Governance, Risk und Compliance (GRC) – Freund oder Feind von IT Service Management?

Der Schutz des Unternehmens vor Risiken war schon immer ein Hauptziel der Unternehmensführung; im Zuge von zahlreichen Skandalen (Enron, Worldcom, TYCO etc.), unternehmerischen Fehlverhalten (Lehman Brothers) und zahlreichen neuen Regel- und Gesetzeswerken (FATCA, BASEL III etc.) hat sich Governance, Risk und Compliance (GRC) als zentrale Handlungsebene in den Unternehmen etabliert. Das Ziel der GRC ist die Steuerung des Unternehmens in Bezug auf die Umsetzung der Strategie, das Einhalten von internen und externen Vorgaben sowie das dem Risikoappetit der Organisation entsprechende Risikomanagement.

Abbildung 1 illustriert den Wirkungsbereich von GRC: Es benötigt spezifische Aktivitäten (IKS, internes Kontrollsystem) zur Überwachung der involvierten Strategie, der Prozesse, Menschen und Technologien mit dem Ziel, ethisch korrektes Verhalten nachweisen zu können. Richtig angewendet, führt GRC aber auch zu besserer Effizienz und Effektivität. Dies ist ein erster Hinweis, dass sich GRC und ITSM nicht gegenseitig behindern, sondern auf die gleichen Ziele hinarbeiten. Wichtig ist auch der Verweis auf die Technologie: Da heute fast alle Aktivitäten eines Unternehmens IT-unterstützt sind, wird die IT einerseits zu einem Risikofaktor, aber auch zu einem wichtigen Instrument (‹Enabler›) für den effizienten Betrieb eines IKS.

Kosten

Denn die Kosten für den Betrieb der GRC sind beträchtlich und werden mit jeder neuen Gesetzgebung und Branchenregulierung immer grösser. Die Komplexität der Anforderung steigt speziell für international agierende Firmen, da sich Gesetze in verschiedenen Ländern teilweise widersprechen! Das führt soweit, dass Firmen ihre Geschäftstätigkeit in einzelnen Ländern einstellen, um nicht in Konflikt mit sich widersprechenden Gesetzen zu geraten¹. Eine Studie der Universität Zürich von 2012 (http://vav-abg.ch/fileadmin/PDF/Publikationen/Druck_PDF_der_Studie.pdf) zeigt denn auch stark wachsende Kosten für die GRC:

Wie funktioniert GRC?

Das wichtigste Instrument der GRC sind sogenannte ‹Controls› (Kontrollpunkte), die es erlauben, das ordnungsgemässe Funktionieren der Organisation vorausschauend und rückblickend zu belegen. Abbildung 3 zeigt die Funktionsweise eines Controls: Aktivitäten werden überwacht, die Ausführung wird laufend gegen eine Norm verglichen und die Abweichung wird dann mit einer Kontrollgrösse verglichen.

Controls können dabei drei Funktionen enthalten:

• Präventiv: Der Virenscanner auf der Firewall identifiziert und entfernt Viren, bevor sie ins Unternehmen eindringen
• Detektiv: Der Virenscanner auf dem PC erkennt ein Virusmuster und schlägt Alarm
• Korrektiv: Der Virenscanner auf dem PC entfernt die befallenen Files

Controls sind eigentlich nichts weiter als eine spezielle Art von Kennzahlen, die in ITIL® als Metrics oder KPI und in COBIT 5 als Indikatoren bezeichnet werden.

Das ist nun der zweite Hinweis, dass sich GRC und ITSM nicht widersprechen, sondern voneinander profitieren können: Der Aufbau von Kennzahlensystemen braucht Erfahrung und einen iterativen Ansatz – beide Seiten können sich dabei unterstützen.

Ein weiteres wichtiges organisatorisches Control ist die sogenannte ‹Segregation of Duties›, d.h. die Trennung von Verantwortlichkeiten: Wer zum Beispiel eine Bestellung aufgeben kann, sollte nicht die Rechnung dafür freigeben dürfen. Sonst könnte sich ja jeder Einkäufer einen Ferrari auf Firmenkosten leisten!

Alle diese Controls lassen sich mit Hilfe von IT-Mitteln automatisieren und damit effizient betreiben. Dazu liefern die grossen ERP-Hersteller eigene Module. Mittlerweile bieten auch Enterprise-Service-Management-Plattformen wie ServiceNow die Möglichkeit, innerbetriebliche Abläufe zu automatisieren und damit digital kontrollierbar zu machen.

Fazit

Es scheint also alles darauf hinzudeuten, dass sich GRC und ITSM sehr gut ergänzen, wäre da nur nicht die Sache mit der Dringlichkeit und (gesetzlichen) Notwendigkeit: GRC muss man machen, ITSM kann man machen!

Das sollte man aus ITSM jedoch keinesfalls als Konflikt sehen, sondern unbedingt als Chance: Mängel und Schwächen, die bei einer Revision gefunden werden, müssen dem Verwaltungsrat gemeldet werden. Und deren Behebung muss von ihm finanziert und verantwortet werden! Die Priorität von ITSM-Vorhaben ist eine ganz andere: Als ‹IT für IT›-Vorhaben fallen sie bei Budgetkürzungen häufig als Erste raus.

ITSM und GRC tun also gut daran, für eine effiziente, effektive und sichere IT zusammenzuspannen. Eine gut funktionierende IT ist schliesslich der Schlüssel zu einer effizienten GRC.

Quellen-Nachweis 1
www.tagesanzeiger.ch/wirtschaft/unternehmen-und-konjunktur/USSteuerstreit-Bank-Frey-gibt-auf/story/12880589