GRC - Es gibt noch viel zu tun
Governance, Risk & Compliance: Unternehmen tun sich schwer, Business und IT in Einklang bringen
Da das Thema Compliance seit längerem die Wirtschaft beherrscht, sind viele Unternehmen mit dem Bereich vertraut – nur in Taten mündet diese Kenntnis noch zu selten
Von Gernot Keckeis, Director Identity & Security Management, Novell Central Europe
(22.07.09) - Neue gesetzliche Vorschriften, wachsender Druck von den Finanzmärkten und steigende Erwartungen der Aktionäre rücken Corporate Governance, Risikomanagement und die Einhaltung von Richtlinien unter dem Sammelbegriff GRC (Governance, Risk & Compliance) klar in den Mittelpunkt. Doch wie sieht die eigentliche Realität in deutschen Unternehmen aus? Novell hat dazu IT-Verantwortliche und Entscheidungsträger in den Bereichen Security, Compliance, Audit und Interne Revision in mehr als 200 Organisationen gefragt.
Die Ergebnisse sind zum Teil alarmierend. Zwei Drittel aller befragten Unternehmen können GRC gar nicht für sich definieren und wissen nicht welche geschäftlichen Auswirkungen und Konsequenzen der Ansatz mit sich zieht. Auch hat nur knapp die Hälfte der Verantwortlichen einen umfassenden Überblick über alle relevanten Richtlinien. Im Gegensatz dazu hat die Mehrheit der befragten Unternehmen jedoch schon GRC-relevante Prozesse im Unternehmen aufgesetzt.
Und auch wissen über 70 Prozent der IT-Verantwortlichen, welche und wie viele Systeme zur Unterstützung und Durchführung von Audit-Prozessen genutzt werden. Doch eine Erfolgsmessung ist nicht durchgängig gewährleistet. Mehr als vier Fünftel der Befragten messen den Erfolg ihrer GRC-Aktivitäten nicht und lediglich ein Drittel weiß um die kurz- und langfristigen Kosten im Zusammenhang mit GRC-Prozessen.
Die Ergebnisse legen nahe, dass in vielen Unternehmen ein Kommunikationsproblem zwischen Auditoren und IT-Administratoren besteht. Hinzu kommt, dass die eigentliche Durchführung der Audits durch heterogene, organisch gewachsene IT-Infrastrukturen erschwert wird. Erfolgreiche GRC-Initiativen erfordern allerdings einen integrierten und unternehmensweiten Ansatz, um den Umgang mit Risiken und die Einhaltung von Richtlinien zu erleichtern. Autorisierte Anwender benötigen Zugriff auf alle Daten, unabhängig davon, wo sie sich befinden und in welcher Form sie vorliegen.
Daten müssen den Nutzern und Anwendern zur gewünschten Zeit am erforderlichen Ort im benötigten Format zur Verfügung stehen. Entscheidungsträger müssen sich darauf verlassen können, dass diese Daten vollständig, konsistent und sicher sind. Die Umsetzung einer umfassenden GRC-Strategie scheitert also nicht – wie oft angenommen – an der mangelnden Zusammenarbeit zwischen Management und IT, sondern an Insel-Lösungen, die erst in Einklang miteinander gebracht werden müssen. Nur so kann die IT harmonisch und übergreifend die Unternehmensziele unterstützen.
Da das Thema Compliance seit längerem die Wirtschaft beherrscht, sind viele Unternehmen mit dem Bereich vertraut – nur in Taten mündet diese Kenntnis noch zu selten. Und in den Bereichen Risikomanagement und Governance besteht auf Seiten vieler Unternehmen noch Ungewissheit, die auch durch Medienberichte und Analysten entsprechend geschürt wird. Anbieter und Anwender müssen daher in regem Austausch stehen, um Lösungen zu entwickeln, die den jetzigen Anforderungen entsprechen und die aktuellen Herausforderungen tatsächlich lösen.
Vorteile und Herausforderungen IT-gestützter Compliance-Erfüllung" der Friedrich-Alexander- Universität Erlangen-Nürnberg, Lehrstuhl für Wirtschaftsinformatik III in Zusammenarbeit mit Novell ist hier erhältlich.
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>