Governance, Risk & Compliance (GRC)
Adaptiver Ansatz für das Risk Management
Foto: Gearstd - shutterstock.com
GRC - Definition
Das effektive Management von Unternehmensrisiken erfordert eine kontinuierliche Berücksichtigung aller organisatorischen Aufgaben und Verpflichtungen. Dies wird als Governance, Risk und Compliance (GRC) bezeichnet. Der Begriff GRC bezieht sich auf einen integrierten Ansatz, der es Organisationen laut OCEG ermöglicht, Ziele zuverlässig zu erreichen, Unsicherheit zu bewältigen und integer und konform zu handeln.
Durch eine funktionsübergreifende Betrachtung von Risikomanagement, Compliance und z.B. interner Revision und zusätzlich einer gezielten Einbeziehung weiterer relevanter Unternehmensfunktionen wie Strategie, Controlling oder Recht können Synergieeffekte genutzt (horizontale Integration) und die Integration von GRC in die laufenden Geschäftsprozesse sichergestellt werden (vertikale Integration). GRC gewinnt als integrierter Bestandteil des strategischen und operativen Managements damit eine enorme Bedeutung für Unternehmen aus allen Branchen.
Anforderungen an eine moderne GRC-Strategie
Unternehmen sind immer mehr und sich schnell verändernder Risiken ausgesetzt. Einerseits ändern sich die Vorschriften, während sich die behördlichen Kontrollen und Bußgelder vervielfachen. Andererseits müssen mit der Nutzung neuer Technologien auch neue Risiken überwacht werden.
Lesetipp: Schärfere Regeln gegen Cyberattacken
All diese Änderungen, zusammen mit geopolitischen Risiken, Cyber Bedrohungen und anderen Problemen, zwingen Unternehmen dazu, ihre GRC-Programme so auszugestalten, dass sie sich auf adaptiver Weise neuen Anforderungen anpassen können. Traditionelles Risikomanagement ignoriert die Ungewissheit, mit der Unternehmen im digitalen Zeitalter umgehen müssen. Es wird häufig durch frühere Erfahrungen und Urteile beeinflusst, fördert Gruppendenken und verfügt nicht über ausreichende Erkenntnisse, um Risiken zeitgemäß anzugehen. Das Risikomanagement wird damit eher zu einem psychologischen als zu einem technischen Prozess, bei dem zum benötigten Zeitpunkt Daten gesammelt, analysiert und ausgewertet werden.
- Vorbeugung von Datenverlust und Betrug
Sicherstellen, dass Mitarbeiter keine Daten versehentlich, fahrlässig oder vorsätzlich missbrauchen oder stehlen. - Security Operations
Unmittelbare Bedrohungen in Echtzeit analysieren und im Ernstfall sofortige Gegenmaßnahmen koordinieren. - Cyber-Risiko und Intelligence
Stets informiert bleiben über aufkommende Sicherheitsbedrohungen. Den Vorstand dabei unterstützen, mögliche Sicherheitsrisiken aufgrund von Akquisitionen oder anderen Geschäftsentscheidungen zu verstehen. - Security-Architektur
Security-Hard- und Software planen, einkaufen und in Betrieb nehmen. Sicherstellen, dass IT und Netzwerk anhand der geeignetsten Security Best Practices modelliert sind. - Identitäts- und Zugriffsmanagement (IAM)
Sicherstellen, dass nur berechtigtes Personal Zugriff auf sensible, geschützte Daten und Systeme hat. - Programm-Management
Aufkommende Sicherheitsanforderungen erfüllen, indem Programme und Projekte eingeführt werden, die Risiken beseitigen. Darunter fallen beispielsweise regelmäßige System-Patches. - Fehlersuche und Forensik
Herausfinden, was bei einem Datenleck schiefgelaufen ist, die Verantwortlichen zur Rechenschaft ziehen, wenn sie aus dem eigenen Unternehmen stammen, und Pläne entwickeln, um ähnliche Krisen in Zukunft zu verhindern. - Governance
Sicherstellen, dass alle zuvor genannten Initiativen fehlerlos laufen, ausreichend finanziert sind und die Unternehmensführung versteht, wie wichtig sie sind.
