Risikobewertungs- und Compliance-Strategien


Studie von Ponemon Institute: Nur 20 Prozent der Unternehmen haben eine Governance, Risk und Compliance-Strategie
Strategischer Umgang mit Datenschutzbestimmungen und Risikobewertung (eGRC) noch sehr mangelhaft


(11.07.11) - Eine neue Studie des Ponemon Institute im Auftrag von EMC beleuchtet die dringendsten Probleme von Unternehmen bei der Einhaltung von Datenschutzbestimmungen und Risikobewertungen. Das Fehlen einer umfassenden Governance-, Risk- und Compliance-Strategie im Unternehmen (enterprise GRC, kurz: eGRC) und eine mangelhafte Zusammenarbeit zwischen Abteilungen zählen zu den größten Hindernissen für die Erreichung von eGRC-Zielen. Befragt wurden 6000 GRC-Anwender-Unternehmen aus der Finanz-, Technologie-, Gesundheits- und Pharmabranche.

Die Studie des Ponemon Institute hat herausgefunden, dass eGRC weiterhin auf der Prioritätenliste der Anwender weit oben steht. Dennoch haben nur 20 Prozent der Unternehmen eine klar definierte eGRC-Strategie, die sich auf das gesamte Unternehmen bezieht. 33 Prozent räumten ein, überhaupt keine eGRC-Strategie zu verfolgen.

"Es ist nicht mehr länger eine Frage, ob für Governance, Risk und Compliance ein unternehmensweiter Ansatz nötig ist, der Abteilungen wie IT, Recht und Personal umfasst, es ist vielmehr eine strategische Notwendigkeit", sagt Tom Roloff, Chief Operating Officer bei EMC Consulting. "Unternehmen können die wachsenden Anforderungen von Konzernvorständen und Aufsichtsbehörden für eine integrierte und zentralisierte Risikobewertungs- und Compliance-Strategie nur erfüllen, wenn sie einen Überblick haben, wo welche Informationen abgerufen werden können und welche Richtlinien eingehalten werden müssen."

Ein weiteres Ergebnis der Studie zeigt, dass eGRC-Aufgaben aus dem IT-Bereich kommend schnell auf Betriebsabläufe, Finanzen und die Rechtsabteilung ausgeweitet werden. Allerdings ist die Zusammenarbeit zwischen diesen kritischen Bereichen nicht so weit fortgeschritten wie nötig. Nur 28 Prozent der Befragten gaben an, dass in ihren Unternehmen die einzelnen eGRC-Bereiche eng zusammenarbeiten. Vollständig isoliert sind die eGRC-Funktionen in 12 Prozent der befragten Unternehmen.

Zudem sind die eGRC-Aktivitäten oft verteilt, wie die Studie verdeutlicht: Governance-Verantwortlichkeiten finden sich am häufigsten bei der IT, das Risiko-Management wird in der Regel innerhalb der jeweiligen Abteilung betreut. Um Compliance kümmert sich meist nur die firmeneigene Compliance-Abteilung, während die Einhaltung von Datenschutzbestimmungen am häufigsten in der Verantwortung der juristischen Abteilung liegt.

Die Bedeutung dieser grundlegenden eGRC-Aktivitäten wird unterschiedlich bewertet. Risikomanagement nimmt dabei mit 32 Prozent den ersten Platz ein, gefolgt von Compliance mit 27 Prozent, Governance mit 22 Prozent und Datenschutz mit 20 Prozent.

"Getrennte Systeme sind das größte Hindernis für ein effektives eGRC-Programm“, sagt Dr. Larry Ponemon, Vorsitzender und Gründer des Ponemon Institute for Privacy Research. "Die Abteilungen befassen sich mit Informationen, Richtlinien, Geschäftsabläufen und Vorschriften. Leider reden sie nicht miteinander, was zu Ineffizienz und Widersprüchen führt. Ohne Zusammenarbeit zwischen den Bereichen gehen Unternehmen unnötige Risiken ein."

Datenschutz ist ein wesentlicher Risikofaktor. Unabhängig von der Branche gaben alle Organisationen an, dass die Verwaltung von datenschutzrechtliche Bestimmungen je nach Land und in Übereinstimmung mit den Landesgesetzen ein treibender Faktor für ein integriertes eGRC ist, das die IT-Abteilung, Rechtsabteilung, Finanzabteilung und das operative Geschäft umfasst. Die größte Herausforderung sehen die Befragten bei der Weitergabe persönlicher Daten an Dritte und die Einhaltung aller einschlägigen Datenschutzvorschriften.

