Governance, Risk & Compliance

13
ITZ Informationstechnologie GmbH Seite 1 Governance Risk & Compliance (GRC) Governance, Risikomanagement und Compliance (GRC) sind derzeit brandaktuelle Themen auf der Agenda von Vorständen, Geschäftsführer und Führungskräften. Ursächlich wurzelt der Begriff der Corporate Governance in einer wertorientierten Unternehmensführung mit dem Ziel das Unternehmensergebnis und den Wert eines Unternehmens zu maximieren. Mittlerweile wird Corporate Governance wesentlich weiter gefasst und darunter die Sicherstellung einer verantwortungsvollen Unternehmensführung verstanden. Mit der Verpflichtung einen effizienten und effektiven GRC-Prozess zu betreiben wird der Obersten Leitung des Unternehmens der Auftrag „Steuern Sie das Unternehmen vorausschauend, managen Sie dessen Risiken und stellen Sie Compliance sicher!erteilt. Das Unternehmen vorausschauend zu steuern bedeutet, Ziele aus Eigentümervorgaben, den rechtlichen Rahmenbedingungen, dem Wettbewerbsumfeld und den Unternehmensstrategien bestmöglich in Einklang zu bringen und potentielle Gefahren, diese Ziele zu verfehlen, frühzeitig zu

Transcript of Governance, Risk & Compliance

Page 1: Governance, Risk & Compliance

ITZ Informationstechnologie GmbH Seite 1

Governance Risk & Compliance (GRC)

Governance, Risikomanagement und Compliance (GRC) sind derzeit brandaktuelle Themen auf der

Agenda von Vorständen, Geschäftsführer und Führungskräften. Ursächlich wurzelt der Begriff der

Corporate Governance in einer wertorientierten Unternehmensführung mit dem Ziel das

Unternehmensergebnis und den Wert eines Unternehmens zu maximieren.

Mittlerweile wird Corporate Governance wesentlich weiter gefasst und darunter die Sicherstellung

einer verantwortungsvollen Unternehmensführung verstanden.

Mit der Verpflichtung einen effizienten und effektiven GRC-Prozess zu betreiben wird der Obersten

Leitung des Unternehmens der Auftrag „Steuern Sie das Unternehmen vorausschauend, managen

Sie dessen Risiken und stellen Sie Compliance sicher!“ erteilt.

Das Unternehmen vorausschauend zu steuern bedeutet, Ziele aus Eigentümervorgaben, den

rechtlichen Rahmenbedingungen, dem Wettbewerbsumfeld und den Unternehmensstrategien

bestmöglich in Einklang zu bringen und potentielle Gefahren, diese Ziele zu verfehlen, frühzeitig zu

Page 2: Governance, Risk & Compliance

ITZ Informationstechnologie GmbH Seite 2

erkennen und zu minimieren. Der GRC-Ansatz fasst die drei wichtigsten Prozessschritte für eine

effektive und effiziente Unternehmenssteuerung zusammen:

• Governance

bedeutet Eigentümervorgaben und Interessen, Vorschriften und Gesetze, Marktregeln und

Wettbewerbssituationen sowie Unternehmensstrategien in klare Ziele und Managementdirektiven

zu bringen, im Unternehmen zu kommunizieren und kontinuierlich an neue Gegebenheiten

anzupassen.

• Risikomanagement

hat die Aufgabe, potentielle Abweichungen und Gefährdungen von Zielvorgaben frühzeitig zu

erkennen und Maßnahmen zur Korrektur oder Vermeidung einzuleiten und deren Erfolg zu messen.

• Compliance

bzw. Regeltreue zu den geltenden Normen, Vorschriften und Richtlinien sicherstellen bedeutet,

Regelverletzungen zu erkennen, aufzuzeigen und Maßnahmen zur Vermeidung einzuleiten und zu

verfolgen.

Damit der Vorstand/Geschäftsführer sein Unternehmen vorausschauend steuern, Risiken managen

und die Compliance sicherstellen kann, benötigt er einen leistungsfähigen Steuerstand, der ihm die

nötigen Informationen und Steuermöglichkeiten gibt, Ziele erreichen sowie Unwegsamkeiten

frühzeitig erkennen und auszuweichen zu können.

