Sicherheit & Risikokultur Teil 3: So lassen sich Corporate Governance, Risk & Compliance professionell managen

Redakteur: Dipl. -Ing. Ines Stotz

Wie lassen sich Governance, Risk & Compliance – kurz: GRC – professionell umsetzen? Wolfgang Surrey, Experte für GRC-Lösungen bei TÜV Rheinland, erläutert in einer dreiteiligen Serie mögliche Wege zum Thema GRC-Strategie und zu Implementierung eines GRC-Managements.

Firma zum Thema

Einen zentral Verantwortlichen, der Daten aus den Bereichen Risikomanagement, Business Continuity oder auch Netzwerk-Logdaten regelmäßig nachhält, konsolidiert und daraus die richtigen Schlüsse für Informationssicherheit und IT-Compliance zieht, damit das Unternehmen vor Cyber-Bedrohungen besser geschützt ist, gibt es bisher eher selten.
Einen zentral Verantwortlichen, der Daten aus den Bereichen Risikomanagement, Business Continuity oder auch Netzwerk-Logdaten regelmäßig nachhält, konsolidiert und daraus die richtigen Schlüsse für Informationssicherheit und IT-Compliance zieht, damit das Unternehmen vor Cyber-Bedrohungen besser geschützt ist, gibt es bisher eher selten.
(Bild: gemeinfrei / CC0 )

Ob Datenschutz oder Datensicherheit, IT-Risikomanagement, Audit Management oder der Umgang mit Lieferanten: Die Anforderungen von Aufsichtsbehörden und anderen interessierten Parteien an Sicherheit und Qualität von Geschäftsprozessen, Produkten und Services steigen – ebenso wie Anzahl und Komplexität der Risiken. Unternehmen müssen nachweisen, dass sie die Standards, Normen und regulatorische Auflagen sowie Vorschriften unter anderem bei der Informationssicherheit einhalten. Doch wie?

Teil 3:

Professionelles GRC-Management: Reifegradmodelle und Implementierungsstrategien

Der Autor zeigt Handlungsalternativen auf für Unternehmen, die ihr GRC-Management auf Basis von Best Practices weiter entwickeln wollen.

|videoid=v=4prrfnTqRsc|

Experten unterstützen Unternehmen in der Regel mit einer individuellen GRC-Strategieberatung und in der Umsetzung individueller Branchenanforderungen, um die erforderlichen Prozesse und Methoden im Bereich Risikomanagement, Informationssicherheitsmanagement und IT-Compliance anhand etablierter Managementsysteme und Best Practice Frameworks zu gestalten.

Je nach Reifegrad des Unternehmens in punkto GRC können auch Hersteller-Best-Practices (wie z.B. das RSA Archer Use Case Reifegradmodell) Verwendung finden, um im Rahmen eines Prototyping-Verfahrens mit dem Kunden eine geeignete Vorgehensweise für die GRC-Implementierung zu entwickeln. Anhand vordefinierter Use Cases kann das Unternehmen seine wichtigsten Aufgaben, zum Beispiel das Thema IT-Risiko-Management, priorisieren.

Allen Szenarien liegt ein mehrstufiges Reifegradmodell zugrunde. Was die einzelnen Reifegrade in punkto Prozesse und Fokus auszeichnet, ist detailliert beschrieben – unter Umständen eine Hilfestellung für die eigene Standortbestimmung und die Planung der zu bewältigenden Aufgaben auf dem Weg zur nächsten Stufe.

Je nach Anbieter enthalten die jeweiligen GRC-Systeme bereits umfassenden Content, wie etwa die Anforderungen der ISO-Norm 27001 oder Standards wie COBIT. Sind gleich mehrere Managementsysteme zu implementieren, die vergleichbare Anforderungen haben – z.B. den Einsatz starker Passwörter – lassen sich so gleich mehrere Anforderungen mit gewissermaßen einem Klick erfüllen und zentral auswerten.

Da die Basisinstallation und die Implementierung des Tools entsprechend den Kundenanforderungen immer häufiger nicht durch den Hersteller selbst, sondern durch Implementierungspartner erfolgt, sollte die Beurteilung der Partnerstrategie des Herstellers und die potentiell in Frage kommenden Dienstleister unbedingt im Software-Auswahlprozess berücksichtigt werden. Eine etablierte Partnerstrategie mit entsprechend formalisierten Zertifizierungsgraden und Kennzahlen gibt Auskunft darüber, ob der Hersteller in der Lage ist, Partner für das eigene Produkt langfristig zu binden sowie das teils sehr spezifische Wissen über das Tool erfolgreich auf Dritte zu übertragen, z.B. durch existierende Wissens-Portale, eLearning Angebote oder Communities. Da sich der Partnerstatus häufig an Projektumsetzungsvolumen und erfolgreich umgesetzten Projekten (=Kundenzufriedenheit) misst, kann dies ebenfalls ein geeigneter Indikator für die Wahl des richtigen Implementierungspartners sein.

