Risikobewertungs- und Compliance-Strategien


Studie von Ponemon Institute: Nur 20 Prozent der Unternehmen haben eine Governance, Risk und Compliance-Strategie
Strategischer Umgang mit Datenschutzbestimmungen und Risikobewertung (eGRC) noch sehr mangelhaft

(11.07.11) - Eine neue Studie des Ponemon Institute im Auftrag von EMC beleuchtet die dringendsten Probleme von Unternehmen bei der Einhaltung von Datenschutzbestimmungen und Risikobewertungen. Das Fehlen einer umfassenden Governance-, Risk- und Compliance-Strategie im Unternehmen (enterprise GRC, kurz: eGRC) und eine mangelhafte Zusammenarbeit zwischen Abteilungen zählen zu den größten Hindernissen für die Erreichung von eGRC-Zielen. Befragt wurden 6000 GRC-Anwender-Unternehmen aus der Finanz-, Technologie-, Gesundheits- und Pharmabranche.

Die Studie des Ponemon Institute hat herausgefunden, dass eGRC weiterhin auf der Prioritätenliste der Anwender weit oben steht. Dennoch haben nur 20 Prozent der Unternehmen eine klar definierte eGRC-Strategie, die sich auf das gesamte Unternehmen bezieht. 33 Prozent räumten ein, überhaupt keine eGRC-Strategie zu verfolgen.

"Es ist nicht mehr länger eine Frage, ob für Governance, Risk und Compliance ein unternehmensweiter Ansatz nötig ist, der Abteilungen wie IT, Recht und Personal umfasst, es ist vielmehr eine strategische Notwendigkeit", sagt Tom Roloff, Chief Operating Officer bei EMC Consulting. "Unternehmen können die wachsenden Anforderungen von Konzernvorständen und Aufsichtsbehörden für eine integrierte und zentralisierte Risikobewertungs- und Compliance-Strategie nur erfüllen, wenn sie einen Überblick haben, wo welche Informationen abgerufen werden können und welche Richtlinien eingehalten werden müssen."

Ein weiteres Ergebnis der Studie zeigt, dass eGRC-Aufgaben aus dem IT-Bereich kommend schnell auf Betriebsabläufe, Finanzen und die Rechtsabteilung ausgeweitet werden. Allerdings ist die Zusammenarbeit zwischen diesen kritischen Bereichen nicht so weit fortgeschritten wie nötig. Nur 28 Prozent der Befragten gaben an, dass in ihren Unternehmen die einzelnen eGRC-Bereiche eng zusammenarbeiten. Vollständig isoliert sind die eGRC-Funktionen in 12 Prozent der befragten Unternehmen.

Zudem sind die eGRC-Aktivitäten oft verteilt, wie die Studie verdeutlicht: Governance-Verantwortlichkeiten finden sich am häufigsten bei der IT, das Risiko-Management wird in der Regel innerhalb der jeweiligen Abteilung betreut. Um Compliance kümmert sich meist nur die firmeneigene Compliance-Abteilung, während die Einhaltung von Datenschutzbestimmungen am häufigsten in der Verantwortung der juristischen Abteilung liegt.

Die Bedeutung dieser grundlegenden eGRC-Aktivitäten wird unterschiedlich bewertet. Risikomanagement nimmt dabei mit 32 Prozent den ersten Platz ein, gefolgt von Compliance mit 27 Prozent, Governance mit 22 Prozent und Datenschutz mit 20 Prozent.

"Getrennte Systeme sind das größte Hindernis für ein effektives eGRC-Programm“, sagt Dr. Larry Ponemon, Vorsitzender und Gründer des Ponemon Institute for Privacy Research. "Die Abteilungen befassen sich mit Informationen, Richtlinien, Geschäftsabläufen und Vorschriften. Leider reden sie nicht miteinander, was zu Ineffizienz und Widersprüchen führt. Ohne Zusammenarbeit zwischen den Bereichen gehen Unternehmen unnötige Risiken ein."

Datenschutz ist ein wesentlicher Risikofaktor. Unabhängig von der Branche gaben alle Organisationen an, dass die Verwaltung von datenschutzrechtliche Bestimmungen je nach Land und in Übereinstimmung mit den Landesgesetzen ein treibender Faktor für ein integriertes eGRC ist, das die IT-Abteilung, Rechtsabteilung, Finanzabteilung und das operative Geschäft umfasst. Die größte Herausforderung sehen die Befragten bei der Weitergabe persönlicher Daten an Dritte und die Einhaltung aller einschlägigen Datenschutzvorschriften.