CRISAM® GRC ist der leistungsfähige Steuerstand, der dem Entscheider umfassende Methoden und

Tools zur Verfügung stellt, das Unternehmen sicher auf Kurs zu steuern.

Page 3: Governance, Risk & Compliance

ITZ Informationstechnologie GmbH Seite 3

CRISAM® Risikomanagement Methode

Die CRISAM® (Corporate Risk Application Method) Risikomanagement Methode wurde vom Team

der Firma calpana business consulting gmbh als Standard im Risikomanagement entwickelt. Seit 1998

wird die Methode vielfach erweitert und verbessert und hat sich im IT-Bereich weitgehend als

Industriestandard durchgesetzt. CRISAM® vereint Methoden-, Wissens- und Erfahrungselemente aus

dem Risikomanagement in einer einheitlichen Softwarelösung.

CRISAM® gibt Ihnen damit die Sicherheit, richtige und fundierte Entscheidungen für das Wachstum

und den Erfolg Ihres Unternehmens treffen zu können.

CRISAM® Decision Engineering

Unter Decision Engineering verstehen wir mehr als einen Risikomanagement-Prozess. Decision

Engineering ist jener Prozess, der potenzielle Abweichungen erkennt, richtige Maßnahmen für die

Rückführung identifiziert und deren Effizienz und Auswirkung nachvollziehbar feststellt, daraus für

den Entscheider eine fundierte Entscheidungsgrundlage mit Alternativen und deren Konsequenzen

liefert und getroffene Entscheidungen für Dritte nachvollziehbar und transparent gestaltet.

CRISAM® ist einfach, präzise, wertorientiert und nachvollziehbar. Diese Werte bilden die Grundlage

für die laufende Weiterentwicklung von CRISAM®.

Einfach – weil die Bedienung sehr unkompliziert und intuitiv gestaltet ist.

Präzise – weil Ihnen das hinterlegte Methodensystem die größtmögliche Genauigkeit liefert und

jedes Ergebnis belastbar ist.

Wertorientiert – weil Sie durch den Fokus auf quantitative Kennzahlen und Risikomaße eine

wertorientierte Unternehmensführung verwirklichen können.

Nachvollziehbar – weil die Ergebnisse durch entsprechende Analyse-, Reporting- oder Drilldown-

Funktionen jederzeit transparent sind.

Page 4: Governance, Risk & Compliance

ITZ Informationstechnologie GmbH Seite 4

CRISAM® 5 RMIS (Risk Management Information System)

CRISAM® ist ein ganzheitlicher Ansatz, der Ihnen hilft, einen Blick nach vorne zu werfen. Natürlich ist

die Zukunft unsicher, denn wäre sie sicher und fände sie in einer „Excel-Zelle“ platz, so wäre sie auch

schon unsere Vergangenheit! CRISAM® unterstützt Sie dabei, diese Unsicherheit der Zukunft in den

Griff zu bekommen und bereits frühzeitig darauf aufmerksam zu machen.

Risikomanagement ist ein Prozess, der Risiken im Unternehmen, in Projekten oder in spezifischen

Geschäftsbereichen erkennen, beurteilen und steuern soll.

Ein Risk Management Information System (RMIS) ist das Werkzeug, das dem Risikomanager, den

Risikoverantwortlichen sowie der Geschäftsführung die Grundlagen für richtige Entscheidungen

liefern muss und Konsequenzen und Auswirkungen bestmöglich und transparent prognostizieren soll.

Das in CRISAM® 5 implementierte Prozessmodell folgt dem international anerkannten Standard der

ISO 31000.

Abbildung 1: CRISAM® RMIS System

Page 5: Governance, Risk & Compliance

ITZ Informationstechnologie GmbH Seite 5

In der Abbildung 1 ist die Struktur der CRISAM® 5 Funktionen und Methoden dargestellt. Das

Fundament bilden der CRISAM® Enterprise Server, der CRISAM® Explorer und der CRISAM® Web-

Access.

Die CRISAM® Workflow-Engine steuert den Informations- und Aufgabenaustausch mit am

Risikomanagement Prozess beteiligten Risiko-, Maßnahmen-, Aufgaben- und

Kontrollverantwortlichen.