Eine GRC-Strategie muss heute in der Lage sein, Chancen und Bedrohungen von noch nie dagewesenem Umfang und Ausmaß zu antizipieren. Dank Fortschritten bei der Automatisierung, dem maschinellen Lernen und der Analytik können Unternehmen heute intelligentere Entscheidungen treffen. Aber die Entscheidungen dieser Organisationen werden oft ohne Einbeziehung von fundierten Risikomanagementinformationen getroffen. Ein adaptiver und technologiegestützter GRC-Ansatz sorgt dafür, dass relevante Daten für eine bessere Entscheidungsfindung stets aktuell verfügbar sind und dass das GRC-Management populärer wird. Dies tägt zum Aufbau einer starken Governance in der gesamten Organisation bei und schafft letztlich Wettbewerbsvorteile.
Lesetipp: So arbeitet die CISO von Johnson & Johnson
Mit GRC-Tools adaptives Risk Management fördern
Michael Rasmussen von GRC 20/20 Research definiert Schlüsselfaktoren, die eine agile GRC-Lösung ausmachen. Hervorzuheben sind dabei die folgenden drei Eigenschaften:
Analytics
Unter GRC ist die Fähigkeit einer Organisation zu verstehen, ihre Ziele zuverlässig zu erreichen (Governance), Unsicherheiten zu bewältigen (Risikomanagement) und integer zu handeln (Compliance). Je weiter diese drei Komponenten auf der Unternehmensagenda nach oben rücken, desto notwendiger ist es, Ziele und Fortschritte zu messen, zu melden und nachzuweisen. Der Einsatz von Analytics unterstützt bei der Erfassung und Überwachung kritischer Kennzahlen, sodass Prozesse und Kontrollsysteme auf externe und interne Inputs reagieren können.Automatisierung
Je grösser und komplexer Unternehmen werden, umso sinnvoller wird wird die Automatisierung von GRC. Automatisierung bietet eine konsistente, vorhersehbare und einfach zu verwaltende Umgebung für alle GRC-Themen. Ein GRC-Automatisierungssystem kann mehr Transaktionen verarbeiten, GRC-Metriken genauer analysieren und Warnungen ausgeben, wenn diese Metriken normale Leistungsgrenzen überschreiten.Adaption
Da die Risikolage immer ausgefeilter und komplexer wird, sind neue Rahmenbedingungen erforderlich, um sie zu bewältigen. Der adaptive Ansatz von Risikomanagement setzt voraus, dass GRC-Tools inhaltlich und strukturell einen hohen Grad an Flexibilität aufweisen und anpassungsfähig sind.
GRC - Wo geht die Reise hin?
Die Integration von Wirtschaft und Technologie hat ein breites Spektrum an Möglichkeiten eröffnet. Eine globale Umfrage von McKinsey unter Führungskräften im Jahr 2020 ergab, dass ihre Unternehmen, vor allem aufgrund der Pandemie, die Digitalisierung ihrer internen Prozesse und Lieferkettenverbindungen um drei bis vier Jahre beschleunigt haben.
Lesetipp: Europol-Bericht -Cybercrime boomt durch Corona-Krise
Unternehmen setzen heutzutage noch stärker auf Innovation, um in Zukunft wettbewerbsfähig zu sein. Risikomanagement-Teams müssen sich daher immer wieder auf neue technologiebedingte Entwicklungen einlassen, welche oftmals eine ungewisse Auswirkung darauf haben, wie Unternehmen ihre Wertschöpfung ausgestalten, wie sich das Umfeld verändert, welche Geschäftsbeziehungen sie eingehen etc.
