Bei Investitionen in Plattformen für Governance, Risk und Compliance (GRC) raten Experten derzeit zu taktischen und schlanken Lösungen statt des großen strategischen Wurfs. Zumal es in vielen Firmen noch keine GRC-Organisation gibt. Die geplante Bilanzrechtsmodernisierung könnte hier einen Schub bringen: Sie fordert für alle Kapitalgesellschaften ein Risikomanagement samt interner Kontrollsysteme, inklusive Prüfung der Wirksamkeit.

Viele Firmen stecken in der Compliance-Zwickmühle: Denn Vorgaben wie SOX, die mehr Transparenz und Kontrolle einfordern, kollidieren oft mit gesetzlichen Anforderungen des Datenschutzes, warnen Experten. Auflösen könne die Widersprüche aber nur die Firmenleitung. „Das Unternehmensmanagement hat zu entscheiden, was wann Priorität hat“, so GRC-Berater Professor Sachar Paulus von Paulus Consult. IT-Verantwortliche sollten daher nicht den Fehler machen, sich den GRC-Schuh anzuziehen, auch wenn die Compliance gerne auf die IT abgewälzt werde, so Paulus. „CIOs sollten sich vorbereiten und die IT-Dienstleistung für ein umfassendes Management von Governance, Risk und Compliance (GRC) planen – aber nicht mehr.“ KCP-Analyst Martin Kuppinger nickt: „Ein CIO kann die Entscheidungen zwischen widersprüchlichen Anforderungen nicht treffen. Aber er kann die Widersprüche offenlegen und darauf drängen, dass diese Entscheidungen auf der Ebene der Unternehmensführung getroffen werden.“ Das setze allerdings voraus, dass es innerhalb der IT-Organisation eine Gesamtsicht auf die zu erfüllenden Compliance-Anforderungen gebe, so Kuppinger: GRC-Plattformen könnten dabei helfen. „Einen der großen Vorteile von GRC-Programmen ist, dass sie Kontrollen rationalisieren“, bestätigt Forrester Experte Chris McClean. „Wenn eine Firma Policies und Controls mit Prozessen mappen kann, dann ist es einfacher zu sagen, wo bestimmte Anforderungen mit anderen in Konflikt geraten.“ Denn auch wenn Privacy und Transparenz sich auf abstrakt betrachtet ausschließen, so stoße man auf Prozessebene eventuell nur ein bis zwei Regeln, die sich widersprechen – etwa wenn es um die Pflichten zur Datensammlung und Datenvermeidung geht. „Compliance-Verantwortliche können dann sehr mit Auditoren an konkreten Alternativen arbeiten“, so McClean. Allerdings ist der GRC-Markt noch sehr zersplittert und unreif. Spezialisten wie Archer, Agiliance oder Openpages tummeln sich hier ebenso wie Systemmanager à la IBM und CA oder Softwaregrößen vom Schlage SAP und Oracle. Entsprechend erwartet Forrester in nächster Zeit eine rasante Konsolidierungswelle.


Daher sind Investitionen in GRC-Tools noch mit Unsicherheit behaftet: „Derzeit ist jede Entscheidung für solche Plattformen taktisch, weil sich in den kommenden zwei bis drei Jahren noch zu viel entwickeln wird“, so Kuppinger. Daher sollte man heute darauf achten, womit man konkrete Herausforderungen am besten und in möglichst schlanker Weise adressiert. Paulus sieht das genau so: „Erst in drei bis fünf Jahren wird sich klären, wer tatsächlich langfristig die richtige Plattform anbieten wird.“ Für die mittelfristige Planung sollten sich die Unternehmen vorrangig mit den großen Anwendungs-Plattformen beschäftigen, rät Paulus.

