Suchen

Sicherheit & Risikokultur Teil 1: So lassen sich Corporate Governance, Risk & Compliance professionell managen

| Redakteur: Ines Stotz

Wie lassen sich Governance, Risk & Compliance – kurz: GRC – professionell umsetzen? Wolfgang Surrey, Experte für GRC-Lösungen bei TÜV Rheinland, erläutert in einer dreiteiligen Serie mögliche Wege zum Thema GRC-Strategie und zu Implementierung eines GRC-Managements.

Firmen zum Thema

Einen zentral Verantwortlichen, der Daten aus den Bereichen Risikomanagement, Business Continuity oder auch Netzwerk-Logdaten regelmäßig nachhält, konsolidiert und daraus die richtigen Schlüsse für Informationssicherheit und IT-Compliance zieht, damit das Unternehmen vor Cyber-Bedrohungen besser geschützt ist, gibt es bisher eher selten.
Einen zentral Verantwortlichen, der Daten aus den Bereichen Risikomanagement, Business Continuity oder auch Netzwerk-Logdaten regelmäßig nachhält, konsolidiert und daraus die richtigen Schlüsse für Informationssicherheit und IT-Compliance zieht, damit das Unternehmen vor Cyber-Bedrohungen besser geschützt ist, gibt es bisher eher selten.
(Bild: gemeinfrei / CC0)

Ob Datenschutz oder Datensicherheit, IT-Risikomanagement, Audit Management oder der Umgang mit Lieferanten: Die Anforderungen von Aufsichtsbehörden und anderen interessierten Parteien an Sicherheit und Qualität von Geschäftsprozessen, Produkten und Services steigen – ebenso wie Anzahl und Komplexität der Risiken. Unternehmen müssen nachweisen, dass sie die Standards, Normen und regulatorische Auflagen sowie Vorschriften unter anderem bei der Informationssicherheit einhalten. Doch wie?

Teil 1:

Unternehmen koordiniert steuern, Ressourcen effizient nutzen

Unternehmen müssen sich seit jeher mit verantwortungsvoller Unternehmensführung und dem Management von Risiken auseinandersetzen. Was genau bedeutet das Akronym GRC und warum kann ein systematisches GRC-Management entscheidend sein für die Zukunft eines Unternehmens? Teil 1 erläutert die Grundlagen.

Unvollständiges Reporting, isolierte Prozesse und ein reiner Compliance-Fokus ohne Berücksichtigung der tatsächlichen Risiken: Feststellungen wie diese aus einem mittelständischen Unternehmen sind keine Frage der Unternehmensgröße oder Branche. Trotz stetig wachsender Bedeutung und Komplexität regulatorischer Anforderungen verpassen viele Unternehmen die Chance, sich durch Professionalisierung ihrer Risikomanagement- und Compliance- Prozesse Wettbewerbsvorteile zu sichern.

Mitunter werden IT-Risiken nicht definiert, und wenn doch, dann werden sie per Lose-Blatt-Sammlung oder per Excel „verwaltet“. Daten aus den Bereichen Risikomanagement, Business Continuity oder auch Netzwerk-Logdaten stammen aus unterschiedlichsten Quellen und „Silos“. Einen zentral Verantwortlichen, der diese Daten regelmäßig nachhält, konsolidiert und daraus die richtigen Schlüsse für den Bereich Informationssicherheit und IT-Compliance zieht, damit das Unternehmen vor Cyber-Bedrohungen besser geschützt ist, gibt es bisher eher selten. Und wenn doch, erfolgt die Analyse dieser Kennzahlen nicht mit integrierten Softwarelösungen, eine vernetzte und unternehmensweite Analyse und ein zentrales Reporting finden nicht statt.

Daraus resultiert eine erhöhte Verwundbarkeit gegenüber Cyber-Angriffen. Sicherheitsvorfälle werden ad hoc bearbeitet, – wenn sie denn auffallen. Lösungen, die Cyber-Angriffe erkennen, sind nicht implementiert oder liefern nur unzureichende Informationen über die eigentliche Geschäftskritikalität des Vorfalls. Dieses punktuelle Management von nicht oder nur unzureichend integrierten GRC-Prozessen bedeutet einen erheblichen Mehraufwand durch redundante Tätigkeiten und sich teils widersprechenden Aussagen im Management Reporting.

Die fehlende Übersicht und der oftmals fehlende Bezug zum Unternehmenskontext (Wesentlichkeit für das Unternehmen) machen es für das Management nahezu unmöglich, angemessene Entscheidungen abzuleiten und die richtigen Prioritäten zur Steuerung von Unternehmensrisiken zu setzen. Als potentielle Konsequenz drohen nicht nur empfindliche Strafen wegen Verstößen gegen regulatorische Auflagen. Nicht erkannte oder falsch eingeschätzte Risiken aus Cyber-Angriffen oder Nichteinhaltung von Service Level Agreements (SLA) durch beauftragte Lieferanten können schwerwiegende Folgen wie etwa Betriebsausfall mit unkalkulierbaren Auswirkungen nach sich ziehen, bis hin zur Gefährdung der Existenz des Unternehmens.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 44493057)