Risiken erkennen, bewerten und beherrschen

Am 15. März 2018 findet bei Digicomp der erste Cyber Risk Day statt; 1 Keynote und 9 Sessions rund um Blockchain – GDPR – Wirtschaftsspionage – Cyber Intelligence. Unsere Speaker stellen sich vor. Lernen Sie in diesem Beitrag unsere Expertin Eva-Maria Scheiter von der NTT Security Schweiz kennen.

Bedingt durch ständig neue Gesetze und regulatorische Bestimmungen in allen Branchen müssen sich Unternehmen heute mehr denn je mit Governance, Risk und Compliance befassen.

Governance, Risk und Compliance (GRC) beschreiben drei Handlungsebenen einer erfolgreichen Unternehmensführung. Dabei definiert Governance die Unternehmensziele, konkretisiert die Unternehmensführung und die Methoden zur Umsetzung der Ziele. Das Risikomanagement beschreibt den angemessenen Umgang mit Risiken auf Basis einer vorangegangenen Risikoanalyse. Dazu gehören auch Strategien zur Risikominimierung und zum Krisenmanagement. Aufgabe der Compliance ist es, interne und externe Normen bei der Bereitstellung und Verarbeitung von personenbezogenen Daten, Betriebsgeheimnissen und anderen schützenswerten Informationen einzuhalten, beispielsweise auch von Patenten, Rezepturen oder Formeln.

Neue Vorschriften erfordern eine kontinuierliche Anpassung

Ständig neue Rechts-, Branchen- und Verwaltungsvorschriften erschweren die Zielerreichung und sorgen dafür, dass Unternehmen ihre Compliance-Prozesse und das Risk-Management kontinuierlich anpassen müssen. Hinzukommt, dass in der Schweiz die Anforderungen zum Teil höher sind als etwa in Deutschland. Dies gilt zum Beispiel für die Regulierung des Finanzwesens. Die Eidgenössische Finanzmarktaufsicht FINMA kennt eine strenge Klassifikation im Zusammenhang mit der Vertraulichkeit von Kundendaten.

Zusätzlich zu den landesspezifischen Vorgaben müssen sich die international tätigen Schweizer Firmen aktuell mit der ab Mai 2018 geltenden EU-Datenschutz-Grundverordnung befassen und sich gegebenenfalls auch auf die Auswirkungen der Brexit-Verhandlungen einstellen. Die «Regelungswelle» auf nationaler, aber auch auf internationaler Ebene wird sicherlich so schnell kein Ende finden.

Insbesondere in Unternehmensgruppen oder in Firmen mit einer langjährigen Tradition erleben wir es immer wieder, dass diese über ausgedehnte Rahmenwerke für Governance und Compliance verfügen. Die Anordnungen und Vorschriften verteilen sich auf hunderte von Dokumenten in Dutzenden von Fachabteilungen, sie sind teilweise redundant und in anderen Fällen nicht konsistent. Die Ursache dafür: Jede Abteilung hat sich in der Vergangenheit auf ihren eigenen Zuständigkeitsbereich beschränkt, ein abteilungsübergreifendes Vorgehen gab es nur in Ausnahmefällen.

Standartisiertes Vorgehen bei GRC-Projekten

Unsere GRC-Projekte folgen grundsätzlich einer eindeutig definierten Vorgehensweise:

1. Zunächst einmal führen unsere Berater eine Bestandsaufnahme und Analyse der bereits implementierten GRC-Massnahmen durch – meist auf Basis von Dokumenten.
2. In Interviews und Workshops erarbeiten die externen Experten zusammen mit den Fachkräften aus den Abteilungen des Kunden den Projektgegenstand und/oder validieren die Erkenntnisse aus der Dokumentenanalyse.
3. Auf Basis der Bestandsaufnahme und -Analyse der für das Unternehmen geltenden Vorschriften und Regeln entwickeln die Berater konkrete Massnahmenempfehlungen, wie die individuellen GRC-Ziele zu erreichen sind. Dazu gehören beispielsweise eine Roadmap oder ein ausgearbeiteter Projektplan.
4. Im gesamten Projektverlauf unterstützen die Berater die Mitarbeiter des Unternehmens bei der Umsetzung der empfohlenen Massnahmen, der Projektsteuerung (wenn gewünscht) und der Berichterstattung an die Geschäftsführung und kritische Stakeholder, einschliesslich der Aufbereitung der Ergebnisse. Ein zentraler Bestandteil des Projektabschlusses im Sinne einer «nachhaltigen Beratung» in Strukturen und Prozesse, mit denen der Kunde künftig selbstständig in der Lage ist, den Anforderungen und Regeln zu begegnen.