CRISAM® unterstützt den Risikomanagement Prozess sowohl mit in der Plattform integrierten

Basisfunktionen, als auch mit zwei anpassbaren Risikoaggregationsmethoden, Management-

Domains, Content Libraries und bereitgestellten Mappings zu relevanten Compliance-Referenzen.

Content Libraries werden aus Gründen der technologischen und Compliance-bedingten

Veränderungen zyklisch aktualisiert und im Rahmen eines Abonnements bereitgestellt.

CRISAM® 5 stellt in seiner Basisplattform die integralen Services und Methoden zur Verfügung, die in

allen Risikomanagement Disziplinen zur Verfügung stehen.

Ausgehend von dem aus der ISO 31000 abgeleiteten Prozessmodell wird dem Risikomanager eine

leistungsfähige Applikation, der CRISAM® Explorer, bereitgestellt. Der CRISAM® Enterprise Server ist

der zentrale Knotenpunkt jeder

Installation. Entsprechend dem Rechtemanagement arbeiten ein oder mehrere Risikomanager in

ihrer Management Disziplin, um unternehmensweite Risiken, IT- oder Projektrisiken zu bearbeiten.

Risiken werden direkt oder remote per Web-Unterstützung von Risikoverantwortlichen erfasst.

Erforderliche Maßnahmen werden identifiziert, bewertet, beauftragt und deren Umsetzung verfolgt.

Die CRISAM® Workflow-Extension steuert den Informationsaustausch zentral und dezentral verteilter

Aufgaben.

Die Berichterstattung an die Geschäftsführung oder weitere Berichtsadressaten erfolgt durch das

integrierte Berichtswesen oder das online verfügbaren Dashboard.

Page 6: Governance, Risk & Compliance

ITZ Informationstechnologie GmbH Seite 6

CRISAM® Process Model

CRISAM® basiert auf einem 6-stufigen Prozessmodell, welches durch einen TOP-DOWN und

BOTTOM-UP Ansatz eine gesamtheitliche Betrachtung von Strategie, Organisation, Prozess und auch

Infrastruktur ermöglicht.

Abbildung 2: CRISAM® Prozessmodell

Abbildung 2 zeigt das CRISAM® Prozessmodell, anhand dessen der unternehmensweite

Risikomanagement Prozess implementiert wird. Das Modell ist aus der ISO 31000 abgeleitet und

basiert auf dem „PLAN-DO-CHECK-ACT“ (PDCA) Deming-Prozess. Abhängig von der gewählten

Aggregations-Methode werden in den einzelnen Prozessschritten unterschiedliche Risikomodelle

(Fehlerbaum bzw. Geschäftslogik) aufgebaut und spezifische Analysemethoden zur Bewertung der

Risiken angewandt. Das in CRISAM® zugrunde gelegte Prozessmodell sieht zwei Rückkoppelungen

vor. Damit wird im Risikomanagement Prozess eine kontinuierliche Verbesserung durch den

zyklischen Durchlauf der einzelnen Prozessschritte sichergestellt.

Page 7: Governance, Risk & Compliance

ITZ Informationstechnologie GmbH Seite 7

CRISAM® Explorer

Risikomanager fordern in ihrer Risikomanagement Disziplin bestmöglich unterstützt zu werden.

Dabei sind die Aufgaben und auch die erforderlichen Werkzeuge zum Managen unternehmens -

weiter, finanzwirtschaftlicher Risiken, IT-Risiken, Projektrisiken etc. durchaus unterschiedlich.

Der CRISAM® Explorer vereint alle erforderlichen Methoden und Werkzeuge und stellt sie

themenbezogen dem Benutzer zur Verfügung. Das bekannte Look & Feel von Microsoft Outlook trägt

dazu bei, dass eine Benutzerschulung ausschließlich auf technische bzw. methodische Aspekte

reduziert werden kann. Mit den aus Microsoft Office Produkten bekannten Menübändern finden Sie

die gewünschten Funktionen immer an der richtigen Stelle.

