Risikobewertungs- und Compliance-Strategien


Studie von Ponemon Institute: Nur 20 Prozent der Unternehmen haben eine Governance, Risk und Compliance-Strategie
Strategischer Umgang mit Datenschutzbestimmungen und Risikobewertung (eGRC) noch sehr mangelhaft

(11.07.11) - Eine neue Studie des Ponemon Institute im Auftrag von EMC beleuchtet die dringendsten Probleme von Unternehmen bei der Einhaltung von Datenschutzbestimmungen und Risikobewertungen. Das Fehlen einer umfassenden Governance-, Risk- und Compliance-Strategie im Unternehmen (enterprise GRC, kurz: eGRC) und eine mangelhafte Zusammenarbeit zwischen Abteilungen zählen zu den größten Hindernissen für die Erreichung von eGRC-Zielen. Befragt wurden 6000 GRC-Anwender-Unternehmen aus der Finanz-, Technologie-, Gesundheits- und Pharmabranche.

Die Studie des Ponemon Institute hat herausgefunden, dass eGRC weiterhin auf der Prioritätenliste der Anwender weit oben steht. Dennoch haben nur 20 Prozent der Unternehmen eine klar definierte eGRC-Strategie, die sich auf das gesamte Unternehmen bezieht. 33 Prozent räumten ein, überhaupt keine eGRC-Strategie zu verfolgen.

"Es ist nicht mehr länger eine Frage, ob für Governance, Risk und Compliance ein unternehmensweiter Ansatz nötig ist, der Abteilungen wie IT, Recht und Personal umfasst, es ist vielmehr eine strategische Notwendigkeit", sagt Tom Roloff, Chief Operating Officer bei EMC Consulting. "Unternehmen können die wachsenden Anforderungen von Konzernvorständen und Aufsichtsbehörden für eine integrierte und zentralisierte Risikobewertungs- und Compliance-Strategie nur erfüllen, wenn sie einen Überblick haben, wo welche Informationen abgerufen werden können und welche Richtlinien eingehalten werden müssen."

Ein weiteres Ergebnis der Studie zeigt, dass eGRC-Aufgaben aus dem IT-Bereich kommend schnell auf Betriebsabläufe, Finanzen und die Rechtsabteilung ausgeweitet werden. Allerdings ist die Zusammenarbeit zwischen diesen kritischen Bereichen nicht so weit fortgeschritten wie nötig. Nur 28 Prozent der Befragten gaben an, dass in ihren Unternehmen die einzelnen eGRC-Bereiche eng zusammenarbeiten. Vollständig isoliert sind die eGRC-Funktionen in 12 Prozent der befragten Unternehmen.

Zudem sind die eGRC-Aktivitäten oft verteilt, wie die Studie verdeutlicht: Governance-Verantwortlichkeiten finden sich am häufigsten bei der IT, das Risiko-Management wird in der Regel innerhalb der jeweiligen Abteilung betreut. Um Compliance kümmert sich meist nur die firmeneigene Compliance-Abteilung, während die Einhaltung von Datenschutzbestimmungen am häufigsten in der Verantwortung der juristischen Abteilung liegt.

Die Bedeutung dieser grundlegenden eGRC-Aktivitäten wird unterschiedlich bewertet. Risikomanagement nimmt dabei mit 32 Prozent den ersten Platz ein, gefolgt von Compliance mit 27 Prozent, Governance mit 22 Prozent und Datenschutz mit 20 Prozent.

"Getrennte Systeme sind das größte Hindernis für ein effektives eGRC-Programm“, sagt Dr. Larry Ponemon, Vorsitzender und Gründer des Ponemon Institute for Privacy Research. "Die Abteilungen befassen sich mit Informationen, Richtlinien, Geschäftsabläufen und Vorschriften. Leider reden sie nicht miteinander, was zu Ineffizienz und Widersprüchen führt. Ohne Zusammenarbeit zwischen den Bereichen gehen Unternehmen unnötige Risiken ein."

Datenschutz ist ein wesentlicher Risikofaktor. Unabhängig von der Branche gaben alle Organisationen an, dass die Verwaltung von datenschutzrechtliche Bestimmungen je nach Land und in Übereinstimmung mit den Landesgesetzen ein treibender Faktor für ein integriertes eGRC ist, das die IT-Abteilung, Rechtsabteilung, Finanzabteilung und das operative Geschäft umfasst. Die größte Herausforderung sehen die Befragten bei der Weitergabe persönlicher Daten an Dritte und die Einhaltung aller einschlägigen Datenschutzvorschriften.

