GRC - was ist das und weshalb ist es so wichtig? In unserem Artikel erfahren Sie mehr und erhalten Tipps & Umsetzungsempfehlungen.

LESEZEIT: 5 MINUTEN

GRC: Was ist das? Und weshalb ist es gerade für den Mittelstand so wichtig?

28.09.2020 15:32 PM

Compliance-Verstöße passieren häufiger als gedacht: Allein in den vergangenen beiden Jahren waren zwei von zehn Unternehmen in entsprechende Regelbrüche verwickelt. Tendenz steigend.

Zu den größten Risiken gelten dabei Verstöße gegen die im vergangenen Jahr in Kraft getretene Datenschutzgrundverordnung. Aber auch die Faktoren IT-Sicherheit und Integrität von Daten und Geschäftsprozessen bergen ein hohes Gefahrenpotenzial. Compliance-Verstöße werden von den Behörden immer häufiger strafrechtlich verfolgt. Es ist insbesondere die Geschäftsführung, die für Zuwiderhandlungen haftet. Hohe Geldbußen und weitreichende Reputationsschäden sind dann die Folge. Lassen Sie es nicht so weit kommen! Die strategische Implementierung von GRC – dem Dreigespann aus Governance, Risikomanagement und Compliance – kann Regelbrüchen wirksam vorbeugen.

Governance: Unternehmensführung in der Pflicht

IT ist kein Selbstzweck. Vielmehr soll sie die Unternehmensziele optimal stützen. Prozessstrukturen und die IT-Infrastruktur müssen daher auf die strategische Ausrichtung abgestimmt sein. Hier ist die Unternehmensführung in der Pflicht, einen entsprechenden Ordnungsrahmen vorzugeben. Nur so ist es der IT-Abteilung möglich, ihre personellen und technischen Ressourcen optimal auf die strategischen Ziele auszurichten und mit effizienten Prozessen zur Zielerreichung beizutragen.

 

„Wer auch künftig rechtskonform agieren und sich gleichzeitig vor Sicherheitsrisiken schützen will, der kommt angesichts der wachsenden regulatorischen Anforderungen und der steigenden Zahl von Cyberangriffen an einem GRC-Management nicht mehr vorbei. Die Frage lautet allerdings, wo und wann man die Umsetzung idealerweise beginnt und wie man das Konzept erfolgreich in die Gesamtstrategie integriert.“ Andreas Schindler, Executive Architect & Director Cybersecurity & Compliance, All for One Group

 

Unabhängig von der Branche oder der Betriebsgröße verfügt fast jedes Unternehmen über einzelne Maßnahmen zur Umsetzung und Einhaltung von GRC-Leitlinien. Um sämtliche Geschäftsprozesse ins Blickfeld zu rücken und die IT-Infrastruktur im Sinne der unternehmenseigenen Compliance-Regeln zu formen, bedarf es eines ganzheitlichen Ansatzes.

Risikomanagement: Gefahren frühzeitig erkennen und realistisch bewerten

Damit die IT diesem Anspruch gerecht werden kann, muss die gesamte IT-Infrastruktur permanent verfügbar sein – und zwar auf höchstem Leistungs- und Sicherheitsniveau. Das beinhaltet den Schutz vor externen Gefahren, wie Cyberattacken, ebenso wie interne Risiken, angefangen beim Passwortmanagement bis hin zur Vermeidung von Schatten-IT. Regelmäßige Penetrationstests belegen dabei die Performance der IT-Landschaft und decken Optimierungspotenziale auf.

899X600_COVER_GRC

Unser E-Book 'GRC erfolgreich managen – so gelingt Unternehmen die Umsetzung' gibt Auskunft wie Sie Cyberrisiken wirksam vorbeugen, Haftungsfallen vermeiden und DSGVO-konform agieren.

>> Jetzt E-Book herunterladen

Compliance: Transparenz und Vernetzung für maximale Sicherheit

Die IT sollte allerdings die Geschäftsprozesse nicht nur abbilden, sondern auch rechtskonform umsetzen. Das heißt: Von der Datenerfassung über die -weiterleitung und -speicherung bis hin zur finalen Löschung müssen alle Verarbeitungsschritte der aktuellen Gesetzeslage entsprechen. Rechtliche Grundlagen sind unter anderem  

  • die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) 
  • die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) und  
  • die EU-Datenschutzgrundverordnung (DSGVO)

Alles aus einem Guss: Ganzheitlicher Ansatz statt Insellösungen

Einzelne Ansätze und Maßnahmen zur Umsetzung von Governance-, Risikomanagement- und Compliance-Vorgaben gibt es in jedem Unternehmen – ganz gleich, um welche Branche oder Betriebsgröße es sich handeltUm alle Geschäftsprozesse im Blick zu behalten und die IT-Infrastruktur Compliance-gerecht umzusetzen, bedarf es jedoch eines ganzheitlichen Ansatzes. Datentransparenz und IT-Sicherheit enden schließlich nicht an den Abteilungsgrenzen, sondern müssen bereichs- und standortübergreifend gesteuert und implementiert werden. Nur so lassen sich Risikopotenziale rechtzeitig erkennen und bewerten. Die Ergebnisse einer entsprechenden Prüfung müssen anschließend in die bestehenden Abläufe einfließen und durch die IT in den Systemen abgebildet werden. Wichtig sind zudem die Prozessdokumentation und ein kontinuierliches Monitoring. 

Mittelstand mit besonderem Handlungsbedarf 

Während solche Aufgaben in großen Konzernen oft von eigenen Risikoabteilungen umgesetzt werden, haben kleine und mittlere Betriebe noch großen Handlungsbedarf. Denn eventuelle Bußgelder und Imageschäden in Folge von Compliance-Verstößen kommen Unternehmen teuer zu stehen – und gerade in KMU können Strafen von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes, wie bei der DSGVO, existenzgefährdend sein. Zudem entgehen Unternehmen ohne GRC-Ansatz zahlreiche Wettbewerbsvorteile: Die ganzheitliche Sicherheit der IT und die Risikominimierung zahlen sich unter anderem durch höhere Flexibilität, geringere Kosten und bessere Entscheidungskompetenz aus. Zudem führen diese Maßnahmen zu höherer Datentransparenz: Dokumente sind auf Knopfdruck auffindbar, es wird redundanter Datenhaltung vorgebeugt und sensible Daten werden stets optimal geschützt. Gerade im Hinblick auf die DSGVO sind Unternehmen damit jederzeit aussagekräftig und können die erforderlichen Nachweise zur Datenspeicherung und -löschung innerhalb der geforderten Fristen ohne Probleme erbringen. Damit reduziert sich die Komplexität und die Rechtssicherheit steigt. Auch auf das Vertrauen von Kunden und Geschäftspartnern wirkt sich GRC positiv aus.

KOSTENLOSE WEBSESSIONS, SPANNENDE EVENTS UND INFORMATIVE SEMINARE

MEHR ERFAHREN