"Datenschutz und Datensicherheit ist ein besonders heikles Thema", sagt Dr. Ponemon. "Heutzutage sind die wesentlichen Verantwortlichkeiten für das Datenschutzmanagement üblicherweise zwischen der Rechts- und der IT-Abteilung aufgeteilt. Während die Rechtsabteilung insgesamt eine dominante Datenschutzrolle einnimmt, trägt die IT noch immer die Verantwortung für die Umsetzung von Kontrollen um die Erfüllung der datenschutzrechtlichen Bestimmungen zu gewährleisten. Dies verdeutlicht, weshalb die IT- und die Rechtsabteilung die gleiche Sprache sprechen und enger als jemals zuvor zusammenarbeiten müssen, um Risiken für das Unternehmen zu reduzieren."

Fast 90 Prozent der Befragten geben an, dass unterstützende Technologien für das Erreichen ihrer eGRC-Ziele unerlässlich oder sehr wichtig sind. Die Anwendungen die am wahrscheinlichsten eingesetzt werden, um eGRC-Aktivitäten zu unterstützen, sind Risikobewertung (81 Prozent), Richtlinien-Verwaltung (75 Prozent), Controls Assessment (73 Prozent), Incident Response und Management (68 Prozent) sowie Compliance Monitoring (63 Prozent). (EMC: ra)

EMC: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Studien

  • Viele Schulen regeln den KI-Einsatz nicht

    Um schneller einen Aufsatz zu schreiben, die Antwort im Unterricht nachzuschlagen oder Ideen für das Kunstprojekt zu sammeln - Künstliche Intelligenz ist längst auch in vielen deutschen Klassenzimmern angekommen. Allerdings hat nicht einmal jede vierte Schule zentral geregelt, was dabei erlaubt und was verboten ist. Lediglich an 23 Prozent der weiterführenden Schulen gibt es zentrale KI-Regeln, die für die ganze Schule gelten.

  • Ein Fünftel wurde im Job zu KI geschult

    Mit KI die Mail formulieren, eine Hintergrundrecherche starten oder aus Gesprächsnotizen ein Protokoll erstellen - Künstliche Intelligenz kann im Job unterstützen, wenn man weiß wie. Ein Fünftel (20 Prozent) der Berufstätigen wurde deshalb von ihrem Arbeitgeber bereits im KI-Einsatz geschult. Bei weiteren 6 Prozent gibt es zwar entsprechende Fortbildungen, sie haben sie aber noch nicht wahrgenommen. Der großen Mehrheit von 70 Prozent der Beschäftigten wird allerdings keine KI-Fortbildungen angeboten. Das sind Ergebnisse einer repräsentativen Befragung von 1.005 Personen ab 16 Jahren in Deutschland im Auftrag des Digitalverbands Bitkom.

  • Mindestens ein Datenschutzvorfall

    The Business Digital Index (BDI), eine Initiative von Cybernews, hat die digitale Sicherheit von 75 EU-Institutionen untersucht. Das Ergebnis ist besorgniserregend: 67 Prozent der untersuchten Einrichtungen erhielten die Noten "D" oder "F" und gelten damit als "hohes" oder "kritisches" Risiko.

  • Überwachung und Compliance stets im Fokus

    Mit der Einführung der elektronischen Patientenakte (ePA) setzt die Bundesregierung einen Meilenstein für die Zukunft der digitalen Gesundheitsversorgung. Ziel ist es, eine umfassende Datentransparenz - sowohl für Patienten als auch das medizinische Personal - zu schaffen, um die Qualität der Versorgung zu optimieren und Mitarbeitende im Healthcare-Sektor zu entlasten. Wie die Studie "Digitale Zwickmühle im Gesundheitswesen: Zwischen Innovationsdruck und Systemrisiken" von Soti jedoch zeigt, mangelt es in vielen deutschen Gesundheitseinrichtungen noch immer an den nötigen technischen Voraussetzungen, um diesem Anspruch in der Praxis auch wirklich gerecht zu werden. Für diese Erhebung wurden weltweit IT-Entscheidungsträger im Healthcare-Bereich befragt.

  • Haftungsrisiko bei Cyber-Schäden

    Führungskräfte in Deutschland blicken mit wachsender Sorge auf ihr Haftungsrisiko bei Cyber-Schäden - für 88 Prozent sind Cyber-Attacken und für 86 Prozent Datenverluste das Top-Risiko für Manager 2025. Das zeigt der aktuelle "Directors' and Officers' Liability Survey" des Risikoberaters und Großmaklers Willis, einem Geschäftsbereich von WTW, und der internationalen Anwaltssozietät Clyde & Co. Außerdem zeigt die Studie, dass vielen Themen im Management Board nicht genug Zeit eingeräumt wird: 38 Prozent der befragten Führungskräfte in Deutschland sind der Meinung, dass im Vorstands- und Geschäftsführungskreis mehr Zeit für das Thema Cybersicherheit aufgewendet werden sollte. "Das ist ein deutliches Signal dafür, dass viele Unternehmen sich der Bedrohung zwar bewusst sind, sich ihr aber noch nicht ausreichend widmen", sagt Lukas Nazaruk, Head of Corporate Risk & Broking Deutschland und Österreich bei Willis.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen