Governance, Risk & ComplianceWarum ist es sinnvoll, die Prozesse im Bereich Governance-Risk-Compliance (GRC) zu automatisieren?

Automatisierung führt in den meisten Fällen zu einer Kosten- und Zeitersparnis – so auch im Bereich Governance, Risk & Compliance (GRC). Es gibt eine Reihe hochgradig administrativer, sich wiederholender oder komplexer GRC-Prozesse, bei denen durch die Automatisierung eine signifikante Zeitersparnis zu erreichen ist. Ein Beispiel ist das Sammeln von Nachweisen. Die Kosten für Audits können durch den Einsatz einer Automatisierungslösung signifikant gesenkt werden, beim Einsatz von ServiceNow um bis zu 60%.

Weitere Vorteile sind die Reduzierung von Risiken, die Vermeidung von Problemen durch die kontinuierliche automatisierte Überwachung sowie die schnelle Reaktionsmöglichkeit auf geschäftliche und gesetzliche Änderungen. Automatisierung führt generell zu einer besseren Sichtbarkeit von GRC-Initiativen.

 

Empfehlung zur Vorgehensweise: Automatisierung von Prozessen im GRC-Bereich

Nachfolgen zeigen wir Ihnen auf, wie Sie Ihre GRC-Prozesse in 8 Schritten automatisieren können. Wenn Sie diese acht einfachen Schritte befolgen, erhalten Sie ein GRC-System, das mit Ihrem Unternehmen skaliert, die Compliance-Kosten und den Ressourcenbedarf erheblich reduziert, die betriebliche Effizienz verbessert, Risiken kontrolliert und Echtzeit-Einblicke in Ihr gesamtes GRC-Programm bietet.

 

Schritt 1: Definieren Sie Richtlinien für Ihr Business!

Ihre GRC-Anwendung ist nur so gut wie die Richtlinien, die Sie aufstellen. Diese müssen im Vorfeld definiert und dann in den Implementierungsplan aufgenommen werden. Definiert werden müssen beispielsweise:

  • Welche Kontrollen werden benötigt und wer ist der Verantwortliche dafür?
  • Kontrolltests und erwartete Ergebnisse
  • Frequenz der Tests und Kontrollen
  • Risiken, Auswirkungen der Risiken und Wahrscheinlichkeit des Auftretens
  • Kritische Lieferanten
  • Testverfahren, Fragen und erforderliche Nachweise
  • Wer muss mit dem GRC-System in Kontakt treten oder den Inhalt des GRC-Systems betrachten und aus welchem Grund?
  • Wie möchte Ihre Organisation Berechtigungsquellen, Richtlinien, Verfahren, Kontrollen und Risiken zueinander abbilden?

 

Schritt 2: Rationalisieren Sie Ihre Kontrollen!

Ihr Unternehmen und Ihr Risikoprofil entwickeln sich immer weiter, deshalb müssen Sie Ihre Kontrollen regelmäßig überprüfen und anpassen. Stellen Sie im Rahmen dieses Prozesses die folgenden Fragen zu jeder Kontrolle:

  • Wie unterstützt diese Kontrolle meine Geschäftsziele?
  • Beugt diese Kontrolle tatsächlich Risiken vor bzw. erkennt sie diese?
  • Gibt es eine andere Kontrolle, die ich einbauen kann, um mein Unternehmen besser zu schützen?
  • Kann ich eine Kontrolle einbauen, die den Prozessaufwand minimiert und die IT-Leistung verbessert, während sie das Risiko verringert?
  • Kann eine komplizierte Kontrolle durch eine einfachere, effektivere Kontrolle ersetzt werden?

 

Schritt 3: Konsolidieren Sie Ihre Kontrollen!

Wenn Sie verpflichtet sind, Kontrollen über mehrere Behörden oder Frameworks hinweg durchzuführen (z. B. BAIT, MaRisk oder DSGVO), dann haben Sie wahrscheinlich schon bemerkt, dass es gemeinsame, sich wiederholende Kontrollen gibt. Dennoch kümmern sich die meisten Unternehmen immer noch um jede Vorschrift und jedes Regelwerk unabhängig voneinander, eine Verzahnung findet in den meisten Fällen nicht statt – dies führt zu redundanten Test, sich wiederholenden Aktivitäten und damit jährlich zu vielen unnötigen Arbeitsstunden und überhöhten Kosten.

Ein besserer und weniger kostspieliger kostenintensiver Ansatz ist die Einrichtung eines einzigen konsolidierten Satzes von Kontrollen. Durch das Cross-Mapping von Kontrollen können Sie eine gemeinsame Kontrolle testen und nachweisen, dass sie die Anforderungen mehrerer gesetzlicher Vorschriften und Best-Practice-Rahmenwerke erfüllt. Wir nennen dieses Konzept: “Einmal testen, viele erfüllen”. Sie können die Kontrollen manuell zuordnen oder Tools wie das Unified Compliance Framework® verwenden, um diese Arbeit für Sie zu erledigen.

