Fische und Köder, Bild: © WunderBild - Fotolia.com

Es gibt zahlreiche Lösungsanbieter für das Risikomanagement. Da ist es schwer, das für sich passende Angebot zu finden. © WunderBild - Fotolia.com

Wer sich einen ersten Überblick verschaffen will, wirft am besten einen Blick in die Produktübersichten von Analysten wie Forrester und Gartner. In Rahmen eines Ausschreibungsverfahrens sollten Unternehmen ihre funktionalen und technischen Anforderungen an die Managementsoftware-Lösung definieren. Dabei kommt es darauf an, dass die Technologie nicht nur in der Lage ist, die aktuelle Situation abzubilden, sondern auch „mitzuwachsen“, um auch künftigen Anforderungen gerecht zu werden.

Darüber hinaus liefern die Analysten wertvolle Informationen über die Stärken und Schwächen der Anbieter und ihrer Strategien, um den Kunden langfristig und mit ausreichender „Manpower“ mit notwendigen Services rund um die gewählte GRC-Lösung lokal zu betreuen. Genau anschauen sollte man sich, ob es ein funktionierendes Partnernetzwerk oder eine regionale Präsenz gibt, die über das Vorhandensein eines Vertriebsansprechpartners hinausgeht. Denn ein Tool ohne Experten, die die Anwendung fachmännisch und zweckmäßig einrichten können, ist nahezu wertlos. Experten müssen nicht nur „theoretisch“ verfügbar sein, sondern praktisch für den Kunden da sein.

Einführung und Betrieb eines GRC-Managements sollten Unternehmen nicht unterschätzen, geht es hier doch nicht nur um die Einführung und Anpassung einer Software, sondern auch um das Prozessdesign, das nicht selten mit einem Change Management verbunden ist. Die Frage der späteren fachlichen Verantwortung sollte im Vorfeld geklärt sein. Faktoren wie eine ausreichende zeitliche Verfügbarkeit, ein Mindestmaß an technischer beziehungsweise Tool-Affinität, fachliche Kompetenzen und Weisungsbefugnisse spielen dabei eine Rolle.

Ist kein lösungsspezifisches Know-how vorhanden, lässt es sich mit dem richtigen Partner im Team relativ schnell aufbauen. Auch wenn das erforderliche fachliche Know-how im Hause vorhanden ist, kann die Verfügbarkeit der designierten Lösungseigentümer über das Implementierungsprojekt hinaus und deren Bereitschaft zur Pflege und Weiterentwicklung der Lösung zum Problem werden. Die frühzeitige Einbindung eines externen Partners kann allein aus diesem Grund zweckmäßig sein, gerade dann, wenn man sich die Möglichkeit offenhalten möchte, die fachliche und/oder technische Betriebsverantwortung für das GRC System teilweise oder ganz auszulagern.

Partner für das GRC-Implementierungsprojekt finden

Doch wie findet sich ein geeigneter Partner für das GRC-Implementierungsprojekt? Entscheidend für die Partnerwahl sind im Wesentlichen die Faktoren Beratungskompetenz und Verfügbarkeit. Dabei sollte die Beratungskompetenz eine gute Balance aufweisen zwischen fachlichem Verständnis und technischer Umsetzungserfahrung mit der bevorzugten GRC-Lösung.

Der Faktor Verfügbarkeit beinhaltet sowohl die regionale Vorschriftenkenntnis des Partners sowie eine größere Flexibilität und Kompetenz durch ein internationales Team und die zeitliche Verfügbarkeit kompetenter Berater in erforderlichem Umfang. Solche Partner sind in der Lage, ein Implementierungsprojekt (kosten-)effizient und ausgerichtet an die Compliance-Anforderungen des Kunden abzuliefern. Nicht zuletzt sprechen sie die „Sprache des Kunden“. Bevor sich Unternehmen für einen Beratungsdienstleister entscheiden, sollten sie fragen,

  • ob er die Branche kennt,
  • wie profund seine praktische Erfahrung in der Umsetzung von GRC-Lösungen insgesamt ist,
  • wie viele Projekte er mit dem ausgewählten Tool tatsächlich umgesetzt hat und
  • wie es um seine Verfügbarkeit über einen längeren Zeitraum hinweg steht.

Der Berater ist möglichst entlang der kompletten Prozesskette mit an Bord: von der Definition der GRC-Strategie über Prozess-Design und technische Umsetzung bis hin zum After-Go-live-Support und Applikationsbetrieb.

Hilfe in der individuellen GRC-Strategieberatung

Experten wie die von TÜV Rheinland unterstützen Unternehmen in der individuellen GRC-Strategieberatung und in der Umsetzung individueller Branchenanforderungen, um die erforderlichen Prozesse und Methoden im Bereich Risikomanagement, Informationssicherheitsmanagement und IT-Compliance anhand etablierter Managementsysteme und Best Practice Frameworks zu gestalten.

Auch Hersteller-Best-Practices wie das RSA Archer Use Case Reifegradmodell können Verwendung finden, um im Rahmen eines Prototyping-Verfahrens mit dem Kunden eine geeignete Vorgehensweise für die GRC-Implementierung zu entwickeln. Anhand vordefinierter Use Cases kann das Unternehmen seine wichtigsten Aufgaben, zum Beispiel das Thema IT-Risiko-Management, priorisieren. Allen Szenarien liegt ein mehrstufiges Reifegradmodell zugrunde. Was die einzelnen Reifegrade in puncto Prozesse und Fokus auszeichnet, ist detailliert beschrieben – unter Umständen eine Hilfestellung für die eigene Standortbestimmung und die Planung der zu bewältigenden Aufgaben auf dem Weg zur nächsten Stufe.

Je nach Anbieter enthalten die jeweiligen GRC-Systeme bereits umfassenden Content, wie etwa die Anforderungen der ISO-Norm 27001 oder Standards wie COBIT. Sind gleich mehrere Managementsysteme zu implementieren, die vergleichbare Anforderungen haben, zum Beispiel den Einsatz starker Passwörter, lassen sich so gleich mehrere Anforderungen mit gewissermaßen einem Klick erfüllen und zentral auswerten.

Da die Basisinstallation und die Implementierung des Tools entsprechend den Kundenanforderungen immer häufiger nicht durch den Hersteller selbst, sondern durch Implementierungspartner erfolgt, sollte die Beurteilung der Partnerstrategie und die potenziell infrage kommenden Dienstleister unbedingt im Software-Auswahlprozess berücksichtigt werden.

Eine etablierte Partnerstrategie mit entsprechend formalisierten Zertifizierungsgraden und Kennzahlen gibt etwa Auskunft darüber, ob der Hersteller in der Lage ist, Partner für das eigene Produkt langfristig zu binden sowie das teils sehr spezifische Wissen über das eigene Tool erfolgreich auf Dritte zu übertragen, durch existierende Wissens-Portale, eLearning Angebote oder Communities. Da sich der Partnerstatus häufig an Projektumsetzungsvolumen und erfolgreich umgesetzten Projekten misst, kann dies ebenfalls ein geeigneter Indikator für die Wahl des richtigen Implementierungspartners sein. hei