GRC: Von der Punktlösung zur Gesamtlösung

KarrierePolitikRecht

GRC (Governance, Risk Management, Compliance) ist seit einigen Jahren ein wichtiges Thema in der IT. Bisher gab es aber vor allem punktuelle Ansätze für verschiedene Bereiche. Nun wird der Trend zu integrierten GRC-Ansätzen aber immer stärker.

Bisher gab es vor allem eine ausgeprägte Trennung zwischen dem so genannten »Enterprise GRC« mit Fokus überwiegend auf manuelle Controls und der Zielgruppe des CFO und der Risk Manager auf der einen Seite und einer Reihe unterschiedlicher Ansätze für das IT-GRC mit manuellen Controls und einerseits der Zielgruppe der IT-Verantwortlichen, andererseits aber auch der Verantwortlichen für Geschäftsprozesse.

Operationale Risiken und IT-Risiken
Diese Trennung ist allerdings eher künstlich. Operationale Risiken sind heute in fast allen Fällen auch mit IT-Systemen und damit IT-Risiken verknüpft. Und IT-Risiken betrachtet man faktisch nur, weil dahinter eben auch operationale Risiken stehen. Dabei geht es sowohl um technische Aspekte wie die Verfügbarkeit von Systemen oder die IT-Sicherheit und beispielsweise unbefugte Zugriffe als auch inhaltliche Aspekte wie die korrekte Umsetzung und Nutzung von Geschäftsprozessen.

Die Homepage des Analaystenunternehmens Kuppinger Cole.

Lösungen, bei denen über manuelle Controls regelmäßig ein Risikostatus aktualisiert wird, reichen nicht aus, um schnell reagieren zu können. Bis zur Aktualisierung können längst erhebliche Schäden entstanden sein, weil falsche Auftragsbestätigungen umgesetzt oder verbotene Wertpapiertransaktionen durchgeführt wurden.

Es geht darum, schnell und zeitnah die Änderung von Risikoindikatoren zu erkennen und darauf reagieren zu können. Das bedingt aber automatisierte Controls und eine enge Verknüpfung der Business-Sichtweise mit den darunter liegenden IT-Systemen.

Corporate Risk Officer mag keine Details
Derzeit sind diese Ebenen oft aber noch organisatorisch in den Unternehmen getrennt. Die Corporate Risk Officer möchten sich nicht mit den Details aus der IT beschäftigen, die IT schaut zu sehr auf technische Aspekte und nicht den Zusammenhang zu den Geschäftsprozessen und damit den operationalen Einfluss von Risiken. Das gleiche Bild zeigte sich bis vor kurzem auch beim Markt für GRC-Lösungen – mit Enterprise GRC-Herstellern und darunter IT-orientierten Ansätzen.

SAP verknüpft GRC-Lösungen
Hier gibt es aber zunehmend Bewegung. SAP verknüpft seine GRC-Lösungen immer stärker miteinander. MetricStream verfolgt diesen Ansatz schon länger. RSA hat Archer gekauft, um nicht nur die technische, sondern auch die Business-Sicht abdecken zu können. Und IBM übernimmt nun OpenPages und setzt auf die Integration mit anderen Lösungen aus dem Business Analytics- und Tivoli-Portfolio, um eine aktuelle Gesamtsicht bieten zu können.

Der schnelle Überblick
Die Kunst liegt dabei darin, Controls so zu definieren, dass man abgeleitet von Business-Anforderungen die spezifischen Richtlinien für Geschäftsprozesse und IT-Systeme erhält und andererseits die Detailinformationen so zu aggregieren, dass man auf der Ebene des CFO einen schnellen Überblick über die wirklichen Risiken erhält – und sich dann wieder bis zu den Details durchhangeln kann, die durch Maßnahmen adressiert werden müssen. Hier ist noch einiges an Arbeit und Standardisierung zu leisten, um Informationen effizient und sinnvoll austauschen zu können.

»Der GRC-Markt verändert sich. Enterprise GRC-Lösungen, die keine ausreichende Integrationsfähigkeit mit den darunter liegenden Schichten haben, werden sich im Markt zunehmend schwer tun.« Martin Kuppinger

Gerade die Übernahme von OpenPages durch IBM zeigt aber deutlich, dass die Entwicklung in diese Richtung geht. Damit wird sich auch der GRC-Markt verändern. Enterprise GRC-Lösungen, die keine ausreichende Integrationsfähigkeit mit den darunter liegenden Schichten haben, werden sich im Markt zunehmend schwer tun. Denn mit manuellen Controls und der reinen Business-Sicht bei gleichzeitiger Ignoranz dessen, was in den darunter liegenden IT-Businesssystemen geschieht, wird man die GRC-Anforderungen und, mehr noch, die Herausforderungen an eine effiziente operationale Steuerung von Unternehmen, nicht erfüllen können.
(Martin Kuppinger/mt)

Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit Themen wie digitalen Identitäten, Identity und Access Management und GRC (Governance, Risk Management, Compliance) Computing beschäftigt. Kuppinger Cole ist daneben Ausrichter der regelmäßig stattfindenden European Identity Conference. Martin Kuppinger hat darüber hinaus eine Vielzahl von IT-Fachbüchern und Fachartikeln veröffentlicht. Weitere Informationen finden Sie hier.

Weblinks
Kuppinger Cole