Nur 20 % der Unternehmen haben Governance Risk und Compliance-Strategie

Das Fehlen einer umfassenden Governance-, Risk- und Compliance-Strategie im Unternehmen (enterprise GRC, kurz: eGRC) und eine mangelhafte Zusammenarbeit zwischen Abteilungen zählen zu den größten Hindernissen für die Erreichung von eGRC-Zielen. Befragt wurden 6.000 GRC-Anwender in Unternehmen aus der Finanz-, Technologie-, Gesundheits- und Pharmabranche.

Umfassende eGRC-Strategie nötig

Die Studie des Ponemon Institute hat herausgefunden, dass eGRC weiterhin auf der Prioritätenliste der Anwender weit oben steht. Dennoch haben nur 20 % der Unternehmen eine klar definierte eGRC-Strategie, die sich auf das gesamte Unternehmen bezieht. 33 % räumten ein, überhaupt keine eGRC-Strategie zu verfolgen.

„Es ist nicht mehr länger eine Frage, ob für Governance, Risk und Compliance ein unternehmensweiter Ansatz nötig ist, der Abteilungen wie IT, Recht und Personal umfasst, es ist vielmehr eine strategische Notwendigkeit“, sagt Mag. Martin Hammerschmid, Geschäftsführer EMC Österreich. „Unternehmen können die wachsenden Anforderungen von Konzernvorständen und Aufsichtsbehörden für eine integrierte und zentralisierte Risikobewertungs- und Compliance-Strategie nur erfüllen, wenn sie einen Überblick haben, wo welche Informationen abgerufen werden können und welche Richtlinien eingehalten werden müssen.“

Mangel an Zusammenarbeit

Ein weiteres Ergebnis der Studie zeigt, dass eGRC-Aufgaben aus dem IT-Bereich kommend schnell auf Betriebsabläufe, Finanzen und die Rechtsabteilung ausgeweitet werden. Allerdings ist die Zusammenarbeit zwischen diesen kritischen Bereichen nicht so weit fortgeschritten wie nötig. Nur 28 % der Befragten gaben an, dass in ihren Unternehmen die einzelnen eGRC-Bereiche eng zusammenarbeiten. Vollständig isoliert sind die eGRC-Funktionen in 12 % der befragten Unternehmen.

Zudem sind die eGRC-Aktivitäten oft verteilt, wie die Studie verdeutlicht: Governance-Verantwortlichkeiten finden sich am häufigsten bei der IT, das Risiko-Management wird in der Regel innerhalb der jeweiligen Abteilung betreut. Um Compliance kümmert sich meist nur die firmeneigene Compliance-Abteilung, während die Einhaltung von Datenschutzbestimmungen am häufigsten in der Verantwortung der juristischen Abteilung liegt.

Die Bedeutung dieser grundlegenden eGRC-Aktivitäten wird unterschiedlich bewertet. Risikomanagement nimmt dabei mit 32 % den ersten Platz ein, gefolgt von Compliance mit 27 %, Governance mit 22 % und Datenschutz mit 20 %.

„Getrennte Systeme sind das größte Hindernis für ein effektives eGRC-Programm”, sagt Dr. Larry Ponemon, Vorsitzender und Gründer des Ponemon Institute for Privacy Research. „Die Abteilungen befassen sich mit Informationen, Richtlinien, Geschäftsabläufen und Vorschriften. Leider reden sie nicht miteinander, was zu Ineffizienz und Widersprüchen führt. Ohne Zusammenarbeit zwischen den Bereichen gehen Unternehmen unnötige Risiken ein.“

Datenschutz ist ein wesentlicher Risikofaktor. Unabhängig von der Branche gaben alle Organisationen an, dass die Verwaltung von datenschutzrechtlichen Bestimmungen je nach Land und in Übereinstimmung mit den Landesgesetzen ein treibender Faktor für ein integriertes eGRC ist, das die IT-Abteilung, Rechtsabteilung, Finanzabteilung und das operative Geschäft umfasst. Die größte Herausforderung sehen die Befragten bei der Weitergabe persönlicher Daten an Dritte und die Einhaltung aller einschlägigen Datenschutzvorschriften.

Fast 90 % der Befragten geben an, dass unterstützende Technologien für das Erreichen ihrer eGRC-Ziele unerlässlich oder sehr wichtig sind. Die Anwendungen, die am wahrscheinlichsten eingesetzt werden, um eGRC-Aktivitäten zu unterstützen, sind Risikobewertung (81 %), Richtlinien-Verwaltung (75 %), Controls Assessment (73 %), Incident Response und Management (68 %) sowie Compliance Monitoring (63 %).

http://austria.emc.com