Abbildung 3: Ausschnitt aus der CRISAM® Explorer Benutzerführung

Abbildung 3 zeigt einen Ausschnitt der bereitgestellten Werkzeuge. Der Werkzeugkasten ist analog

dem bekannten Benutzerdialog aus der Microsoft-Office Welt aufgebaut, sodass nach nur kurzer

Lernphase die Leistungsfähigkeit von CRISAM® 5 ausgeschöpft werden kann.

Page 8: Governance, Risk & Compliance

ITZ Informationstechnologie GmbH Seite 8

CRISAM® Enterprise Server und Web-Access

Der CRISAM® Enterprise Server ist das Zentrum der Zusammenarbeit im Risikomanagement Prozess.

Abbildung 4 zeigt eine typische Implementierung eines Risk Management Information System

basierend auf CRISAM® 5. Der Enterprise Server übernimmt dabei neben den Server- und Datenbank-

Funktionalitäten Kollaboration-Aufgaben zwischen zentralen und dezentralen Beteiligten im

Risikomanagement Prozess.

Über Standard-Schnittstellen fügt sich der Enterprise Server in die Kommunikations- und

Informationsinfrastruktur Ihres Unternehmens nahtlos ein.

Sowohl Aufgaben, als auch Erinnerungen werden den dezentralen Beauftragten in ihrer vertrauten

Email-Umgebung übermittelt. Die Erfüllung und Umsetzung ihrer Aufgaben wird durch die einfach

und intuitiv bedienbare Web-Oberfläche ermöglicht.

Abbildung 4: Implementierung eines CRISAM® RMIS Systems

Page 9: Governance, Risk & Compliance

ITZ Informationstechnologie GmbH Seite 9

Dezentrale Risikomanagement Prozess Beteiligte sind im Fachbereich angesiedelt. Ihr Daily Business

ist somit nicht primär der Umgang mit Risikomanagement Werkzeugen.

Aus diesem Grund stellt CRISAM® 5 eine zielgruppenorientierte, webbasierte und einfach bedienbare

Benutzeroberfläche zur Verfügung. Der Benutzer wird über einfach gestellte Fragen durch den

gesamten Dialog geführt.

Diese gezielten Fragen werden mittels nachvollziehbarer statistischer Interpretationen in eine vom

Risikomanager geforderte Form konvertiert.

Abbildung 5: CRISAM® Web-Interface

Page 10: Governance, Risk & Compliance

ITZ Informationstechnologie GmbH Seite 10

Reports & Dashboard

CRISAM® stellt Informationen, Ergebnisse und den Status sowohl in Berichten, als auch im Dashboard

zur Verfügung. Reports werden in vorgefertigten Standardberichten (prozessrelevante Berichte,

Management Berichte und Compliance Berichte) zur Verfügung gestellt, die vom Kunden mit dem

Report-Designer auf kundenspezifische Anforderungen angepasst werden können.

Aus einer Auswahl von über 60 vorbereiteten KPIs werden dem Management alle relevanten

Informationen in Form eines Dashboards übersichtlich zur Verfügung gestellt.

Ab der Version CRISAM®5 stehen den berechtigten Benutzern sowohl das Dashboard als auch die

Berichte unternehmensweit auch auf mobilen Endgeräten zur Verfügung.

Abbildung 6: CRISAM® Dashboard

Page 11: Governance, Risk & Compliance

ITZ Informationstechnologie GmbH Seite 11

CRISAM Compliance References

Compliance Referenzen sind Normen, Vorschriften und Best Practices. Unternehmen orientieren sich

aus freiwilliger Bindung an diesen, sind dazu verpflichtet oder werden von autorisierter Stelle

gegen diese geprüft.

Sehr oft ist es mehr als lediglich eine Compliance Referenz gegenüber der die Konformität

nachgewiesen werden muss.

Beispielsweise wird die IT an der ISO 27001, ISO 20000, COBIT, SOX, geltenden Gesetzen und dem

Datenschutz gemessen, auditiert und geprüft.

In spezifischen Branchen werden zusätzlich ergänzende Prüfungsrahmen erforderlich. Um diese

Compliance-Nachweise aktuell und mit vertretbarem Aufwand durchführen zu können, leitet

CRISAM® die Konformitätsnachweise aus den zugrunde gelegten Content Libraries ab.