"Datenschutz und Datensicherheit ist ein besonders heikles Thema", sagt Dr. Ponemon. "Heutzutage sind die wesentlichen Verantwortlichkeiten für das Datenschutzmanagement üblicherweise zwischen der Rechts- und der IT-Abteilung aufgeteilt. Während die Rechtsabteilung insgesamt eine dominante Datenschutzrolle einnimmt, trägt die IT noch immer die Verantwortung für die Umsetzung von Kontrollen um die Erfüllung der datenschutzrechtlichen Bestimmungen zu gewährleisten. Dies verdeutlicht, weshalb die IT- und die Rechtsabteilung die gleiche Sprache sprechen und enger als jemals zuvor zusammenarbeiten müssen, um Risiken für das Unternehmen zu reduzieren."

Fast 90 Prozent der Befragten geben an, dass unterstützende Technologien für das Erreichen ihrer eGRC-Ziele unerlässlich oder sehr wichtig sind. Die Anwendungen die am wahrscheinlichsten eingesetzt werden, um eGRC-Aktivitäten zu unterstützen, sind Risikobewertung (81 Prozent), Richtlinien-Verwaltung (75 Prozent), Controls Assessment (73 Prozent), Incident Response und Management (68 Prozent) sowie Compliance Monitoring (63 Prozent). (EMC: ra)

EMC: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Studien

  • Lösungsansätze gegen den GenAI-Gender Gap

    Frauen drohen bei Künstlicher Intelligenz (KI), die bis 2030 allein in Deutschland 3 Millionen Jobs verändern könnte, ins Hintertreffen zu geraten. So zeigen aktuelle Zahlen von Coursera, dass lediglich 27 Prozent der Lernenden in Generative-AI (GenAI)-Kursen in Deutschland (102.000 Einschreibungen) weiblich sind. Dies liegt noch unter dem weltweiten Durchschnitt von 32 Prozent und reicht im Ländervergleich gerade für einen Platz in den Top-Ten (Platz 9). Und das, obwohl sich allein auf Coursera im vergangenen Jahr weltweit alle 10 Sekunden jemand in einen GenAI-Kurs einschrieb.

  • Rote Linien für die zukünftige Nutzung von KI

    Laut einer aktuellen Studie von NTT Data droht eine Verantwortungslücke die durch KI möglich gewordenen Fortschritte zu untergraben. Mehr als 80 Prozent der Führungskräfte räumen ein, dass Führungsfähigkeiten, Governance und die Bereitschaft der Mitarbeitenden nicht mit den Fortschritten der KI mithalten können. Das gefährdet Investitionen, Sicherheit und das Vertrauen der Öffentlichkeit.

  • Europas Sanktionslandschaft

    Die Durchsetzung der europaweiten Datenschutz-Gesetzgebung hat einen neuen Höchststand erreicht: Erstmals überschreiten die öffentlich bekannten Bußgelder in Europa die Marke von fünf Milliarden Euro. Seit Inkrafttreten der General Data Protection Regulation (GDPR) im Mai 2018 wurden bis März 2025 insgesamt rund 5,65 Milliarden Euro an Strafen verhängt - ein Plus von 1,17 Milliarden Euro im Vergleich zum Vorjahr. Diese Rekordsumme spiegelt wider, wie stark sich die europäische Sanktionspraxis in den vergangenen Jahren entwickelt hat.

  • Absicherung unternehmerischer Entscheidungen

    Die zunehmende Regulierungsdichte mit immer neuen Vorschriften erschwert Vorständen und Aufsichtsräten die rechtliche Einschätzung unternehmerischer Entscheidungen und bremst unternehmerisches Handeln. Das Deutsche Aktieninstitut und die Anwaltskanzlei Gleiss Lutz haben die Studie "Absicherung unternehmerischer Entscheidungen - Entscheidungsfindung in unsicheren Zeiten" veröffentlicht.

  • Herausforderung: Datenschutz & geteilte Geräte

    Die Digitalisierung schreitet in der Transport- und Logistikbranche stetig voran und macht Prozesse innerhalb der Lieferkette immer transparenter und damit nachvollziehbarer. So kam die jüngste Studie "Digitale Innovationen: Was die Transport- und Logistikbranche jetzt braucht" von SOTI zu dem Ergebnis, dass sich 80 Prozent (weltweit 78 Prozent) der deutschen Arbeitnehmenden im T&L-Bereich durch die technische Nachverfolgbarkeit von Waren, für die sie im Rahmen ihrer Tätigkeit Verantwortung tragen, sicherer fühlen. Gleichzeitig empfinden jedoch 61 Prozent das Tracking dienstlicher Geräte als Eingriff in ihre Privatsphäre (weltweit 55 Prozent).

Datenschutz im Internet Handlungsbedarf beim Risikomanagement

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen