ITZ Informationstechnologie GmbH Seite 1
Governance Risk & Compliance (GRC)
Governance, Risikomanagement und Compliance (GRC) sind derzeit brandaktuelle Themen auf der
Agenda von Vorständen, Geschäftsführer und Führungskräften. Ursächlich wurzelt der Begriff der
Corporate Governance in einer wertorientierten Unternehmensführung mit dem Ziel das
Unternehmensergebnis und den Wert eines Unternehmens zu maximieren.
Mittlerweile wird Corporate Governance wesentlich weiter gefasst und darunter die Sicherstellung
einer verantwortungsvollen Unternehmensführung verstanden.
Mit der Verpflichtung einen effizienten und effektiven GRC-Prozess zu betreiben wird der Obersten
Leitung des Unternehmens der Auftrag „Steuern Sie das Unternehmen vorausschauend, managen
Sie dessen Risiken und stellen Sie Compliance sicher!“ erteilt.
Das Unternehmen vorausschauend zu steuern bedeutet, Ziele aus Eigentümervorgaben, den
rechtlichen Rahmenbedingungen, dem Wettbewerbsumfeld und den Unternehmensstrategien
bestmöglich in Einklang zu bringen und potentielle Gefahren, diese Ziele zu verfehlen, frühzeitig zu
ITZ Informationstechnologie GmbH Seite 2
erkennen und zu minimieren. Der GRC-Ansatz fasst die drei wichtigsten Prozessschritte für eine
effektive und effiziente Unternehmenssteuerung zusammen:
• Governance
bedeutet Eigentümervorgaben und Interessen, Vorschriften und Gesetze, Marktregeln und
Wettbewerbssituationen sowie Unternehmensstrategien in klare Ziele und Managementdirektiven
zu bringen, im Unternehmen zu kommunizieren und kontinuierlich an neue Gegebenheiten
anzupassen.
• Risikomanagement
hat die Aufgabe, potentielle Abweichungen und Gefährdungen von Zielvorgaben frühzeitig zu
erkennen und Maßnahmen zur Korrektur oder Vermeidung einzuleiten und deren Erfolg zu messen.
• Compliance
bzw. Regeltreue zu den geltenden Normen, Vorschriften und Richtlinien sicherstellen bedeutet,
Regelverletzungen zu erkennen, aufzuzeigen und Maßnahmen zur Vermeidung einzuleiten und zu
verfolgen.
Damit der Vorstand/Geschäftsführer sein Unternehmen vorausschauend steuern, Risiken managen
und die Compliance sicherstellen kann, benötigt er einen leistungsfähigen Steuerstand, der ihm die
nötigen Informationen und Steuermöglichkeiten gibt, Ziele erreichen sowie Unwegsamkeiten
frühzeitig erkennen und auszuweichen zu können.
CRISAM® GRC ist der leistungsfähige Steuerstand, der dem Entscheider umfassende Methoden und
Tools zur Verfügung stellt, das Unternehmen sicher auf Kurs zu steuern.
ITZ Informationstechnologie GmbH Seite 3
CRISAM® Risikomanagement Methode
Die CRISAM® (Corporate Risk Application Method) Risikomanagement Methode wurde vom Team
der Firma calpana business consulting gmbh als Standard im Risikomanagement entwickelt. Seit 1998
wird die Methode vielfach erweitert und verbessert und hat sich im IT-Bereich weitgehend als
Industriestandard durchgesetzt. CRISAM® vereint Methoden-, Wissens- und Erfahrungselemente aus
dem Risikomanagement in einer einheitlichen Softwarelösung.
CRISAM® gibt Ihnen damit die Sicherheit, richtige und fundierte Entscheidungen für das Wachstum
und den Erfolg Ihres Unternehmens treffen zu können.
CRISAM® Decision Engineering
Unter Decision Engineering verstehen wir mehr als einen Risikomanagement-Prozess. Decision
Engineering ist jener Prozess, der potenzielle Abweichungen erkennt, richtige Maßnahmen für die
Rückführung identifiziert und deren Effizienz und Auswirkung nachvollziehbar feststellt, daraus für
den Entscheider eine fundierte Entscheidungsgrundlage mit Alternativen und deren Konsequenzen
liefert und getroffene Entscheidungen für Dritte nachvollziehbar und transparent gestaltet.
CRISAM® ist einfach, präzise, wertorientiert und nachvollziehbar. Diese Werte bilden die Grundlage
für die laufende Weiterentwicklung von CRISAM®.
Einfach – weil die Bedienung sehr unkompliziert und intuitiv gestaltet ist.
Präzise – weil Ihnen das hinterlegte Methodensystem die größtmögliche Genauigkeit liefert und
jedes Ergebnis belastbar ist.
Wertorientiert – weil Sie durch den Fokus auf quantitative Kennzahlen und Risikomaße eine
wertorientierte Unternehmensführung verwirklichen können.
Nachvollziehbar – weil die Ergebnisse durch entsprechende Analyse-, Reporting- oder Drilldown-
Funktionen jederzeit transparent sind.
ITZ Informationstechnologie GmbH Seite 4
CRISAM® 5 RMIS (Risk Management Information System)
CRISAM® ist ein ganzheitlicher Ansatz, der Ihnen hilft, einen Blick nach vorne zu werfen. Natürlich ist
die Zukunft unsicher, denn wäre sie sicher und fände sie in einer „Excel-Zelle“ platz, so wäre sie auch
schon unsere Vergangenheit! CRISAM® unterstützt Sie dabei, diese Unsicherheit der Zukunft in den
Griff zu bekommen und bereits frühzeitig darauf aufmerksam zu machen.
Risikomanagement ist ein Prozess, der Risiken im Unternehmen, in Projekten oder in spezifischen
Geschäftsbereichen erkennen, beurteilen und steuern soll.
Ein Risk Management Information System (RMIS) ist das Werkzeug, das dem Risikomanager, den
Risikoverantwortlichen sowie der Geschäftsführung die Grundlagen für richtige Entscheidungen
liefern muss und Konsequenzen und Auswirkungen bestmöglich und transparent prognostizieren soll.
Das in CRISAM® 5 implementierte Prozessmodell folgt dem international anerkannten Standard der
ISO 31000.
Abbildung 1: CRISAM® RMIS System
ITZ Informationstechnologie GmbH Seite 5
In der Abbildung 1 ist die Struktur der CRISAM® 5 Funktionen und Methoden dargestellt. Das
Fundament bilden der CRISAM® Enterprise Server, der CRISAM® Explorer und der CRISAM® Web-
Access.
Die CRISAM® Workflow-Engine steuert den Informations- und Aufgabenaustausch mit am
Risikomanagement Prozess beteiligten Risiko-, Maßnahmen-, Aufgaben- und
Kontrollverantwortlichen.
CRISAM® unterstützt den Risikomanagement Prozess sowohl mit in der Plattform integrierten
Basisfunktionen, als auch mit zwei anpassbaren Risikoaggregationsmethoden, Management-
Domains, Content Libraries und bereitgestellten Mappings zu relevanten Compliance-Referenzen.
Content Libraries werden aus Gründen der technologischen und Compliance-bedingten
Veränderungen zyklisch aktualisiert und im Rahmen eines Abonnements bereitgestellt.
CRISAM® 5 stellt in seiner Basisplattform die integralen Services und Methoden zur Verfügung, die in
allen Risikomanagement Disziplinen zur Verfügung stehen.
Ausgehend von dem aus der ISO 31000 abgeleiteten Prozessmodell wird dem Risikomanager eine
leistungsfähige Applikation, der CRISAM® Explorer, bereitgestellt. Der CRISAM® Enterprise Server ist
der zentrale Knotenpunkt jeder
Installation. Entsprechend dem Rechtemanagement arbeiten ein oder mehrere Risikomanager in
ihrer Management Disziplin, um unternehmensweite Risiken, IT- oder Projektrisiken zu bearbeiten.
Risiken werden direkt oder remote per Web-Unterstützung von Risikoverantwortlichen erfasst.
Erforderliche Maßnahmen werden identifiziert, bewertet, beauftragt und deren Umsetzung verfolgt.
Die CRISAM® Workflow-Extension steuert den Informationsaustausch zentral und dezentral verteilter
Aufgaben.
Die Berichterstattung an die Geschäftsführung oder weitere Berichtsadressaten erfolgt durch das
integrierte Berichtswesen oder das online verfügbaren Dashboard.
ITZ Informationstechnologie GmbH Seite 6
CRISAM® Process Model
CRISAM® basiert auf einem 6-stufigen Prozessmodell, welches durch einen TOP-DOWN und
BOTTOM-UP Ansatz eine gesamtheitliche Betrachtung von Strategie, Organisation, Prozess und auch
Infrastruktur ermöglicht.
Abbildung 2: CRISAM® Prozessmodell
Abbildung 2 zeigt das CRISAM® Prozessmodell, anhand dessen der unternehmensweite
Risikomanagement Prozess implementiert wird. Das Modell ist aus der ISO 31000 abgeleitet und
basiert auf dem „PLAN-DO-CHECK-ACT“ (PDCA) Deming-Prozess. Abhängig von der gewählten
Aggregations-Methode werden in den einzelnen Prozessschritten unterschiedliche Risikomodelle
(Fehlerbaum bzw. Geschäftslogik) aufgebaut und spezifische Analysemethoden zur Bewertung der
Risiken angewandt. Das in CRISAM® zugrunde gelegte Prozessmodell sieht zwei Rückkoppelungen
vor. Damit wird im Risikomanagement Prozess eine kontinuierliche Verbesserung durch den
zyklischen Durchlauf der einzelnen Prozessschritte sichergestellt.
