Beschreiben von Governance-, Risiko- und Compliancekonzepten (GRC)

  • 4 Minuten

Organisationen sehen sich zunehmender Komplexität und immer neuen Veränderungen in regulierten Umgebungen gegenüber und fordern einen besser strukturierten Ansatz für die Verwaltung von Governance, Risiko und Compliance (GRC).

Diagram showing a GRC framework.

Wenn Organisationen GRC-Kompetenz aufbauen, können sie ein Framework einrichten, das die Implementierung bestimmter Richtlinien, betrieblicher Prozesse und Technologien umfasst. Ein strukturierter Ansatz für die Verwaltung von GRC hilft Organisationen dabei, Risiken zu reduzieren und die Effektivität der Compliance zu verbessern.

Eine wichtige Voraussetzung für den Aufbau von GRC-Kompetenz ist eine genaue Kenntnis der wichtigsten Begriffe.

Governance

Governance ist das System aus Regeln, Verfahren und Prozessen, das eine Organisation nutzt, um ihre Aktivitäten zu steuern und zu kontrollieren. Viele Governanceaktivitäten ergeben sich aus externen Standards, Verpflichtungen und Erwartungen. Beispielsweise richten Organisationen Regeln und Prozesse ein, die definieren, wer zu welcher Zeit und von welchem Ort auf welche Unternehmensressourcen zugreifen kann, und wer wie lange über Administratorrechte verfügt.

Risiko

Risikomanagement ist der Prozess der Identifizierung und Bewertung von Bedrohungen oder Ereignissen, die sich auf Unternehmens- oder Kundenziele auswirken können, sowie der Reaktion auf solche Bedrohungen und Ereignisse. Organisationen sind Risiken sowohl durch externe als auch durch interne Quellen ausgesetzt. Externe Risiken können von politischen und wirtschaftlichen Kräften, Wetterereignissen, Pandemien und Sicherheitsverletzungen ausgehen, um nur einige Quellen zu nennen. Interne Risiken sind Risiken, die aus der Organisation selbst kommen. Beispiele hierfür sind Verbreitung vertraulicher Daten, Diebstahl geistigen Eigentums, Betrug und Insiderhandel.

Compliance

Compliance bezieht sich auf kommunale, regionale oder landes- oder bundesweite Gesetze oder sogar auf internationale Vorschriften, die eine Organisation einhalten muss. Diese Vorschriften definieren, welche Arten von Daten geschützt werden müssen, welche Prozesse gemäß der Gesetzgebung vorgeschrieben sind und welche Strafen gegen Organisationen verhängt werden, die sich nicht daran halten.

Wichtig: Compliance ist nicht dasselbe wie Sicherheit. Die Sicherheit ist jedoch ein wichtiger Aspekt beim Erstellen eines Complianceplans, da effektive Sicherheitsmaßnahmen häufig eine Complianceanforderung sind. Compliance erfordert nur, dass die gesetzlich vorgeschriebenen Mindeststandards erfüllt sind. Die Datensicherheit dagegen umfasst alle Prozesse, Verfahren und Technologien, die definieren, wie Sie vertrauliche Daten hüten und vor Sicherheitsverletzungen schützen.

Hier finden Sie einige Konzepte in Bezug auf die Compliance:

  • Datenresidenz: Wenn es um Compliance geht, regeln die Vorschriften zur Datenresidenz die physischen Standorte, an denen Daten gespeichert werden können, und wie und wann sie international übertragen, verarbeitet oder abgerufen werden können. Diese Vorschriften können sich je nach Rechtsordnung erheblich unterscheiden.
  • Datenhoheit: Ein weiterer wichtiger Aspekt ist die Datenhoheit, d. h. das Konzept, dass Daten, insbesondere personenbezogene Daten, den Gesetzen und Vorschriften des Landes oder der Region unterliegen, in dem bzw. der sie physisch erfasst, gespeichert oder verarbeitet werden. Dies kann Compliance noch komplizierter machen, denn ein und dieselben Daten können an einem Ort erfasst, an einem anderen gespeichert und an einem weiteren verarbeitet werden, sodass sie den Gesetzen verschiedener Länder oder Regionen unterliegen.
  • Datenschutz: Benachrichtigung und Transparenz bei der Erhebung, Verarbeitung, Nutzung und Weitergabe personenbezogener Daten sind grundlegende Prinzipien der Datenschutzgesetze und -vorschriften. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Datenschutzgesetze gelten für alle Daten, die direkt mit einer Person verknüpft sind oder indirekt mit einer Person verknüpft werden können. Unternehmen unterliegen einer Vielzahl von Gesetzen, Vorschriften, Verhaltenskodizes, branchenspezifischen Normen und Compliancestandards zum Datenschutz und müssen diese einhalten.

Da alle Organisationen Daten verwalten, ist es wichtig, die Terminologie und Konzepte im Zusammenhang mit der Compliance zu verstehen, um die gesetzlichen Mindestanforderungen bzw. Vorschriften zu erfüllen.