Werkzeugunterstützung fürGovernance, Risk und Compliance ManagementAnforderungen und Marktüberblick

Autorin: Sandra Weuster, Master of Science Wirtschaftsinformatik

Softwareforen Leipzig GmbHHainstraße 16 | 04109 Leipzig

T +49 341 98988-0 F +49 341 98988-9199E info@softwareforen.deI www.softwareforen.de

Vertretungsberechtigter Geschäftsführer:Dr. André KöhlerRegistergericht: Amtsgericht Leipzig, HRB 24084

Inhaltlich verantwortlich gemäß §6 MDStV: Dr. André Köhler

© Softwareforen Leipzig GmbH, Leipzig, Deutschland, 2014. Alle Rechte vorbehalten.

Werkzeugunterstützung für Governance, Risk und Compliance ManagementAnforderungen und Marktüberblick

4

Inhaltsverzeichnis

Abbildungsverzeichnis ...................................................................................................................................5

Tabellenverzeichnis .......................................................................................................................................6

Abkürzungsverzeichnis ..................................................................................................................................7

1. Einführung ........................................................................................................................................8

2. Grundlagen und Begriffsabgrenzungen .........................................................................................10

3. Anforderungen an eine Werkzeugunterstützung ...........................................................................143.1 Ziele und Grundlagen der Werkzeugunterstützung .................................................................................. 153.1.1 Ziele der Werkzeugunterstützung ........................................................................................................ 153.1.2 Grundlagen der Werkzeugunterstützung .............................................................................................. 163.2 Anforderungen gemäß GRC ................................................................................................................... 163.2.1 Risiko-Anforderungen ......................................................................................................................... 163.2.2 Compliance-Anforderungen ................................................................................................................. 183.2.1 Governance-Anforderungen ................................................................................................................ 19

4. Werkzeugunterstützung für IT-gestütztes GRC.............................................................................244.3.1 Allgemeine Vorgehensweise ................................................................................................................ 274.3.2 Erfüllung der GRC-Anforderungen ....................................................................................................... 28

5. Fazit ................................................................................................................................................32

Literaturverzeichnis .................................................................................................................................... 34

5

Abbildungsverzeichnis

Abb. 1: Die Trias »Governance-Risk-Compliance« ......................................................................................... 12Abb. 2: Zusammenhang zwischen den einzelnen Anforderungen ................................................................... 16Abb. 3: Referenzmodelle als Grundlage für IT-Governance-Ansätze ................................................................ 21Abb. 4: Klassifikation existierender Softwarelösungen ................................................................................... 26

6

Tabellenverzeichnis

Tab. 1: Übersicht der Risiko-Anforderungen .................................................................................................. 17Tab. 2: Übersicht der Compliance-Anforderungen ......................................................................................... 18Tab. 3: Übersicht der Governance-Anforderungen ......................................................................................... 20Tab. 4: Übersicht der gesamten GRC-Anforderungen ..................................................................................... 22Tab. 5: Marktüberblick relevanter Management- und Prozessphasen-Tools ...................................................... 28Tab. 6: Gesamtübersicht der Anforderungen und Software-Lösungen ............................................................. 30

7

Abkürzungsverzeichnis

BaFin Bundesanstalt für FinanzdienstleistungsaufsichtBasel II Gesamtheit der Eigenkapitelvorschriften, die vom Basler Ausschuss für Bankenaufsicht vorgeschlagen wurdenBSI Bundesamt für Sicherheit in der InformationstechnikCobiT Control Objectives for Information and Related TechnologyCOSO Committee of Sponsoring Organizations of the Threadway CommissioneGRC Enterprise Governance, Risk und ComplianceGRC Governance, Risk, ComplianceISACA Information Systems Audit and Control AssociationISO International Organization for Standardization Internationale Organisation für NormungIT InformationstechnologieITGI IT-Governance InstituteITIL IT Infrastructure Library KonTraG Gesetz zur Kontrolle und Transparenz im UnternehmensbereichMaRisk Mindestanforderungen an das RisikomanagementPwC PricewaterhouseCoopers (Wirtschaftsprüfungsgesellschaft)

88

1. Einführung

9

Governance, Risk und Compliance und die effiziente Erfüllung durch oder mittels verfügbarer Informations-technologien (IT) ist gegenwärtig von großer Bedeu-tung für eine Vielzahl von Unternehmen. Eine kontinu-ierlich wachsende Zahl von Gesetzen, Regularien sowie Standards und Best Practices tragen dazu bei, dass die Mehrheit der Unternehmen sich nicht nur verstärkt mit diesen Anforderungen auseinandersetzt, sondern auch nach geeigneten technologischen Lösungen sucht, um diese Aufgabe beherrschbar zu machen.

Ziel dieser Studie ist es, den Zusammenhang von Go-vernance, Risk und Compliance-Management im Un-ternehmen darzulegen und darauf aufbauend auf die Ansätze zur IT-gestützten Umsetzung dieser drei Kern-bereiche einzugehen. Folgende zwei zentrale Fragen sollen im Rahmen dieser Studie beantwortet werden:

1. Welche Anforderungen ergeben sich aus dem Go-vernance, Risk und Compliance-Management sowie aus etablierten Standards, wie CobiT und ITIL, an eine Softwarelösung?

2. Welche Softwarelösungen sind bereits am Markt verfügbar, um die jeweiligen Verantwortlichen im Unternehmen in ihren Aufgaben bestmöglich zu un-terstützen?

Die Beantwortung dieser Fragen soll es zukünftig den Verantwortlichen für GRC ermöglichen, ihre Aufga-ben bestmöglich im Sinne der Unternehmensziele und Unternehmensstrategien zu erfüllen.

1010

2. Grundlagen und Begriffsabgrenzungen

11

2.1 Governance, Risk und Compliance

Der Begriff Governance, Risk und Compliance-Manage-ment (GRC) fasst drei wesentliche Handlungsebenen der Unternehmensführung zusammen, welche nachfol-gend kurz beschrieben werden.

Der Begriff Corporate Governance kann mit den Bezeichnungen Unternehmensleitung und -kontrolle gleichgesetzt werden und ist dahingehend eng mit der Unternehmensführung verknüpft. Er trägt wesentlich zur Effizienz des Unternehmens bei [Zöll07, Falk12, Homm09] und hat zur Aufgabe, einen »rechtlichen und faktischen Ordnungsrahmen für die Leitung und Überwachung eines Unternehmens« [Homm09] festzu-legen. Betrachtet man nun in einem weiteren Schritt die Corporate-Governance aus dem Blickwinkel der IT-Ab-teilungen, so ergibt sich der Begriff der IT-Governan -ce. So liegt gemäß des IT-Governance-Institutes die IT-Governance in der Verantwortung des Vorstandes und des Managements und ist daher als wesentlicher Bestandteil der Unternehmensführung anzusehen. Sie besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die IT die Unterneh-mensstrategie und -ziele unterstützt [Thom06]. Aus den zahlreichen Definitionen, welche in der Literatur zu finden sind, wird ersichtlich, dass die IT-Governan-ce und die Corporate-Governance eng miteinander verbunden sind und dass eine getrennte Betrachtung beider Begriffe weder in der Wissenschaft noch im Un-ternehmen zielführend erscheint. Fasst man den Begriff der IT-Governance weiter, also über den Bereich der IT-Abteilungen hinaus, hin zu anderen Fachbereichen des Unternehmens, welche ebenfalls IT-Systeme nut-zen, so spricht man von der IT-gestützten Governan-ce. Diese betrachtet die IT-Governance nicht allein aus Sicht der IT-Abteilungen, sondern aus der gesamten Unternehmensperspektive. Ihr Ziel ist es, zu klären, welchen Beitrag die IT leisten kann (IT Alignment),

um die Unternehmensführung optimal zu unterstützen. Dies kann beispielsweise mittels geeigneter Software-lösungen erfolgen, welche die Geschäftsprozesse im Sinne der Unternehmensziele und -strategie bestmög-lich unterstützen.

Der Begriff Risiko kann sowohl als negative als auch als positive Abweichung eines tatsächlichen von einem erwarteten Ereignis definiert werden [Seib06]. Das Risikomanagement ist hier als ein Prozess zu verste-hen, welcher diese negativen bzw. positiven Ereignisse erkennt und hinreichende Sicherheit in Bezug auf die Erreichung der Ziele des Unternehmens gewährleistet [COSO04].

Das Compliance-Management ist ebenfalls als Teilbereich der (Corporate-)Governance zu verstehen. Compliance wird als die Summe »aller Maßnahmen zur Einhaltung von gesetzlichen und anderen Regeln, die dem Unternehmen extern vorgegeben sind, und die Ausarbeitung von Regeln, die sich das Unternehmen selber gegeben hat, sowie die dazu eingeführten Maß-nahmen« [Behr10] definiert. Das Compliance-Management ist nun als eine Erweite-rung des Begriffs Compliance zu verstehen. Es bezeich-net die Auseinandersetzung mit Fragen der Gestaltung von Compliance der Unternehmen (bzw. der betriebli-chen Praxis) und stellt somit die Verbindung zur Cor-porate-Governance dar. Die IT-Compliance stellt einen wesentlichen Teilbereich der Corporate Compliance dar, welche wiederum mit der Corporate sowie der IT-Go-vernance eng verbunden ist.

12

2.2 Zusammenspiel der Bereiche Governance, Risk und Compliance

Die Betrachtung des Themenbereichs GRC als zusam-menhängendes Konstrukt ist für die Bearbeitung der in dieser Studie vorgestellten Fragestellung unerlässlich. Die nachfolgende Abbildung 1 gibt eine Vorstellung von den Zusammenhängen zwischen Governance, Risk und Compliance.

Vor dem Hintergrund zunehmender gesetzlicher An-forderungen, Standards und Best Practices, welche ein Unternehmen zu erfüllen hat, steigt der Bedarf an Risiko-Managementsystemen, mit deren Hilfe Risiken im Unternehmen effektiv und effizient identifiziert, be-wertet und gesteuert werden können. Diese Risiken können verschiedene Ursachen haben. So können sie aus der Nichteinhaltung von Compliance (Verletzung gesetzlicher Bestimmungen) und aus dem alltäglichen Geschäftsbetrieb herrühren oder IT-Risiken darstellen, die in Zusammenhang mit der nicht ordnungsgemäßen Verwendung der IT und ihrer Bestandteile entstehen. Um ein effizientes und effektives Risikomanagement zu gewährleisten, ist es daher notwendig, alle gesetzlichen Auflagen zu kennen und für deren Erfüllung zu sorgen. Dies ist Aufgabe des Compliance-Managements. Es zeigt sich somit die enge Verflechtung zwischen Risi-ko-Management und Compliance-Management, wel-che sich gegenseitig beeinflussen. Zum einen führt die Nichteinhaltung von Compliance zu neuen Risiken, an-dererseits entstehen durch neu entdeckte Risiken ver-änderte oder neue (interne) Compliance-Vorschriften.

