Automatisierung führt in den meisten Fällen zu einer Kosten- und Zeitersparnis - so auch im Bereich Governance, Risk & Compliance (GRC). Es gibt eine Reihe hochgradig administrativer, sich wiederholender oder komplexer GRC-Prozesse, bei denen durch die Automatisierung eine signifikante Zeitersparnis zu erreichen ist. Ein Beispiel ist das Sammeln von Nachweisen. Die Kosten für Audits können durch den Einsatz einer Automatisierungslösung signifikant gesenkt werden, beim Einsatz von ServiceNow um bis zu 60%.
Weitere Vorteile sind die Reduzierung von Risiken, die Vermeidung von Problemen durch die kontinuierliche automatisierte Überwachung sowie die schnelle Reaktionsmöglichkeit auf geschäftliche und gesetzliche Änderungen. Automatisierung führt generell zu einer besseren Sichtbarkeit von GRC-Initiativen.
Nachfolgen zeigen wir Ihnen auf, wie Sie Ihre GRC-Prozesse in 8 Schritten automatisieren können. Wenn Sie diese acht einfachen Schritte befolgen, erhalten Sie ein GRC-System, das mit Ihrem Unternehmen skaliert, die Compliance-Kosten und den Ressourcenbedarf erheblich reduziert, die betriebliche Effizienz verbessert, Risiken kontrolliert und Echtzeit-Einblicke in Ihr gesamtes GRC-Programm bietet.
Schritt 1: Definieren Sie Richtlinien für Ihr Business!
Ihre GRC-Anwendung ist nur so gut wie die Richtlinien, die Sie aufstellen. Diese müssen im Vorfeld definiert und dann in den Implementierungsplan aufgenommen werden. Definiert werden müssen beispielsweise:
Schritt 2: Rationalisieren Sie Ihre Kontrollen!
Ihr Unternehmen und Ihr Risikoprofil entwickeln sich immer weiter, deshalb müssen Sie Ihre Kontrollen regelmäßig überprüfen und anpassen. Stellen Sie im Rahmen dieses Prozesses die folgenden Fragen zu jeder Kontrolle:
Schritt 3: Konsolidieren Sie Ihre Kontrollen!
Wenn Sie verpflichtet sind, Kontrollen über mehrere Behörden oder Frameworks hinweg durchzuführen (z. B. BAIT, MaRisk oder DSGVO), dann haben Sie wahrscheinlich schon bemerkt, dass es gemeinsame, sich wiederholende Kontrollen gibt. Dennoch kümmern sich die meisten Unternehmen immer noch um jede Vorschrift und jedes Regelwerk unabhängig voneinander, eine Verzahnung findet in den meisten Fällen nicht statt - dies führt zu redundanten Test, sich wiederholenden Aktivitäten und damit jährlich zu vielen unnötigen Arbeitsstunden und überhöhten Kosten.
Ein besserer und weniger kostspieliger kostenintensiver Ansatz ist die Einrichtung eines einzigen konsolidierten Satzes von Kontrollen. Durch das Cross-Mapping von Kontrollen können Sie eine gemeinsame Kontrolle testen und nachweisen, dass sie die Anforderungen mehrerer gesetzlicher Vorschriften und Best-Practice-Rahmenwerke erfüllt. Wir nennen dieses Konzept: "Einmal testen, viele erfüllen". Sie können die Kontrollen manuell zuordnen oder Tools wie das Unified Compliance Framework® verwenden, um diese Arbeit für Sie zu erledigen.
Schritt 4: Definieren Sie, was wichtig ist!
Kontrollen sind dazu da, die Assets zu schützen, die uns wichtig sind. Wenn Unternehmen nicht definiert haben, was wichtig ist, dann werden Kontrollen auf alles angewendet, unabhängig von der Relevanz. Dies führt zu viel unnötigem Arbeitsaufwand und lenkt evtl. die Aufmerksamkeit von den wirklichen Risiken weg.
Schritt 5: Identifizieren Sie Ihre Risiken!
