Heidelinde Rameder von T-Systems Austria ist eine der führenden Expertinnen, wenn es um GRC Management geht und hat bereits zahlreiche erfolgreiche Projekte begleitet, unter anderem bei Otto Group und Wienerberger. Ziel dabei ist es, die Bereiche Governance, Risk und Compliance ganzheitlich zu betrachten. Gesellschaft, Gesetzgeber und Kunden haben steigende Erwartungen an die Umsetzung von Datenschutz und Datensicherheit in Unternehmen. Gleichzeitig halten datengetriebene Geschäftsmodelle, Home Office und künstliche Intelligenz Einzug. Die Anforderungen von Seiten des Arbeitsrechts und im Bereich Cyber Security steigen, während immer mehr Arbeitnehmer remote Arbeitsplätze nutzen.
GRC Verantwortliche sollen einen Überblick über die Unternehmensrisiken und die Rechtslage haben, während gleichzeitig Zusammenarbeit und Abhängigkeiten in größeren Eco-Systemen bestehen, IT-Verantwortung zu Outsourcing- und Cloud Anbietern abwandert und die Risiken daher oft nicht bekannt sind bzw. ausreichend behandelt werden.
Heidelinde Rameder fordert daher: Raus aus den Silos! Es ist Zeit für eine gesamtheitliche Betrachtung über Abteilungsgrenzen hinweg.
Inwieweit gehört eine Pandemie in der Risikoplanung eines Unternehmens berücksichtigt?
Die Corona Pandemie kann als klassisches „Black Swan“ Ereignis betrachtet werden. Das bedeutet, dass die Eintrittswahrscheinlichkeit sehr gering eingeschätzt wird oder das Risiko überhaupt nicht bekannt ist. Somit identifizierten die wenigsten Unternehmen eine Pandemie als realistisches Risiko. Es ist aber auch nicht sinnvoll, alle möglichen, relativ unwahrscheinlichen Szenarien individuell zu betrachten.
Die Wahrscheinlichkeit, dass eines der vielen potentiellen „Black Swan“ Ereignisse eintritt, ist wiederum relativ hoch. Die Frage für Unternehmen ist damit, wie sie sich vor allen unvorhersehbaren Ereignissen, die oft existenzbedrohend sind, gesamtheitlich wappnen können.
Der Schlüssel ist Resilienz.
Die Stärkung der Resilienz erfordert ein besseres, ganzheitliches GRC Management für die Organisation. Da Risiken stärker miteinander verbunden und schnelllebiger sind als je zuvor, müssen sich die Geschäftsleitung und die Vorstände intensiver mit dem Thema GRC beschäftigen. Dies geht auch aus einer Umfrage von Gartner unter CEOs hervor: Risikomanagement war das Thema, das zwischen 2019 und 2020 mit Abstand am meisten an Bedeutung gewonnen hat (39 Prozent).
Während Unternehmen die Corona Schocks des Jahres 2020 überstehen, wird deutlich, dass viele Organisationen ihre Resilienz stärken müssen, bevor das nächste „Black Swan“ Ereignis eintritt.
Hier setzt auch Business Continuity Management (BCM) an. Als Überbegriff umfasst BCM einen Mix aus verschiedenen Elementen. Das Ziel: die Resilienz der Organisation aufzubauen.
BCM spannt ein Netz über das gesamte Unternehmen. Es richtet sich an Prozessen, Prioritäten und Plänen aus. Auf diese Weise sollte es nicht nur die spezifischen Bedürfnisse des Unternehmens, sondern auch regulatorische Richtlinien und Branchenstandards berücksichtigen.
Damit kann BCM als Teil eines integrierten GRC Managements verstanden werden.
Kernkomponenten und Aktivitäten des BCM sind:
- Identifikation und Priorisierung der Unternehmensassets und Geschäftsprozesse, mit Hilfe von Schutzbedarfsanalyse und Business Impact Analyse (BIA)
- Business Continuity ─ Wiederherstellung und Wiederaufnahme von Geschäftsprozessen
- Disaster Recovery ─ Wiedererlangung von Infrastruktur und Technologien
- Notfallmanagement ─ Ermöglichung von Leben und Sicherheit
- Krisenmanagement ─ Playbook zur Mobilisierung und Kommunikation während einer Katastrophe
- Governance ─ strategische Aufsicht und Verwaltung des Programms
Welche Bedeutung hat dabei der „menschliche Faktor“?
Mitarbeiterakzeptanz und Bewusstsein gehören zu den wichtigsten Faktoren für erfolgreiches GRC Management. Das gelingt durch das aktive, rechtzeitige Miteinbeziehen der betroffenen Mitarbeitenden bei der Entwicklung und Verbesserung von GRC Prozessen.