"Datenschutz und Datensicherheit ist ein besonders heikles Thema", sagt Dr. Ponemon. "Heutzutage sind die wesentlichen Verantwortlichkeiten für das Datenschutzmanagement üblicherweise zwischen der Rechts- und der IT-Abteilung aufgeteilt. Während die Rechtsabteilung insgesamt eine dominante Datenschutzrolle einnimmt, trägt die IT noch immer die Verantwortung für die Umsetzung von Kontrollen um die Erfüllung der datenschutzrechtlichen Bestimmungen zu gewährleisten. Dies verdeutlicht, weshalb die IT- und die Rechtsabteilung die gleiche Sprache sprechen und enger als jemals zuvor zusammenarbeiten müssen, um Risiken für das Unternehmen zu reduzieren."

Fast 90 Prozent der Befragten geben an, dass unterstützende Technologien für das Erreichen ihrer eGRC-Ziele unerlässlich oder sehr wichtig sind. Die Anwendungen die am wahrscheinlichsten eingesetzt werden, um eGRC-Aktivitäten zu unterstützen, sind Risikobewertung (81 Prozent), Richtlinien-Verwaltung (75 Prozent), Controls Assessment (73 Prozent), Incident Response und Management (68 Prozent) sowie Compliance Monitoring (63 Prozent). (EMC: ra)

EMC: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Studien

  • Gefahren von strategischer Korruption

    Transparency International hat den Korruptionswahrnehmungsindex 2024 (Corruption Perceptions Index, CPI) veröffentlicht. Der jährlich erscheinende Index ist der weltweit bekannteste Korruptionsindikator. Er umfasst 180 Staaten und Gebiete und bewertet den Grad der in Politik und Verwaltung wahrgenommenen Korruption. Der Meta-Index beruht auf der Einschätzung von Experten sowie Führungskräften.

  • Budgets für Datenschutz 2025 werden sinken

    Mehr als zwei von fünf (45 Prozent) Datenschutzbeauftragten in Europa glauben, dass das Datenschutzbudget ihrer Organisation unterfinanziert ist. Dies bedeutet einen Anstieg von 41 Prozent im Jahr 2024. Mehr als die Hälfte (54 Prozent) erwartet zudem, dass die Budgets im Jahr 2025 weiter sinken werden. Das geht aus einer neuen Studie von ISACA hervor, dem weltweit führenden Berufsverband, der Einzelpersonen und Organisationen bei ihrem Streben nach Digital Trust unterstützt.

  • Compliance-Regulierungsdruck nimmt weltweit zu

    Sphera hat ihren Supply Chain Risk Report 2025 veröffentlicht. Dieser Bericht umfasst eine eingehende Analyse der dringendsten Risiken und aufkommenden Chancen, die die globalen Lieferketten verändern. Er bietet Führungskräften aus den Bereichen Beschaffung, Lieferkette und Nachhaltigkeit handlungsrelevante Einblicke, um die komplexen Herausforderungen zu meistern, mit denen sich Unternehmen angesichts neuer gesetzlicher Bestimmungen, wirtschaftlicher Unbeständigkeit und erhöhter ökologischer und sozialer Verantwortung auseinandersetzen müssen.

  • Digitale Steuer-Transformation

    Eine von Vertex veröffentlichte Studie zeigt, dass Fachkräftemangel und Qualifikationsdefizite in Steuerteams Unternehmen auf ihrem Weg zu einer erfolgreichen digitalen Steuer-Transformation behindern können. Die Studie "Global Tax Transformation" befragte 610 Fachleute in Europa und den USA, um die aktuelle Situation in den Unternehmen und die Einstellung der Fachleute zur Transformation in ihrer Organisation zu verstehen.

  • NIS2-Richtlinie & wie es um die Vorbereitung steht

    Eine aktuelle Veeam-Studie zur NIS2-Richtlinie zeichnet ein ernüchterndes Bild der IT-Sicherheitslage in deutschen Unternehmen. Während sich 70 Prozent der befragten Firmen gut auf die neue EU-Richtlinie vorbereitet fühlen, sind nur 37 Prozent von ihnen nach eigener Angabe tatsächlich konform zur NIS2. Diese eklatante Diskrepanz zwischen Selbstwahrnehmung und Realität ist bezeichnend für den oftmals leider noch zu laxen Umgang vieler Organisationen mit Cyber-Sicherheit und vor allem im KRITIS-Bereich bedenklich.

Datenschutz im Internet Handlungsbedarf beim Risikomanagement

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen