Die größten Herausforderungen von Governance, Risk & Compliance
Gefragt nach den größten Herausforderungen im Umgang mit GRC-Prozessen, klagen die Umfrageteilnehmer besonders über die folgenden drei Punkte:
• Noch immer sind ganz unterschiedliche Systeme im Einsatz, mit denen die Einhaltung von Compliance-Richtlinien dokumentiert wird. Das betrifft Policies und Prozesse, Lieferanten- und Verkäuferdaten oder auch die interne Revision.
• Prozesse, die GRC eigentlich unterstützen sollen, laufen zumeist noch manuell ab und sind ineffizient, wie etwa die Durchführung von internen Audits und die Freigabe neuer Richtlinien.
• Die Nutzung von Tabellen und anderen intern entwickelten Tools ist für viele zwar frustrierend, aber immer noch gang und gäbe. So etwa bei der Archivierung von internen Kontrollen, dem Richtlinienstatus und der Nachverfolgung von Compliance-Vorgaben.
Die Ergebnisse der Studie zeigen, wie wichtig es für Unternehmen ist, über einen zentralen, sicheren Datenspeicher für Compliance-relevante Informationen zu verfügen. Zudem spiegelt sich darin der in vielen Unternehmen vorherrschende Wunsch wider, manuelle und papierbasierte Prozesse auf automatisierte, effizientere und leicht nachvollziehbare Workflows umzustellen.
- 18 BPM-Software-Suites im Test
Die Entwicklung von Business-Process-Management (BPM) hat in den vergangenen Jahren rasante Fortschritte gemacht. Angesichts der weiter um sich greifenden Digitalisierung vieler Geschäftsprozesse sowie der damit verbundenen Automatisierung setzen immer mehr Unternehmen entsprechende Softwarewerkzeuge ein. Doch das Angebot an BPM-Lösungen ist breit gefächert, was die Auswahl und Entscheidung für Anwenderunternehmen nicht gerade erleichtert. - AgilePoint
<br> <p><b>Gesamterfüllungsgrad:</b> gut (63,7%)</p> <br> <p><b>Mächtigkeit:</b> hoch (89,0%)</p> <br> <p><b>Komfort:</b> mittelmäßig (71,5%)</p> - Agito
<br> <p><b>Gesamterfüllungsgrad:</b> angemessen (55,0%)</p> <br> <p><b>Mächtigkeit:</b> sehr hoch (93,8%)</p> <br> <p><b>Komfort:</b> gering (58,6%)</p> - Appain
<br> <p><b>Gesamterfüllungsgrad:</b> angemessen (59,5%)</p> <br> <p><b>Mächtigkeit:</b> hoch (86,4%)</p> <br> <p><b>Komfort:</b> mittelmäßig (68,8%)</p> - Appway
<br> <p><b>Gesamterfüllungsgrad:</b> angemessen (59,4%)</p> <br> <p><b>Mächtigkeit:</b> sehr hoch (92,8%)</p> <br> <p><b>Komfort:</b> mittelmäßig (64,0%)</p> - Axon Ivy
<br> <p><b>Gesamterfüllungsgrad:</b> gut (66,7%)</p> <br> <p><b>Mächtigkeit:</b> sehr hoch (94,6%)</p> <br> <p><b>Komfort:</b> mittelmäßig (70,5%)</p> - Bizagi
<br> <p><b>Gesamterfüllungsgrad:</b> gut (70,3%)</p> <br> <p><b>Mächtigkeit:</b> sehr hoch (90,1%)</p> <br> <p><b>Komfort:</b> hoch (78,0%)</p> - DHC Business Solutions
<br> <p><b>Gesamterfüllungsgrad:</b> angemessen (46,2%)</p> <br> <p><b>Mächtigkeit:</b> hoch (82,5%)</p> <br> <p><b>Komfort:</b> gering (56,0%)</p> - Groiss Informatics
<br> <p><b>Gesamterfüllungsgrad:</b> angemessen (62,2%)</p> <br> <p><b>Mächtigkeit:</b> sehr hoch (94,6%)</p> <br> <p><b>Komfort:</b> mittelmäßig (65,8%)</p> - HCM Customer Management
<br> <p><b>Gesamterfüllungsgrad:</b> angemessen (53,3%)</p> <br> <p><b>Mächtigkeit:</b> hoch (81,1%)</p> <br> <p><b>Komfort:</b> mittelmäßig (65,7%)</p> - IBM
<br> <p><b>Gesamterfüllungsgrad:</b> gut (68,1%)</p> <br> <p><b>Mächtigkeit:</b> sehr hoch (95,3%)</p> <br> <p><b>Komfort:</b> mittelmäßig (71,5%)</p> - Inspire Technologies
<br> <p><b>Gesamterfüllungsgrad:</b> gut (62,8%)</p> <br> <p><b>Mächtigkeit:</b> sehr hoch (96,1%)</p> <br> <p><b>Komfort:</b> mittelmäßig (65,4%)</p> - JobRouter
<br> <p><b>Gesamterfüllungsgrad:</b> angemessen (62,0%)</p> <br> <p><b>Mächtigkeit:</b> hoch (85,8%)</p> <br> <p><b>Komfort:</b> mittelmäßig (72,3%)</p> - K2
<br> <p><b>Gesamterfüllungsgrad:</b> angemessen (55,6%)</p> <br> <p><b>Mächtigkeit:</b> mittel (79,8%)</p> <br> <p><b>Komfort:</b> mittelmäßig (69,6%)</p> - Metasonic