Roadmap zum GRC-Erfolg: 6 Tipps für die Praxis

  • 1. Das Unternehmen sollte schrittweise vorgehen und sich nicht zu viel vornehmen, sondern zunächst einmal nach Quick Wins streben und zwar anhand von ein bis zwei Fragestellungen hoher Priorität, also zum Beispiel das Messen der Lieferantenperformance anhand einheitlicher Metriken oder das zentrale Nachverfolgen von Feststellungen. Stellen sich hier schnell Erfolgserlebnisse ein, ist der Projektsponsor geneigt, weitere Budgets freizugeben. Startet das Projekt mit einer zu hohen Komplexität, droht sich das Team schnell zu verzetteln, der Fortgang des Projekts kann gefährdet sein.
  • 2. Es ist wichtig von Beginn an abzuwägen, wie viele Abteilungen direkt involviert sind. Die Integration von zu vielen Abteilungen auf einen Schlag („Big-Bang Approach“) bedeutet eine entsprechende Multiplikation von Individualanforderungen, die unter Umständen schwer miteinander zu harmonisieren sind. Dies sprengt schnell den Projektrahmen, insbesondere, wenn die Gesamthoheit über die fachliche Projektsteuerung nicht geklärt und in der Organisation verankert wurde. Vielversprechender ist eine phasenweise Implementierung entlang einer definierten Road Map, welche die Einzelinitiativen auf langfristige Sicht mit einander in Beziehung setzt.
  • 3. Von hoher Bedeutung ist die Vorbereitung der prozessualen Seite: Wie sieht der Implementierungsprozess aus? Wer ist verantwortlich? Welche Vorarbeiten muss das Unternehmen leisten, z.B. mit der Definition branchenrelevanter Use Cases.
  • 4. Zentral sind personelle Fragen, die das Unternehmen kritisch und ehrlich beantworten sollte: Wer ist der Lösungseigentümer, eine einzelne Person, eine Abteilung oder Gruppe, und müsste diese ggf. organisatorisch eingebettet werden, um über die notwendige Weisungsbefugnis zu verfügen? Wie geht es nach der Implementierung weiter, sind wir intern in der Lage, den Support zu leisten? Verfügen wir heute und zukünftig über die technische Expertise, um die Lösung gemäß unseren Anforderungen weiterzuentwickeln? Der oder die Lösungseigentümer sollten in ausreichendem Maße einen Teil ihrer Arbeitszeit der Pflege und Weiterentwicklung der GRC Softwarelösung widmen können und ein Mindestmaß an „Tool-Affinität“ aufweisen. Dies beinhaltet auch weniger fachliche Aufgaben wie die Einrichtung von User-Accounts über Rollen- und Berechtigungsvergaben bis hin zur Prüfung der Berichtsqualität und gegebenenfalls 1st Level Support für Endbenutzeranfragen und Troubleshooting.
  • 5. Wer dieses Personal nicht im Hause hat, oder organisatorisch nicht sicherstellen kann, dass das Wissen und die Kompetenz rund um die GRC Lösung nachhaltig gesichert werden kann, sollte dies bereits bei der Wahl des Implementierungspartners berücksichtigen und darauf achten, dass diese Funktionen nach Bedarf an den Partner ausgelagert werden können. Sich allein auf den Helpdesk des Herstellers zu verlassen, ist riskant. Oft mangelt es diesen Support-Abteilungen am fachlichen Verständnis für die teilweise stark angepassten Kundenlösungen (nicht zu sprechen von erheblichen sprachlichen Barrieren internationaler Support-Organisationen), was zu erheblichem Aufwand bei der Fehlersuche und -beseitigung führt.
  • 6. Sind mehrere Abteilungen involviert, ist es wichtig, sich methodisch auf eine gemeinsame Taxonomie zu einigen, um Sprachverwirrung zu vermeiden. Ist beispielsweise das „Issue“ aus dem internen Kontrollsystem gleich der „Feststellung“ der internen Revision? Abzustimmen sind bei der Integration mehrerer Abteilungen auch die methodischen Herangehensweisen an bestimmte Aufgaben oder der jeweils erforderliche Detailgrad an Informationen im Berichtswesen.

Fazit:

Eine Automatisierung der GRC-Prozesse steigert nicht nur die Effizienz. Durch die effektive Nutzung moderner Software-Werkzeuge gewinnen Unternehmen eine ganzheitliche Sicht auf die implementierten Managementsysteme wie z.B. Risikomanagement, ISMS, IKS und Compliance. Wie bei jedem Projekt ist die Vorbereitung und vorausschauende Planung eine wichtige Säule des Erfolgs.

(ID:44493115)