"Risiko" mit meiner Familie zu spielen, zählt zu meinen liebsten Freizeitbeschäftigungen. Das populäre Brettspiel erlaubt es, nach und nach die ganze Welt zu erobern. Als ich mir die Spielregeln einmal genauer ansah, fiel mir auf: Das zentrale Thema des Spiels lässt sich auch auf die Herausforderungen ummünzen, mit denen Unternehmen hinsichtlich Governance, Risk and Compliance (GRC) konfrontiert sind. So heißt es in der Spielanleitung: "Entwickeln Sie für Ihren Feldzug clevere Taktiken (...). Nur eine Macht kann triumphieren, also sollten Sie Ihre Entscheidungen sorgfältig treffen, damit Ihre Siegeschancen nicht zur vernichtenden Niederlage werden."
Der Umgang mit großen, komplexen Datenvolumen - sprich Big Data - ist für Unternehmen heutzutage Segen und Fluch. Sie sind sozusagen das Pulverfass im digitalen Zeitalter: Richtig genutzt, katapultieren sie Firmen an die vorderste Front beim Kampf um Kunden und bilden den Schlüssel für eine wettbewerbsfähige Unternehmensstrategie. In den falschen Händen können sie die Reputation eines Unternehmens hingegen völlig zerstören. Firmen sind sich dieser Problematik bewusst. Viele verwenden schon heute Unmengen an Ressourcen, um sensible Informationen vor Verlusten zu schützen und staatliche Compliance-Vorgaben zu erfüllen.
Foto: Creativa Images - shutterstock.com
GRC-Grundlagen: ECM & BPM
Die Basis für eine effiziente GRC-Strategie bilden dabei vor allem zwei Tools: Enterprise Content Management (ECM) und Business Process Management (BPM). Durch die Kombination beider Lösungsansätze können Unternehmen das Risiko für den Verlust sensibler Daten erheblich verringern und den Wert der Informationen um ein Vielfaches steigern. Sie sorgen für eine richtlinienkonforme Information - Governance, ein operationales Monitoring, das Aufspüren von Risiken und die Prüfung von Compliance-Vorschriften.
Doch GRC ist zeit- und kostenintensiv. In einer weltweiten Studie fand das Marktforschungsinstitut Forrester kürzlich heraus, dass 89 Prozent der 211 befragten Unternehmen im Jahr 2015 noch mehr Geld für Information-Governance-Programme ausgeben werden als im Jahr 2014. Eine kürzlich von OpenText und AIIM (Association for Information and Image Management) durchgeführte Studie zeigte zudem, dass unter den 1.200 befragten Unternehmen 46 Prozent in den nächsten zwölf Monaten in GRC-Software oder -Services investieren wollen. Davon sollen 15 Prozent für Lizenzen und zwölf Prozent für Cloud/SaaS-Services ausgegeben werden. Wenn firmenintern wenig Know-how im Umgang mit GRC vorhanden ist, suchen 24 Prozent Rat bei professionellen Dienstleistern.
OpenText interessierte in der Studie besonders, welche GRC-Bereiche den Unternehmen am meisten Sorge bereiten. Zudem wurde hinterfragt, ob und wie Firmen ECM, BPM und andere Enterprise-Information-Management (EIM)-Technologien einsetzen, um GRC-Herausforderungen zu meistern und mit welchen Mitteln sie Programme, Prozesse und Tools rund um GRC verbessern wollen.
- Bitkom-Prognose auf der CeBIT
Der Markt für Enterprise Content Management (ECM) in Deutschland soll in diesem Jahr deutlich zulegen, so eine Prognose des Bitkom. Die Anwender brauchen offenbar Lösungen, um die wachsende Informationsflut in ihren zunehmend digitalisierten Unternehmen zu bändigen. - Große Mehrheit der ECM-Unternehmen erwartet Umsatzplus
- ECM-Markt wächst 2015 um knapp 6 Prozent
- ECM-Unternehmen suchen verstärkt neue Mitarbeiter
- Mobile Lösungen und digitale Akten sind die Top-Trends 2015
- Dokumentenverwaltung gilt als wichtigste ECM-Lösung
- Jeder dritte Mittelständler nutzt ECM-Lösungen
- 4 von 10 Firmen nutzen unternehmensweite ECM-Lösungen
- Mittelständler setzen vor allem Dokumentenmanagement ein
- Geschwindigkeit und Sicherheit werden besonders geschätzt
- 15 Prozent der Mittelständler wollen in ECM-Lösungen investieren
Chief Compliance Officer?
