Nach der OCEG (ursprünglich Open Compliance and Ethics Group) ist GRC die integrierte Sammlung von Fähigkeiten, die es einer Organisation ermöglichen, Ziele zuverlässig zu erreichen, Unsicherheiten zu bewältigen und integer zu handeln.

GRC - Definition

GRC umfasst per Definition die Arbeit von Abteilungen wie Innenrevision, Compliance, Risiko, Recht, Finanzen, IT, Personal sowie der Geschäftsbereiche, der Führungsebene und des Vorstands selbst. Dabei ist GRC als solches nichts Neues - Risikobewertung gab es schon immer, ebenso wie Unternehmensführung und das Streben nach Compliance. Relativ neu ist allerdings der Ansatz, all diese Aspekte mit IT-Unterstützung zusammenzuführen, zu verzahnen und auf Basis einer Standardisierung auch weitestmöglich zu automatisieren.

Governance

Diese Art von Unternehmensstrategie erfordert einen Top-Down-Governance-Ansatz, der von der Unternehmensführung geleitet wird und alle Mitarbeiter dazu befähigt und auch ermutigt, potentielle Risiken oder Schwachstellen zu erkennen und zu melden. Zu den Merkmalen eines funktionalen Governance-Modells gehören:

• Zusammenarbeit zwischen allen Mitgliedern des Führungsteams, um die Notwendigkeit einer GRC-Initiative zu unterstreichen.

• Ein Bewusstsein für Risiken und die Allokation von Ressourcen, um diese Risiken zu mindern.

• Eine Vorstandsposition für Informationssicherheit, die als Kontrollinstanz für andere Abteilungen wie IT, Risikomanagement und Compliance fungieren kann.

• Eine Kultur, die das Verhalten zum Schutz von Daten und Informationen belohnt und nicht bestraft.

Risk

Das Risikomanagement umfasst die taktischen, alltäglichen, praktischen Prozesse zur Eindämmung von Risiken und Schwachstellen. Dabei geht es darum, Risiken und Schwachstellen frühzeitig zu erkennen und darauf zu reagieren. Ein sehr wichtiger Aspekt ist dabei die Priorisierung, damit sichergestellt ist, dass die größten Risiken adäquat behandelt werden. Zudem werden hier vorab festgelegte Aktionspläne und Workflows verwendet, um die Risikobehebung zu normalisieren und zu automatisieren.

Compliance

Während Governance die strategische Ebene darstellt, geht es bei der Compliance um die Einhaltung konkreter Vorschriften, seien es Branchenstandards wie PCI-DSS (Payment Card Industry Data Security Standard) oder gesetzliche Regeln wie etwa die DSGVO. Auch firmeninterne Standards zählen dazu. Hier gilt es zunächst die Governance Frameworks zu definieren, die auf der Grundlage der Governance-Strategie für das Unternehmen am sinnvollsten sind. Erforderlich ist auch ein OCM Framework (Organizational Change Management), das strukturelle oder betriebliche Anpassungen auf der Grundlage dieser Frameworks unterstützt - und auch dokumentiert.

Auch wenn die umfassende IT-Unterstützung eine notwendige Voraussetzung für GRC darstellt, ist es wichtig, die organisatorische und die technische Ebene zu trennen und separat zu betrachten. Dabei ist GRC nicht nur ein Thema für KRITIS- oder börsennotierte Unternehmen, sondern allein schon wegen der Compliance für praktisch jede Organisation. In vielen Organisationen sind bestehende Kontroll- und Managementsysteme jedoch nicht ausreichend automatisiert und integriert, um ihre prinzipiell vorhandenen Möglichkeiten tatsächlich voll auszunutzen. Im Rahmen von GRC-Initiativen scheint es daher angeraten, solche Systeme zu modernisieren, zusammenzuführen und mit geeigneter IT-Unterstützung effizienter zu gestalten. Allerdings gibt es erhebliche Diskrepanzen beim GRC-Reifegrad der einzelnen Unternehmen, und es ist besonders wichtig, bei GRC-Initiativen auf der individuellen Situation aufzusetzen.

GRC schrittweise einführen

Noch in sehr vielen Unternehmen vorzufinden sind manuelle GRC-Prozesse auf Basis von Spreadsheets. Der Versuch, hier auf einen Schlag ein komplett integriertes und automatisiertes GRC mit integriertem Risk Management (IRM) einzuführen, wird an den fehlenden organisatorischen Voraussetzungen scheitern. Hier empfiehlt sich ein Ansatz, bei dem technische und organisatorische Veränderungen im Gleichschritt eingeführt werden, wobei die technischen Neuerungen die organisatorischen unterstützen.

Als erster Schritt bietet sich daher ein genau definierter Use Case an und das ausschließliche Involvement der Abteilungen, die unmittelbar mit Compliance und Risikomanagement befasst sind. So lässt sich eine Real-World-Testumgebung schaffen, die erste Automatisierungsschritte beinhaltet, etwa indem die vorhandenen Excel-Sheets in eine Sharepoint-Lösung integriert werden. In einer solchen Lösung können bereits Workflows definiert und zentral verwaltete Policies integriert werden. Eine derartige Lösung, die meist Bottom-up eingeführt wird, ist heute in der Mehrzahl der Unternehmen anzutreffen - den nächsten Schritt müssen viele noch gehen.

