Risiken beherrschen

Werbung
Management • Risikomanagement
Qualität
verbindet
Bild: NicoElNino - Fotolia
Obwohl regulatorische Anforderungen wachsen
und immer komplexer werden, verpassen viele
Unternehmen die Chance, sich durch ein
professionelles Risikomanagement und
Compliance-Prozesse Wettbewerbsvorteile zu
sichern.
Risiken beherrschen
So managen Sie Corporate Governance, Risk & Compliance professionell
Ob Datenschutz oder IT-Risikomanagement, Audit Management oder der Umgang mit Lieferanten: Die
Anforderungen von Aufsichtsbehörden an Sicherheit und Qualität von Geschäftsprozessen, Produkten
und Services steigen – ebenso wie Anzahl und Komplexität der Risiken. Kein Wunder also, dass Unternehmen häufig Nachweise darüber erbringen müssen, dass sie Standards, Normen und regulatorische
Auflagen sowie Vorschriften einhalten. Wie lassen sich Governance, Risk & Compliance, kurz GRC, professionell umsetzen?
16
1-2/2017
U
nvollständiges Reporting, isolierte Prozesse und
ein reiner Compliance-Fokus ohne Berücksichtigung der tatsächlichen Risiken – geringer Reifegrad in puncto Informationssicherheit und IT-Risikomanagement.“
Feststellungen eines Wirtschaftsprüfers wie diese aus einem
mittelständischen Unternehmen sind keine Frage der Unternehmensgröße oder Branche. Obwohl regulatorische Anforderungen
wachsen und immer komplexer werden, verpassen viele Unternehmen die Chance, sich durch ein professionelles Risikomanagement
und Compliance-Prozesse Wettbewerbsvorteile zu sichern. Mitunter werden IT-Risiken nicht definiert, und wenn doch, dann werden sie per Lose-Blatt-Sammlung oder per Excel „verwaltet“. Daten aus den Bereichen Risikomanagement, Business Continuity
Liebherr ist einer der größten Baumaschinenhersteller der Welt. Bei der Verkabelung seiner
Materialumschlagmaschine mit Elektroantrieb
setzt Liebherr auf Helukabel.
Mehr unter: www.helukabel.de/liebherr
Management • Risikomanagement
Hintergrundinformationen
Was ist Governance, Risk & Compliance?
Governance, Risk und Compliance, kurz GRC, beschreibt
die drei wichtigsten Handlungsfelder zur erfolgreichen
und verantwortungsvollen Führung eines Unternehmens
aus ganzheitlicher Sicht. Ziel ist die koordinierte Steuerung der Überwachungsaktivitäten sowie die effiziente
Nutzung der Ressourcen. Dies kann Sicherheit bei geringen Kosten erhöhen und die Risikokultur verbessern.
Governance bezeichnet die Unternehmensführung in Abhängigkeit von gesetzten externen und internen Vorgaben und die darauf ausgerichtete Steuerung einer Organisation oder eines Unternehmens mittels geeigneter
Managementsysteme.
Risk (Risikomanagement) beschreibt die bewusste und
zielgerichtete Auseinandersetzung mit Ereignissen, die
oder auch Netzwerk-Logdaten stammen aus unterschiedlichsten
Quellen. Einen zentral Verantwortlichen, der diese Daten regelmäßig nachhält, konsolidiert und daraus die richtigen Schlüsse für
den Bereich Informationssicherheit und IT-Compliance zieht, damit das Unternehmen vor Cyber-Bedrohungen besser geschützt
ist, gibt es bisher nur selten. Und wenn doch, dann erfolgt die Analyse weder mit integrierten Softwarelösungen, noch findet eine
vernetzte Analyse oder ein zentrales Reporting statt.
Verwundbar gegen Cyber-Angriffe
Unternehmen werden dadurch leichtes Opfer für Cyber-Angriffe.
Sicherheitsvorfälle werden ad hoc bearbeitet, wenn sie auffallen.
Lösungen, die Cyber-Angriffe erkennen, sind nicht implementiert
oder liefern nur unzureichende Informationen, wie bedrohlich der
Vorfall für das Unternehmen ist. Dieses punktuelle Management
von unzureichend integrierten GRC-Prozessen bedeutet einen erheblichen Mehraufwand durch redundante Tätigkeiten und sich
a
ert
Rob
Bild:
oli
- Fot
chke
Knes
eine potenzielle, negative wie positive, Abweichung auf
die Erreichung gesetzter Ziele des Unternehmens haben
kann, sowie deren Steuerung nach Wesentlichkeitsgesichtspunkten.
Compliance beschreibt die Befolgung und Einhaltung interner und externer Normen und Vorschriften. Diese können in vielfältiger Form auftreten wie zum Beispiel interne Vorgaben und Richtlinien des Managements sowie
externe Vorgaben durch Gesetze, Verordnungen oder
Verträge. Ein Beispiel dafür sind die nationalen Unterschiede beim Thema Datenschutz. Informationsflüsse
sind heute in fast jedem Staat der Welt per Gesetz geregelt – die Strafen und die Regulierungsbefugnis der Behörden unterscheiden sich jedoch enorm.
widersprechenden Aussagen im Management Reporting. Die fehlende Übersicht und der oftmals fehlende Bezug zum Nutzen für
das Unternehmen machen es für das Management unmöglich, angemessene Entscheidungen abzuleiten und die richtigen Prioritäten zur Steuerung von Unternehmensrisiken zu setzen.
