Management • Risikomanagement Qualität verbindet Bild: NicoElNino - Fotolia Obwohl regulatorische Anforderungen wachsen und immer komplexer werden, verpassen viele Unternehmen die Chance, sich durch ein professionelles Risikomanagement und Compliance-Prozesse Wettbewerbsvorteile zu sichern. Risiken beherrschen So managen Sie Corporate Governance, Risk & Compliance professionell Ob Datenschutz oder IT-Risikomanagement, Audit Management oder der Umgang mit Lieferanten: Die Anforderungen von Aufsichtsbehörden an Sicherheit und Qualität von Geschäftsprozessen, Produkten und Services steigen – ebenso wie Anzahl und Komplexität der Risiken. Kein Wunder also, dass Unternehmen häufig Nachweise darüber erbringen müssen, dass sie Standards, Normen und regulatorische Auflagen sowie Vorschriften einhalten. Wie lassen sich Governance, Risk & Compliance, kurz GRC, professionell umsetzen? 16 1-2/2017 U nvollständiges Reporting, isolierte Prozesse und ein reiner Compliance-Fokus ohne Berücksichtigung der tatsächlichen Risiken – geringer Reifegrad in puncto Informationssicherheit und IT-Risikomanagement.“ Feststellungen eines Wirtschaftsprüfers wie diese aus einem mittelständischen Unternehmen sind keine Frage der Unternehmensgröße oder Branche. Obwohl regulatorische Anforderungen wachsen und immer komplexer werden, verpassen viele Unternehmen die Chance, sich durch ein professionelles Risikomanagement und Compliance-Prozesse Wettbewerbsvorteile zu sichern. Mitunter werden IT-Risiken nicht definiert, und wenn doch, dann werden sie per Lose-Blatt-Sammlung oder per Excel „verwaltet“. Daten aus den Bereichen Risikomanagement, Business Continuity Liebherr ist einer der größten Baumaschinenhersteller der Welt. Bei der Verkabelung seiner Materialumschlagmaschine mit Elektroantrieb setzt Liebherr auf Helukabel. Mehr unter: www.helukabel.de/liebherr Management • Risikomanagement Hintergrundinformationen Was ist Governance, Risk & Compliance? Governance, Risk und Compliance, kurz GRC, beschreibt die drei wichtigsten Handlungsfelder zur erfolgreichen und verantwortungsvollen Führung eines Unternehmens aus ganzheitlicher Sicht. Ziel ist die koordinierte Steuerung der Überwachungsaktivitäten sowie die effiziente Nutzung der Ressourcen. Dies kann Sicherheit bei geringen Kosten erhöhen und die Risikokultur verbessern. Governance bezeichnet die Unternehmensführung in Abhängigkeit von gesetzten externen und internen Vorgaben und die darauf ausgerichtete Steuerung einer Organisation oder eines Unternehmens mittels geeigneter Managementsysteme. Risk (Risikomanagement) beschreibt die bewusste und zielgerichtete Auseinandersetzung mit Ereignissen, die oder auch Netzwerk-Logdaten stammen aus unterschiedlichsten Quellen. Einen zentral Verantwortlichen, der diese Daten regelmäßig nachhält, konsolidiert und daraus die richtigen Schlüsse für den Bereich Informationssicherheit und IT-Compliance zieht, damit das Unternehmen vor Cyber-Bedrohungen besser geschützt ist, gibt es bisher nur selten. Und wenn doch, dann erfolgt die Analyse weder mit integrierten Softwarelösungen, noch findet eine vernetzte Analyse oder ein zentrales Reporting statt. Verwundbar gegen Cyber-Angriffe Unternehmen werden dadurch leichtes Opfer für Cyber-Angriffe. Sicherheitsvorfälle werden ad hoc bearbeitet, wenn sie auffallen. Lösungen, die Cyber-Angriffe erkennen, sind nicht implementiert oder liefern nur unzureichende Informationen, wie bedrohlich der Vorfall für das Unternehmen ist. Dieses punktuelle Management von unzureichend integrierten GRC-Prozessen bedeutet einen erheblichen Mehraufwand durch redundante Tätigkeiten und sich a ert Rob Bild: oli - Fot chke Knes eine potenzielle, negative wie positive, Abweichung auf die Erreichung gesetzter Ziele des Unternehmens haben kann, sowie deren Steuerung nach Wesentlichkeitsgesichtspunkten. Compliance beschreibt die Befolgung und Einhaltung interner und externer Normen und Vorschriften. Diese können in vielfältiger Form auftreten wie zum Beispiel interne Vorgaben und Richtlinien des Managements sowie externe Vorgaben durch Gesetze, Verordnungen oder Verträge. Ein Beispiel dafür sind die nationalen Unterschiede beim Thema Datenschutz. Informationsflüsse sind heute in fast jedem Staat der Welt per Gesetz geregelt – die Strafen und die Regulierungsbefugnis der Behörden unterscheiden sich jedoch enorm. widersprechenden Aussagen im Management Reporting. Die fehlende Übersicht und der oftmals fehlende Bezug zum Nutzen für das Unternehmen machen es