Digitaler Ordnungshüter

Feature | 6. Oktober 2010 von Christiane Stagge 0

GRC_ibi_Research

GRC war Thema auf dem 10. CIBI Innovationstag in München (Foto: Christiane Stagge)

Ob GoBS, BilMOG, MaRisk – die regulatorischen Anforderungen für Unternehmen steigen. GRC-Software hilft Firmen dabei, sich an bestehende Gesetze zu halten.

Erheblicher Nachholbedarf in Deutschland

Die Digitalisierung von Daten, globale Märkte und strengere Vorschriften von Behörden zwingen die Firmen dazu, ihre Prozesse und ihre IT entsprechend danach auszurichten. Diesen Vorgang nennt man Governance, Risk and Compliance – kurz GRC. Doch GRC gehört längst nicht in allen deutschen Unternehmen zur Praxis. Im Sommer 2009 startete ibi Research hierzu eine Umfrage. Das Forschungsunternehmen befragte hierzu drei Monate lang 565 Teilnehmer.

Das Ergebnis: 17 Prozent der Befragten nutzen Software für IT Governance, 45 Prozent haben IT-Risk-Programme im Einsatz und 24 Prozent der Firmen sind IT-Compliant. In Sachen GRC besteht bei Firmen ein großer Nachholbedarf. Wie die Umfrage zeigt, ist das Interesse daran sehr hoch: Zwar sind nur wenige Firmen ISO 27001 und ISO/IEC 27001 zertifiziert, sie halten sich jedoch an die Bestimmungen.

IT-Mindeststandards flächendeckend einsetzen

Wie die ibi-Studie belegt, sind Gründe für die mangelhafte Umsetzung von GRC vor allem fehlende finanzielle Mittel und Personal sowie mangelnde Akzeptanz der Mitarbeiter.

Auf dem 10. CIBI Innovationstag in München konnten Besucher sich unter anderem darüber informieren, wie sich GRC in die Praxis umsetzen lässt. So erklärte Michael Kunzewitsch von der Volkswagen Business Services GmbH am Beispiel von Volkswagen Financial Services, wie sich IT-Mindeststandards flächendeckend einführen lassen. Dabei seien neben ausländischen Filialen auch unterschiedliche Kulturen, rechtlich unabhängige Einheiten, Tochtergesellschaften und Beteiligungen zu berücksichtigen.

Kunzewitsch schlägt für die Umsetzung von GRC drei verschiedene Ansätze vor: Den hierarchischen, den selbstbestimmten und den kooperativen Ansatz. Am besten sei der kooperative Ansatz: Hier wird ein gruppenweiter Standard bestimmt, der sowohl für die kleinste als auch die größte Gesellschaft umsetzbar ist. Der Vorteil: Es gibt ein einheitliches System, ist aber dennoch flexibel.

Lesen Sie auf der nächsten Seite: GRC-Software von SAP

SAP GRC

Alle Risiken im Blick: SAP GRC Access Control (Screenshot: SAP AG)

SAP GRC-Lösungen

SAP bietet GRC-Lösungen aus dem BusinessObjects Portfolio an. Die Produkte eignen sich für die Automobilindustrie, das Bankenwesen, die Chemie- und Konsumgüterindustrie, das Gesundheitswesen, die High-Tech- und Elektroindustrie sowie öffentliche Verwaltung. Ob Basel II, IFRS oder Sarbanes-Oxley für die Rechnungslegung – mit der Software werden sämtliche aktuellen Regelungen unterstützt.

SAP BusinessObjects Risk Management analysiert, überwacht und dokumentiert Risikopotenziale. Mit der Software lassen sich einheitliche Risikoprofile erstellen. Da es sich um eine BI-Lösung handelt, können Nutzer Was-Wäre-Wenn-Szenarien simulieren: So lassen sich Risiken im Hinblick auf ihre Wahrscheinlichkeit analysieren und neue Geschäftsszenarien durchspielen. Eine weitere Besonderheit sind rollenbasierte Dashboards, die den firmeninternen Berechtigungskonzepten entsprechen. Kennzahlen und Warnmeldungen geben beim Öffnen des Dashboards Hinweise auf mögliche Risiken.

Mit SAP BusinessObjects Process Control lassen sich Geschäftsprozesse wie Beschaffung, Auftragsabwicklung oder Rechnungslegung  automatisch überwachen und kontrollieren. Bei manuellen Kontrolltests werden diese automatisch an den zuständigen Mitarbeiter weitergeleitet.

SAP BusinessObjects Global Trade Services ist die Software für das Zoll- und Außenhandelsmanagement: Sie hilft Unternehmen dabei,  Einfuhr- und Ausfuhrkontrollvorschriften sowie lokale und regionale Auflagen zu erfüllen. Die Software lässt sich auch in Systeme integrieren, die nicht aus dem Hause SAP stammen. BusinessObjects Global Trade Services bildet globale Lieferketten ab und unterstützt die elektronische Kommunikation mit Behörden. Zu den weiteren Funktionen zählen die globale Import- und Exportabwicklung, Präferenzkalkulation sowie Einfuhr- und Ausfuhrerstattung.

Auch für die Einhaltung von Umwelt-, Gesundheit- und Arbeitsschutz hat SAP spezielle Lösungen im Produktportfolio. SAP Environment, Health, and Safety Management (ehemals SAP Environment Compliance und SAP REACH Compliance) hilft bei der Umsetzung von Umweltschutzrichtlinien und unterstützt Vorschriften für Produkte und Stoffe. SAP Recycling Administration bildet Recyclinggesetze für Batterien und Verpackungen beziehungsweise Entsorgungsvorgaben von Elektro-Altgeräten nach WEEE ab.

Lexikon GRC

Unter IT-Governance versteht man die Ausrichtung der IT an die Erfordernisse eines Unternehmens. Ob GoBS, MaRisk oder BilMOG – IT Governance umfasst sämtliche Regelungen, Prozesse und IT-Ressourcen wie Personal, Technologie, Dokumentation und Personalverfügbarkeit.

IT-Risk ist das Risiko, das immer besteht, wenn Anforderungen nicht erfüllt werden, beispielweise wenn Daten verloren gehen. Die Firma ist daher bestrebt, Risiken so gering wie möglich zu halten – man spricht auch von Risikomanagement oder Sicherheitsmanagement. Spezielle Software macht es möglich, Risiken als solche zu identifizieren, sie zu messen und zu steuern.

Unter IT-Compliance versteht man die Einhaltung von Regeln und Gesetzen im Unternehmen innerhalb des IT-Bereichs. Durch Sicherheits- und Risikomanagement per Software sollen Regelverstöße vermieden werden.  Damit eine Firma die Anforderungen von IT-Compliance erfüllt, muss sie ihr Risikomanagement regelmäßig nachweisen.

Wenn man von Compliance spricht, muss man außerdem zwischen Compliance von IT und Compliance durch IT unterscheiden. Compliance von IT bedeutet, dass sämtliche IT-Systeme einer Firma den geltenden Regeln und Gesetzen entsprechen müssen. Compliance durch IT heißt, dass diese Gesetze durch die IT abgebildet werden, beispielsweise in der Lohnbuchhaltung oder Personalabteilung.

Weitere Artikel zum Thema:

Tags: ,

Leave a Reply