Dieser besteht dann idealerweise aus einem Top-Down-Ansatz, in dem einer oder zwei weitere Use Cases integriert werden und der Benutzerkreis um die Eigner von Prozessen und Risiken erweitert wird. Sowohl die neuen Use Cases als auch die neuen Benutzer können dann von den Erfahrungen der ersten Phase profitieren und dabei entstandene organisatorische Änderungen auch bei sich abbilden. In einer solchen GRC-Umgebung wird in der Regel noch kein kontinuierliches Monitoring eingeführt; allerdings ist dies der geeignete Moment, um dem Management erste Visibility Tools zur Verfügung zu stellen; etwa in Form von Dashboards. Klar strukturiert erhöhen sie die Transparenz und bringen den Mehrwert deutlich zum Ausdruck.

Die Integration von Prozessen über Funktionen hinweg, steht im Mittelpunkt der dritten Phase, in der bei Bedarf auch weitere Use Cases eingebunden werden. Damit wird der Grundgedanke einer engen Zusammenarbeit aller Funktionen und Ebenen unterstützt, der für GRC-Initiativen so wichtig ist. Über zunehmende Automatisierung, auch über Funktionsgrenzen hinweg, kann zudem der administrative Aufwand deutlich reduziert werden. In diese Phase fällt idealerweise auch der Übergang zu einem Echtzeit-Monitoring der Performance und der Risikoscores.

Im letzten Schritt erfolgen die Optimierung und die Ausdehnung des GRC-Frameworks auf das gesamte Unternehmen. Ein kontinuierliches Risk Assessment arbeitet nun plattformübergreifend und ermöglicht einen risikobasierten Ansatz der Unternehmensführung.

Lesetipp: Stakeholder-Analyse - So identifizieren Sie Projektbeteiligte

Bei der Umsetzung von GRC-Initiativen ist es für interne wie externe Berater unumgänglich, zunächst die Ist-Situation zu analysieren - etwa anhand dieses Stufenmodells - sowie Fokusthemen, Ziele und auch Prioritäten zu definieren, um schrittweise zu effizienteren GRC-Prozessen zu kommen. Höchste Priorität sollten dabei solche Innovationen erhalten, die mit dem geringsten Aufwand den höchsten Effekt erzielen, was unter anderem dabei hilft, die unterschiedlichen Stakeholder zu einem frühen Zeitpunkt zu überzeugen und mit ins Boot zu holen.

GRC und IT Security

Der IT Security kommt bei jeder GRC-Initiative eine besondere Bedeutung zu - gibt es doch beim Risikomanagement und bei der Compliance erhebliche Schnittmengen. Dabei profitiert einerseits GRC von verbesserten Security-Systemen, während andererseits die Einführung klarer Prozesse in allen Bereichen der GRC selbst auch zu verbesserten Security-Systemen beitragen wird.

Sehr deutlich wird die enge Verbindung von GRC mit IT Security beim Thema Compliance. In vielen Fällen sind Mindeststandards der IT Security gesetzlich vorgeschrieben, und die Security-Teams müssen diese Standards unterstützen. Das geht heute nur noch durch eine enge Verzahnung. Denn eine rein technische Umsetzung von Anforderungen, ohne Einbindung der Security in den gesamten GRC-Prozess, wird nicht zum gewünschten Ergebnis führen.

Auch das Risikomanagement ist eng mit der IT Security verzahnt, stellen doch Schwachstellen und Sicherheitslücken in der IT heute immense Risiken für das gesamte Unternehmen dar. Dabei lässt sich jedes IT-Risiko auch relativ eindeutig einem oder mehreren Geschäftsrisiken zuordnen, seien es Imageprobleme, Strafzahlungen, Datenverlust oder der Ausfall wichtiger IT-Systeme und der damit einhergehende Produktivitätsverlust. Eine Einbindung des IT Risk Managements in umfassende GRC-Initiativen ist daher eine zwingende Notwendigkeit.

Kein GRC ohne Tool-Unterstützung

Es ist klar, dass ein umfassendes GRC Framework nicht ohne Tool-Unterstützung auskommen kann. Dabei gibt es nicht das eine GRC-Komplettsystem, sondern eine Vielzahl von GRC-Tools für einzelne Anwendungen wie beispielsweise:

• Risikobewertung

• Berechtigungsmanagement

• Auditing

• Policy Management

• Organizational Change Management

• Business Continuity Management

GRC-Tools integrieren die Einhaltung von Vorschriften in normale Geschäftsprozesse wie Notfall-Zugangsmanagement, regelmäßige Risikobewertung, Rollenmanagement und Benutzerbereitstellung. GRC-Tools verringern das Risiko von böswilligen Aktivitäten oder Betrug und rationalisieren routinemäßige Audit- und Compliance-Prozesse in Kernsoftware wie Enterprise Resource Planning (ERP)-Systemen.

In der Regel standardisieren und koordinieren GRC-Tools die Kontrollen und Richtlinien. Sie bieten eine gemeinsame Benutzeroberfläche und bilden ein gemeinsames Repository für Daten, die aus Fragebögen, Dokumenten und anderen IT- und Sicherheits-Compliance-Systemen gesammelt werden, sowie für Informationen, die sowohl interne als auch gesetzliche Anforderungen abdecken.

Da eine komplett integrierte Lösung das Endziel aller GRC-Initiativen ist, sollten die unterschiedlichen Tools nicht singulär und damit doch wieder in Silos eingesetzt werden, sondern auf einer gemeinsamen Plattform aufbauen, die alle Tools unterstützt und ein zentrales Management und einheitliche Policies zur Verfügung stellt. Auf diese Weise stellt die Tool-Unterstützung ein integriertes Managementsystem für GRC sicher, so dass GRC seiner Aufgabe als Kontroll- und Managementsystem für das gesamte Unternehmen gerecht werden kann. (bw)