Dem übergeordnet ist die Corporate-Governance als wichtiges Führungsinstrumentarium. Sie legt für das Risiko- und Compliance-Management die Verantwort-lichkeiten fest und hat im Hinblick auf die Unterneh-mensziele die richtigen Entscheidungen auf Grundlage der Erkenntnisse aus dem Risiko- und Compliance-

Management zu treffen. Somit finden Einflüsse sowohl von der Corporate-Governance auf das nachgelagerte Risiko- und Compliance-Management statt, als auch umgekehrt beeinflussen das Risiko- und Complian-ce-Management die Entscheidungen auf der Ebene der Unternehmensleitung. Aufgrund dieser inhaltlichen Zusammenhänge wird in der Literatur vielfach von der Trias »Governance-Risk-Compliance« (GRC) gespro-chen, welche eine »integrierte Strategie und ein ge-meinsames Management« erfordert [Klot09].

Neben den zuvor erwähnten regulatorischen Anforde-rungen sehen sich die Unternehmen auch einer hohen Marktdynamik gegenüber, welche aus schnellen tech-nologischen Entwicklungen, kurzen Produktlebenszyk-len sowie der Internationalisierung resultieren. Daraus folgt, dass Unternehmen zum einen ihre Geschäftsri-siken genauer im Blick behalten und zum anderen die Flexibilität ihrer Geschäftsprozesse gewährleisten müs-sen, um schnell auf marktbezogene Veränderungen re-agieren zu können [MaNi09]. Dies erfordert eine agile und kundenorientierte IT-Unterstützung [MaNi09] wel-

ITCompliance

Management

IT-ComplianceManagement

CorporateGovernance

IT-Governance

RiskManagement

IT-RiskManagement

Abb. 1: Die Trias »Governance-Risk-Compliance« [Klot09]

13

che die Relevanz der IT-gestützten GRC zunehmend in den Mittelpunkt rückt. Von besonderer Wichtigkeit sind hierbei ganzheitliche und unternehmensweite Ansätze, welche insbesondere beim Einsatz von Softwarelösun-gen von ausschlaggebender Bedeutung sind. Vielfach findet jedoch eine Abgrenzung der verschiedenen Themenbereiche entweder auf Risiko- oder auf Com-pliance-Management statt. Diese Sichtweise ist jedoch nicht zielführend im Umgang mit GRC im Unternehmen und führt in der Praxis vielfach zu Verwirrungen. Der Aufbau von Insellösungen im Unternehmen (einerseits Risiko- und andererseits Compliance-Managementsys-teme) führt hingegen zu Intransparenzen, Redundan-zen und Inhomogenität von Daten. Um dem entgegen-zuwirken, ist es sinnvoller, ein Managementsystem im Unternehmen zu implementieren, welches den Regel-kreislauf der Aufbau- und Ablauforganisation beinhaltet [Sche11]. Es ist also von besonderer Bedeutung, den Themenbereich GRC immer als Ganzes zu betrachten und dementsprechend Softwarelösungen zu implemen-tieren, die dieser Anforderung gerecht werden.

1414

3. Anforderungen an eine Werkzeugunterstützung

15

3.1 Ziele und Grundlagen der Werkzeugunterstützung

3.1.1 Ziele der Werkzeugunterstützung

Zur Erfüllung der GRC-Anforderungen steht den Unter-nehmen ein breites Spektrum an Software zur Verfü-gung. Dieses reicht von einfachen Standardlösungen wie Microsoft Excel, welche durch spezielle Add-Ons erweitert werden können, bis hin zu integrierten Ge-samtlösungen, welche damit werben, alle Anforderun-gen aus GRC gleichermaßen zu erfüllen. Obwohl den Unternehmen damit viele Möglichkeiten zur Erfüllung ihrer Aufgaben gegeben sind, ist nach wie vor zu beobachten, dass Excel als Werkzeugunterstützung vorrangig genutzt wird [Gund10, CW13]. Dies ist auf unterschiedliche Gründe zurückzuführen. Zum einen bestehen Vorteile in der starken Verbreitung der An-wendung, auch standort- und länderübergreifend. Ein Unternehmen muss sich um die Implementierung in die bestehende Systemlandschaft sowie die Schulung seiner Mitarbeiter nur bedingt kümmern, da Microsoft Excel als Standardsoftware bereits hinreichend unter den Nutzern von Microsoft Office bekannt ist. Vielfach wird sogar davon ausgegangen, dass auch neue Mit-arbeiter fähig sind, mit dieser Software umzugehen. Zudem ist eine hohe Kompatibilität zwischen Excel und anderen Microsoft-Produkten (wie Word oder Po-wer Point) gegeben. Dennoch ist die Verwendung von Microsoft Excel im Bereich des Risiko- und Complian-ce-Managements auch mit Nachteilen verbunden, denn Excel als Werkzeugunterstützung sowie andere Tools, welche als Insellösungen in den Unternehmen vorherr-schen, sind zumeist wenig effizient und verursachen zudem langfristig gesehen zu hohe Kosten [CW13]. Durch den Einsatz von Insellösungen entstehen so un-ter anderem Redundanzen in den Datensätzen, eine mangelnde Vergleichbarkeit der Ergebnisse sowie Inef-fizienzen [Gund10, Sche11], da verschiedene Abteilun-gen zumeist ihre eigenen Daten bezüglich des Risikos

erheben. Der Einsatz von geeigneten Softwarelösun-gen kann dem entgegenwirken und ist somit außerhalb des gängigen Office-Pakets von entscheidender Bedeu-tung. Speziallösungen sowie integrierte GRC-Lösungen ermöglichen eine Qualitätssteigerung der Prozesse, eine einfachere Darstellung der Daten sowie einen leichteren Umgang mit den Daten.

Weitere Gründe für die Einführung einer geeigneten Softwarelösung können rechtlicher, wirtschaftlicher oder betrieblicher Natur sein [Hoff10]. Zu den rechtlichen Gründen zählen die Zunahme von gesetzlichen Anforderungen in Form von Gesetzen, wie § 43 GmbH-Gesetz, § 93 Aktiengesetz, KonTraG, SOX und weitere sowie die in diesem Zusammenhang steigende Komplexität in der Bewältigung dieser Vor-schriften. Zu den wirtschaftlichen Gründen zählen die Möglichkeit, durch geeignete Automatisierungsprozes-se und Software-Unterstützung Kosten, Personal und Ressourcen einzusparen. Die betrieblichen Gründe schließlich sind von besonderer Relevanz, da sich aus dem IT-Einsatz rückführend Kosteneinsparungspotenzi-ale generieren lassen [Hoff10, Sche11].

Neben diesen Gründen sind noch weitere in Literatur und Praxis zu finden, welche den gleichen Tenor auf-weisen. So beschreiben Nemeyer und Pricewaterhouse-Coopers (PwC) neben allgemeinen Anforderungen an eine Tool-Unterstützung auch wesentliche Vorteile. Im Gegensatz zu Excel müssen Änderungen im System nicht manuell kommuniziert werden. Stattdessen wer-den Normen und Entscheidungen sofort durchgesetzt und vereinfachen so das Berichtswesen und führen zu einer höheren Aktualität der Daten. Auch die Model-lierung der Geschäftsprozesse ist auf ein akzeptables

16

Maß vereinfacht und flexibilisiert. Manuelle Aufwände und die damit verbundenen Kosten können so reduziert werden. Darüber hinaus entfällt die im Fall von Excel notwendige Formelpflege, Fehlersuche, Datenzusam-menführung und Verhinderung von Datenredundanzen. Nicht zuletzt ermöglicht der Einsatz von geeigneten Softwarelösungen eine effiziente und transparente

Unternehmenssteuerung sowie die dauerhafte Siche-rung der Unternehmensziele, was zu mehr Sicherheit und Wirksamkeit führt [PwC12, Neme10]. In Unter-nehmen mit komplexen GRC-Strukturen ist die Verwen-dung von Speziallösungen bzw. integrierten Lösungen demnach von entscheidendem Vorteil.

3.1.2 Grundlagen der Werkzeugunterstützung

Nachfolgend werden die spezifischen Governance-, Ri-siko- und Compliance-Anforderungen (Abschnitt 3.2) sowie die Anforderungen aus relevanten Rahmenwer-ken und Standards (Abschnitt 3.3) anhand einer detail-lierten Literaturanalyse erhoben. Dabei ist zu beachten, dass es zwischen den einzelnen Bereichen und Anfor-derungskategorien zu Redundanzen kommen kann.

Aufgrund dessen, das sich viele Governance-Anforde-rungen meist indirekt aus denen des Risiko- und Com-pliance-Managements ergeben, werden nachfolgend zunächst jene des Risiko- und Compliance-Manage-ments erörtert bevor anschließend detailliert auf die Governance-Anforderungen eingegangen wird (siehe Abbildung 2).

3.2 Anforderungen gemäß GRC

3.2.1 Risiko-Anforderungen

Die Anforderungen des Risikomanagements ergeben sich zunächst aus den detaillierten regulatorischen An-forderungen, welche auf Gesetzen, Best Practices so-wie internen Richtlinien beruhen. Hier ist bereits ein konkreter Zusammenhang zum Compliance-Manage-ment und dessen Anforderungen erkennbar. So ergibt sich eine Vielzahl der Risiken aus dem Umstand, dass das Unternehmen nicht compliant ist. Eine vollständige und stets aktuelle Kommunikation zwischen dem Com-pliance- und dem Risikomanagement ist daher unab-dingbar und stellt eine der wesentlichen Anforderungen an die Software dar.

Eine erste Anforderung, welche sich hieraus ableiten lässt, ist die vollständige und aktuelle Darstellung al-ler risikorelevanten Vorschriften, seien sie nun extern

(KontraG, BilMog) vorgegeben oder intern festgelegt, sowie die sich daraus ergebenden Maßnahmen, welche das Unternehmen umzusetzen hat.

