Risikobewertungs- und Compliance-Strategien


Studie von Ponemon Institute: Nur 20 Prozent der Unternehmen haben eine Governance, Risk und Compliance-Strategie
Strategischer Umgang mit Datenschutzbestimmungen und Risikobewertung (eGRC) noch sehr mangelhaft


(11.07.11) - Eine neue Studie des Ponemon Institute im Auftrag von EMC beleuchtet die dringendsten Probleme von Unternehmen bei der Einhaltung von Datenschutzbestimmungen und Risikobewertungen. Das Fehlen einer umfassenden Governance-, Risk- und Compliance-Strategie im Unternehmen (enterprise GRC, kurz: eGRC) und eine mangelhafte Zusammenarbeit zwischen Abteilungen zählen zu den größten Hindernissen für die Erreichung von eGRC-Zielen. Befragt wurden 6000 GRC-Anwender-Unternehmen aus der Finanz-, Technologie-, Gesundheits- und Pharmabranche.

Die Studie des Ponemon Institute hat herausgefunden, dass eGRC weiterhin auf der Prioritätenliste der Anwender weit oben steht. Dennoch haben nur 20 Prozent der Unternehmen eine klar definierte eGRC-Strategie, die sich auf das gesamte Unternehmen bezieht. 33 Prozent räumten ein, überhaupt keine eGRC-Strategie zu verfolgen.

"Es ist nicht mehr länger eine Frage, ob für Governance, Risk und Compliance ein unternehmensweiter Ansatz nötig ist, der Abteilungen wie IT, Recht und Personal umfasst, es ist vielmehr eine strategische Notwendigkeit", sagt Tom Roloff, Chief Operating Officer bei EMC Consulting. "Unternehmen können die wachsenden Anforderungen von Konzernvorständen und Aufsichtsbehörden für eine integrierte und zentralisierte Risikobewertungs- und Compliance-Strategie nur erfüllen, wenn sie einen Überblick haben, wo welche Informationen abgerufen werden können und welche Richtlinien eingehalten werden müssen."

Ein weiteres Ergebnis der Studie zeigt, dass eGRC-Aufgaben aus dem IT-Bereich kommend schnell auf Betriebsabläufe, Finanzen und die Rechtsabteilung ausgeweitet werden. Allerdings ist die Zusammenarbeit zwischen diesen kritischen Bereichen nicht so weit fortgeschritten wie nötig. Nur 28 Prozent der Befragten gaben an, dass in ihren Unternehmen die einzelnen eGRC-Bereiche eng zusammenarbeiten. Vollständig isoliert sind die eGRC-Funktionen in 12 Prozent der befragten Unternehmen.

Zudem sind die eGRC-Aktivitäten oft verteilt, wie die Studie verdeutlicht: Governance-Verantwortlichkeiten finden sich am häufigsten bei der IT, das Risiko-Management wird in der Regel innerhalb der jeweiligen Abteilung betreut. Um Compliance kümmert sich meist nur die firmeneigene Compliance-Abteilung, während die Einhaltung von Datenschutzbestimmungen am häufigsten in der Verantwortung der juristischen Abteilung liegt.

Die Bedeutung dieser grundlegenden eGRC-Aktivitäten wird unterschiedlich bewertet. Risikomanagement nimmt dabei mit 32 Prozent den ersten Platz ein, gefolgt von Compliance mit 27 Prozent, Governance mit 22 Prozent und Datenschutz mit 20 Prozent.

"Getrennte Systeme sind das größte Hindernis für ein effektives eGRC-Programm“, sagt Dr. Larry Ponemon, Vorsitzender und Gründer des Ponemon Institute for Privacy Research. "Die Abteilungen befassen sich mit Informationen, Richtlinien, Geschäftsabläufen und Vorschriften. Leider reden sie nicht miteinander, was zu Ineffizienz und Widersprüchen führt. Ohne Zusammenarbeit zwischen den Bereichen gehen Unternehmen unnötige Risiken ein."

Datenschutz ist ein wesentlicher Risikofaktor. Unabhängig von der Branche gaben alle Organisationen an, dass die Verwaltung von datenschutzrechtliche Bestimmungen je nach Land und in Übereinstimmung mit den Landesgesetzen ein treibender Faktor für ein integriertes eGRC ist, das die IT-Abteilung, Rechtsabteilung, Finanzabteilung und das operative Geschäft umfasst. Die größte Herausforderung sehen die Befragten bei der Weitergabe persönlicher Daten an Dritte und die Einhaltung aller einschlägigen Datenschutzvorschriften.