für das Management unmöglich, angemessene Entscheidungen abzuleiten und die richtigen Prioritäten zur Steuerung von Unternehmensrisiken zu setzen. Als Konsequenz drohen nicht nur empfindliche Strafen wegen Verstößen gegen regulatorische Auflagen. Nicht erkannte oder falsch eingeschätzte Risiken aus Cyber-Angriffen sowie das Nichteinhalten von Service Level Agreements (SLA) durch beauftragte Lieferanten können schwerwiegende Folgen wie Betriebsausfall mit unkalkulierbaren Auswirkungen nach sich ziehen – bis hin zur Gefährdung der kompletten Existenz des Unternehmens. Unternehmen müssen sich seit jeher mit verantwortungsvoller Unternehmensführung und dem Management von Risiken auseinandersetzen. Das GRC – Governance, Risk & Compliance – wird immer komplexer, etwa durch die EU-Datenschutzgrundverordnung, die ab Mitte 2018 greifen soll. Diese neuen Richtlinien und Novellen werden einen erheblichen Einfluss auf die Cyber-Sicherheit haben. Hinzu kommen weitere industrie- und branchenspezifische Standards, Regularien und Vorschriften. Ein professionelles GRC-Management ermöglicht eine integrierte Herangehensweise, um diese Komplexität zu beherrschen: Es erlaubt eine ganzheitliche Sicht auf das Unternehmen, die alle Managementsysteme und Maßnahmen im Fokus hat. Das Ergebnis sind eine verbesserte Steuerung von Informationssicherheitsmanagement, IT-Risikomanagement sowie IT-Compliance, um die unterschiedlichen Anforderungen an das aktive Risikomanagement und den geforderten Reportings effizient nachkommen zu können. Ein professionelles GRC-Management basiert auf einer objektiven Analyse der Unternehmenssituation, die Umsetzung erfolgt auf stra- Im Risikomanagement müssen alle einzelnen Informationen mit Zusammenhang mit wesentlichen Geschäftsprozessen, Produkten und Services berücksichtigt werden. 1-2/2017 GRC-Software bietet einen Überblick Mit GRC-Software lassen sich manuelle Prozesse effizienter gestalten, Informationen aus verschiedenen Quellen sinnvoll zusammenführen und mit dem eigentlichen Unternehmenskontext in Verbindung bringen. Das bedeutet: Um das Risiko für ein Unternehmen realistisch abzuschätzen, müssen alle einzelnen Informationen im Zusammenhang mit wesentlichen Geschäftsprozessen, Produkten, Services, Anwendungen oder Standorten betrachet werden. Allerdings sollte man nicht dem Irrtum erliegen, verantwortliche Unternehmensführung und unternehmensweites Risikomanagement ließen sich so per Knopfdruck erledigen. Das Unternehmen muss im Vorfeld definieren, welchen internen und externen Vorschriften es unterliegt und welche Workflows am besten in die Abläufe des Unternehmens passen. Mit einem toolgestützten Ansatz verbessern sich Nachvollziehbarkeit und Auswertbarkeit von Ein realistisches Risikomanagement, auch in Sachen IT-Sicherheit, kann mithilfe einer GRC-Software effizienter gestaltet werden. Informationen erheblich – und damit auch die Steuerungsmöglichkeiten innerhalb des Risikomanagements, selbst wenn Compliance-Anforderungen einem schnellen Wandel unterliegen. Welche passende GRC-Software Sie nun für Ihr Technologiemanagement auswählen sollten, lesen Sie im zweiten Teil zu Governance, Risk & Compliance in der nächsten Ausgabe der ke NEXT. hei n Autor Wolfgang Surrey, TÜV Rheinland Neue industriespezifische Standards Was ein GRC-Management ausmacht 18 tegischer, taktischer und operativer Ebene, die Prozesslandschaft ist belastbar und stimmig. Eine Unterstützung durch eine darauf spezialisierte Management-Softwarelösung ist nicht zwingend, aber ab einer gewissen Größenordnung oder Geschäftsmodell des Unternehmens nahezu unverzichtbar. Möglicherweise fällt die Entscheidung dafür nach einer Wirtschaftsprüfung, bei der die Revisionssicherheit des Risikomanagements angezweifelt wird, etwa weil Inkonsistenzen im Berichtswesen bestehen, die sich nicht kurzfristig konsolidieren lassen. Auch die Ausweitung der Geschäftsaktivitäten in die USA hinein, wo etwaige Compliance-Verstöße teils drastisch geahndet werden, kann ein wichtiger Grund sein, sich weiter zu professionalisieren. Bild: momius - Fotolia Management • Risikomanagement Rüdiger Knevels, Geschäftsführer ROLLON GmbH, Deutschland Als serviceorientierter Hersteller bietet ROLLON weltweit eines der umfassendsten Sortimente der Lineartechnik und kann nahezu jeden individuellen Anwendungsfall abdecken. „Weltweit stellen wir unseren Kunden unser Know-how und unseren Verfügung. globalen Service zur Verfügung.“ >> www.rollon.de ROLLON. Your first choice 1-2/2017 19