 

Schritt 4: Definieren Sie, was wichtig ist!

Kontrollen sind dazu da, die Assets zu schützen, die uns wichtig sind. Wenn Unternehmen nicht definiert haben, was wichtig ist, dann werden Kontrollen auf alles angewendet, unabhängig von der Relevanz. Dies führt zu viel unnötigem Arbeitsaufwand und lenkt evtl. die Aufmerksamkeit von den wirklichen Risiken weg.

 

Schritt 5: Identifizieren Sie Ihre Risiken!

Die Identifizierung Ihrer Risiken sowie von deren Eintrittswahrscheinlichkeit und Auswirkungen hilft Ihrer Organisation, sich auf die richtigen und wichtigen Punkte zu konzentrieren. Es kann Sie auch unterstützen, die wahren geschäftlichen Auswirkungen einer fehlgeschlagenen Kontrolle zu verstehen. Angesichts begrenzter Ressourcen kann die Identifizierung von Risiken Ihnen dabei helfen, Ihre Kontrolltests und Abhilfemaßnahmen zu priorisieren.

 

Schritt 6: Klein anfangen!

Groß angelegte und komplexe Implementierungen, die Monate in Anspruch nehmen, erfüllen erfahrungsgemäß selten die Erwartungen. Dies gilt für GRC-Implementierungen genauso wie für Technologieimplementierungen im Allgemeinen. Es ist oft sehr herausfordernd, den täglichen Geschäftsbetrieb während eines solch komplexen Projekts aufrechtzuerhalten. Zudem belasten Ressourcenmüdigkeit und konkurrierende Geschäftsanforderungen.

Erstellen Sie gemeinsam mit uns eine GRC-Roadmap, die es Ihnen ermöglicht, GRC-Funktionen zwischen den Audit-Zyklen hinzuzufügen, um Geschäftsunterbrechungen zu minimieren. Dieser Ansatz hat den zusätzlichen Vorteil, dass die Technologie schrittweise eingeführt wird, was in der Regel die Akzeptanz steigert.

 

Schritt 7: Bauen Sie auf kontinuierliche Überwachung!

Kontinuierliche Überwachung bedeutet, dass Sie Schwächen bei Kontrollen sofort erkennen, wenn diese auftreten, und umgehend mit der Behebung beginnen können. Mit anderen Worten: Sie können Probleme erkennen, wenn sie noch klein sind, und verhindern, dass sie größer werden. Damit reduziert sich das Gesamtrisiko und der Aufwand für die Einhaltung von Vorschriften erheblich.

 

Schritt 8: Wählen Sie die “low hanging fruits”!

Suchen Sie bei der Erstellung Ihrer GRC-Roadmap nach dem “quick win”, also nach Möglichkeiten, schnell den Verwaltungsaufwand im GRC-Bereich zu verringern und/oder ein Risiko zu reduzieren. Das bedeutet: beginnen Sie mit der Automatisierung von den GRC-Prozessen, die einen hohen Verwaltungsaufwand erfordern, oder nehmen Sie zuerst die Prozesse in Angriff, die mit aktuellen Prüfungsfeststellungen oder Kontrollmängeln zusammenhängen.

 

Sie haben Fragen oder sind an weiteren Infos interessiert?

Governance, Risk und Compliance ist eines der Schwerpunktthemen der exccon AG. Wir helfen unseren Kunden, Anforderungen und Regularien umzusetzen, indem wir Prozesse optimieren, eine Basis für das IT Risk Management legen, GAP-Analysen durchführen, um Schwachpunkte aufzudecken, und vieles mehr. Wir haben Erfahrung im Einsatz von ServiceNow als GRC-Lösung. Als “single system of record” bietet die ServiceNow Plattform viele Vorteile durch die Nutzung bereits im System vorhandener Daten – ohne das Rad neu erfinden zu müssen.

Sprechen Sie mit unseren Fachkollegen und bauen Sie auf deren Erfahrung: sales@exccon.com.

 

Online-Events im GRC-Bereich

In regelmäßigen Abständen bieten wir im Rahmen unserer Eventreihe “¡MACHEN!” auch Events zum Themenbereich GRC an, in der Vergangenheit beispielsweise “Audit Management in ServiceNow” oder “Risk Management mit ServiceNow”.  In dieser Reihe beleuchten wir bei jedem Event ein anderes aktuelles Thema aus der IT Welt praxisnah. Dabei liegt unser Fokus auf der Umsetzung und auf Lösungen – frei nach dem Motto „Nicht nur Reden – sondern Machen!“ Im Moment ist unsere Eventreihe in der Sommerpause, ab Herbst werden wir jedoch wieder regelmäßige Online-Events durchführen. Bei Interesse melden Sie sich gerne über das nachfolgende Formular an, wir informieren Sie dann automatisch über Termine & Themen unserer Online-Events:

Gerne können Sie im Freitextfeld angeben, an welchen Event-Themen Sie Interesse haben!