"Datenschutz und Datensicherheit ist ein besonders heikles Thema", sagt Dr. Ponemon. "Heutzutage sind die wesentlichen Verantwortlichkeiten für das Datenschutzmanagement üblicherweise zwischen der Rechts- und der IT-Abteilung aufgeteilt. Während die Rechtsabteilung insgesamt eine dominante Datenschutzrolle einnimmt, trägt die IT noch immer die Verantwortung für die Umsetzung von Kontrollen um die Erfüllung der datenschutzrechtlichen Bestimmungen zu gewährleisten. Dies verdeutlicht, weshalb die IT- und die Rechtsabteilung die gleiche Sprache sprechen und enger als jemals zuvor zusammenarbeiten müssen, um Risiken für das Unternehmen zu reduzieren."

Fast 90 Prozent der Befragten geben an, dass unterstützende Technologien für das Erreichen ihrer eGRC-Ziele unerlässlich oder sehr wichtig sind. Die Anwendungen die am wahrscheinlichsten eingesetzt werden, um eGRC-Aktivitäten zu unterstützen, sind Risikobewertung (81 Prozent), Richtlinien-Verwaltung (75 Prozent), Controls Assessment (73 Prozent), Incident Response und Management (68 Prozent) sowie Compliance Monitoring (63 Prozent). (EMC: ra)

EMC: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Studien

  • Datenschutz als Innovations-Bremse

    Mehr als zwei Drittel der Unternehmen in Deutschland fühlen sich vom Datenschutz ausgebremst. 70 Prozent haben bereits mindestens einmal Pläne für Innovationen aufgrund von Datenschutz-Vorgaben oder Unsicherheiten bei der Anwendung des geltenden Rechts gestoppt. Vor einem Jahr lag der Anteil noch bei 61 Prozent. Aktuell sagen wie im Vorjahr 17 Prozent, dass sie einmal auf Innovationspläne verzichtet haben. Bei 35 Prozent war das dagegen bereits mehrfach der Fall (2024: 27 Prozent) und bei 18 Prozent sogar häufig (2024: 17 Prozent). Das sind Ergebnisse einer repräsentativen Befragung von 605 Unternehmen ab 20 Beschäftigten in Deutschland im Auftrag des Digitalverbands Bitkom.

  • Gefahr von Cyberattacken

    IT-Verantwortliche bewerten das Risiko, dass ihr Unternehmen Opfer einer Cyberattacke wird, so hoch wie nie zuvor: Fast sieben von zehn Befragten (69 Prozent) befürchten laut einer aktuellen EY-Studie Hackerangriffe und bewerten die Gefahr dabei als "eher hoch" bis "sehr hoch". Besonders große Sorgen machen sich die Befragten in den Bereichen Technologie, Medien und Telekommunikation (82 Prozent), Energie und Metallverarbeitung (80 Prozent), Pharma und Gesundheit sowie Bau und Immobilien (jeweils 71 Prozent).

  • Revolution in der Fertigung

    NTT Data stellte die Ergebnisse ihrer neuesten Studie vor. Die Daten zeigen, dass Fertigungsunternehmen beim Einsatz von GenAI zwar vor einigen Hürden stehen, die Technologie aber das Potenzial hat, ein ganz neues Niveau an Effizienz und Innovationskraft hervorzubringen. Neben den vielen Anwendungsbereichen von GenAI untersuchte die Studie "Von der Fertigungshalle ins KI-Zeitalter: Haben Sie einen Masterplan oder Nachholbedarf?" auch die Herausforderungen, denen sich das produzierende Gewerbe gegenübersieht.

  • Drei Viertel lassen KI-Chancen liegen

    Ob zur Qualitätskontrolle, Automatisierung, Energieeinsparung oder Steuerung von Robotern - die Anwendungsmöglichkeiten für Künstliche Intelligenz in der Produktion sind zahlreich. Mit Blick auf die deutsche Industrie zeigt sich aber: Nur einem Viertel der Unternehmen gelingt es nach eigener Einschätzung bereits gut, die Potenziale von KI zu nutzen (24 Prozent). Das sind Ergebnisse einer repräsentativen Befragung im Auftrag des Digitalverbands Bitkom, die unter 552 Industrieunternehmen des verarbeitenden Gewerbes ab 100 Beschäftigten in Deutschland durchgeführt wurde. Die übrigen drei Viertel sehen sich noch nicht imstande, entsprechende Möglichkeiten auszuschöpfen (72 Prozent).

  • Lösungsansätze gegen den GenAI-Gender Gap

    Frauen drohen bei Künstlicher Intelligenz (KI), die bis 2030 allein in Deutschland 3 Millionen Jobs verändern könnte, ins Hintertreffen zu geraten. So zeigen aktuelle Zahlen von Coursera, dass lediglich 27 Prozent der Lernenden in Generative-AI (GenAI)-Kursen in Deutschland (102.000 Einschreibungen) weiblich sind. Dies liegt noch unter dem weltweiten Durchschnitt von 32 Prozent und reicht im Ländervergleich gerade für einen Platz in den Top-Ten (Platz 9). Und das, obwohl sich allein auf Coursera im vergangenen Jahr weltweit alle 10 Sekunden jemand in einen GenAI-Kurs einschrieb.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen