Alles aus einer Hand: Governance, Risk & Compliance «as a Service»

Pandemie, Krieg, Klimakrise, Energiemangellage… nie in der jüngeren Geschichte war das Umfeld für die Wirtschaft volatiler. Die Aufzählung liesse sich fortsetzen, doch fast noch gefährlicher als die genannten Unwägbarkeiten sind die Krisen, die vermeintlich unvorhergesehen über die Unternehmen hereinbrechen. Es ist für letztere unabdingbar, dass das Risikomanagement auf Vordermann gebracht wird. Denn neben potenziellen Eskalationen von aussen muss ein Unternehmen auch im operativen Geschäft sicher sein können, dass es allen Verordnungen, Standards und Gesetzen entspricht, die auf seine Geschäftstätigkeit anwendbar sind. Last but not least drohen Gefahren aus dem Cyberraum, sodass seine umfassende Resilienz auch ein state-of-the art-Informationssicherheitssystem erfordert. Governance, Risk und Compliance (GRC) sind dermassen ineinander verwoben, dass sie im Idealfall auch integriert gemanagt werden müssen. Dazu ist eine ganzheitliche GRC-Strategie nötig. Doch zumeist sind die entsprechenden Daten und Prozesse im Unternehmen fragmentiert und unterschiedlichen Abteilungen – dem Rechtsdienst, der IT, der Finanzabteilung oder gar dem HR – zugeordnet. Schlimmstenfalls sind die Prozesse für das Monitoring und das Reporting uneinheitlich und werden auch die Daten dezentral gepflegt.

Dabei gehen wertvolle Synergien verloren. Werden Daten nämlich korreliert, kann das Frühwarnsystem viel sensibler anschlagen, wenn sich potenzielle Krisenherde bündeln. Manuell ist das allerdings kaum noch zu stemmen.

Abhilfe gibt es in Form von massgeschneiderten Tools, über die man sich zentral und tagesaktuell einen Überblick über die Risiken, die regulatorischen Anforderungen und die zur Einhaltung erforderlichen KPIs verschaffen kann. Die optimale Kombination ist eine spezialisierte Risk-to-Value-Softwarelösung, die in der Cloud betrieben wird. Damit lassen sich unternehmensspezifisch bestehende Risk-Managementprozesse abbilden, während sich zugleich Daten, Strukturen und Workflows harmonisieren lassen. Der Betrieb aus der Cloud heraus stellt sicher, dass das Unternehmen nicht in eigene Hard- und Software dafür investieren muss, sondern sich die Module zusammenstellt, die es für sein spezifisches GRC-Management braucht. Sind die Monitoring- und Analysetools einmal implementiert, ist der aktuelle Datenstand mit nur wenigen Klicks abrufbar. Über massgeschneiderte Dashboards kann durch den Status navigiert werden: Welche Fristen laufen ggfs. bald ab? Welche Zertifizierungen müssen erneuert werden? Wo kumulieren sich Risiken? Welche Massnahmen sind wann getroffen worden und welche sind noch offen? Wie sehen die Zuständigkeiten aus? In einem zentralen Tool sind diese Auswertungen konsistent in Inhalt und Design. Ein Berechtigungskonzept stellt sicher, dass nur diejenigen Personen Zugriff haben, die dafür autorisiert sind.

Indem alle Prozesse, die für das interne GRC-Management nötig sind, in einer Softwarelösung abgebildet sind, stehen sie allen Verantwortlichen zentral und vereinheitlicht zur Verfügung – sodass System- und Medienbrüche, etwa mit Excel-Sheets, die womöglich noch per Hand befüllt werden, der Vergangenheit angehören. Der zentrale und damit pflegeleichtere Umgang mit den Daten ist das eine – wichtiger ist noch, dass das GRC-Management as a Service beim aktiven Management der Risiken und bei der Entscheidfindung Mehrwert schafft. Zu diesem Zweck bieten sich integrierte Kontrollkataloge und Best-Practice-Prozessmodelle an, die auf langjähriger Erfahrung beruhen und einfach für die unternehmensspezifischen Anforderungen konfiguriert werden können. Besonders hilfreich erweist sich ein solches Feature, wenn es um die Umsetzung komplexer neuer Regulatorien wie etwa der EU-DSGVO geht. Beim Einsatz eines GRCaaS ist das Datenschutzmanagement-System als Modul integriert und bietet revisionssichere Verzeichnisse von Datenverarbeitungen ebenso wie Datenschutz-Folgenabschätzungen oder Workflows für allfällige Datenpannen. Dank dem Betrieb in der Cloud können die Services leicht skaliert und um neue Module erweitert werden.

Aufbau und Betrieb von Managementsystemen sind oftmals komplexe Unterfangen – insbesondere, wenn es um solch sensitive Bereiche wie Risiken oder Daten und den Einsatz der Cloud hierfür geht. Wertvoll ist es für ein Unternehmen, dessen Kernkompetenz woanders liegt, wenn es sich auf gebündeltes Fachwissen abstützen kann. Idealerweise ist der Partner mit verschiedensten Cloudmodellen in ihren jeweils optimalen Einsatzszenarien vertraut und kann diese auch in eigenen Cloud-Rechenzentren betreiben. Als «One-stop-Shop» kennt er zudem das Tool und kann es mit einem hohen Verständnis für Informationssicherheit und Datenschutz «customizen». Mehrwert bringt er zudem mit Beratungskompetenz in Businessprozessen und deren Digitalisierung. Und krönen kann er seine Eignung, wenn er seinen GRC as a Service auch bei sich selbst einsetzt.