Diese Vorgehensweise besitzt den wesentlichen Vorteil, dass keine spezifischen Kontrollfragen für

bestimmte Compliance Referenzen zusätzlich beantwortet werden müssen.

CRISAM® leitet die Konformität zu den jeweiligen Vorgaben aus den in der Content Library

mitgelieferte Mappings zu den unterstützten Compliance Referenzen automatisiert ab und stellt den

Grad der Compliance in Berichten und den KPIs im Dashboard dar.

In CRISAM® Out-Of-The-Box unterstützte Compliance Referenzen sind aktuell: ISO 27002; ISO

27019; ISO 20000; ISO 80001-1; ISO 9001; ISO 15224; EN 50600; BSI Grundschutz; ISAE 3402; Euro

Cloud; COBIT; COSO; SOX; BDEW; BSI 100-2; BSI 100-4; PCI-DSS

Mit der Aktualisierung der Content Libraries, spezifischen Kundenanforderungen und dem

Erscheinen neuer Standards wird die Unterstützung kontinuierlich aktualisiert und erweitert.

Page 12: Governance, Risk & Compliance

ITZ Informationstechnologie GmbH Seite 12

IT Grundschutz (BSI)

In der heutigen Zeit sind viele Institutionen in Wirtschaft und Verwaltung vom einwandfreien

Funktionieren der IT abhängig. Durch diese steigende Abhängigkeit und der wachsenden

Bedrohungspotenziale, gewinnt die Informationssicherheit einen immer größeren Stellenwert.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet mit dem IT-

Grundschutz eine Kombination aus einer Methodik für Sicherheitsmanagement mit konkreten

Maßnahmen-Empfehlungen. Diese Empfehlungen decken nicht nur technische, sondern auch

organisatorische, personelle und bauliche Aspekte ab.

Generell bietet der BSI IT-Grundschutz eine anerkannte Vorgehensweise zur Entwicklung und

Überprüfung von Sicherheitskonzepten. Er enthält darüber hinaus Empfehlungen für Maßnahmen,

mit denen ein für übliche Einsatzbereiche und Schutzanforderungen angemessenes und bei höherem

Schutzbedarf leicht ausbaufähiges Sicherheitsniveau erreicht werden kann.

Um diese Maßnahmen-Empfehlungen auf die jeweilige Organisation abzustimmen, werden

sogenannte Bausteine verwendet, um den Aufbau des Unternehmens abzubilden. Diese Bausteine

enthalten mögliche Gefährdungen, die auf das Objekt wirken können, und Maßnahmen um diesen

entgegenzuwirken.

Page 13: Governance, Risk & Compliance

ITZ Informationstechnologie GmbH Seite 13

Das BSI GSTOOL dient der Erstellung solcher Sicherheitskonzepte und ist insbesondere in

Deutschland weit verbreitet.

Neben dem offiziellen GSTOOL bietet aber auch CRISAM die Möglichkeit, IT-Grundschutz im

Unternehmen zu etablieren, da der Aufbau von CRISAM dem Bausteinprinzip des IT-Grundschutzes

ähnelt.

Aufgrund dessen ist CRISAM mittlerweile auch auf der BSI-Webseite als offizielle Alternative zum

GSTOOL gelistet.

Der CRISAM Explorer bietet alle nötigen Bausteine um die Grundschutz-Thematik zur Gänze

abzubilden und bietet außerdem zahlreiche Möglichkeiten, für ein weiterführendes

Risikomanagement wie z.B. eine monetäre Bewertung.

Das Modellieren der Risikoobjekte erfolgt in einem Fehlerbaum, der gesamte IT-Risiko-Management-

Prozess ist abbildbar.

Ein weiterer großer Vorteil sind die anpassbaren und aussagekräftigen Reportmöglichkeiten von

CRISAM.

Weiterführende Informationen erhalten Sie auf Anfrage:

ITZ Informationstechnologie

z.Hd. Herrn Uwe Rydzek

Heinrich-Held-Str. 16

45133 Essen

Tel.: 0201-24714-93

Mail: [email protected]