich zulegen, so eine Prognose des Bitkom. Die Anwender brauchen offenbar Lösungen, um die wachsende Informationsflut in ihren zunehmend digitalisierten Unternehmen zu bändigen.

Große Mehrheit der ECM-Unternehmen erwartet Umsatzplus

ECM-Markt wächst 2015 um knapp 6 Prozent

ECM-Unternehmen suchen verstärkt neue Mitarbeiter

Mobile Lösungen und digitale Akten sind die Top-Trends 2015

Dokumentenverwaltung gilt als wichtigste ECM-Lösung

Jeder dritte Mittelständler nutzt ECM-Lösungen

4 von 10 Firmen nutzen unternehmensweite ECM-Lösungen

Mittelständler setzen vor allem Dokumentenmanagement ein

Geschwindigkeit und Sicherheit werden besonders geschätzt

15 Prozent der Mittelständler wollen in ECM-Lösungen investieren

Chief Compliance Officer?

Was Führungskräfte am meisten umtreibt, ist nicht etwa das Risiko von Geldbußen bei Compliance-Verstößen (20 Prozent), sondern vielmehr die Angst vor Sicherheitslecks (56 Prozent) und der Schutz persönlicher Informationen (52 Prozent). Angesichts der vielen Medienberichte über Datenschutzpannen bei bekannten Firmen ist diese Sorge verständlich. An zweiter Stelle folgen Angst vor Rufschädigung (48 Prozent) und regulatorische Risiken (42 Prozent). Finanzielle und operative Gefahren verunsichern 35 Prozent der Befragten. 32 Prozent sind der Meinung, der "ehrliche Mitarbeiter" sei der wichtigste Treiber für GRC-Maßnahmen. Diese Auffassung findet man besonders in Unternehmen die sich bemühen, Regeln und Prozesse gemäß der eigenen Corporate Social Responsibility umzusetzen.

Richtlinien und Prozesse auf dem aktuellen Stand zu halten ist eine wesentlich größere Herausforderung (40 Prozent), als der Umgang mit sich verändernden Vorschriften (26 Prozent). Das ist leicht zu verstehen, wenn man bedenkt, dass die meisten Organisationen im Lauf der Zeit einen wahren Flickenteppich an Policy-Regeln angehäuft haben. Die Compliance-gerechte Verwaltung von Papierdokumenten ist für 19 Prozent die größte Herausforderung. EIM bietet beim Umgang mit Policies die nötigen Tools, um derartige Dokumente stringent zu verwalten. Dazu zählt etwa das Records Management für die Klassifizierung und Speicherung von Daten, der Aufbau eines Workflows um Policy-Entwicklungen zu automatisieren oder der Einsatz von BPM-Lösungen für Dashboard-Ansichten und Reports.

Besorgniserregend: Der Studie zufolge sind nur neun Prozent der Befragten überzeugt, dass ihre Policies auf dem aktuellen Stand sind. Unternehmen, die in solide ECM- und BPM-Lösungen investieren, haben hingegen weniger Schwierigkeiten, ein effektives Policy-Management aufzubauen. Die Frage, wer in Unternehmen GRC-Programme verantwortet, scheint nicht eindeutig geklärt zu sein: Typischerweise regelt das Legal Department oder der Chief Compliance Officer (CCO) Governance, Risk & Compliance-Aktivitäten eines Unternehmens. Überraschenderweise berichten aber 56 Prozent der Unternehmen, dass sie keinen CCO haben. Es scheint, als ob das Bewusstsein für die Relevanz dieser Rolle fehlt.

Wesentliche Bereiche der IT-Compliance

1. Informationsschutz zur Wahrung der Vertraulichkeit
(insbesondere Zugriffsschutz, siehe § 9 BDSG)

2. Gewährleistung der technischen und organisatorischen Verfügbarkeit
(insbesondere Notfall-planung und Wiederanlaufmöglichkeit durch Redundanz)

3. Schutz der Datenintegrität
(Programmintegrität durch Change Management und Maßnahmen zur Erhaltung der Datenin-tegrität, z.B. Virenschutz)

4. Stabilität und Sicherheit der IT-Prozesse

5. Gewährleistung der physischen Sicherheit

6. Datenaufbewahrung und –archivierung

7. Mitarbeitermanagement im Hinblick auf IT-Sicherheit (Awareness)

8. Wirksames IT-Management durch alle Phasen (Plan-Do-Check-Act)

9. Kontrolle der ausgelagerten Bereiche (Outsourcing)

10. Materieller Datenschutz

Die größten Herausforderungen von Governance, Risk & Compliance

Gefragt nach den größten Herausforderungen im Umgang mit GRC-Prozessen, klagen die Umfrageteilnehmer besonders über die folgenden drei Punkte:

• Noch immer sind ganz unterschiedliche Systeme im Einsatz, mit denen die Einhaltung von Compliance-Richtlinien dokumentiert wird. Das betrifft Policies und Prozesse, Lieferanten- und Verkäuferdaten oder auch die interne Revision.