- 1. Bedrohungslage bereitet Sorgen
Vier von fünf Unternehmen fürchten, Opfer eines professionellen Hackerangriffs werden zu können. - 2. Angst vor Ransomware dominiert
Vor allem Eindringlinge, die sich über eine Phishing-Attacke Zugang verschaffen und dann die Systeme zum Zwecke der Erpressung verschlüsseln, bereiten den IT-Entscheidern Bauchschmerzen. - 3. Es geht um den guten Ruf
Noch mehr Sorge als vor dem Abfluss von Kundendaten haben die Verantwortlichen vor Imageschäden. - 4. Gutes subjektives Sicherheitsgefühl
Die eigene Fähigkeiten, Sicherheitsangriffe zu erkennen und darauf zu reagieren, halten nahezu alle Befragten für hoch oder sehr hoch. (Da die Firmen sehr auf ihr Image bedacht sind - siehe vorherige Frage -, überrascht die Aussage eher nicht). - 5. Kein Vertrauen in die Public Cloud
Die Private Cloud scheint den Befragten noch halbwegs beherrschbar, der Hybrid und der Public Cloud wird allgemein misstraut. - 6. Cloud erhöht Sicherheitsniveau
Mehr als die Hälfte der Befragten verspricht sich vom Cloud-Zeitalter ein insgesamt höheres Sicherheitsniveau, nur 22 Prozent erwarten eine Verschlechterung. - 7. Legacy-IT und Cloud - eine explosive Mischung
Fast alle Befragten fürchten mehr Komplexität und Sicherheitsrisiken, wenn die vorhandene Legacy-Welt mit den neuen Cloud-Anwendungen aufeinandertrifft. - 8. IT-Sicherheit - ein Wertschöpfungsfaktor
Immer mehr Betriebe haben erkannt, dass IT-Security ein Wertschöpfungsfaktor und für die digitale Transformation unverzichtbar ist. - 9. Security by Design ist auf dem Vormarsch
Noch ist IT-Sicherheit nicht überall Bestandteil, wenn es um die Entwicklung digitaler Produkte geht. Doch das wird sich ändern. - 10. KPIs sind nicht immer selbstverständlich
Nicht alle Unternehmen messen die Wirksamkeit ihrer IT-Sicherheitsstrategie im Detail anhand von Kennzahl-Systemen. - 11. Mehr Geld für Prävention und Abwehr
Die Budgets für IT-Sicherheit werden fast überall steigen. Die Unternehmen wollen mögliche Angriffsszenarien frühzeitig erkennen und Vorkehrungen treffen. - 12. Das Budget liegt in dezentralen IT-Einheiten
Gelder für IT-Sicherheit werden in den meisten Fällen dezentral ausgegeben, verschiedene Fachbereiche tragen die Verantwortung. - 13. Schwachstellen-Management und Monitoring im Fokus
Früherkennung ist das Gebot der Stunde: Unternehmen investieren in Vulnerability Management, Identity und Access Management (IAM) und Sicherheits-Monitoring. - 14. Die meisten wollen ein Security Operations Center (SOC)
In nahezu der Hälfte der befragten Unternehmen läuft gegenwärtig die Einführung eines SOC, 16 Prozent sind schon am Ziel. - 15. SOCs haben Dienstleistungs- und Beratungsfunktion
Von ihrem SOC versprechen sich viele Betriebe ein beschleunigtes Change Management in Sicherheitsfragen sowie Use Cases, Architekturberatung und Risk Management. - 16. Dienstleister vor allem bei Response gefragt
KI-gestützte Cyberabwehr und Forensik sind Themengebiete, bei denen Anwender gerne professionelle Hilfe in Anspruch nehmen. - 17. Managed Security Services sind ein Thema
Momentan nutzt jedes vierte Unternehmen Managed Services im IT-Sicherheitsumfeld, doch dieser Anteil dürfte bald kräftig steigen. - 18. E-Mail-Sicherheit wird ausgelagert
E-Mail-Sicherheit, IAM und Endpoint-Security sind Bereiche, die für Security as a Service beziehungsweise für Managed Services besonders in Frage kommen.
Die Notwendigkeit und die Erwartung, dass die tatsächlichen Vorteile digitaler Technologien wie Big Data, KI, maschinelles Lernen und Distributed-Ledger-Technologie (Blockchain) messbare Verbesserungen der Effektivität des Risikomanagements mit sich bringen, gehören zu den wichtigsten Faktoren, die Risiko- und Compliance-Manager beeinflussen.
Lesetipp: Blockchain-Betrug: Microsoft warnt for neuer Phishing-Methode
Ein Unternehmen, das eine in der Organisation durchdringende und stets zeitgemäße Risikomanagement-Kultur aufgebaut hat, ist eher in der Lage, effektiv auf eine unerwartete Veränderung zu reagieren oder Risiken zu antizipieren – unabhängig davon, welche Risikomanagementsysteme, Richtlinien, Prozesse oder Technologien das Unternehmen hat oder nicht.
Zudem werden umfassende, technologiegestützte Analysen zu unverzichtbaren Werkzeugen für das Risikomanagement, während KI dabei helfen kann, eine Reihe von Aufgaben zu automatisieren, um eine hohe Effizienz der Prozesse und der Entscheidungsfindung zu gewährleisten. Die damit verbundene Fähigkeit, Bedrohungen zu erkennen und auf sie zu reagieren, bevor sie auftreten, kann Unternehmen dabei helfen, eine Vielzahl an Risiken zu bewältigen und das Risikomanagement-System anpassungsfähiger beziehungsweise adaptiver zu machen. (bw)