Darüber hinaus lässt sich eine Vielzahl von Anforde-rungen aus dem Risikomanagement-Prozess [ISAC10] des Unternehmens ableiten. Dieser Prozess besteht im Wesentlichen aus den Prozessschritten (1) Risikoiden-tifikation, (2) Risikobewertung, (3) Risikoanalyse, (4) Risikosteuerung und Risikokontrolle sowie (5) Risiko-überwachung und Risikoreporting [Mele09]. So sollte die entsprechende Software im Rahmen der Risikoiden-tifikation dafür Sorge tragen, dass das gesamte Risi-koinventar (d. h. die Risiken bzw. die Risikoszenarien) ebenso wie die schlagend gewordenen Risiken darin abbildbar sind. Dies kann dadurch erreicht werden,

Risk Management Compliance Management

Governance

Abb. 2: Zusammenhang zwischen den einzelnen Anforderungen

17

dass die Software einen Risikokatalog, bestehend aus Risikokategorien, zur Verfügung stellt. Die Erfassung und Verarbeitung aller aussagekräftigen internen (aus Buchhaltung und Controlling) und externen (aus öf-fentlich zugänglichen Datenbanken) Informationen, welche in direktem Zusammenhang mit den Risiken stehen, sind somit ebenfalls vorzunehmen [GlRo05]. Darüber hinaus sollte eine automatisierte Risikoumfra-ge zur Identifizierung (neuer) Risiken Bestandteil der Software sein [Mele09, GlRo05]. Die Risikobewertung gibt vor, dass eine Priorisierung der zuvor evaluierten Risiken möglich sein sollte. Die Bewertung der Risiken kann dabei anhand eines einheitlichen Risikomaßes, wie bspw. dem Value-at-Risk, vorgenommen werden. Daraus lassen sich die Risiken hinsichtlich ihres Gefähr-dungspotenzials kategorisieren und so aussagekräftige Informationen über die Risikolage des Unternehmens generieren. Von entscheidender Bedeutung ist hierbei vor allem, dass sich die Risiken zu einem Gesamtrisi-ko aggregieren lassen [GlRo05]. Zusätzlich ließen sich so Bruttobewertungen (Auswirkungen vor Maßnahme-

nergreifung), Nettobewertung (Schadensausmaß nach Umsetzung der Maßnahmen) sowie Zielbewertungen (Auswirkungen von zusätzlichen, noch nicht umgesetz-ten Maßnahmen) vornehmen [Mele09]. Zur Risikoana-lyse gehört gemäß Seibold und Meletiadou et al. ein ei-genständiges Frühwarnsystem für die Risikoindikatoren, welches in den Risikomanagement-Prozess integriert sein sollte [Seib06, Mele09]. Ebenso sollten die Maß-nahmen, welche zu einem konkreten Risikosachverhalt erfasst werden können, abgebildet werden [Mele09]. Des Weiteren stellen eine gute Analysemöglichkeit der Datenbestände sowie gute Simulations- und Prognose-möglichkeiten ebenfalls eine Grundvoraussetzung für die Einführung einer Software-Lösung dar [Seib06]. Im Rahmen der Risikosteuerung und -kontrolle ist es notwendig, dass eine Analyse der Auswirkungen eines Sachschadens bzw. Betriebsunterbrechungsszenarios möglich ist. Es ist erforderlich, aus der Steuerung der Risikomaßnahmen die Risikolage des Unternehmens nachzuvollziehen und die Risikosituation durch geeig-nete Maßnahmen zu beeinflussen [GlRo05].

Risiko-Anforderungen

▪ Vollständige und aktuelle Darstellung aller risikorelevanten Vorschriften ▪ Erfassung und einheitliche Aufbereitung aller internen und externen Daten ▪ Gewährleistung eines reibungslosen Informations- und Kommunikationsflusses zwischen den einzelnen

Organisationseinheiten und Beteiligten ▪ Darstellung der Unternehmensrisikoposition ▪ Abbildung der realen Risikobereitschaft und deren Umsetzung in Richtlinien ▪ Abbildung des Risikomanagements als kontinuierlichen Prozess:

› Risiko-Identifikation: - Kontinuierliche Erhebung, Dokumentation und Analyse der gesamten Unternehmensrisiken - Abbildung von Ursache-Wirkungs-Beziehungen und von Korrelationen zwischen Risiken

› Risikobewertung: - Quantitative und qualitative Bewertung der Risiken (Risikomaß) - Erfassung der Risikokosten - Beurteilung der Wirksamkeit bestehender risikopolitischer Bewältigungsmaßnahmen

und Ansatzpunkte zur Verbesserung - Priorität, mit welcher die Maßnahmen zur Bewältigung realisiert werden sollen

(Handlungsbedarf) › Risikoanalyse:

- Berechnung der Risiken und risikoorientierter Kennzahlen - Beschreibung der Risiken (mittels Wahrscheinlichkeitsverteilungen) - Festlegung von Risikobewältigungsmaßnahmen (Maßnahmencontrolling)

› Risikosteuerung und -kontrolle mittels der Analyse der Auswirkungen der Risiken › Risikoüberwachung und -reporting:

- Zuweisung eines Risikoverantwortlichen (Risk Owner) - Anwenderspezifische Auswertung und Aufbereitung der durchgeführten Risikoanalysen - Soll-Ist-Vergleich zur Erfolgskontrolle umgesetzter Maßnahmen

▪ Schnittstelle zum Compliance-Management

Tab. 1: Übersicht der Risiko-Anforderungen

18

Aus dem letzten Prozessschritt Risikoreporting ergibt sich die nachweislich bedeutendste Anforderung für viele Unternehmen. Hiernach sollten sämtliche Risiken und deren Bewältigung im Rahmen des Reportings vollständig erfasst und entsprechend der jeweiligen Zielgruppe aggregiert dargestellt werden. Dies erfor-dert die Zuweisung eines Risiko-Verantwortlichen (Risk Owner) und schließt die flexible Gestaltung und die gra-fische Darstellung, das Layout sowie die mediale Wei-terverarbeitung der Berichte mit ein [GlRo05, Mele09].

Darüber hinaus ist es notwendig, den Umsetzungsgrad von Gegenmaßnahmen zu ermitteln sowie eine Work-flow-Darstellung zu gewährleisten, indem unterschiedli-che Aufgaben an unterschiedliche Personen und Rollen delegiert werden können. Dies setzt die Mandanten-fähigkeit des Systems voraus sowie ein durchdachtes und an das Unternehmen anpassbares Berechtigungs-modell [Gund11].

Tabelle 1 fasst die erhobenen Anforderungen nochmals zusammen.

3.2.2 Compliance-Anforderungen

Wie die Risiko-Anforderungen ergeben sich auch die Anforderungen des Compliance-Managements zu-nächst aus den regulatorischen Anforderungen, welche sich vorrangig in Gesetzen, Best Practices und internen Richtlinien finden [Inte, ISAC10]. Die Darstellung der relevanten regulatorischen Anforderungen muss voll-ständig sowie nachvollziehbar gewährleistet werden. Dies kann mittels eines Compliance-Registers sowie eines hinterlegten Dokumenten-Management-Systems umgesetzt werden.

Gemäß [RaSp09] sind drei Arten von Funktionen von Compliance-Management-Software zu unterscheiden: (1) kontrollbezogene Funktionen bzw. automatisierte Kontrollen, welche die Durchführung von Kontrollen auf allen Ebenen der IT-Architektur ermöglichen, (2) Anwendungen zum Nachweis der Compliance, d. h. kontrollierte Prozessmodellierung und –dokumenta-tion sowie Ermittlung der Differenz zwischen Ist- und Soll-Zustand und (3) Anwendungen zur Unterstützung des gesamten Compliance-Prozesses. In diesem Sinne sollte das Tool über eine Anforderungsdatenbank zur Identifikation, Analyse und Aufnahme von regulatori-schen Anforderungen sowie über eine Reportfunkti-

on verfügen. Aus dieser ersten Kategorisierung der Anforderungen ist bereits erkennbar, dass auch das Compliance-Management mittels eines kontinuierli-chen Prozesses (PDCA-Kreislauf) abzubilden ist. Dieser beinhaltet im Wesentlichen die Prozessschritte Plan, Do, Check und Act. In einem ersten Schritt wird die Erfassung, Verwaltung, Speicherung, Aufbewahrung, Archivierung und Bereitstellung von Dokumenten und Daten gefordert, um die Compliance-Anforderung der Nachvollziehbarkeit zu gewährleisten [RaSp09]. Die systematische Analyse von Unternehmensdaten und die darauf aufbauende Unternehmensbewertung (in-wieweit das Unternehmen compliant ist) zählen ebenso zu den wichtigen Anforderungen an eine Software. Darüber hinaus finden sich noch weitere Anforderun-gen in der 2012 erschienenen Dissertation von Falk, welcher zahlreiche (IT-)Compliance-Anforderungen an-hand der Anspruchsgruppen eines Unternehmens iden-tifiziert hat [Falk12].

Tabelle 2 fasst wiederum die relevanten Compliance --Anforderungen zusammen.

Compliance-Anforderungen

▪ Übersichtliche, verständliche und aktuelle Darstellung der relevanten rechtlichen Vorgaben ▪ Einhaltung aller regulatorischen Anforderungen (rechtliche Vorgaben, Verträge, interne sowie

externe Regelwerke) ▪ Etablierung eines internen Kontrollsystems (IKS) ▪ Zusammenfassung ähnlicher Compliance-Vorschriften im Sinne der Effizienz ▪ Überwachung von gesetzlichen und unternehmensinternen Veränderungen ▪ Überwachung von Maßnahmen und deren Fortschritte ▪ Erstellung von anwenderspezifischen Berichten (auch Ad hoc-Berichte) zum Compliance-Status ▪ Analyse der Unternehmensdaten und darauf aufbauend Bewertung des Unternehmens

(inwieweit es compliant ist)

Tab. 2: Übersicht der Compliance-Anforderungen

19

3.2.1 Governance-Anforderungen

Wie bereits in Abschnitt 2.1 dargelegt, sind in der Li-teratur wie auch in der Praxis verschiedene Definiti-onsversuche der Begriffe Corporate-Governance und IT-Governance zu finden. Es ist zu beobachten, dass das Verständnis von Governance je nach wissenschaft-lichem oder praktischem Hintergrund unterschiedlich ausgeprägt ist. Dies kann zum einen darauf zurückge-führt werden, dass Governance als ein strategischer Begriff anzusehen ist, welcher im Gegensatz zu den Begriffen Risiko und Compliance nur schwer operatio-nalisierbar und messbar ist. Er beruht im Wesentlichen auf individuellen Prinzipien und allgemeinen Rahmen-bedingungen, welche das Unternehmen für sich festge-legt hat. Zudem ist die Governance auf der Metaebene angesiedelt, welche einen Rahmen zur Steuerung und Kontrolle der gesamten Unternehmensprozesse vor-gibt. Die sich daraus ergebende Unschärfe und Hetero-genität des Begriffs Governance erschwert es, die für eine erfolgreiche Software-Auswahl relevanten Anfor-derungen zu eruieren.

