Durchgängige GRC-Initiativen noch sehr selten

Bisher gibt es nur wenige Unternehmen, die durchgängige GRC-Initiativen überhaupt angedacht haben. Während das Operational Risk Management (ORM) mit Blick auf operative Risiken zumindest in einigen Branchen verankert ist und das Management auch auf ausgewählte Regularien achtet, fehlen sowohl mit Blick auf das Kerngeschäft als auch die IT durchgängige Konzepte für GRC in den meisten Unternehmen – von der sinnvollen wie wichtigen Verknüpfung von „Enterprise GRC“ und „IT GRC“ ganz zu schweigen.

Die Gründe dafür sind vielschichtig. Fehlende organisatorische Strukturen für GRC, allzu fokussierte IT-Werkzeuge zur Unterstützung von GRC mit einem „Silo“-Ansatz und die fehlende Übersicht über die relevanten Vorschriften und mögliche Konflikte wie diesen sind nur einige Beispiele dafür.

Dabei ist gerade die Umsetzung von Risiko-Management in der IT nicht nur wichtig, sondern auch hilfreich. Durch ein Risiko-Management lassen sich Prioritäten für Investitionen setzen, Investitionen besser begründen, Folgekosten von Fehlern reduzieren, organisatorische Prozesse optimieren und vieles mehr.