Ein GRC-Projekt ist keine einmalige Aktion. Unternehmen in regulierten Branchen benötigen daher eine klar definierte Strategie für Governance, Risk und Compliance. Wir unterstützen Unternehmen bei der Implementierung mit einem End-to-End-Ansatz, der von der Bestandsaufnahme bis zur Implementierung geeigneter Technologien reicht.

In Teilbereichen existieren Überschneidungen zwischen den Management-Systemen. So können etwa bei der Bestandsaufnahme zur Informationssicherheit (und IT-Sicherheit) Synergien mit Datenschutzprojekten genutzt werden. Aus einer strategischen Sicht haben Governance, Risk und Compliance für Unternehmen einen hohen Stellenwert und können deren Wettbewerbsfähigkeit stärken.

GRC am «Cyber Risk Day 2018»

Mein Vortrag zum Thema «Regelungswut versus angemessene Governance-Struktur» auf dem «Cyber Risk Day 2018» von Digicomp am 15. März 2018 in Zürich soll aufzeigen, wo die Fallstricke im Aufbau von Governance-Strukturen liegen und wie diese vermieden werden können. Dabei ist es mein Anspruch, mit Beispielen aus der Praxis Handlungsempfehlungen anwendungsnah zu vermitteln. Ich erhoffe mir, anregende Gespräche zu führen, die unterschiedlichen Perspektiven der Teilnehmer kennenzulernen und Expertenwissen auszutauschen. Die persönliche Interaktion ist wichtig und Grund für die Teilnahme an der Veranstaltung: Hinter jedem Vorhaben stehen Menschen – und es gilt herauszufinden, wo die unternehmensindividuellen Schmerzpunkte liegen.

Weitere Informationen zum Thema GRC

Weitere Informationen zum Thema GRC gibt es auf dem «Cyber Risk Day 2018» der Weiterbildungsanbieterin Digicomp am 15. März 2018 in Zürich. NTT Security Schweiz ist mit zwei Vorträgen vertreten:

• «Regelungswut versus angemessene Governance-Struktur»
• «Erfolgreiche Einführung einer Enterprise-Governance-Risk-and-Compliance (eGRC)-Plattform – Do’s und Don’ts»

Besucher der Veranstaltung erfahren dort mehr über die kritischen Erfolgsfaktoren, typische Projektrisiken und Massnahmen, um gegenzusteuern. Zudem zeige ich Ihnen, wo die Fallstricke beim Aufbau von Governance-Strukturen liegen und wie Unternehmen diese vermeiden können.

Cyber Risk Day – Der Event rund um Blockchain, GDPR, Wirtschaftsspionage und Cyber Intelligence 15. März 2018 bei Digicomp Zürich Jeder redet über die digitale Transformation, über disruptive und revolutionäre Veränderungsprozesse, in denen der Blockchain-Ansatz eine wichtige Rolle spielt. Aber was bedeutet das aus Sicht der IT- und Informationssicherheit? Wie mache ich die Blockchain sicher? Und was braucht es, um GDPR-compliant auch die anstehenden Projekte vernünftig umzusetzen? Hier braucht es innovative und pragmatische Ansätze. Cyber & Risk Intelligence ist hier das Mass aller Dinge. Sichern Sie sich noch heute Ihren Platz am Cyber Risk Day 2018 vom 15. März! Es erwartet Sie ein spannender Nachmittag mit individueller Agenda. Nach der Keynote haben Sie die Wahl zwischen je 3 Beiträgen zu Governance, Risk und Compliance von Expertinnen und Experten aus der Praxis. Sichern Sie sich noch heute Ihren Platz am Cyber Risk Day 2018 vom 15. März!

15. März 2018 bei Digicomp Zürich

Jeder redet über die digitale Transformation, über disruptive und revolutionäre Veränderungsprozesse, in denen der Blockchain-Ansatz eine wichtige Rolle spielt. Aber was bedeutet das aus Sicht der IT- und Informationssicherheit?

Wie mache ich die Blockchain sicher? Und was braucht es, um GDPR-compliant auch die anstehenden Projekte vernünftig umzusetzen? Hier braucht es innovative und pragmatische Ansätze. Cyber & Risk Intelligence ist hier das Mass aller Dinge. Sichern Sie sich noch heute Ihren Platz am Cyber Risk Day 2018 vom 15. März! Es erwartet Sie ein spannender Nachmittag mit individueller Agenda. Nach der Keynote haben Sie die Wahl zwischen je 3 Beiträgen zu Governance, Risk und Compliance von Expertinnen und Experten aus der Praxis.

Sichern Sie sich noch heute Ihren Platz am Cyber Risk Day 2018 vom 15. März!