Alle Beteiligten müssen entsprechend ihrer Verantwortung und Rolle im Risikomanagement unterstützt werden.
Für die Entscheidungsträger gibt es zu jeder Zeit einen konsolidierten Gesamtüberblick über den Status der Risikosituation und Maßnahmen.
Das Ziel ist Mehraufwände und Komplexität, die beispielsweise durch die vielen Compliance Vorgaben entstehen, maximal zu reduzieren, kontinuierlichen und echten Mehrwert im Rahmen der GRC Prozesse zu liefern, sowie Risikotransparenz zu schaffen.
Damit wird eine hohe Akzeptanz und gute Datenqualität und Compliance bei der Befolgung und Umsetzung der jeweiligen Prozesse erreicht.
Keynote: Globale Business Transformation bei e-on
Fit für Disruptive Märkte und neue Geschäftsideen
Christine Grabmair
E.ON Digital Technology
Christine Grabmair und weitere IT Power Frauen wie die beiden Confare CIO of the DECADE Preisträgerinnen Brigitte Falk und Anke Sax treffen Sie persönlich am Confare #CIOSUMMIT am 6. Oktober in Frankfurt.
Die Pandemie hat viel Digitalisierung gebracht – worauf sollte man als GRC EntscheiderIn jetzt achten, um der schnellen Umstellung geschuldete Risiken und Schwachstellen wieder gerade zu bügeln?
Die Reaktion hat oft gut und schnell funktioniert. Es mussten Rahmenbedingungen ad hoc geändert werden. Um den Betrieb aufrecht zu erhalten und Mitarbeitenden zu ermöglichen weiter zu arbeiten, wurden beispielsweise im Rahmen von Home Office Umstellungen, Netzwerke und Servicezugänge geändert oder persönliche Geräte in Unternehmensnetzwerke eingebunden. Sehr oft gibt es dazu keine ausreichenden Regelungen oder es wird gegen bestehende Policies verstoßen.
Dadurch existieren nun diverse neue Risiken, die nicht transparent sind. Es ist unbedingt notwendig diese zeitnahe zu identifizieren, das integrierte GRC zu entsprechend anzupassen und Risiken zu behandeln.
Was bedeutet Risiko in Zeiten des Digitalen Wandels? Wie kann man Risiko überhaupt managen, wenn kein Stein auf dem anderen bleibt?
GRC und Risikomanagement im Speziellen soll immer als iterativer und dynamischer Prozess gelebt werden, der regelmäßigen Verbesserungen unterzogen wird. Damit ist es möglich, schnell auf eine sich ändernde Risikolandschaft zu reagieren und entsprechende Maßnahmen zu treffen.
Welche Möglichkeiten bieten dazu GRC Tools? Wie sieht Ihr Einsatz in der Praxis aus?
Die Digitalisierung von GRC Prozessen durch GRC Tools erlaubt einen einfachen erreichbaren, zielgruppengerechten Mehrwert für alle Beteiligten.
GRC Tools reduzieren z.B. durch konsolidierte Risiko- und Control Frameworks und Prozessautomatisierung Mehraufwände und Komplexität. Synergieeffekte und die Zusammenarbeit mit verschiedenen Bereichen werden besser unterstützt.
Integriertes GRC bringt einen dynamischen, bereichsspezifischen oder kumulierten und aktuellen Risikoüberblick und damit eine gute Entscheidungsgrundlage für die Geschäftsführung / das Management. Auch das ist durch konkret darauf ausgerichtete GRC Tools in der Praxis möglich.
Verantwortliche können mit GRC Tools Risiken tagesaktuell und ohne großen Aufwand konkret für ihren Verantwortungsbereich und zu spezifischen Themen einfach einsehen, berichten und auswerten. Sie behalten den Überblick über Behandlungs- und Maßnahmenpläne, deren Verantwortlichkeiten und deren Umsetzungszustand.
Dabei sollen Unternehmensprozesse nicht umständlich angepasst werden müssen – sondern bestehenden Prozesse unterstützt, integriert und im Reifegrad verbessert.
Je nach Reifegrad und Bedarf werden verschiedene GRC Bereiche, wie z.B. Datenschutzmanagement, Informationssicherheit, Risikomanagement oder Business Continuity Management integriert.
Die Zusammenarbeit mit kompetenten GRC Service Partnern, die auch GRC Tools unterstützen, gewährleistet eine erfolgreiche Umsetzung, da neben der fachlichen Projekt- und Serviceerfahrung auch die technische Expertise mitgebracht wird. ◾
IT-Kennzahlen: Die 10 wichtigsten KPIs für den CIO
Mehr interessante Videos zu diversen Themen finden Sie auf unserem YouTube-Kanal