• Prozesse, die GRC eigentlich unterstützen sollen, laufen zumeist noch manuell ab und sind ineffizient, wie etwa die Durchführung von internen Audits und die Freigabe neuer Richtlinien.

• Die Nutzung von Tabellen und anderen intern entwickelten Tools ist für viele zwar frustrierend, aber immer noch gang und gäbe. So etwa bei der Archivierung von internen Kontrollen, dem Richtlinienstatus und der Nachverfolgung von Compliance-Vorgaben.

Die Ergebnisse der Studie zeigen, wie wichtig es für Unternehmen ist, über einen zentralen, sicheren Datenspeicher für Compliance-relevante Informationen zu verfügen. Zudem spiegelt sich darin der in vielen Unternehmen vorherrschende Wunsch wider, manuelle und papierbasierte Prozesse auf automatisierte, effizientere und leicht nachvollziehbare Workflows umzustellen.

Business Process Management - Marktanalyse 2014

18 BPM-Software-Suites im Test
Die Entwicklung von Business-Process-Management (BPM) hat in den vergangenen Jahren rasante Fortschritte gemacht. Angesichts der weiter um sich greifenden Digitalisierung vieler Geschäftsprozesse sowie der damit verbundenen Automatisierung setzen immer mehr Unternehmen entsprechende Softwarewerkzeuge ein. Doch das Angebot an BPM-Lösungen ist breit gefächert, was die Auswahl und Entscheidung für Anwenderunternehmen nicht gerade erleichtert.

AgilePoint
<br> <p><b>Gesamterfüllungsgrad:</b> gut (63,7%)</p> <br> <p><b>Mächtigkeit:</b> hoch (89,0%)</p> <br> <p><b>Komfort:</b> mittelmäßig (71,5%)</p>

Agito
<br> <p><b>Gesamterfüllungsgrad:</b> angemessen (55,0%)</p> <br> <p><b>Mächtigkeit:</b> sehr hoch (93,8%)</p> <br> <p><b>Komfort:</b> gering (58,6%)</p>

Appain
<br> <p><b>Gesamterfüllungsgrad:</b> angemessen (59,5%)</p> <br> <p><b>Mächtigkeit:</b> hoch (86,4%)</p> <br> <p><b>Komfort:</b> mittelmäßig (68,8%)</p>

Appway
<br> <p><b>Gesamterfüllungsgrad:</b> angemessen (59,4%)</p> <br> <p><b>Mächtigkeit:</b> sehr hoch (92,8%)</p> <br> <p><b>Komfort:</b> mittelmäßig (64,0%)</p>

Axon Ivy
<br> <p><b>Gesamterfüllungsgrad:</b> gut (66,7%)</p> <br> <p><b>Mächtigkeit:</b> sehr hoch (94,6%)</p> <br> <p><b>Komfort:</b> mittelmäßig (70,5%)</p>

Bizagi
<br> <p><b>Gesamterfüllungsgrad:</b> gut (70,3%)</p> <br> <p><b>Mächtigkeit:</b> sehr hoch (90,1%)</p> <br> <p><b>Komfort:</b> hoch (78,0%)</p>

DHC Business Solutions
<br> <p><b>Gesamterfüllungsgrad:</b> angemessen (46,2%)</p> <br> <p><b>Mächtigkeit:</b> hoch (82,5%)</p> <br> <p><b>Komfort:</b> gering (56,0%)</p>

Groiss Informatics
<br> <p><b>Gesamterfüllungsgrad:</b> angemessen (62,2%)</p> <br> <p><b>Mächtigkeit:</b> sehr hoch (94,6%)</p> <br> <p><b>Komfort:</b> mittelmäßig (65,8%)</p>

HCM Customer Management
<br> <p><b>Gesamterfüllungsgrad:</b> angemessen (53,3%)</p> <br> <p><b>Mächtigkeit:</b> hoch (81,1%)</p> <br> <p><b>Komfort:</b> mittelmäßig (65,7%)</p>

IBM
<br> <p><b>Gesamterfüllungsgrad:</b> gut (68,1%)</p> <br> <p><b>Mächtigkeit:</b> sehr hoch (95,3%)</p> <br> <p><b>Komfort:</b> mittelmäßig (71,5%)</p>

Inspire Technologies
<br> <p><b>Gesamterfüllungsgrad:</b> gut (62,8%)</p> <br> <p><b>Mächtigkeit:</b> sehr hoch (96,1%)</p> <br> <p><b>Komfort:</b> mittelmäßig (65,4%)</p>

JobRouter
<br> <p><b>Gesamterfüllungsgrad:</b> angemessen (62,0%)</p> <br> <p><b>Mächtigkeit:</b> hoch (85,8%)</p> <br> <p><b>Komfort:</b> mittelmäßig (72,3%)</p>

K2
<br> <p><b>Gesamterfüllungsgrad:</b> angemessen (55,6%)</p> <br> <p><b>Mächtigkeit:</b> mittel (79,8%)</p> <br> <p><b>Komfort:</b> mittelmäßig (69,6%)</p>

Metasonic
<br> <p><b>Gesamterfüllungsgrad:</b> angemessen (54,5%)</p> <br> <p><b>Mächtigkeit:</b> sehr hoch (92,4%)</p> <br> <p><b>Komfort:</b> gering (59,0%)</p>