<br> <p><b>Gesamterfüllungsgrad:</b> angemessen (54,5%)</p> <br> <p><b>Mächtigkeit:</b> sehr hoch (92,4%)</p> <br> <p><b>Komfort:</b> gering (59,0%)</p> - Oracle
<br> <p><b>Gesamterfüllungsgrad:</b> gut (64,2%)</p> <br> <p><b>Mächtigkeit:</b> sehr hoch (94,3%)</p> <br> <p><b>Komfort:</b> mittelmäßig (68,0%)</p> - Prologics
<br> <p><b>Gesamterfüllungsgrad:</b> gut (62,8%)</p> <br> <p><b>Mächtigkeit:</b> sehr hoch (90,8%)</p> <br> <p><b>Komfort:</b> mittelmäßig (69,1%)</p> - SoftProject
<br> <p><b>Gesamterfüllungsgrad:</b> gut (65,3%)</p> <br> <p><b>Mächtigkeit:</b> sehr hoch (96,3%)</p> <br> <p><b>Komfort:</b> mittelmäßig (67,8%)</p> - TIM Solutions
<br> <p><b>Gesamterfüllungsgrad:</b> angemessen (58,8%)</p> <br> <p><b>Mächtigkeit:</b> hoch (89,5%)</p> <br> <p><b>Komfort:</b> mittelmäßig (65,7%)</p>
GRC-Nachholbedarf in vielen Unternehmen
Vielen Umfrageteilnehmern ist bereits klar, dass Enterprise Information Management (EIM)-Software zur Verbesserung von GRC-Prozessen beitragen kann. Dazu zählen insbesondere: Records Management, Dokumentenmanagement, E-Mail-Management, die Buchungskontrolle und BPM. Diese Priorisierung ist wenig überraschend, bildet doch gerade das Management von Informationen das Herz jeder GRC-Strategie.
Trotzdem kämpfen viele Firmen noch mit der Einführung tragfähiger GRC-Maßnahmen. So verfügen sie beispielsweise nicht über ein ausreichendes Records Management und verzichten auf eine Optimierung ihrer Workflows. Andere verstehen zwar den Wert von EIM-Technologien, sind aber nicht in der Lage Profit daraus zu schlagen. So geben 67 Prozent der Befragten in der Studie zu Protokoll, dass sie EIM-Systeme als wichtig erachten, sie für GRC aber erst noch optimieren müssen. 30 Prozent glauben, dass EIM hilft ihre GRC-Lösung zu verbessern. Ganze 85 Prozent sind davon überzeugt, dass ECM- und Records-Management-Systeme erheblich dazu beitragen können, ihre Compliance-Anforderungen zu erfüllen.
Fakt ist: EIM ist für Unternehmen das Mittel der Wahl, um die volle Kontrolle über Governance, Risk & Compliance zu behalten. Ein zentraler Speicher, Mechanismen zur Automatisierung von Geschäftsprozessen und Reporting-Funktionen sind die Eckpfeiler einer guten GRC-Strategie. Die Vorteile für Unternehmen liegen auf der Hand: Sie haben ihre finanziellen und operativen Abläufe besser im Griff, minimieren das Risiko von Datenverlusten, senken Compliance-Kosten, verbessern ganz allgemein die Unternehmensleistung und haben im Wettbewerb die Nase vorn. Oder um es mit den Worten der "Risiko"-Erfinder zu sagen: So verpassen Unternehmen keine der Chancen, die sich aus den verfügbaren Informationen ergeben. (fm)
- IT-Grundschutz
Die IT-Grundschutz-Kataloge werden vom BSI regelmäßig ergänzt. Noch sind allerdings nicht alle Maßnahmen und Empfehlungen für Cloud Computing enthalten. - RSA Archer: SOX-Compliance
Unternehmen müssen eine Vielzahl von Standards und Compliance-Vorgaben befolgen und die Einhaltung nachweisen, zum Beispiel SOX oder bestimmte EU-Vorgaben. Lösungen wie RSA Archer können dabei helfen. - RSA Archer: Cloud-Standards
Auch für Cloud Computing gibt es zahlreiche Vorgaben und Empfehlungen, zum Beispiel von der Cloud Security Alliance (CSA). Bestimmte Cloud-Standards sind bereits in Lösungen wie RSA Archer abgebildet. Abschließende europäische oder internationale Cloud-Standards sind allerdings noch nicht verabschiedet. Unternehmen sollten deshalb zusätzlich interne Vorgaben zum Cloud Computing definieren. - Verinice: Vorgabenkatalog
Eine Lösung wie Verinice unterstützt insbesondere bei der Umsetzung von IT-Grundschutz, kann aber auch um weitere Compliance-Vorgaben ergänzt werden. So könnte ein Unternehmen auch einen eigenen Vorgabenkatalog zur Nutzung von sozialen Netzwerken hinterlegen. - NogLogic: Policy Management
Interne Richtlinien können bei einer Lösung wie NogaLogic zum Beispiel genau festlegen, was mit unstrukturierten Daten passieren soll, um diese besser zu schützen. Solche internen Policies fassen Vorgaben aus Standards genauer oder ergänzen diese.