ITZ Informationstechnologie GmbH Seite 7
CRISAM® Explorer
Risikomanager fordern in ihrer Risikomanagement Disziplin bestmöglich unterstützt zu werden.
Dabei sind die Aufgaben und auch die erforderlichen Werkzeuge zum Managen unternehmens -
weiter, finanzwirtschaftlicher Risiken, IT-Risiken, Projektrisiken etc. durchaus unterschiedlich.
Der CRISAM® Explorer vereint alle erforderlichen Methoden und Werkzeuge und stellt sie
themenbezogen dem Benutzer zur Verfügung. Das bekannte Look & Feel von Microsoft Outlook trägt
dazu bei, dass eine Benutzerschulung ausschließlich auf technische bzw. methodische Aspekte
reduziert werden kann. Mit den aus Microsoft Office Produkten bekannten Menübändern finden Sie
die gewünschten Funktionen immer an der richtigen Stelle.
Abbildung 3: Ausschnitt aus der CRISAM® Explorer Benutzerführung
Abbildung 3 zeigt einen Ausschnitt der bereitgestellten Werkzeuge. Der Werkzeugkasten ist analog
dem bekannten Benutzerdialog aus der Microsoft-Office Welt aufgebaut, sodass nach nur kurzer
Lernphase die Leistungsfähigkeit von CRISAM® 5 ausgeschöpft werden kann.
ITZ Informationstechnologie GmbH Seite 8
CRISAM® Enterprise Server und Web-Access
Der CRISAM® Enterprise Server ist das Zentrum der Zusammenarbeit im Risikomanagement Prozess.
Abbildung 4 zeigt eine typische Implementierung eines Risk Management Information System
basierend auf CRISAM® 5. Der Enterprise Server übernimmt dabei neben den Server- und Datenbank-
Funktionalitäten Kollaboration-Aufgaben zwischen zentralen und dezentralen Beteiligten im
Risikomanagement Prozess.
Über Standard-Schnittstellen fügt sich der Enterprise Server in die Kommunikations- und
Informationsinfrastruktur Ihres Unternehmens nahtlos ein.
Sowohl Aufgaben, als auch Erinnerungen werden den dezentralen Beauftragten in ihrer vertrauten
Email-Umgebung übermittelt. Die Erfüllung und Umsetzung ihrer Aufgaben wird durch die einfach
und intuitiv bedienbare Web-Oberfläche ermöglicht.
Abbildung 4: Implementierung eines CRISAM® RMIS Systems
ITZ Informationstechnologie GmbH Seite 9
Dezentrale Risikomanagement Prozess Beteiligte sind im Fachbereich angesiedelt. Ihr Daily Business
ist somit nicht primär der Umgang mit Risikomanagement Werkzeugen.
Aus diesem Grund stellt CRISAM® 5 eine zielgruppenorientierte, webbasierte und einfach bedienbare
Benutzeroberfläche zur Verfügung. Der Benutzer wird über einfach gestellte Fragen durch den
gesamten Dialog geführt.
Diese gezielten Fragen werden mittels nachvollziehbarer statistischer Interpretationen in eine vom
Risikomanager geforderte Form konvertiert.
Abbildung 5: CRISAM® Web-Interface
ITZ Informationstechnologie GmbH Seite 10
Reports & Dashboard
CRISAM® stellt Informationen, Ergebnisse und den Status sowohl in Berichten, als auch im Dashboard
zur Verfügung. Reports werden in vorgefertigten Standardberichten (prozessrelevante Berichte,
Management Berichte und Compliance Berichte) zur Verfügung gestellt, die vom Kunden mit dem
Report-Designer auf kundenspezifische Anforderungen angepasst werden können.
Aus einer Auswahl von über 60 vorbereiteten KPIs werden dem Management alle relevanten
Informationen in Form eines Dashboards übersichtlich zur Verfügung gestellt.
Ab der Version CRISAM®5 stehen den berechtigten Benutzern sowohl das Dashboard als auch die
Berichte unternehmensweit auch auf mobilen Endgeräten zur Verfügung.
Abbildung 6: CRISAM® Dashboard
ITZ Informationstechnologie GmbH Seite 11
CRISAM Compliance References
Compliance Referenzen sind Normen, Vorschriften und Best Practices. Unternehmen orientieren sich
aus freiwilliger Bindung an diesen, sind dazu verpflichtet oder werden von autorisierter Stelle
gegen diese geprüft.