Als Konsequenz drohen nicht nur empfindliche Strafen wegen
Verstößen gegen regulatorische Auflagen. Nicht erkannte oder
falsch eingeschätzte Risiken aus Cyber-Angriffen sowie das Nichteinhalten von Service Level Agreements (SLA) durch beauftragte
Lieferanten können schwerwiegende Folgen wie Betriebsausfall
mit unkalkulierbaren Auswirkungen nach sich ziehen – bis hin zur
Gefährdung der kompletten Existenz des Unternehmens.
Unternehmen müssen sich seit jeher mit verantwortungsvoller
Unternehmensführung und dem Management von Risiken auseinandersetzen. Das GRC – Governance, Risk & Compliance – wird
immer komplexer, etwa durch die EU-Datenschutzgrundverordnung, die ab Mitte 2018 greifen soll.
Diese neuen Richtlinien und Novellen werden einen erheblichen
Einfluss auf die Cyber-Sicherheit haben. Hinzu kommen weitere
industrie- und branchenspezifische Standards, Regularien und
Vorschriften. Ein professionelles GRC-Management ermöglicht
eine integrierte Herangehensweise, um diese Komplexität zu
beherrschen: Es erlaubt eine ganzheitliche Sicht auf das Unternehmen, die alle Managementsysteme und Maßnahmen im Fokus hat.
Das Ergebnis sind eine verbesserte Steuerung von
Informationssicherheitsmanagement, IT-Risikomanagement sowie IT-Compliance, um die unterschiedlichen Anforderungen an das aktive Risikomanagement und den geforderten Reportings
effizient nachkommen zu können.
Ein professionelles GRC-Management basiert
auf einer objektiven Analyse der Unternehmenssituation, die Umsetzung erfolgt auf stra-
Im Risikomanagement müssen alle einzelnen Informationen
mit Zusammenhang mit wesentlichen Geschäftsprozessen,
Produkten und Services berücksichtigt werden.
1-2/2017
GRC-Software bietet einen Überblick
Mit GRC-Software lassen sich manuelle Prozesse effizienter gestalten, Informationen aus verschiedenen Quellen sinnvoll zusammenführen und mit dem eigentlichen Unternehmenskontext in
Verbindung bringen. Das bedeutet: Um das Risiko für ein Unternehmen realistisch abzuschätzen, müssen alle einzelnen Informationen im Zusammenhang mit wesentlichen Geschäftsprozessen,
Produkten, Services, Anwendungen oder Standorten betrachet
werden.
Allerdings sollte man nicht dem Irrtum erliegen, verantwortliche Unternehmensführung und unternehmensweites Risikomanagement ließen sich so per Knopfdruck erledigen. Das Unternehmen muss im Vorfeld definieren, welchen internen und externen
Vorschriften es unterliegt und welche Workflows am besten in die
Abläufe des Unternehmens passen. Mit einem toolgestützten Ansatz verbessern sich Nachvollziehbarkeit und Auswertbarkeit von
Ein realistisches Risikomanagement, auch in Sachen IT-Sicherheit, kann mithilfe einer
GRC-Software effizienter gestaltet werden.
Informationen erheblich – und damit auch die Steuerungsmöglichkeiten innerhalb des Risikomanagements, selbst wenn Compliance-Anforderungen einem schnellen Wandel unterliegen.
Welche passende GRC-Software Sie nun für Ihr Technologiemanagement auswählen sollten, lesen Sie im zweiten Teil zu Governance,
Risk & Compliance in der nächsten Ausgabe der ke NEXT.
hei n
Autor
Wolfgang Surrey, TÜV Rheinland
Neue industriespezifische Standards
Was ein GRC-Management ausmacht
18
tegischer, taktischer und operativer Ebene, die Prozesslandschaft
ist belastbar und stimmig. Eine Unterstützung durch eine darauf
spezialisierte Management-Softwarelösung ist nicht zwingend,
aber ab einer gewissen Größenordnung oder Geschäftsmodell des
Unternehmens nahezu unverzichtbar.
Möglicherweise fällt die Entscheidung dafür nach einer Wirtschaftsprüfung, bei der die Revisionssicherheit des Risikomanagements angezweifelt wird, etwa weil Inkonsistenzen im Berichtswesen bestehen, die sich nicht kurzfristig konsolidieren lassen. Auch
die Ausweitung der Geschäftsaktivitäten in die USA hinein, wo
etwaige Compliance-Verstöße teils drastisch geahndet werden,
kann ein wichtiger Grund sein, sich weiter zu professionalisieren.
Bild: momius - Fotolia
Management • Risikomanagement
Rüdiger Knevels, Geschäftsführer ROLLON GmbH, Deutschland
Als serviceorientierter
Hersteller bietet ROLLON
weltweit eines der umfassendsten Sortimente
der Lineartechnik und kann
nahezu jeden individuellen
Anwendungsfall abdecken.
„Weltweit stellen wir unseren Kunden
unser Know-how und unseren
Verfügung.
globalen Service zur Verfügung.“
>> www.rollon.de
ROLLON. Your first choice
1-2/2017
19
Herunterladen