Für viele Unternehmen stellt sich daher zunächst die Frage, wie sie für sich den Begriff Governance definie-ren und wie ihre Governance-Strukturen in einer Soft-ware-Lösung integriert werden können. Der Abschnitt 2.1 hat hierzu bereits eine erste Hilfestellung gegeben, auf der nachfolgend aufgebaut werden kann. Hat das Unternehmen für sich dann den Begriff Governance geklärt und weiß es, wodurch er sich auszeichnet, kön-nen erste Anforderungen an eine Software formuliert werden. Bei der Erarbeitung der Risiko- und Compli-ance-Anforderungen hat sich gezeigt, dass sich viele Governance-Anforderungen bereits aus diesen ableiten lassen. Dies ist darauf zurückzuführen, dass eine enge Verbindung zwischen diesen drei Teilbereichen besteht. So lässt sich die Anforderung »Festlegung eines Risi-ko-Verantwortlichen« auch auf das Compliance-Ma-nagement übertragen (Festlegung eines Compliance Verantwortlichen) sowie anschließend auf die Corpora-te-Governance (Festlegung eines übergeordneten Ver-antwortlichen, welcher zudem die Unternehmensziele im Blick hat) überführen. Viele Anforderungen aus dem Governance-Bereich sind demnach bereits indirekt bei den Risiko- und Compliance-Anforderungen formuliert. Darüber hinaus ergeben sich aus den Aufgabenberei-chen von Governance als auch aus den verschiedenen Frameworks, wie CobiT und ITIL noch weitere konkrete Anforderungen an die Software.

Zu den wesentlichen Anforderungen zählen die Fest-legung von Verantwortlichkeiten sowie die sich daraus ergebende Erstellung eines Berechtigungskonzepts

[Gund10, Lars06]. Dieses beschreibt, wer welche Da-ten sehen bzw. verändern darf und wie die einzelnen Reports auszusehen haben. Beispielsweise hat der Ri-siko-Verantwortliche eine wesentlich detailliertere Sicht auf das Risikomanagement, als es eine höher gestellte Führungskraft haben würde. Letztere benötigt eine ag-gregierte Darstellung der Daten, um auf deren Grund-lage Entscheidungen im Sinne der Unternehmensziele treffen zu können. Es ist also notwendig, dass das Re-porting von Prozessen, Maßnahmen und Prüfungen an-wenderspezifisch (individuell) erfolgt. Damit einherge-hend ist auch die anwenderspezifische Darstellung von Informationen mittels Dashboards ausschlaggebend bei der Auswahl einer geeigneten Tool-Unterstützung [Inte].

Bevor jedoch die Verantwortlichkeiten festgelegt wer-den können, sollte die Software zunächst in der Lage sein, die Organisationsstrukturen des Unternehmens sowie die einzelnen für die Erfüllung von GRC notwen-digen Prozesse abzubilden [ISAC12].

Darüber hinaus sollte die Software ein geeignetes Tool zur Steuerung der Unternehmensziele darstellen. Die Steuerung der Einhaltung der Zielvorgaben und das Monitoring der Ziele sind demnach als wichtige Go-vernance-Anforderungen aufzuführen. Zur Umsetzung dieser Anforderungen sollte die Software über ein Steuerungstool, Prozess Monitoring sowie ein geeigne-tes Maßnahmencontrolling verfügen. Das Maßnahmen-controlling [Inte] könnte derart gestaltet sein, dass zu entsprechenden (externen) Prüfungen nicht nur aufge-zeigt wird, welche Maßnahmen zu ergreifen sind, son-dern auch wie der Bearbeitungsstand der Maßnahme ausschaut. Als wichtige Anforderungen können hieraus Transparenz, Nachvollziehbarkeit, Wirksamkeit sowie Angemessenheit der Maßnahmen abgeleitet werden. Es sollte demnach die Möglichkeit bestehen, bereits umgesetzte Maßnahmen in einem abschließenden Schritt auch zu dokumentieren (Transparenz und Nach-vollziehbarkeit) und zu bewerten (Wirksamkeit und An-gemessenheit).

Eine weitere Anforderung, welche sich bei den Risiko- und Compliance-Anforderungen wiederfindet, stellt die Anpassbarkeit der Software an die Bedürfnisse des Un-ternehmens dar. Zum einen sollte es dem Unternehmen möglich sein, seine Organisationsstruktur (Abteilungen mit jeweiligen Verantwortlichkeiten sowie den Prozes-sen) zu hinterlegen und zum anderen eigene interne Richtlinien einzupflegen. Diese internen Richtlinien sind gesondert zu den gesetzlichen Anforderungen zu be-

trachten, welche für alle Unternehmen verpflichtend sind. So sollte es dem System möglich sein, auf das Unternehmen zugeschnittene Maßnahmenkataloge zu generieren und jedem Verantwortlichen die für ihn rele-vanten Aufgaben aufzuzeigen. Auf diese Weise ist eine langfristige Nutzung der Software gewährleistet. Des Weiteren ist es notwendig, dass die Software ein Dokumenten-Managementsystem beinhaltet, welches die Versionierung und Verwaltung aller relevanten Da-

ten koordiniert. Hierzu zählt die Implementierung eines Dokumentationsprozesses für alle Richtlinien, Hand-lungsanweisungen und Vorgehensweisen, welcher es ermöglicht, alle Dokumente konsistent zu halten und deren Wiederverwendung zu ermöglichen [PwC12].

Tabelle 3 fasst nochmals alle wichtigen Governance- Anforderungen an die Software zusammen.

3.3 Anforderungen gemäß relevanter Standards

Neben den allgemeinen Anforderungen und den An-forderungen, welche sich aus den Aufgaben von GRC ergeben, lassen sich noch weitere Anforderungen an eine Software-Lösung aus bereits bekannten Rahmen-werken wie beispielsweise CobiT und ITIL ableiten. Sol-che Rahmenwerke bzw. Standards werden vielfach in der Unternehmenspraxis eingesetzt [Krcm10]. Beson-ders im Rahmen des Risiko- und Compliance-Manage-ments gelten sie als unverzichtbar. Die nachfolgende Abbildung gibt einen Überblick über die verschiedenen Referenzmodelle und Methoden und deren Einsatzhäu-figkeit in Unternehmen. Hierbei wurden 450 Unterneh-men aus der Branche IT befragt. So zeigt sich, dass der Einsatz von ITIL, CobiT und ISO in den Unternehmen am weitesten verbreitet ist. Johannsen und Goeken stellen zudem fest, dass diese Rahmenwerke vielfach für die Unterstützung bei der Ausgestaltung von IT-Governance, aber auch dem Ri-siko- und Compliance-Management eingesetzt werden [JoGo06].

Das Framework »CobiT« (Control Objectives for Infor-mation and Related Technology) gilt als umfassendes, die Unternehmens-IT adressierendes Rahmenwerk. Erstmals 1993 von der ISACA (Information Systems Audit and Control Accosciation) entwickelt, ist es 2012 in der fünften Version erschienen [Klot14, ISAC12]. Besonders hervorzuheben ist bei dieser Version die Trennung zwischen Governance und Management. Demnach richtet sich nun eine Domain explizit auf die IT-Governance, während die anderen Domains das IT-Management adressieren. Begründet wird dies da-mit, dass beide Disziplinen mit unterschiedlichen Arten von Aktivitäten verbunden sind, welche dadurch jeweils unterschiedlichen Zwecken dienen und damit einher-gehend auch unterschiedliche Organisationsstrukturen erfordern [ISAC12]. Es findet demnach eine Unterschei-dung zwischen der strategischen (Governance) und der operativen (Management-)Ebene statt. Die Verfolgung eines ganzheitlichen Ansatzes stellt für CobiT 5 eines der fünf Prinzipien dar. Ziel ist es dabei, alle funktio-nalen Zuständigkeitsbereiche von Unternehmen und IT lückenlos zu integrieren und sowohl die IT-bezogenen Interessen interner als auch externer Anspruchsgrup-

Governance-Anforderungen

▪ Abbilden von Organisationsstrukturen und Prozessen (standort- und länderübergreifend sowie hierarchiebezogen)

▪ Festlegung von Verantwortlichkeiten durch Rollen- und Berechtigungskonzept ▪ Erstellung anwenderspezifischer Dashboards und Reportings ▪ Integriertes Berichtswesen ▪ Schnittstellen zum Risiko und Compliance-Management (Erweiterbarkeit) ▪ Festlegung und Überwachung der Unternehmensziele ▪ Integration von (unternehmensinternen) Governance-Richtlinien und -Praktiken ▪ Anpassung an sich ergebende (interne und extern) Veränderungen ▪ Maßnahmen-Controlling ▪ Dokumenten-Management(-System)

Tab. 3: Übersicht der Governance-Anforderungen

21

pen zu berücksichtigen [ISAC12]. Darüber hinaus fin-den die Bereiche Risiko- und Compliance-Management Beachtung.

So beschreibt CobiT 5 in Bezug auf die Governance eines Unternehmens vergleichbare Anforderungen an eine Software-Lösung wie die einschlägige Literatur. Neben der Festlegung von Rollen, Organisationsstruk-turen und der Überwachung von Unternehmenszielen ergeben sich jedoch noch weitere Anforderungen. Der Austausch von Informationen innerhalb eines Unter-nehmens, die für eine Evaluierung, die Richtungsvor-gabe (Zielsetzung) und die Überwachung der Unter-nehmens-IT genutzt werden, gilt daher ebenfalls als wichtige Anforderung und kann als Berichtswesen auf Governance-Ebene beschrieben werden. Darüber hin-aus ist es von Bedeutung, Schnittstellen zu den opera-tiven Bereichen des Risiko- und Compliance-Manage-ments zu implementieren. Nicht nur die im Rahmen der Governance getroffenen Entscheidungen müssen auf allen Ebenen kommuniziert und umgesetzt werden, auch eine Transparenz der Prozesse muss geschaf-fen und eine Risikooptimierung sichergestellt werden. Diese Anforderungen können mittels einer geeigneten Darstellung aller relevanter Prozesse und Organisati-onsstrukturen durch die Software gewährleistet werden [ISAC12]. Die »IT Infrastructure Library« (ITIL) ist ein Best Practice Framework für IT-Serviceprozesse, welches für die Gestaltung, Implementierung und das Management wesentlicher Steuerungsprozess in der IT zuständig ist. Ihr Ziel ist es, die IT-Organisation eines Unternehmens prozess-, service- und kundenorientiert auszurichten. Um dies zu erreichen, spricht es Empfehlungen aus,

welche als Grundlage für die Unternehmen dienen, um zuverlässige, sichere und wirtschaftliche IT-Dienstleis-tungen zu generieren [BSI05].

