Governance, Risk und Compliance: Business und IT Hand in Hand

GRC-Welten wachsen zusammen

Werner Kurzlechner lebt als freier Journalist in Berlin und stellt regelmäßig Rechtsurteile vor, die Einfluss auf die tägliche Arbeit von Finanzentscheidern nehmen. Als Wirtschaftshistoriker ist er auch für Fachmagazine und Tageszeitungen jenseits der IT-Welt tätig.
Governance, Risk und Compliance entwickeln sich zu einer einheitlichen Aufgabe, in der Business- und IT-Fragen untrennbar zusammenspielen. Business Intelligence- und Analyse-Tools spielen dabei eine immer wichtigere Rolle.

Governance, Risk Management und ComplianceCompliance verschmelzen immer mehr zu einer komplexen Management-Aufgabe. Spiegel dafür ist das inzwischen gängige Kürzel „GRC“. Nicht immer ist jedoch klar, was damit gemeint ist: Business-GRC oder IT-GRC? Wer Schwierigkeiten in der Unterscheidung hat, braucht diese möglicherweise überhaupt nicht mehr zu lernen. Denn die beiden GRC-Bereiche wachsen allmählich zusammen – nur einer von mehreren Trends in einem Gebiet, auf dem enorme Bewegung zu beobachten ist. Alles zu Compliance auf CIO.de

Klar ist, dass es sich bei Governance um Unternehmensführung durch Richtlinien handelt, bei Risikomanagement um StrategienStrategien zur Minimierung von Risiken sowie Krisenmanagement und bei Compliance um das Einhalten interner und externer Normen. Klar ist auch, dass sich die Felder überschneiden und die Zeichen auf zunehmende Integration stehen. Allerdings grassiert eine unübersichtliche Zahl von Definitionen des Begriffs GRC, lanciert von Lösungs-Anbietern und Beratungshäusern. Eine erste goldene Regel für Unternehmen lautet daher: Genau überlegen, was GRC in der eigenen Firma heißen muss und welche Instrumente für einen effizienten Betrieb wirklich nötig sind. Diese eigene Definition gilt es, gegenüber Anbietern und Beratern durchzusetzen, damit alle Beteiligten die gleiche Sprache sprechen. Alles zu Strategien auf CIO.de

Die Lücke zwischen Business-GRC und IT-GRC schließt sich immer mehr, wie die Analysten von Forrester beobachten. Der Grund: Die wachsenden Anforderungen im Risk- und Compliance-Bereich auf Business-Seite erfordern zunehmend höhere IT-Unterstützung. Allein dadurch könne ein hohes Niveau an Performance, Integration, Datenmanagement und Benutzerfreundlichkeit erreicht werden. Laut Forrester werden im GRC-Umfeld auch Business Intelligence- und Analyse-Tools eine immer wichtigere Rolle spielen. „Die Unternehmen suchen mittlerweile nach Systemen, die auf Daten von verschiedenen Business-Anwendungen zugreifen“, berichtet Analyst Chris McClean. Auf diese Weise versuchen sie beispielsweise, Kreditdaten nachzuverfolgen, Betrugsmuster aufzudecken und andere Quervergleiche von Risikodaten anzustellen.

Die Analysten von KuppingerCole teilen diese Einschätzung. „Automatisierte Kontrollen für Geschäftsrisiken sind ja am Ende des Tages immer eine Sache der IT, und beide Welten wachsen immer weiter zusammen“, heißt es in einer Trendanalyse des Düsseldorfer Unternehmens. Die gemeinsame Betrachtung von technischen IT-Risiken und operationalen Risikoszenarien sei einer der wichtigsten GRC-Trends und entwickle sich zu einem bestimmenden Wettbewerbsfaktor auf Anbieterseite.