GRC: Organisatorische Unklarheiten als Herausforderung
GRC (Governance, Risk Management, Compliance) ist in den vergangenen Jahren zu Recht zu einem wichtigen Thema nicht nur der IT, sondern des Managements insgesamt geworden. Doch immer klarer wird: Oft hängen Fortschritte in diesem Bereich an unklaren Verantwortlichkeiten.
- GRC: Organisatorische Unklarheiten als Herausforderung
- Von IAM-GRC über SIEM bis BSM
Wer hat eigentlich den Hut auf für das Thema GRC? An dieser Frage scheiden sich die Geister. Und viele naheliegende Antworten erweisen sich bei näherer Betrachtung als zu einfach. Der CFO kann es nicht alleine sein, denn dann müsste sich einer der wichtigsten Bereiche im Business selbst kontrollieren. Der CIO kann es allenfalls für die IT-Controls sein, die er dem Business bereitstellt. Die Revision hat oft einen zu eingeschränkten Auftrag. Und spezielle CCOs (Chief Compliance Officers) oder CROs (Chief Risk Officers) – beides schon vom Begriff her etwas unvollständig, weil auf zwei Funktionen aufgeteilt- fehlen meist auch.
Das ist vielleicht auch der Grund dafür, dass es heute viele isolierte GRC-Ansätze gibt. Im sogenannten »Enterprise GRC«, das man besser als »Business GRC« bezeichnen würde, geht es um Business-Controls und deren Unterstützung durch IT-Lösungen - sozusagen der Ersatz für die Spreadsheets und der Schritt von nur manuellen hin zu immer mehr automatischen Controls.
Beim Continuous Controls Monitoring geht es um eine automatisierte Überwachung von Controls – in IT-Systemen, aber typischerweise mit Business-Fokus. Oft halten die Lösungen nicht, was der Ansatz verspricht. Auch die Process- und Risk Control-Lösungen mit IT-Fokus liegen zwischen den Enterprise GRC-Lösungen und eher technischen Lösungen.