Oracle
<br> <p><b>Gesamterfüllungsgrad:</b> gut (64,2%)</p> <br> <p><b>Mächtigkeit:</b> sehr hoch (94,3%)</p> <br> <p><b>Komfort:</b> mittelmäßig (68,0%)</p>

Prologics
<br> <p><b>Gesamterfüllungsgrad:</b> gut (62,8%)</p> <br> <p><b>Mächtigkeit:</b> sehr hoch (90,8%)</p> <br> <p><b>Komfort:</b> mittelmäßig (69,1%)</p>

SoftProject
<br> <p><b>Gesamterfüllungsgrad:</b> gut (65,3%)</p> <br> <p><b>Mächtigkeit:</b> sehr hoch (96,3%)</p> <br> <p><b>Komfort:</b> mittelmäßig (67,8%)</p>

TIM Solutions
<br> <p><b>Gesamterfüllungsgrad:</b> angemessen (58,8%)</p> <br> <p><b>Mächtigkeit:</b> hoch (89,5%)</p> <br> <p><b>Komfort:</b> mittelmäßig (65,7%)</p>

GRC-Nachholbedarf in vielen Unternehmen

Vielen Umfrageteilnehmern ist bereits klar, dass Enterprise Information Management (EIM)-Software zur Verbesserung von GRC-Prozessen beitragen kann. Dazu zählen insbesondere: Records Management, Dokumentenmanagement, E-Mail-Management, die Buchungskontrolle und BPM. Diese Priorisierung ist wenig überraschend, bildet doch gerade das Management von Informationen das Herz jeder GRC-Strategie.

Trotzdem kämpfen viele Firmen noch mit der Einführung tragfähiger GRC-Maßnahmen. So verfügen sie beispielsweise nicht über ein ausreichendes Records Management und verzichten auf eine Optimierung ihrer Workflows. Andere verstehen zwar den Wert von EIM-Technologien, sind aber nicht in der Lage Profit daraus zu schlagen. So geben 67 Prozent der Befragten in der Studie zu Protokoll, dass sie EIM-Systeme als wichtig erachten, sie für GRC aber erst noch optimieren müssen. 30 Prozent glauben, dass EIM hilft ihre GRC-Lösung zu verbessern. Ganze 85 Prozent sind davon überzeugt, dass ECM- und Records-Management-Systeme erheblich dazu beitragen können, ihre Compliance-Anforderungen zu erfüllen.

Fakt ist: EIM ist für Unternehmen das Mittel der Wahl, um die volle Kontrolle über Governance, Risk & Compliance zu behalten. Ein zentraler Speicher, Mechanismen zur Automatisierung von Geschäftsprozessen und Reporting-Funktionen sind die Eckpfeiler einer guten GRC-Strategie. Die Vorteile für Unternehmen liegen auf der Hand: Sie haben ihre finanziellen und operativen Abläufe besser im Griff, minimieren das Risiko von Datenverlusten, senken Compliance-Kosten, verbessern ganz allgemein die Unternehmensleistung und haben im Wettbewerb die Nase vorn. Oder um es mit den Worten der "Risiko"-Erfinder zu sagen: So verpassen Unternehmen keine der Chancen, die sich aus den verfügbaren Informationen ergeben. (fm)

Governance-, Risk- and Compliance-Tools, auch für Facebook und Cloud

IT-Grundschutz
Die IT-Grundschutz-Kataloge werden vom BSI regelmäßig ergänzt. Noch sind allerdings nicht alle Maßnahmen und Empfehlungen für Cloud Computing enthalten.

RSA Archer: SOX-Compliance
Unternehmen müssen eine Vielzahl von Standards und Compliance-Vorgaben befolgen und die Einhaltung nachweisen, zum Beispiel SOX oder bestimmte EU-Vorgaben. Lösungen wie RSA Archer können dabei helfen.

RSA Archer: Cloud-Standards
Auch für Cloud Computing gibt es zahlreiche Vorgaben und Empfehlungen, zum Beispiel von der Cloud Security Alliance (CSA). Bestimmte Cloud-Standards sind bereits in Lösungen wie RSA Archer abgebildet. Abschließende europäische oder internationale Cloud-Standards sind allerdings noch nicht verabschiedet. Unternehmen sollten deshalb zusätzlich interne Vorgaben zum Cloud Computing definieren.

Verinice: Vorgabenkatalog
Eine Lösung wie Verinice unterstützt insbesondere bei der Umsetzung von IT-Grundschutz, kann aber auch um weitere Compliance-Vorgaben ergänzt werden. So könnte ein Unternehmen auch einen eigenen Vorgabenkatalog zur Nutzung von sozialen Netzwerken hinterlegen.

NogLogic: Policy Management
Interne Richtlinien können bei einer Lösung wie NogaLogic zum Beispiel genau festlegen, was mit unstrukturierten Daten passieren soll, um diese besser zu schützen. Solche internen Policies fassen Vorgaben aus Standards genauer oder ergänzen diese.