GRC und IRM sind relativ neue Begriffe, obwohl beide von Unternehmen praktiziert wurden, lange bevor die Begriffe geprägt wurden.
Während sie manchmal austauschbar verwendet werden, können Sie sich IRM als eine Erweiterung und Ausweitung der Risikokomponente von GRC vorstellen. Werfen wir unten einen genaueren Blick auf die Gemeinsamkeiten und Unterschiede.
Was ist Governance, Risikomanagement und Compliance?
Governance, Risikomanagement und Compliance bezieht sich auf eine integrierte Reihe von Fähigkeiten zur Erreichung organisatorischer Ziele, zur Risikomanagement und zur Einhaltung von regulatorischen Anforderungen.
GRC wurde erstmals 2002 von Michael Rasmussen bei Forrester Research bezeichnet.
Es kann in drei Hauptkomponenten unterteilt werden (obwohl auch andere Disziplinen unter GRC fallen). Diese drei Komponenten sind:
- Governance: die Regeln, Prozesse und Richtlinien, die eine Organisation lenken und ihr helfen, Ziele zu erreichen
- Risikomanagement: tägliche, technische Prozesse, die zur Risikominderung und -überwachung implementiert werden
- Compliance: Schritte, die ein Unternehmen unternimmt, um Standards und Vorschriften einzuhalten und sicher und legal zu arbeiten
Empfohlene Lektüre
6 Vorteile der kontinuierlichen Überwachung für die Cybersicherheit
Read MoreWas ist integriertes Risikomanagement?
Integriertes Risikomanagement bezieht sich auf die integrierte Reihe von Fähigkeiten zur spezifischen Verwaltung von Risiken. Diese Fähigkeiten umfassen Praktiken, Prozesse, Prinzipien und Technologien zur Verbesserung der Entscheidungsfindung und Leistung im Bereich Risikomanagement.
Gartner prägte den Begriff 2016, nachdem eine Umfrage Ende 2015 gezeigt hatte, dass die Mehrheit der CEOs und leitenden Führungskräfte keine GRC-Software nutzten oder sogar mit dem Begriff vertraut waren. Viele erkannten jedoch die Bedeutung von Risikomanagement-Tools und -Praktiken, sodass Gartner seine Abdeckung von GRC als integriertes Risikomanagement (IRM) neu definierte.
Laut Gartner gibt es sechs Attribute, die von Risiko- und Sicherheitsverantwortlichen angesprochen werden müssen, um den vollen Umfang der Risiken ihrer Organisation zu verstehen. Diese Attribute bilden ein integriertes Risikomanagement-Rahmenwerk und werden nachstehend erläutert.
- Strategie: Dies bezieht sich auf die Ermöglichung und Implementierung eines Rahmens, der definiert, wie Risiken identifiziert, bewertet, gemessen, überwacht und gemindert werden. Ein IRM-Rahmenwerk sollte auch helfen, wie Einzelpersonen verstehen, wie Risiken direkt mit den Geschäftszielen und ihren persönlichen Verantwortlichkeiten verbunden sind.
- Bewertung: Dies bezieht sich auf die Identifizierung, Bewertung und Priorisierung von Risiken basierend auf ihrer beurteilten Auswirkung.
- Reaktion: Dies bezieht sich auf die Identifizierung und Implementierung von Prozessen zur Minderung von Risiken oder deren Auswirkungen, wenn ein Risikofall eintritt.
- Kommunikation und Berichterstattung: Dies bezieht sich auf die Verfolgung und Information der Stakeholder über die zuvor identifizierten Risikomanagementmechanismen sowie Risikofälle.
- Überwachung: Dies bezieht sich auf die Identifizierung und Implementierung von Prozessen zur Verfolgung der Governance-Ziele, Risikoübernahme und Rechenschaftspflicht, Einhaltung von Richtlinien und Entscheidungen, die durch den Governance-Prozess festgelegt wurden, Risiken für diese Ziele sowie die Wirksamkeit von Risikominderungsmaßnahmen und Kontrollen.
- Technologie: Dies bezieht sich auf das Design und die Implementierung einer IRM-Architektur über IRM-Software, die als einzige Informationsquelle für die einzigartigen Risiken, Risikominderungsabläufe, Risikoübernahmen, Berichtsprotokolle und Überwachungsprozesse Ihrer Organisation dienen kann.
GRC vs IRM
Was sind die Gemeinsamkeiten zwischen GRC und IRM?
Sowohl GRC als auch IRM haben dasselbe Ziel: das kontinuierliche und zuverlässige Erreichen der Ziele der Organisation.
Um dieses Ziel zu erreichen, erfordern beide einen umfassenden Überblick über alle Geschäftseinheiten sowie wichtige Geschäftspartner, Lieferanten und ausgelagerte Einheiten.
Software kann helfen, diese Sichtbarkeit zu bieten, indem sie Datensilos aufbricht und Systeme verbindet. Sie kann auch redundante und manuelle Arbeiten entfernen, um der Organisation zu helfen, ihre Ziele schneller zu erreichen.
Was sind die Unterschiede zwischen GRC und IRM?
Der Hauptunterschied zwischen GRC und IRM ist ihr Fokus auf Risiko. Bei GRC haben Governance, Risiko und Compliance Priorität und sind miteinander verbunden. Zuerst bietet die Governance einer Organisation Richtung und Ziele, die dann verwendet werden, um Risiken zu identifizieren und zu managen, die die Organisation daran hindern könnten, diese Richtung einzuschlagen oder diese Ziele zu erreichen.
Risikomanagement identifiziert nicht nur die Ungewissheit rund um das Erreichen seiner Ziele – es setzt auch Grenzen für die Arbeitsweise einer Organisation. Diese Grenzen können durch freiwillige Verpflichtungen (wie Ethik oder Verträge) oder verpflichtende Verpflichtungen (wie Gesetze) bestimmt werden.
Compliance ist dann, wie eine Organisation beweist, dass sie innerhalb dieser Grenzen geblieben ist und ihre Verpflichtungen erfüllt hat.
Bei IRM steht das Risiko im Vordergrund. Technologie, Prozesse und Daten sowie Governance- und Compliance-Initiativen sind auf das Ziel ausgerichtet, das strategische, operative und IT-Risikomanagement in einer Organisation zu vereinfachen, zu automatisieren und zu integrieren.
Unten ist eine Tabelle, die andere wichtige Unterschiede zusammenfasst.