Software integriert, Daten im Grif

Software integriert, Daten im Griff

Sich verändernde Normen im Blick haben, die Gesetzeslage dauerhaft verfolgen und noch dazu die Erfüllung nationaler und internationaler Standards nachweisbar dokumentieren: Gerade international agierende Unternehmen stehen vor einer Anforderungsflut in Sachen IT-Sicherheit und Compliance. Durchblick verschafft ein systematisches Governance, Risk & Compliance(GRC)-Management.

Wegen eines Datenlecks sahen sich Anfang 2016 diverse Banken, darunter die Postbank und die ING Diba, gezwungen Tausende von Kreditkarten ihrer Privatkunden auszutauschen. Wie die FAZ seinerzeit meldete, waren die Kreditkartendaten nicht bei den Geldinstituten, sondern beim IT-Dienstleister der Bankhäuser „abhandengekommen“. Auch wenn sich die Panne beim Auftragnehmer ereignet hat, Verantwortung lässt sich nicht outsourcen. Im Rahmen der regulatorischen Auflagen bleiben die Geldhäuser verantwortlich – zum Beispiel, indem sie dazu verpflichtet sind, ihre Dienstleister regelmäßig zu überprüfen. „Fälle wie diese zeigen, wie vielschichtig die Anforderungen geworden sind, die Aufsichtsbehörden und Stakeholder an die Sicherheit von Geschäftsprozessen oder Produkten stellen“, sagt Wolfgang Surrey, Experte für GRC (Governance, Risk & Compliance) bei TÜV Rheinland. GRC beschreibt die drei wichtigsten Handlungsfelder zur erfolgreichen und verantwortungsvollen Führung eines Unternehmens. Ziele sind die zentrale Steuerung der Überwachungsaktivitäten sowie die effiziente Nutzung der Ressourcen. Governance bezeichnet die Unternehmensführung in Abhängigkeit von externen und internen Vorgaben und die darauf ausgerichtete Unternehmenssteuerung mithilfe von geeigneten Management-systemen. Risk (Risikomanagement) ist „die bewusste und zielgerichtete Auseinandersetzung mit Ereignissen, die potenzielle Abweichungen von der Norm abbilden“. Compliance steht für die Einhaltung interner und externer regulatorischer Vorgaben und Vorschriften. Betreiber kritischer Infrastrukturen wie Wasser und Energieversorger oder Telekommunikationsunternehmen unterliegen ebenso wie Banken in Deutschland dem IT-Sicherheitsgesetz, in der Europäischen Union greift die Datenschutzgrundverordnung. Außerhalb Europas kommen weitere regulatorische Vorgaben hinzu. Sie alle sollen Cyberangriffe verhindern oder die daraus resultierenden Schäden minimieren.

Schwachstellen früh erkennen

Dass Endkunden wie beispielsweise die der oben genannten Bank von mangelhaften Sicherheitsvorkehrungen direkt betroffen sind, ist nur die Spitze des Eisbergs und geht sowohl mit enormen wirtschaftlichen Einbußen als auch mit Imageschäden für die betroffenen Unternehmen einher. Häufiger decken Wirtschaftsprüfer oder Unternehmensberater mögliche Schwachstellen auf. Oft reagieren Unternehmen erst dann, obwohl GRC-Experte Surrey zu einer vorausschauenden Handlungsweise rät: „Die Implementierung eines GRC-Managements dient auch als Frühwarnsystem und hilft, Handlungsfelder überhaupt zu erkennen und Aufgaben effizienter und somit kostengünstiger zu erledigen.“ Die größten Kosteneinsparungen ergeben sich durch eine konsistente Datenbasis. Eine spezielle Software ersetzt beispielsweise in einer multinationalen Unternehmensstruktur die „Lose-Blatt-Sammlung“ aus Office- oder Share-Point-Lösungen. Diese wird im schlimmsten Fall von unterschiedlichen Mitarbeitern in unterschiedlichen Ländern in nicht integrierten Softwareumgebungen gepflegt

Realistische Etappenziele setzen

Dem gegenüber steht eine GRC-Automatisierung mit einer eigens dafür entwickelten Software. Sie verhindert durch die Nutzung eines zentralen Datenstamms mögliche Widersprüchlichkeiten im Reporting. Darin liegt auch der zentrale Vorteil gegenüber Insellösungen mithilfe von Excel oder Outlook. „Zwar ist die Nutzung einer GRC-Software nicht für jedes Unternehmen zwingend, doch irgendwann sind komplexe, länderübergreifende Strukturen nicht mehr mit den Bordmitteln der Standard-IT zu steuern“, sagt Wolfgang Surrey. Empfehlenswert ist der Einsatz einer professionellen Softwarelösung vor allem für Unternehmen, die sich aufgrund ihres Geschäftsmodells entweder in einem stark regulierten Umfeld bewegen oder sich durch globale Tätigkeit mit internationalen regulatorischen Anforderungen konfrontiert sehen, wo etwaige Compliance-Verstöße teils drastisch geahndet werden. Ohne ein revisionssicheres Risikomanagement drohen im Extremfall enorme Regressforderungen. Gemeinsam mit der Tochtergesellschaft OpenSky hat sich TÜV Rheinland in mehr als 300 erfolgreichen Projekten auf die GRC- Software-Plattform RSA Archer spezialisiert. „Die Beratungskompetenz des Implementierungspartners ist mindestens ebenso wichtig wie die zum Einsatz kommende Software“, betont Surrey, „wir begleiten die gesamte Prozesskette, definieren gemeinsam eine Strategie und setzen realistische Ziele. Denn das GRC-Management ist nur so gut, wie es in der Praxis dauerhaft umgesetzt wird.“ Deshalb plädiert der Experte dafür, dass Unternehmen, die sich bislang nicht oder nur beiläufig mit dem Risikomanagement im Rahmen von GRC auseinandergesetzt haben, realistische Etappenziele setzen. Sind die Ziele dagegen zu ambitioniert, führt die Komplexität des GRC-Managements unter Umständen zu enttäuschenden Resultaten. Ein sinnvoller Einstieg in der Praxis ist häufig die Suche nach ein bis zwei Fragestellungen hoher Priorität („Quick wins“), wie beispielsweise die Implementierung eines Systems zur Messung der Lieferantenleistung. „Schnell messbare Erfolge öffnen innerhalb der meisten Unternehmen die Türen, um sich umfassender mit diesem Thema zu befassen“, so Surrey und ergänzt: „GRC vollständig abzudecken gleicht einem Marathon. Man sollte den Weg zum Ziel schon kennen, aber am Start wie ein Sprinter loszurennen, ist kontraproduktiv.“

Fragen zum Thema?

Wolfgang Surrey
+49 221 56783 232
E-Mail schreiben wolfgang.surrey@de.tuv.com

Weitere interessante Artikel zu Themen wie One-Stop-Solutions, Market Access Services, Welt der Labore und Digitales Lernen finden Sie in unserem Wissensmagazin kontakt 3.16 unter Publikationen.

Bildnachweis: istockphoto.com/sturti