Suchen

Sicherheit & Risikokultur

Teil 1: So lassen sich Corporate Governance, Risk & Compliance professionell managen

Seite: 2/2

Firmen zum Thema

Treiber für professionelles GRC

Unternehmen müssen sich seit jeher mit verantwortungsvoller Unternehmensführung und dem Management von Risiken auseinandersetzen. Was früher mit den „Grundsätzen des ehrbaren Kaufmanns“ umschrieben wurde und heute mit dem Akronym GRC (Governance, Risk & Compliance) besetzt ist, gestaltet sich inzwischen deutlich komplexer. Governance, Risk und Compliance umfasst die drei wichtigsten Handlungsfelder für die erfolgreiche und verantwortungsvolle Führung eines Unternehmens aus ganzheitlicher Sicht. Ziel ist die koordinierte Steuerung der Überwachungsaktivitäten sowie die effiziente Nutzung der Ressourcen. Dies kann Sicherheit bei geringen Kosten erhöhen und die Risikokultur verbessern.

  • Governance bezeichnet die Unternehmensführung in Abhängigkeit von gesetzten externen und internen Vorgaben und die darauf ausgerichtete Steuerung einer Organisation oder eines Unternehmens mittels geeigneter Managementsysteme.
  • Der Begriff Risk (Risikomanagement) beinhaltet die bewusste und zielgerichtete Auseinandersetzung mit Ereignissen, die eine potentielle (negative wie positive) Abweichung auf die Erreichung gesetzter Ziele des Unternehmens haben können sowie deren Steuerung nach Wesentlichkeits-Gesichtspunkten.
  • Compliance beschreibt die Befolgung und Einhaltung interner und externer Normen und Vorschriften. Diese können in vielfältiger Form – zum Beispiel als interne Vorgaben und Richtlinien des Managements sowie externe Vorgaben durch Gesetze, Verordnungen, Verträge o.ä. auftreten. Ein Beispiel dafür sind die nationalen Unterschiede beim Thema Datenschutz. Informationsflüsse sind heute in fast jedem Staat der Welt per Gesetz geregelt – die Strafen und die Regulierungsbefugnis der Behörden unterscheiden sich jedoch enorm.

Auf europäischer Ebene greift bis Mitte 2018 die EU-Datenschutzgrundverordnung (EU-DGSVO), mit denen sich Unternehmen unterschiedlichster Branchen konfrontiert sehen. Bei den Betreibern kritischer Infrastrukturen, z.B. in den Bereichen Energie- und Wasserversorgung oder Telekommunikation, ist es heute schon das IT-Sicherheitsgesetz, das auch für das Banken- und Finanzwesen gilt. Diese Branche ist außerdem von der Ende 2016 anstehenden Novelle der Mindestanforderungen an das Risikomanagement, kurz MaRisk, betroffen.

Häufig bergen solche neuen Richtlinien und Gesetze Pflichten, die einen erheblichen Einfluss auf die Steuerung der Cyber-Sicherheit haben werden. Hinzukommen weitere industrie- und branchenspezifische Standards, Regularien und Vorschriften.

Ein professionelles GRC-Management ermöglicht eine integrierte Herangehensweise, um diese Komplexität zu beherrschen: Es erlaubt eine ganzheitliche Sicht auf das Unternehmen, die alle Managementsysteme und Maßnahmen im Fokus hat. Das Ergebnis sind eine verbesserte Steuerung von Informationssicherheitsmanagement, IT-Risikomanagement sowie IT-Compliance, um die unterschiedlichen Anforderungen an das aktive Risikomanagement und den geforderten Reportings bzw. Berichtspflichten effizient nachkommen zu können.

Mehr unter www.tuv.com/grc.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 44493057)