In Bezug auf die Governance lässt sich die Notwen-digkeit der Prozessgestaltung, insbesondere die Eta-blierung kontinuierlicher Verbesserungsprozesse ab-leiten. Diesbezüglich ist auch die Identifizierung von Verbesserungsmaßnahmen der Prozesse als wichtige Anforderung zu nennen. Außerdem ist die Etablierung kritischer Erfolgsfaktoren sowie deren Messung und Überwachung im Rahmen der Unternehmensziele so-wie des Risiko- und Compliance-Managements zu be-rücksichtigen [Rudd07].

Betrachtet man nun den Bereich des Risikomanage-ments, so fällt auf, dass beide Frameworks sich an dem zuvor erwähnten Risikomanagementprozess mit den fünf Prozessschritten (1) Risikoidentifikation, (2) Risiko-bewertung, (3) Risikoanalyse, (4) Risikosteuerung und –kontrolle sowie (5) Risikoüberwachung und –reporting orientieren [Seib06]. Auch im Bereich des Complian-ce-Managements richten sich die beiden Frameworks CobiT und ITIL an dem aus, was die Literatur bereits als wichtige Handlungsfelder eruiert hat.

Es ist festzustellen, dass die einzusetzende Software die Etablierung wesentlicher Standards, wie CobiT und ITIL und auch Standards des BSI und ISO Normen, gewährleisten und deren redundanzfreie Verknüpfung innerhalb des Tools ermöglichen muss. Nur so kann ein effektives und effizientes GRC-Management einherge-hend mit einer Wahrung der Unternehmensziele betrie-ben werden.

28,0 %

21,1 %

21,1 %

21,1 %

21,1 %

21,1 %

21,1 %

21,1 %

21,1 %

21,1 %

21,1 %

21,1 %

21,1 %

21,1 %

ISO 17799, ISO 27000, Rahmenwerke zur IT-...

CobiT (ISACA)

Risk IT (ISACA)

CMM oder CMMI

BMIS (ISACA)

Val-IT (ISACA)

COSO ERM

0 % 5 % 10 % 15 % 20 % 25 % 30 %Bezugswert: 450 Befragte(nur IT)

Einsatzhäufigkeit in Unternehmen

Abb. 3: Referenzmodelle als Grundlage für IT-Governance-Ansätze [Schw12]

22

3.4 Zusammenfassung

Es ist festzustellen, dass im Bereich Governance, Risk und Compliance viele Überschneidungen bei der Erhe-bung der Anforderungen auftreten. So sind Anforde-rungen des Compliance-Managements auch im Risiko-management zu finden und umgekehrt. Wichtig für den Einsatz einer effizienten Software-Lösung ist es, dass es bei der Erfüllung der Anforderungen nicht zu Redun-danzen kommt und dass eine konsistente Sicht auf alle notwendigen Daten vorherrscht.

Die nachfolgende Tabelle vier fasst nochmals alle we-sentlichen Anforderungen an eine Werkzeugunterstüt-zung – bereinigt um Redundanzen – zusammen.

Governance- Anforderungen

▪ Abbilden von Organisationsstrukturen und Prozessen (Standort- und länderübergreifend sowie hierarchiebezogen)

▪ Festlegung von Verantwortlichkeiten durch Rollen- und Berechtigungskonzepte ▪ anwenderspezifische Dashboards und Reportings ▪ Integriertes Berichtswesen ▪ Schnittstellen zum Risiko- und Compliance-Management ▪ Festlegung und Überwachung der Unternehmensziele ▪ Integration von (unternehmensinternen) Governance-Richtlinien und -Praktiken ▪ Anpassung an sich ergebende (interne oder externe) Veränderungen ▪ Maßnahmen-Controlling ▪ Dokumentenmanagementsystem

Risiko-Anforderungen ▪ Darstellung der Unternehmensrisikoposition ▪ Abbildung des Risikomanagements als kontinuierlichen Prozess:

› Risikoidentifikation › Risikobewertung › Risikoanalyse › Risikosteuerung und -kontrolle › Risikoüberwachung und -reporting

▪ Risiko-Früherkennung

Compliance-Anforderungen

▪ Übersichtliche, verständliche und aktuelle Darstellung der relevanten rechtlichen Vorgaben

▪ Zeitnahe Umsetzung aller regulatorischen Vorgaben (rechtliche Vorgaben, Verträge, interne sowie externe Regelwerke)

▪ Zusammenfassung ähnlicher Compliance-Vorschriften im Sinne der Effizienz ▪ Überwachung von Compliance-Maßnahmen und deren Fortschritte ▪ Analyse der Unternehmensdaten und darauf aufbauend Bewertung des

Unternehmens (inwieweit es compliant ist) ▪ Schnittstellen zu Interner Revision, Controlling und Externen Audits

Tab. 4: Übersicht der Governance-Anforderungen

Aufbauend auf den hier erarbeitenden Anforderungen lassen sich im nächsten Schritt verschiedene Software-lösungen miteinander vergleichen. Diese stellen eine wichtige Grundlage zur Beantwortung der zweiten

Fragestellung dar, nämlich, welche der am Markt be-findlichen Softwarelösungen am besten geeignet sind, um den GRC-Verantwortlichen in seinen Aufgaben zu unterstützen.

2424

4. Werkzeugunter- stützung für IT-gestütztes GRC

25

4.1 Marktüberblick

In den vergangenen Jahren ist ein zunehmendes Ange-bot an GRC-Anwendungen zu verzeichnen. Zuvor waren nur wenige Anwendungen für Unternehmen verfügbar, welche zudem häufig nur in einem isolierten Bereich spezifische GRC-Anforderungen abdeckten [PwC12]. So sind nach wie vor zahlreiche Anbieter am Markt ver-treten, welche Einzellösungen, also Lösungen, welche auf einen der drei Teilbereiche aus GRC spezialisiert sind, anbieten. Dies führte dazu, dass zahlreiche Un-ternehmen auf Eigenentwicklungen oder aber auf Of-fice-Lösungen [PwC12, CW13] (vornehmlich Microsoft Excel und Access) zurückgriffen. Durch den Einsatz ver-schiedener Anwendungen und Insellösungen [Hoff10] entstanden in den Unternehmen wiederum vermehrt Medienbrüche sowie eine sehr hohe manuelle Ausprä-gung der GRC-bezogenen Aufgaben [PwC12]. Fehler-anfälligkeit, ein hoher Zeitaufwand bei der Pflege der Daten sowie hohe Kosten bei der Instandhaltung sind weitere Nachteile von Insellösungen. Dabei stellt der Einsatz von Technologien zur Umsetzung und Ausge-staltung von GRC-Anforderungen heute einen Schlüssel zu integrierten und effizienten Prozessen dar [PwC12].

Zielführende Technologien ermöglichen so unter ande- rem eine:

▪ unternehmensweite Transparenz über die beste-henden regulatorischen Anforderungen, Risiken und Maßnahmen;

▪ Vereinfachung der bislang sehr komplexen Prozesse und Strukturen im Unternehmen;

▪ Entlastung der einzelnen Abteilungen bei der Bewältigung ihrer täglichen Aufgaben;

▪ Ermöglichung einer einheitliche Dokumentation der Prozesse und Maßnahmen und

▪ Erhöhung der Qualität der zu verarbeitenden GRC-Informationen [PwC12].

Eine Automatisierung der bestehenden GRC-Prozesse ist für die Unternehmen demnach von grundlegender Relevanz.

Für die im nächsten Abschnitt folgende Marktübersicht und Vorstellung der Softwarelösungen wurden Veröf-fentlichungen in Fachzeitschriften, Informationen der jeweiligen Hersteller sowie verfügbare Marktübersich-ten von Beratungsunternehmen ausgewertet, aggre-giert und unter Berücksichtigung eigener Auswertun-gen von Herstellerinformationen zusammengefasst.

4.2 Klassifikation existierender Softwarelösungen

Zunächst erfolgt eine Grobklassifikation des am Markt befindlichen Software-Angebots nach den Anwen-dungszielen der angebotenen Produkte (siehe Abbil-dung 4). Dieses Angebot lässt sich in die zwei Klassen »Rein analytische Tools bzw. Standardsoftware« und »Tools zur Unterstützung des Managements- und der Prozessphasen« unterscheiden [Mele09].

Die Klasse der rein analytischen Tools stellt nur einen Bereich des Produktangebots dar. Hierzu zählen Stan-dardprodukte, wie beispielsweise die Microsoft Office Suite, vorrangig Excel und Access. Diese Anwendungen zeichnen sich durch einen geringen Aufwand und eine einfache Bedienbarkeit aus.

26

Der Schwerpunkt dieser Studie liegt dagegen bei der Betrachtung der Management- und Prozesspha-sen-Tools. Diese lassen sich weiter in standardisierte Speziallösungen, branchenspezifische Lösungen sowie integrierte GRC-Lösungen unterscheiden. Bei der Aus-wahl eines geeigneten Tools für das Unternehmen ist zu beachten, dass die Produkte sich in ihrem Funktions-umfang und Reifegrad erheblich unterscheiden können [Gund11, FRIA12]. So lassen sich viele Anwendungen zunehmend nur noch schwer in eine der drei Kategori-en einordnen. Zumeist decken sie (vorwiegend indirekt) mehrere Bereiche ab und weisen zudem unterschiedli-che Integrationstiefen auf [FRIA12]. Eine Unterteilung, wie sie Meletiadou et al. sowie Gleißner und Romeike vorschlagen, sollte demnach nur als erste Grundlage für die grobe Gliederung und Einteilung der Software herangezogen werden.

Standardisierte Speziallösungen zeichnen sich dadurch aus, dass sie den Fokus vorrangig auf einen Teilbereich aus GRC legen. Entweder sie sind auf das IT-Risiko-management bzw. das Risikomanagement-Informati-onssystem (RMIS) spezialisiert oder auf das IT-Com-pliance-Management und dementsprechend auf das

Compliance-Management-Informationssystem (CMIS). Auch wenn es sich hierbei um Stand-Alone-Lösungen handelt, sind die Grenzen in der Praxis meist fließend, besonders in den Bereichen Risiko und Compliance. Dies ist darauf zurückzuführen, dass eine Nichteinhal-tung von Compliance-Maßgaben zwangsläufig das Risi-ko des Unternehmens beeinflusst. Es besteht demnach ein direkter Zusammenhang der beiden Bereiche.

