Was macht professionelles GRC-Management aus? Es basiert auf einer objektiven Analyse der Unternehmenssituation, die Umsetzung erfolgt auf strategischer, taktischer und operativer Ebene, die Prozesslandschaft ist belastbar und stimmig. Eine Unterstützung durch eine darauf spezialisierte Management-Softwarelösung ist nicht zwingend, aber ab einer gewissen Größenordnung oder einem gewissen Geschäftsmodell des Unternehmens nahezu unverzichtbar. Möglicherweise fällt die Entscheidung dafür nach einer Wirtschaftsprüfung, bei der die Revisionssicherheit des Risikomanagements angezweifelt wird – möglicherweise, weil Inkonsistenzen im Berichtswesen bestehen, die sich nicht kurzfristig konsolidieren lassen. Auch die Ausweitung der Geschäftsaktivitäten z.B. in die USA hinein, wo etwaige Compliance-Verstöße teils drastischer geahndet werden, kann ein Grund sein, sich an dieser Stelle zu professionalisieren.
Informationen richtig beurteilen
Mit GRC-Software lassen sich manuelle Prozesse effizienter gestalten, Informationen aus verschiedenen Quellen sinnvoll zusammenführen und mit dem eigentlichen Unternehmenskontext in Verbindung bringen. Das bedeutet: Im Rahmen eines risikozentrierten Ansatzes lassen sich die einzelnen Informationen nur dann sinnvoll auf ihre Kritikalität für das Unternehmen beurteilen, wenn sie sich im Zusammenhang mit für das Unternehmen wesentlichen Geschäftsprozessen, damit verbundenen Produkten oder Services, Anwendungen oder Standorten betrachten lassen. Allerdings sollten Nutzer von GRC-Software nicht dem Irrtum erliegen, verantwortliche Unternehmensführung und unternehmensweites Risikomanagement ließen sich so per Knopfdruck erledigen. Das Unternehmen muss im Vorfeld definieren, welchen internen und externen Vorschriften es unterliegt und welche Workflows am besten in die Abläufe des Unternehmens passen. Mit einem toolgestützten Ansatz verbessern sich Nachvollziehbarkeit und Auswertbarkeit von Informationen erheblich – und damit auch die Steuerungsmöglichkeiten innerhalb des Risikomanagements, selbst wenn Compliance-Anforderungen einem schnellen Wandel unterliegen.
Auswahl der GRC-Software
Es gibt zahlreiche Lösungsanbieter, die auf der funktionalen Ebene miteinander konkurrieren. Zurzeit geht der Trend stark in Richtung integrierte Compliance-Frameworks: Diese Tools bieten bereits vordefinierten Standard-Content, der die Anforderungen diverser Rahmenwerke und Regularien wie der ISO27001 oder der EU-Datenschutzgrundverordnung berücksichtigt und sich relativ einfach mit den individuellen Kontrollstrukturen des jeweiligen Unternehmens verknüpfen lässt. Neue Gesetze lassen sich einfach in das bestehende Compliance Framework integrieren, was dazu beiträgt, den Pflegeaufwand des Compliance-Systems überschaubar zu halten. Wer sich einen ersten Überblick verschaffen will, wirft am besten einen Blick in die Produktübersichten von Analysten wie Forrester und Gartner. Im Rahmen eines Ausschreibungsverfahrens sollten Unternehmen ihre funktionalen und technischen Anforderungen an die Managementsoftware-Lösung definieren. Dabei kommt es darauf an, dass die Technologie nicht nur in der Lage ist, die aktuelle Situation abzubilden, sondern auch mitzuwachsen, um künftigen Anforderungen gerecht zu werden. Darüber hinaus liefern die Analysten wertvolle Informationen über die Stärken und Schwächen der hinter der Software-Lösung stehenden Anbieter und deren Strategien, um den Kunden langfristig und mit ausreichender Manpower mit notwendigen Services rund um die gewählte GRC-Lösung lokal zu betreuen. Genau anschauen sollte man sich, ob es ein funktionierendes Partnernetzwerk oder eine regionale Präsenz gibt, die über das Vorhandensein eines Vertriebsansprechpartners hinausgeht. Denn ein Tool ohne Experten, die die Anwendung fachmännisch und zweckmäßig einrichten können, ist nahezu wertlos. Experten müssen nicht nur theoretisch verfügbar sein, sondern praktisch für den Kunden da sein.
Reifegradmodelle und Implementierungsstrategien
TÜV Rheinland unterstützt Unternehmen in der individuellen GRC-Strategieberatung und in der Umsetzung individueller Branchenanforderungen, um die erforderlichen Prozesse und Methoden im Bereich Risikomanagement, Informationssicherheitsmanagement und IT-Compliance anhand etablierter Managementsysteme und Best Practice Frameworks zu gestalten. Auch Hersteller-Best-Practices (wie z.B. das RSA Archer Use Case Reifegradmodell) können Verwendung finden, um im Rahmen eines Prototyping-Verfahrens mit dem Kunden eine geeignete Vorgehensweise für die GRC-Implementierung zu entwickeln. Anhand vordefinierter Use Cases kann das Unternehmen seine wichtigsten Aufgaben, z.B. das Thema IT-Risiko-Management, priorisieren. Allen Szenarien liegt ein mehrstufiges Reifegradmodell zugrunde. Was die einzelnen Reifegrade in puncto Prozesse und Fokus auszeichnet, ist detailliert beschrieben – unter Umständen eine Hilfestellung für die eigene Standortbestimmung und die Planung der zu bewältigenden Aufgaben auf dem Weg zur nächsten Stufe. Je nach Anbieter enthalten die jeweiligen GRC-Systeme bereits umfassenden Content, wie etwa die Anforderungen der ISO27001 oder Standards wie Cobit. Sind gleich mehrere Managementsysteme zu implementieren, die vergleichbare Anforderungen haben – z.B. den Einsatz starker Passwörter – lassen sich so gleich mehrere Anforderungen mit gewissermaßen einem Klick erfüllen und zentral auswerten.
Partner und Dienstleister
Da die Basisinstallation und die Implementierung des Tools entsprechend der Kundenanforderungen immer häufiger nicht durch den Hersteller selbst, sondern durch Implementierungspartner erfolgt, sollte die Beurteilung der Partnerstrategie und die potentiell in Frage kommenden Dienstleister unbedingt im Software-Auswahlprozess berücksichtigt werden. Eine etablierte Partnerstrategie mit entsprechend formalisierten Zertifizierungsgraden und Kennzahlen gibt Auskunft darüber, ob der Hersteller in der Lage ist, Partner für das eigene Produkt langfristig zu binden sowie das teils sehr spezifische Wissen über das Tool erfolgreich auf Dritte zu übertragen, z.B. durch existierende Wissens-Portale, eLearning-Angebote oder Communities. Da sich der Partnerstatus häufig an Projektumsetzungsvolumen und erfolgreich umgesetzten Projekten (=Kundenzufriedenheit) misst, kann dies ebenfalls ein geeigneter Indikator für die Wahl des richtigen Implementierungspartners sein. Im dritten und letzten Teil dieser Artikelserie, der in der nächsten Ausgabe des SPS-MAGAZINs erscheint, geht es darum, den richtigen externen Partner zu finden.