Die Identifizierung Ihrer Risiken sowie von deren Eintrittswahrscheinlichkeit und Auswirkungen hilft Ihrer Organisation, sich auf die richtigen und wichtigen Punkte zu konzentrieren. Es kann Sie auch unterstützen, die wahren geschäftlichen Auswirkungen einer fehlgeschlagenen Kontrolle zu verstehen. Angesichts begrenzter Ressourcen kann die Identifizierung von Risiken Ihnen dabei helfen, Ihre Kontrolltests und Abhilfemaßnahmen zu priorisieren.
Schritt 6: Klein anfangen!
Groß angelegte und komplexe Implementierungen, die Monate in Anspruch nehmen, erfüllen erfahrungsgemäß selten die Erwartungen. Dies gilt für GRC-Implementierungen genauso wie für Technologieimplementierungen im Allgemeinen. Es ist oft sehr herausfordernd, den täglichen Geschäftsbetrieb während eines solch komplexen Projekts aufrechtzuerhalten. Zudem belasten Ressourcenmüdigkeit und konkurrierende Geschäftsanforderungen.Erstellen Sie gemeinsam mit uns eine GRC-Roadmap, die es Ihnen ermöglicht, GRC-Funktionen zwischen den Audit-Zyklen hinzuzufügen, um Geschäftsunterbrechungen zu minimieren. Dieser Ansatz hat den zusätzlichen Vorteil, dass die Technologie schrittweise eingeführt wird, was in der Regel die Akzeptanz steigert.
Schritt 7: Bauen Sie auf kontinuierliche Überwachung!
Kontinuierliche Überwachung bedeutet, dass Sie Schwächen bei Kontrollen sofort erkennen, wenn diese auftreten, und umgehend mit der Behebung beginnen können. Mit anderen Worten: Sie können Probleme erkennen, wenn sie noch klein sind, und verhindern, dass sie größer werden. Damit reduziert sich das Gesamtrisiko und der Aufwand für die Einhaltung von Vorschriften erheblich.
Schritt 8: Wählen Sie die "low hanging fruits"!
Suchen Sie bei der Erstellung Ihrer GRC-Roadmap nach dem "quick win", also nach Möglichkeiten, schnell den Verwaltungsaufwand im GRC-Bereich zu verringern und/oder ein Risiko zu reduzieren. Das bedeutet: beginnen Sie mit der Automatisierung von den GRC-Prozessen, die einen hohen Verwaltungsaufwand erfordern, oder nehmen Sie zuerst die Prozesse in Angriff, die mit aktuellen Prüfungsfeststellungen oder Kontrollmängeln zusammenhängen.
Governance, Risk und Compliance ist eines der Schwerpunktthemen der exccon AG. Wir helfen unseren Kunden, Anforderungen und Regularien umzusetzen, indem wir Prozesse optimieren, eine Basis für das IT Risk Management legen, GAP-Analysen durchführen, um Schwachpunkte aufzudecken, und vieles mehr. Wir haben Erfahrung im Einsatz von ServiceNow als GRC-Lösung. Als "single system of record" bietet die ServiceNow Plattform viele Vorteile durch die Nutzung bereits im System vorhandener Daten - ohne das Rad neu erfinden zu müssen.Sprechen Sie mit unseren Fachkollegen und bauen Sie auf deren Erfahrung: sales@exccon.com.
In regelmäßigen Abständen bieten wir im Rahmen unserer Eventreihe "¡MACHEN!" auch Events zum Themenbereich GRC an, in der Vergangenheit beispielsweise "Audit Management in ServiceNow" oder "Risk Management mit ServiceNow". In dieser Reihe beleuchten wir bei jedem Event ein anderes aktuelles Thema aus der IT Welt praxisnah. Dabei liegt unser Fokus auf der Umsetzung und auf Lösungen – frei nach dem Motto „Nicht nur Reden - sondern Machen!“ Wir freuen uns, wenn Sie beim nächsten Event dabei sind!
ITIL® 4 Kursfinder - wie geht´s nach dem Foundation Kurs weiter?
exccon expandiert - Emden, Frankfurt, Rumänien
PRINCE2 Foundation 7th Edition: Verlängerung von 2 auf 3 Tage