Sehr oft ist es mehr als lediglich eine Compliance Referenz gegenüber der die Konformität
nachgewiesen werden muss.
Beispielsweise wird die IT an der ISO 27001, ISO 20000, COBIT, SOX, geltenden Gesetzen und dem
Datenschutz gemessen, auditiert und geprüft.
In spezifischen Branchen werden zusätzlich ergänzende Prüfungsrahmen erforderlich. Um diese
Compliance-Nachweise aktuell und mit vertretbarem Aufwand durchführen zu können, leitet
CRISAM® die Konformitätsnachweise aus den zugrunde gelegten Content Libraries ab.
Diese Vorgehensweise besitzt den wesentlichen Vorteil, dass keine spezifischen Kontrollfragen für
bestimmte Compliance Referenzen zusätzlich beantwortet werden müssen.
CRISAM® leitet die Konformität zu den jeweiligen Vorgaben aus den in der Content Library
mitgelieferte Mappings zu den unterstützten Compliance Referenzen automatisiert ab und stellt den
Grad der Compliance in Berichten und den KPIs im Dashboard dar.
In CRISAM® Out-Of-The-Box unterstützte Compliance Referenzen sind aktuell: ISO 27002; ISO
27019; ISO 20000; ISO 80001-1; ISO 9001; ISO 15224; EN 50600; BSI Grundschutz; ISAE 3402; Euro
Cloud; COBIT; COSO; SOX; BDEW; BSI 100-2; BSI 100-4; PCI-DSS
Mit der Aktualisierung der Content Libraries, spezifischen Kundenanforderungen und dem
Erscheinen neuer Standards wird die Unterstützung kontinuierlich aktualisiert und erweitert.
ITZ Informationstechnologie GmbH Seite 12
IT Grundschutz (BSI)
In der heutigen Zeit sind viele Institutionen in Wirtschaft und Verwaltung vom einwandfreien
Funktionieren der IT abhängig. Durch diese steigende Abhängigkeit und der wachsenden
Bedrohungspotenziale, gewinnt die Informationssicherheit einen immer größeren Stellenwert.
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet mit dem IT-
Grundschutz eine Kombination aus einer Methodik für Sicherheitsmanagement mit konkreten
Maßnahmen-Empfehlungen. Diese Empfehlungen decken nicht nur technische, sondern auch
organisatorische, personelle und bauliche Aspekte ab.
Generell bietet der BSI IT-Grundschutz eine anerkannte Vorgehensweise zur Entwicklung und
Überprüfung von Sicherheitskonzepten. Er enthält darüber hinaus Empfehlungen für Maßnahmen,
mit denen ein für übliche Einsatzbereiche und Schutzanforderungen angemessenes und bei höherem
Schutzbedarf leicht ausbaufähiges Sicherheitsniveau erreicht werden kann.
Um diese Maßnahmen-Empfehlungen auf die jeweilige Organisation abzustimmen, werden
sogenannte Bausteine verwendet, um den Aufbau des Unternehmens abzubilden. Diese Bausteine
enthalten mögliche Gefährdungen, die auf das Objekt wirken können, und Maßnahmen um diesen
entgegenzuwirken.
ITZ Informationstechnologie GmbH Seite 13
Das BSI GSTOOL dient der Erstellung solcher Sicherheitskonzepte und ist insbesondere in
Deutschland weit verbreitet.
Neben dem offiziellen GSTOOL bietet aber auch CRISAM die Möglichkeit, IT-Grundschutz im
Unternehmen zu etablieren, da der Aufbau von CRISAM dem Bausteinprinzip des IT-Grundschutzes
ähnelt.
Aufgrund dessen ist CRISAM mittlerweile auch auf der BSI-Webseite als offizielle Alternative zum
GSTOOL gelistet.
Der CRISAM Explorer bietet alle nötigen Bausteine um die Grundschutz-Thematik zur Gänze
abzubilden und bietet außerdem zahlreiche Möglichkeiten, für ein weiterführendes
Risikomanagement wie z.B. eine monetäre Bewertung.
Das Modellieren der Risikoobjekte erfolgt in einem Fehlerbaum, der gesamte IT-Risiko-Management-
Prozess ist abbildbar.
Ein weiterer großer Vorteil sind die anpassbaren und aussagekräftigen Reportmöglichkeiten von
CRISAM.
Weiterführende Informationen erhalten Sie auf Anfrage:
ITZ Informationstechnologie
z.Hd. Herrn Uwe Rydzek
Heinrich-Held-Str. 16
45133 Essen
Tel.: 0201-24714-93
Mail: [email protected]
Top Related