Was Führungskräfte am meisten umtreibt, ist nicht etwa das Risiko von Geldbußen bei Compliance-Verstößen (20 Prozent), sondern vielmehr die Angst vor Sicherheitslecks (56 Prozent) und der Schutz persönlicher Informationen (52 Prozent). Angesichts der vielen Medienberichte über Datenschutzpannen bei bekannten Firmen ist diese Sorge verständlich. An zweiter Stelle folgen Angst vor Rufschädigung (48 Prozent) und regulatorische Risiken (42 Prozent). Finanzielle und operative Gefahren verunsichern 35 Prozent der Befragten. 32 Prozent sind der Meinung, der "ehrliche Mitarbeiter" sei der wichtigste Treiber für GRC-Maßnahmen. Diese Auffassung findet man besonders in Unternehmen die sich bemühen, Regeln und Prozesse gemäß der eigenen Corporate Social Responsibility umzusetzen.
Richtlinien und Prozesse auf dem aktuellen Stand zu halten ist eine wesentlich größere Herausforderung (40 Prozent), als der Umgang mit sich verändernden Vorschriften (26 Prozent). Das ist leicht zu verstehen, wenn man bedenkt, dass die meisten Organisationen im Lauf der Zeit einen wahren Flickenteppich an Policy-Regeln angehäuft haben. Die Compliance-gerechte Verwaltung von Papierdokumenten ist für 19 Prozent die größte Herausforderung. EIM bietet beim Umgang mit Policies die nötigen Tools, um derartige Dokumente stringent zu verwalten. Dazu zählt etwa das Records Management für die Klassifizierung und Speicherung von Daten, der Aufbau eines Workflows um Policy-Entwicklungen zu automatisieren oder der Einsatz von BPM-Lösungen für Dashboard-Ansichten und Reports.
Besorgniserregend: Der Studie zufolge sind nur neun Prozent der Befragten überzeugt, dass ihre Policies auf dem aktuellen Stand sind. Unternehmen, die in solide ECM- und BPM-Lösungen investieren, haben hingegen weniger Schwierigkeiten, ein effektives Policy-Management aufzubauen. Die Frage, wer in Unternehmen GRC-Programme verantwortet, scheint nicht eindeutig geklärt zu sein: Typischerweise regelt das Legal Department oder der Chief Compliance Officer (CCO) Governance, Risk & Compliance-Aktivitäten eines Unternehmens. Überraschenderweise berichten aber 56 Prozent der Unternehmen, dass sie keinen CCO haben. Es scheint, als ob das Bewusstsein für die Relevanz dieser Rolle fehlt.
- 1. Informationsschutz zur Wahrung der Vertraulichkeit
(insbesondere Zugriffsschutz, siehe § 9 BDSG) - 2. Gewährleistung der technischen und organisatorischen Verfügbarkeit
(insbesondere Notfall-planung und Wiederanlaufmöglichkeit durch Redundanz) - 3. Schutz der Datenintegrität
(Programmintegrität durch Change Management und Maßnahmen zur Erhaltung der Datenin-tegrität, z.B. Virenschutz) - 4. Stabilität und Sicherheit der IT-Prozesse
- 5. Gewährleistung der physischen Sicherheit
- 6. Datenaufbewahrung und –archivierung
- 7. Mitarbeitermanagement im Hinblick auf IT-Sicherheit (Awareness)
- 8. Wirksames IT-Management durch alle Phasen (Plan-Do-Check-Act)
- 9. Kontrolle der ausgelagerten Bereiche (Outsourcing)
- 10. Materieller Datenschutz