Und von den großen Anbietern sieht Forresters McClean SAP als bislang am stärksten fokussiert auf das GRC-Thema. Aktuell haben die Walldorfer mit einer neuen Version von SAP Business Objects Global Trade Services sogar nochmal nach gelegt. Diese Anwendung ist mit dem SAP Business Objects Risk Management integriert und gehört mit zur Lösungsfamilie SAP Business Objects Governance, Risk und Compliance. Diese Global Trade Services Anwendung soll die Einhaltung von Richtlinien für eine Reihe von Handelsprozessen, zum Beispiel in den Bereichen Logistik und Auftragsausführung, automatisieren und zugleich Risiken innerhalb ihrer Lieferkette schneller und effektiver zu identifizieren und zu verringern. Allerdings rät Paulus, der lange Jahre Leiter der Konzernsicherheit und Leiter der Produktsicherheit bei SAP war, SAP-Anwendern darauf zu drängen, dass die Walldorfer ihre SAP-GRC-Produkte auch marktgerecht zu bekommen. „Access Control reicht da lange nicht aus.“Zumal die anderen nicht schlafen, mahnt Forrester: „IBMs Führungsanspruch ist nach wie vor stark und auch CA hat jüngst beeindruckende Fortschritte gemacht“, so McClean. Doch wo nun starten? „Wenn man eng mit einem großen Hersteller verbandelt ist, schade es sicher nicht, ihn zu fragen, wie er einem bei den GRC-Anforderungen helfen kann“, sagt McClean. Aber zum jetzigen Zeitpunkt sei es am besten, einen GRC-fokussierten Spezialanbieter zu wählen, vor allem wenn es um anspruchsvolle Aufgaben gehe. „Und selbst wenn eine Konsolidierungswelle stattfindet, wird führende GRC-Technologie ja nicht vom Markt verschwinden – und sie bietet im Moment eben die größte Breite und Tiefgang.“

Als kurzfristige und taktische Investition rät Paulus, mit einer Prozess-Governance-Software zu starten, zur Definition, Dokumentation und Prüfung von Abläufen. Aber auch bei diesen Anbietern sei der Markt ist noch lange nicht sortiert. „Hersteller für Prozess-Governance kommen zur Zeit aus unterschiedlichen Ecken: IDS Scheer mit ARIS über MEGA bis HiScout von HiSolutions.“ Kuppinger wiederum rät den Firmen sich erst einmal klar darüber werden, wohin die Reise gehen soll. „Sie müssen eine Gesamtsicht auf das Thema GRC schaffen: von der High Level-Sicht auf CxO-Ebene bis hin zu konkreten IT-Controls.“ Darin gelte es, die wichtigsten Bausteine und ihr Zusammenspiel zu definieren und vor allem die Zielrichtung festzulegen, wie GRC aussehen soll. „Da die meisten Unternehmen aber noch keine vernünftige Organisation dafür haben, sollte man sich im Zweifel für schlanke, taktische Lösungen entscheiden und dann Schritt für Schritt Strategie, Organisation und Tools entwickeln.“

Einen gewissen Anschub für GRC-Strategien erwartet Paulus vom geplanten Bilanzrechtsmodernisierungsgesetz (Bilmog) „Es fordert Risikomanagement und Interne Kontroll-Systeme – und zwar nicht nur für Aktiengesellschaften, sondern für alle Kapitalgesellschaften. Interessanter ist dabei vor allem, dass die Wirksamkeit der Systeme geprüft werden wird.“ Das gebe es heute nicht in dem Maße, „und das wird sicherlich die Bereinigung der oftmals verstreuten Ansätze in Unternehmen zusammen führen und zur Einführung eines richtigen GRC-Prozesses beitragen.“ Noch interessanter ist für Paulus aber, dass mit dem BilMoG auch immaterielle Güter wie Know-How, Patente etcetera nun bilanzpflichtig sind – und damit erstmals auch die Bedrohungen dafür eine handfeste finanzielle Messbarkeit bekommen. „Es ist also insbesondere zu erwarten, dass im Gesamt-GRC-Kontext Maßnahmen zur Informationssicherheit und zum Know-How-Schutz mehr Aufmerksamkeit bekommen werden.“

Quelle: Armin Barnitzke