Software für Banken und Versicherungen stellt für die branchenspezifischen Lösungen eine der größten Ka-tegorien dar. Als ein wesentlicher Grund dafür kann der geschichtliche Ursprung des Risikomanagements in diesen Branchen genannt werden. So stellt das Ma-nagement von Risiken eine der Kerndisziplinen von Banken und Versicherungen dar. Durch ihr spezifisches Aufgabengebiet stellen Banken und Versicherungen zudem sehr viel detailliertere Anforderungen an eine Risikomanagement-Software als dies beispielsweise Industrie- oder Dienstleistungsunternehmen tun wür-den. Auch von rechtlicher Seite werden höhere Anfor-derungen an das Risikomanagement von Banken und Versicherungen gestellt. So haben diese nicht nur die Anforderungen des KonTraG und des BilReG zu erfüllen,

Software-Angebot

Management- &Prozessphasen

Tools

Rein analytischeTools /

Standardsoftware

StandardisierteSpeziallösungen

BranchenspezifischeLösungen

integrierte GRC-Lösungen

IT ComplianceManagement

IT RiskManagement

z.B. Software für Banken &

Versicherungen

eGRCSysteme

IT-GRCSysteme

hybrideSysteme

Abb. 4: Klassifikation existierender Softwarelösungen [Mele09, GlRo05]

27

sondern auch die Vorgaben von Basel II sowie MaRisk einzuhalten [BaFi12].

Von besonderem Interesse in dieser Studie ist der Blick auf die integrierten GRC-Softwarelösungen. Wie zuvor schon angedeutet, erscheint eine isolierte Betrach-tung von Einzelaspekten im Bereich GRC nur wenig zielführend. Ein sogenanntes »Silodenken« verhindert zudem die Berücksichtigung bereichsübergreifender Informationen und Maßnahmen, die wiederum maß-geblich Einfluss auf die Vermeidung von Risiken und Compliance-Verstößen haben. Auf diese Weise werden potenzielle Synergien nicht ausreichend genutzt und wichtige Schnittstellen ignoriert [PwC12]. Daher ist ein integrierter Ansatz notwendig, welcher die vielfältigen Anforderungen aus dem GRC-Bereich bündelt und die-se in einem einheitlichen System entsprechend dar-stellt. Aufgrund der hohen Komplexität von integrierten GRC-Lösungen kann nun zwischen eGRC-Systemen (Enterprise Governance, Risiko-Management und Com-

pliance) und IT-GRC-Systemen sowie hybriden Lösun-gen unterschieden werden. Letztere stellen eine noch recht kleine Gruppe, aber mit wachsendem Angebot dar. Ein Grund, warum zunächst nur eine Unterschei-dung zwischen eGRC und IT-GRC-Anwendungen statt-gefunden hat, ist, dass es in der Praxis oft Probleme dabei gab, die unterschiedlichen Anforderungen beider Bereiche in einem System abzubilden [FRIA12]. Die eGRC-Systeme unterscheiden sich von den IT-GRC-Sys-temen insoweit, als sie sich einem breiteren Spektrum widmen, welches sich über IT-, Finanz-, Rechts- und operative Bereiche erstreckt [EMC14a]. In diesem Fall handelt es sich also nicht nur um eine Anwendung, welche die Aufgaben und Anforderungen der IT-Ab-teilungen im Blick hat, sondern darüber hinaus auch die der anderen Unternehmensbereiche berücksichtigt. Zudem sind auch die hybriden Systeme zu beachten, deren Relevanz und Einsatz in den vergangenen Jahren zugenommen haben.

4.3 Analyse der Software anhand der Anforderungen

4.3.1 Allgemeine Vorgehensweise

Grundlage für die Auswahl der Softwareanwendungen stellt eine umfassende Literatur- und Marktanalyse dar. So wurden sechs Produkte der Kategorie »Risikoma-nagement«, drei Produkte der Kategorie »Complian-ce-Management« und sechs Produkte der Kategorie »integrierte Lösungen« ausgewählt. Aufgrund viel-facher Überschneidungen zwischen verschiedenen Softwareanwendungen in den einzelnen Kategorien wurde unter anderem die Kategorie »Branchenspezi-fische Lösungen« außer Acht gelassen. Ebenso findet in der Kategorie der »Integrierten Lösungen« keine Einordung der ausgewählten Tools in die Teilbereiche »eGRC«, »IT-GRC« sowie »hybride Lösungen« statt. Dies ist damit zu begründen, dass zahlreiche integrierte Lösungen nur schwer einem der drei Teilbereiche zuzu-ordnen sind. Zwar werden einige Softwareanwendun-gen explizit als IT-GRC-Tool ausgewiesen, bei genaue-rer Betrachtung ergibt sich jedoch, dass diese auch im Stande sind, Anforderungen außerhalb des IT-Bereichs abzudecken. Ebenso verhält es sich mit den eGRC-Anwendun-gen. Hier ist nicht klar ersichtlich, wo der Unter-schied zwischen hybriden Lösungen und eben jenen eGRC-Lösungen liegt. Zwar wurden eGRC-Lösungen vorrangig für allgemeine Themen im Bereich GRC konzipiert [FRIA12], doch erfüllen sie zunehmend auch IT-GRC-Aspekte. Es ist demnach festzustellen,

dass die Grenzen zwischen den einzelnen Lösungen zunehmend aufgehoben werden. Dies ist auch im Be-reich der »Stand-Alone«-Lösungen wie der Risiko- und Compliance-Management-Software zu beobachten. So erfüllen Risikomanagement-Lösungen zunehmend auch Anforderungen, die dem Bereich des Complian-ce-Managements zuzuordnen sind und umgekehrt. Als ein Beispiel hierfür kann die Software CompliantPro™ genannt werden. Diese wird zwar als reine Complian-ce-Management-Lösung vermarktet, jedoch findet sich der Hinweis, dass sie auch die Bereiche Corporate-Go-vernance und Risikomanagement nachhaltig unter-stützt [IBS].

28

Die Auswahl der einzelnen Softwarelösungen basiert vorrangig auf Studien wie beispielsweise die Studie des Fraunhofer Research Institute, welche verschiedene Managementsysteme für Informationssicherheit unter-sucht hat. Die Studien von Gartner (»Magic Quadrant for Enterprise Governance, Risk and Compliance Plat-forms 2013«) und Forrester Wave™ (»IT-Governan-ce, Risk and Compliance Platforms Q4 2011«) sowie Chartis Research (»Enterprise GRC Solutions 2014: Time for GFRC?«) sind hier ebenso zu nennen. Darüber hinaus wurde im Bereich der »Stand-Alone«-Lösun-gen die Suche nach Marktführern über Google getä-tigt. Als weitere wichtige Quelle sei hierbei auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) genannt, welches ebenfalls eine Liste verschie-dener Softwarelösungen bereitstellt [BSI]. Ausgehend von den Ergebnissen aus verschiedenen Studien wurde auch untersucht, ob Anbieter von GRC-Lösungen zuvor unter Umständen auch Einzellösungen vermarktet ha-ben. Dabei konnte festgestellt werden, dass zahlreiche große Hersteller wie SAP, IBM, BWise oder auch RSA nicht nur integrierte Lösungen anbieten, sondern auch Stand-Alone-Lösungen. Als Grund hierfür ist zu nen-nen, dass die meisten GRC-Lösungen vorrangig modul-basiert aufgebaut sind und demnach ständig erweitert werden.

Wie zuvor schon erwähnt, werden »branchenspezifi-sche Lösungen« im Rahmen dieser Studie nicht wei-ter betrachtet, da viele Stand-Alone-Lösungen bereits branchenunabhängig konzipiert wurden und daher auch für Bereiche wie Banken und Versicherungen ein-setzbar sind. Als branchenspezifische Beispiele können hierbei jedoch die Bosch Compliance Suite sowie die Anwendung »Sicherer IT-Betrieb« der Sparkasse ge-nannt werden.

Die nachfolgende Tabelle gibt einen Überblick über am Markt befindlichen relevanten Softwarelösungen, aus-gewählt anhand von Studien und anhand der Größe der Unternehmen bzw. der Marktposition der Unterneh-men. Die Tabelle erhebt als Auswahl keinen Anspruch auf Vollständigkeit.

In einem weiteren Schritt erfolgt nun eine Bewertung der ausgewählten Software, basierend auf Informati-onen aus Produktpräsentationen, Werbemaßnahmen und weiteren von den Anbietern zur Verfügung gestell-ten Materialien. Dazu wurde jede Anforderung anhand einer Skala (»x«: Anforderung erfüllt, »(x)«: Anforde-rung indirekt beschrieben, »-«: Anforderung nicht erfüllt bzw. ungeklärt) entsprechend dem Leistungsumfang der Software bewertet (Bewertungsschema).

4.3.2 Erfüllung der GRC-Anforderungen

Bei der Betrachtung der Governance-Anforderun-gen fällt zunächst auf, dass die Anforderungen »Abbil-den von Organisationsstrukturen […]«, »Festlegen von

Verantwortlichkeiten […]« und ein »Dokumentenma-nagement(-system)« von nahezu allen Softwarelösun-gen erfüllt werden. Die Anforderung »Integration von

Standardisierte SpeziallösungenIntegrierteGRC-Lösungen

Risikomanagement Compliance-Management

IBM Operational Risk Manager TruComply 4.0 RSA Archer

antares RiMIS CompliantPro™ BWise GRC

R2C_risk to chance Accelus Compliance Manager MetricStream

risk2value - SAP GRC Access Control

SaS for Enterprise Risiko-Manage-ment

- HiScout GRC Suite

CRISAM - GRC Suite I|RIS

Tab. 5: Marktüberblick relevanter Management- und Prozessphasen-Tools

29

Governance-Richtlinien«, aber auch die Anforderungen »Gewährleistung eines ein integrierten Berichtswe-sens« sowie »Unterstützung von Governance-Richtlini-en und -praktiken« werden nur bedingt von den Tools sichergestellt. Auch ist festzustellen, dass nur 10 von 15 Softwarelösungen die Anforderung der Anpassbar-keit bewerben, obwohl diese als durchaus sehr wichtig empfunden wird. Insbesondere in Bezug auf die hohe Dynamik an Märkten, welcher die Unternehmen aus-gesetzt sind, und den flexiblen Geschäftsprozessen, die sie um dieser Dynamik Herr zu werden, gewähr-leisten müssen, ist die Anpassung der Software sowohl an interne (neue oder veränderte Prozesse) als auch an externe Gegebenheiten (neue oder veränderte ge-setzliche Regularien, Veränderung des Unternehmens-umfeldes) dringend erforderlich. Beim Vergleich der einzelnen Tools zeigt sich, dass die Lösungen von IBM (Open Pages Operational Risiko-Management) [IBM13] und Thomson Reuters (Accelus Compliance Manager) [ThRe14] nahezu alle Governance-Anforderungen er-füllen, was nicht zuletzt auch auf die gute Beschreibung der Tools durch die Hersteller zurückzuführen ist. Aber auch die umfassenden GRC-Lösungen, wie beispiels-weise RSA Archer eGRC von EMC² [EMC14b] sowie die GRC Suite i|RIS [Ibis] sind hier zu nennen.

Es zeigt sich, dass viele Anforderungen aus dem Gover-nance-Bereich bereits von den am Markt befindlichen Softwarelösungen abgedeckt werden, ohne dass diese explizit darauf verweisen, auch den Governance-Be-reich zu berücksichtigen. So sind insbesondere die An-forderungen »Abbilden von Organisationsstrukturen«, »Festlegung von Verantwortlichkeiten« und das »Do-kumentenmanagementsystem« fester Bestandteil einer jeden Software.

Im Bereich der Risiko-Anforderungen wird deutlich, dass die Anforderung »Abbildung des Risikomanage-ments als kontinuierlicher Prozess« von allen Tools erfüllt wird. So konnte festgestellt werden, dass eine Erfüllung des Risikomanagementprozesses auch alle nachfolgenden Schritte – von der Risikoidentifikation bis zum Risikoreporting – beinhaltet. Diese Anforde-rung ist daher als eine der zentralen Anforderungen im Bereich des Risikomanagements anzusehen und daher zwingender Bestandteil einer jeden Software. Lediglich bei der Ausgestaltung der einzelnen Prozessschritte zeigt sich, dass nicht alle Hersteller darüber informie-ren, welche einzelnen Prozessschritte ihre Software un-terstützt. Die Anforderung der »Risiko-Früherkennung« wird wohl von den wenigsten Tools erfüllt. Auch die Dar-stellung des Gesamtrisikos findet nicht bei allen Soft-warelösungen Beachtung. Positiv hervorzuheben sind hierbei jedoch die Tools von IBM, Avedos und EMC², welche neben der »Abbildung des Risikomanagement-

prozesses« auch eine »Darstellung der Unternehmens-risikoposition« sowie eine »Risiko-Früherkennung« ermöglichen [IBM13, Aved14, EMC14a]. Im Vergleich der einzelnen Tools wiederum steht die Software von IBM an erster Stelle. Nachfolgend erhielten auch die Tools von SaS (SaS for Enterprise Risiko-Management) [SaS09] CRISAM [CRIS14], CompliantPro [IBS] sowie BWise [BWis14] eine gute Bewertung.

Bei der Betrachtung der Compliance-Anforderungen fällt zunächst auf, dass die Anforderungen »Vollständi-ge und aktuelle Darstellung aller relevanten rechtlichen Vorgaben« sowie »Umsetzung/Verwaltung aller regu-latorischen Vorgaben [rechtliche Vorgaben, Verträge, interne sowie externe Regelwerke (wie ITIL, CobiT usw.)]« von nahezu allen Softwarelösungen erfüllt wer-den. Die Anforderung, dass ähnliche Compliance-Vor-schriften automatisiert zusammengeführt werden und ein Mapping zwischen den Standards unterstützt wird, um Redundanzen zu vermeiden, wird nur ungefähr von einem Drittel der Tools sichergestellt. Auch ist festzu-stellen, dass nur 8 von 15 Softwarelösungen die Anfor-derung erfüllen, Schnittstellen zur Internen Revision, dem Controlling und zu externen Audits anzubieten. Im Vergleich der einzelnen Tools zeigt sich, dass die Lösungen von Thomson Reuters (Accelus Compliance Manager) [ThRe14] und HiScout (HiScout GRC Suite) [HiSc] die beste Bewertung erhalten haben.

Abschließend kann für den Bereich der Compliance-An-forderungen festgehalten werden, dass im Wesentli-chen die Anforderung der vollständigen Darstellung aller relevanten rechtlichen Vorgaben von nahezu allen Softwarelösungen abgedeckt wird.

Die Tabelle 6 zeigt die zuvor erhobenen detaillierten Anforderungen und Ergebnisse der Gesamtbewertung.

30

Ausgewählte Software-Lösungen

IBM

OP

Ope

ratio

nal R

isk

Man

agem

ent

anta

res

RiM

IS [

Anta

]

R2C_

risk

to c

hanc

e [S

chl1

4]

risk2

valu

e

SaS

for

Ente

rpris

e Ri

sk M

anag

emen

t

CRIS

AM

TruC

ompl

y 4.

0 [A

nx14

]

Com

plia

ntPr

o™

Acce

lus

Com

plia

nce

Man

ager

RSA

Arch

er e

GRC

BWis

e G

RC

Met

ricSt

ream

[M

eSt1

4]

SAP

GRC

Acc

ess

Cont

rol

HiS

cout

GRC

Sui

te

GRC

Sui

te I

|RIS

Governance Anforderungen

Abbilden von Organisations- strukturen und Prozessen x x x x x x x x x x (x) x x x

Festlegung von Verantwortlich- keiten durch Rollen und Berechtigungs-konzept

x x x x x x x x x x x x x x

Erstellung anwenderspezifischer Dash-boards und Reportings x x x x x x x x x x x x

Integriertes Berichtswesen x x x x x xErweiterbarkeit (modulbasiert; IKS, Risiko, Compliance) x x x x x x x x x x x

Festlegung und Überwachung der Unternehmensziele (x) x

Integration von (unternehmensinternen) Governance-Richtlinien und -praktiken x x x (x) x x

Anpassung an sich ergebende (interne oder extern) Veränderungen x x x x x (x) x x x x x

Maßnahmen-Controlling x x x x x x x x x (x) x xDokumentenmanagement(-system) x x x x x (x) x x x (x) (x) x x x xRisiko Anforderungen

Darstellung der Unternehmensrisikoposi-tion (Darstellung Gesamtrisiko) x x x x x x x

Abbildung des Risikomanagements als kontinuierlichen Prozess: x x x x x x x x (x) x x x (x) (x) (x)

Risikoidentifikation x x x x x x x x x xRisikobewertung x x x x x x x x x xRisikoanalyse x x x x x x x x x x x xRisikosteuerung und -kontrolle x x x x x x x x x x x xRisikoüberwachung und -reporting x x x x x x x (x) x x x

Risiko-Früherkennung x x (x)Compliance Anforderungen

Vollständige und aktuelle Darstellung aller relevanten rechtlichen Vorgaben x x x x x x x x x x x x

Umsetzung/Verwaltung aller regulatori-schen Vorgaben (rechtliche Vorgaben, Verträge, interne sowie externe Regel-werke (wie ITIL, CobiT usw.))

x x x x x x x x x x x

Zusammenfassung ähnlicher Complian-ce-Vorschriften im Sinne der Effizienz so-wie Mapping zwischen den Standards

x x (x) x x

Überwachung von Compliance-Maßnah-men und deren Fortschritte x x x (x) x x

Analyse der Unternehmensdaten und da-rauf aufbauend Bewertung des Unterneh-mens (inwieweit compliant ist)

x (x) x x x x

Schnittstellen zur Internen Revision, Con-trolling und Externe Audits x x x x x (x) x x

Tab. 6: Gesamtübersicht der Anforderungen und Software-Lösungen

3232

5. Fazit

33

Ziel der vorliegenden Studie war es, die wesentlichen aktuellen Anforderungen aus dem Bereich GRC zu identifizieren und eine Übersicht über die am Markt be-findlichen Softwarelösungen zur Verfügung zu stellen. Darüber hinaus sollte ein Verständnis dafür erarbeitet werden, warum GRC nicht getrennt zu betrachten ist und welche Bedeutung die IT bei der Umsetzung im Unternehmen spielt.

Im Verlauf der Erstellung der Studie hat es sich ge-zeigt, dass die vielschichtigen Ebenen der GRC-Anfor-derungen durch eine strategische und strukturierte Vorgehensweise handhabbar gemacht werden müssen, denn nur so können potentielle Fehlentscheidungen und kurzfristige Lösungen vermieden werden. Aus diesem Grund wurden die vielfältigen Anforderungen aus verschiedenen Blickwinkeln analysiert und Über-schneidungen aufgezeigt. Letztendlich müssen aber die fallspezifischen externen Anforderungen ermittelt und mit den internen Anforderungen abgeglichen werden, wobei es gilt, anhand der Erstellung eines individuellen Anforderungskataloges Schnittmengen und Redundan-zen zu erkennen. Dazu ist es notwendig, dass ein Un-ternehmen seine gesamten Geschäftsprozesse kennt. Denn viele Tools sind erst dann einsetzbar, wenn diese Prozesse erhoben und Verantwortlichkeiten festgelegt wurden. Ohne ein umfängliches Geschäftsprozessma-nagement gestaltet sich die Einführung einer GRC-Lö-sung als schwierig und führt eher zu (wirtschaftlichen) Nachteilen.

Es ist also festzuhalten, dass Unternehmen zunächst gewisse Grundvoraussetzungen schaffen müssen. Erst dann kann die Auswahl einer geeigneten Software-Lö-sung erfolgen. Hier lässt sich im Wesentlichen zwischen standardisierten Speziallösungen und integrierten Lö-sungen unterscheiden. Wie diese Studie zeigt, haben beide Ansätze Vorteile und somit ihre Berechtigung, in Unternehmen angewendet zu werden. Es ist jedoch da-rauf zu achten, dass die standardisierten Speziallösun-

gen modulbasiert aufgebaut sind, also um verschiedene Funktionen erweitert werden können und Schnittstellen zu anderen Systemen (auch von Drittanbietern) bieten. Dadurch können Ineffizienzen und Qualitätseinbußen vermieden werden.

34

Literaturverzeichnis

[Anta] Antares (o. J.): Risiko und Chancen-Management. http://www.antares-is.de/index.php/produkte/risikomanagement-software (zuletzt aufgerufen am 11.06.2014).

[Anx14] Anx (2014): TruComply: Easy-to-use, affordable GRC. http://www.anx.com/content/solutions/compliance-and-risk-management/trucomply (zuletzt aufgerufen am 11.06.2014).

