Die Wichtigkeit der Rolle eines IT GRC Managers

In diesem Blogbeitrag wird die Notwendigkeit eines IT GRC-Managers bzw. einer IT GRC Managerin erläutert. Im weiteren Text wird der Lesbarkeit halber der Begriff des IT GRC Managers genutzt. Der Blogbeitrag gibt eine kurze Einführung in die Geschäftstätigkeiten eines IT GRC-Managers, und weist außerdem auf seine unverzichtbare Position in einem Unternehmen hin. Für das gemeinsame Grundverständnis wird anfangs auf die Abkürzung GRC eingegangen und diese erläutert.

Governance, Risk & Compliance bildet die Grundlage jeder Unternehmensführung:

Diese Bereiche gelten auch für die IT-Abteilung. Und genau hier setzt der IT GRC Manager an. Er ist das Bindeglied zwischen der Unternehmens-IT und den internen sowie externen gesetzlichen Anforderungen.

Im Folgenden werden die jeweiligen Einsatzgebiete des IT GRC Managers erläutert.

In vielen Unternehmen ist der IT GRC Manager direkt in der IT-Abteilung angesiedelt. Seine Hauptaufgaben sind u.a. die Entwicklung, Einführung und Überwachung von Richtlinien und Sicherheitsstandards für das Patch-, Access- sowie das übergeordnete Security-Management. Er hilft bei der deren Umsetzung im Tagesgeschäft und sorgt für die Einhaltung der Standards wie ISO 27001, ITIL oder COBIT. Dabei agiert er im engen Austausch mit Systemadministratoren, Anwendungsentwicklern sowie dem IT-Sicherheitsbeauftragten (CISO).

In größeren Konzernen wird der IT GRC Manager in der zentralen Governance- oder Risikomanagementabteilung eingesetzt. Dort ist er wesentlich verantwortlich für die unternehmensweite Erfassung, Bewertung und Steuerung von IT-bezogenen Risiken. Dabei pflegt er das IT-Risikoregister, entwickelt und führt Methoden für die Risikobewertung ein und berichtet diese an das zentrale Risiko- und Steuerungsgremium. Der IT GRC Manager arbeitet in dieser Form eng mit dem zentralen Unternehmens-Risikomanagement, der Strategieabteilung sowie der internen Revision zusammen.

In Unternehmen mit starkem regulatorischem Fokus, wie z.B. in der Finanzbranche oder im Gesundheitswesen, ist der IT GRC Manager häufig der Compliance- oder Rechtsabteilung zugeordnet. In dieser Position konzentriert er sich auf die Einhaltung von gesetzlichen Vorgaben oder branchenspezifischen Regularien (z.B. DORA). Er berät IT-Projekte hinsichtlich der gesetzlichen Anforderungen, unterstützt interne Audits und führt Schulungen zur IT-Compliance durch. In dieser Funktion arbeitet er u.a. mit dem Datenschutzbeauftragten, der Rechtsabteilung sowie den IT-Abteilungen zusammen.

Nachdem die verschiedenen Einsatzgebiete des IT GRC Managers beleuchtet wurden, wird nun auf die daraus resultierenden Entlastungen für das Unternehmen eingegangen. Durch seine unterstützende Rolle kann der IT GRC Manager insbesondere den CISO bei seinen operativen und dokumentationsintensiven Aufgaben entlasten. So führt und pflegt der IT GRC Manager IT-Risikoanalysen und unterstützt bei der Einhaltung von Sicherheitsrichtlinien, um mögliche Compliance Verstöße zu verhindern. Als Schnittstelle mit der IT-Abteilung ist eine effizientere und engere Zusammenarbeit mit den anderen Abteilungen möglich.

Der flexible Einsatz des IT GRC Managers zeigt, dass dieser in der heutigen Zeit unabdingbar geworden ist, da er nicht nur als zentrale Rolle bei der Einhaltung von regulatorischen und gesetzlichen Anforderungen eingesetzt werden kann, sondern ein essenzieller Bestandteil bei der modernen Unternehmensführung spielen kann.

Wenn Sie noch weitere Fragen zu dem Einsatz eines IT GRC Managers haben, oder wie dieser in Ihrem Unternehmen eingesetzt werden kann, dann kontaktieren Sie uns gerne (mail@complion.de).