[Aved14] Avedos (2014): GRC Lösungen mit risk2value. http://www.avedos.com/de/grc+loesungen/uebersicht+grc+loesungen/uebersicht+grc+loesungen.html (zuletzt aufgerufen am 11.06.2014).

[Behr10] Behringer, S. (Hrsg.) (2010): Compliance Kompakt – Best Practice im Compliance-Management. Berlin. Erich Schmidt Verlag.

[BSI05] Bundesamt für Sicherheit in der Informationstechnik (2005): ITIL und Informationssicherheit. Möglichkeiten und Chancen des Zusammenwirkens von IT-Sicherheit und IT-Service-Management.

[BSI] Bundesamt für Sicherheit in der Informationstechnik (o. J.): GSTOOL – Andere Tools zum IT-Grund schutz . https://www.bsi.bund.de/DE/Themen/weitereThemen/GSTOOL/AndereTools/anderetools_node.html (zuletzt aufgerufen am 11.06.2014).

[BaFi12] Bundesanstalt für Finanzdienstleistungsaufsicht (2012): Mindestanforderungen an das Risikomanagement – MaRisk. http://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/rs_1210_marisk_ba.htm l?nn=2800936 (zuletzt aufgerufen am 26.06.2014).

[BWis14] BWise (2014): BWise® Governance Risk and Compliance Software http://www.bwise.com/solutions/integrated-grc/bwise-grc-platform#.U5q-hdQo4nI (zuletzt aufgerufen am 13.06.2014).

[CW13] Computerwoche (2013): Mit GRC-Tools neue Risiken im Blick behalten. http://www.computerwoche.de/a/mit-grc-tools-neue-risiken-im-blick-behalten,2537925 (zuletzt aufgerufen am 05.06.2014).

[COSO04] COSO (2004): Enterprise Risk Management — Integrated Framework. Executive Summary.

[CRIS14] CRISAM (2014): Governance Risk & Compliance. https://www.crisam.net/de/governance-risk-compliance (zuletzt aufgerufen am 11.06.2014).

[EMC14a] EMC² (2014a): RSA Archer GRC. Unternehmensweites GRC-Management. http://germany.emc.com/security/rsa-archer.htm (zuletzt aufgerufen am 05.06.2014).

[EMC14b] EMC² (2014b): RSA Archer GRC Platform. http://www.emc.com/collateral/data-sheet/11151-egrcp-ds.pdf (zuletzt aufgerufen am 11.06.2014).

[Falk12] Falk, M. (2012): IT-Compliance in der Corporate-Governance: Anforderungen und Umsetzung. Wiesbaden, Gabler Verlag.

35

[FRIA12] Fraunhofer Research Institution Aisec (Hrsg.) (2012): Managementsysteme für Informations- sicherheit: Marktübersicht. Vorgehensmodell. Handlungsempfehlungen.

[GlRo05] Gleißner, W./Romeike, F. (2005): Anforderungen an die Softwareunterstützung für das Risikomanagement. In: ZfCM – Zeitschrift für Controlling & Management. 2/2005. Gabler Verlag / GWV Fachverlage, Wiesbaden, S. 154-164.

[Gund11] Gundel, S. (2011): GRC-Tools im IT-Risikomanagement. In: kes, die Zeitschrift für Informations- Sicherheit (2011)3, 57-60.

[HiSc] HiScout (o. J.): IT-Governance, Risk und Compliance-Management mit HiScout. http://www.hiscout.com/grc-manamagement-mit-hiscout.html (zuletzt aufgerufen am: 13.06.2014).

[Hoff10] Hoffmann, M. (2010): Governance, Risk und Compliance (GRC). Ein integrierter Ansatz. Business White Paper. http://www.grc-lounge.com/sixcms/media.php/9348/GRC_Gov-Risk-Compl_WP_G_Dez10-1.pdf (zuletzt aufgerufen am: 09.04.2014).

[Homm09] Hommelhoff, P./Hopt, K. J./Werder, A. (Hrsg.) (2009): Handbuch Corporate-Governance. Leitung und Überwachung börsennotierter Unternehmen in der Rechts- und Wirtschaftspraxis. 2. Auflage. Schäffer-Poeschel Verlag. Stuttgart.

[IbiS14] IbiSystems (2014): GRC-Suite i|RIS. http://www.ibi-systems.de/grcsuite.php (zuletzt aufgerufen am: 13.06.2014).

[IBM13] IBM (2013): IBM OpenPages Operational Risiko-Management.

[IBS] IBS AG (o. J.): Compliance-Management. http://www.ibs-ag.de/loesungen/Compliance-Management/index.html (zuletzt aufgerufen am: 13.06.2014).

[Inte] Integralis (o. J.): Governance, Risk & compliance Tools. Werkzeuge zur Prozessautomatisierung. http://www.nttcomsecurity.com/de/uploads/files/DocumentFile/9/DE_whitepaperdatabasepdf4.pdf (zuletzt aufgerufen am: 13.06.2014).

[ISAC10] ISACA (2010): Criteria and Methodology for GRC Platform Selection.

[ISAC12] ISACA (2012): CobiT 5 - Rahmenwerk für Governance und Management der Unternehmens-IT.

[JoGo06] Johannsen, W./Goeken, M. (2006): IT-Governance – neue Aufgaben des IT-Managements. In: HMD - Praxis der Wirtschaftsinformatik, Heft 250, S. 7-20.

[Klot09] Klotz, M. (2009): IT-Compliance. Ein Überblick. dpunkt.verlag. Heidelberg.

[Klot14] Klotz, M. (2014): IT-Compliance nach COBIT - Gegenüberstellung zwischen COBIT 4.0 und 5. SIMAT Studiespapiere. http://www.simat-stralsund.de/uploads/media/SIMAT_AP06-14-025.pdf (zuletzt aufgerufen am 11.06.2014).

[Krcm10] Krcmar, H. (2010): Informationsmanagement. Springer Verlag. Berlin-Heidelberg.

36

[Lens07] Lensdorf, L. (2007): IT-Compliance Maßnahmen zur Reduzierung von Haftungsrisiken. In: CR - Zeitschrift für die Praxis des Rechts der Informationstechnologien, 7/2007. http://www.heylaw.de/downloads/2007/10/cr-2007-413-lensdorf-it-compliance-masnahmen-zur- reduzierung-von-haftungsrisiken.pdf (zuletzt aufgerufen am: 11.06.2014).

[MaNi09] Marekfia, W./Nissen, V. (2009): Strategisches GRC-Management – Grundzüge eines konzeptionellen Bezugsrahmens. Forschungsbericht der Technischen Universität Ilmenau.

[Mele09] Meletiadou, A./Müller, S./Grimm, R. (2009): Anforderungsanalyse für Risk-Management-Informations- systeme (RMIS). Nr. 3/2009. Studiesberichte aus dem Fachbereich Informatik. http://www.uni-koblenz.de/~fb4reports/2009/2009_03_Studiesberichte.pdf (zuletzt aufgerufen am 11.06.2014).

[MeSt14] MetricStream (2014): GRC Platform: Features. http://www.metricstream.com/products/platform_features.htm (zuletzt aufgerufen am 11.06.2014).

[Neme09] Nemeyer, R. (2009): IT-Sicherheit im Griff - Unterstützung eines ISMS durch GRC-Tools. http://www.conect.at/uploads/tx_posseminar/Integralis_Nemeyer.pdf (zuletzt aufgerufen am 11.06.2014).

[PwC12] PricewaterhouseCoopers (2012): Hohe Sicherheit, niedrige Kosten: Governance, Risk und Compliance mit Technologie effizient und wirksam gestalten.

[Rath07] Rath, M. (2007): Was ist IT-Compliance? http://www.computerwoche.de/a/law-and-order-was-ist-it-compliance,590497 (zuletzt aufgerufen am 11.06.2014).

[Rath09] Rath, M./Sponholz, R. (2009): IT-Compliance. Erfolgreiches Management regulatorischer Anforderungen. Erich Schmidt Verlag GmbH & Co. Berlin.

[Rudd07] Rudd, C. (2007): ITIL – the IT Infrastructure Library. In: Van Bon, J. (Hrsg.): Frameworks für das IT Management. Van Haren Publishing. Zaltbommel. S. 195 -207.

[SAP] SAP (o. J.): SAP-Lösungen für Governance, Risikomanagement und Compliance: mehr Sicherheit für Ihr Unternehmen. http://www.sap.com/germany/pc/analytics/governance-risk-compliance/software/overview/ highlights.html (zuletzt aufgerufen am 11.06.2014).

[SaS09] SAS (2009): Data Management for Risk. The importance of data for effective Risiko-Management.

[Sche11] Scherer, J. (2011): Ein optimales strategisches Führungsinstrumentarium. In: SAS Risk-Update, Ausgabe 3/2011. http://www.sas.com/offices/europe/germany/solutions/risk/riskupdate/2011_3_b.html (zuletzt aufgerufen am 11.06.2014).

[Schl14] Schleupen AG (2014): Risiko- und Chancenmanagementsoftware. R2C_risk to chance. https://www.schleupen.de/risikomanagement/r2c-produktfamilie/r2c-risk-to-chance/ (zuletzt aufgerufen am 11.06.2014).

[Schw12] Schwertsik, A. R. (2012): IT-Governance als Teil der organisationalen Governance. Ausgestaltung der IT-Entscheidungsrechte am Beispiel der öffentlichen Verwaltung. Springer Gabler Verlag. Wiesbaden.

37

[Seib06] Seibold, H. (2006): IT-Risikomanagement. Oldenbourg Wissenschaftsverlag GmbH. München.

[Thom06] Thomas, G. (2006): The DGI Data Governance Framework. The Date Governance Institute. Orlando. FL (USA). http://datagovernance.com/dgi_framework.pdf (zuletzt aufgerufen am 11.05.2014).

[ThRe14] Thomson Reuters (2014): Accelus Compliance Manager. http://accelus.thomsonreuters.com/products/accelus-compliance-manager (zuletzt aufgerufen am 11.06.2014).

[WISO14] WISO (2014): Software-Unterstützung von Governance, Risk & Compliance-Aktivitäten in Unternehmen. http://www.wiso.uni-hamburg.de/fachbereiche/bwl/professuren/winfo-prof-nuettgens/home/ansicht/ meldung/software-unterstuetzung-von-governance-risk-compliance-aktivitaeten-in-unternehmen/ (zuletzt aufgerufen am 11.06.2014).

[Zöll07] Zöllner, C. (2007): Interne Corporate-Governance. Entwicklung einer Typologie. Deutscher Universitäts-Verlag. Wiesbaden.