Studie von Ponemon Institute: Nur 20 Prozent der Unternehmen haben eine Governance, Risk und Compliance-Strategie Strategischer Umgang mit Datenschutzbestimmungen und Risikobewertung (eGRC) noch sehr mangelhaft
Anzeige
(11.07.11) - Eine neue Studie des Ponemon Institute im Auftrag von EMC beleuchtet die dringendsten Probleme von Unternehmen bei der Einhaltung von Datenschutzbestimmungen und Risikobewertungen. Das Fehlen einer umfassenden Governance-, Risk- und Compliance-Strategie im Unternehmen (enterprise GRC, kurz: eGRC) und eine mangelhafte Zusammenarbeit zwischen Abteilungen zählen zu den größten Hindernissen für die Erreichung von eGRC-Zielen. Befragt wurden 6000 GRC-Anwender-Unternehmen aus der Finanz-, Technologie-, Gesundheits- und Pharmabranche.
Die Studie des Ponemon Institute hat herausgefunden, dass eGRC weiterhin auf der Prioritätenliste der Anwender weit oben steht. Dennoch haben nur 20 Prozent der Unternehmen eine klar definierte eGRC-Strategie, die sich auf das gesamte Unternehmen bezieht. 33 Prozent räumten ein, überhaupt keine eGRC-Strategie zu verfolgen.
"Es ist nicht mehr länger eine Frage, ob für Governance, Risk und Compliance ein unternehmensweiter Ansatz nötig ist, der Abteilungen wie IT, Recht und Personal umfasst, es ist vielmehr eine strategische Notwendigkeit", sagt Tom Roloff, Chief Operating Officer bei EMC Consulting. "Unternehmen können die wachsenden Anforderungen von Konzernvorständen und Aufsichtsbehörden für eine integrierte und zentralisierte Risikobewertungs- und Compliance-Strategie nur erfüllen, wenn sie einen Überblick haben, wo welche Informationen abgerufen werden können und welche Richtlinien eingehalten werden müssen."
Ein weiteres Ergebnis der Studie zeigt, dass eGRC-Aufgaben aus dem IT-Bereich kommend schnell auf Betriebsabläufe, Finanzen und die Rechtsabteilung ausgeweitet werden. Allerdings ist die Zusammenarbeit zwischen diesen kritischen Bereichen nicht so weit fortgeschritten wie nötig. Nur 28 Prozent der Befragten gaben an, dass in ihren Unternehmen die einzelnen eGRC-Bereiche eng zusammenarbeiten. Vollständig isoliert sind die eGRC-Funktionen in 12 Prozent der befragten Unternehmen.
Zudem sind die eGRC-Aktivitäten oft verteilt, wie die Studie verdeutlicht: Governance-Verantwortlichkeiten finden sich am häufigsten bei der IT, das Risiko-Management wird in der Regel innerhalb der jeweiligen Abteilung betreut. Um Compliance kümmert sich meist nur die firmeneigene Compliance-Abteilung, während die Einhaltung von Datenschutzbestimmungen am häufigsten in der Verantwortung der juristischen Abteilung liegt.
Die Bedeutung dieser grundlegenden eGRC-Aktivitäten wird unterschiedlich bewertet. Risikomanagement nimmt dabei mit 32 Prozent den ersten Platz ein, gefolgt von Compliance mit 27 Prozent, Governance mit 22 Prozent und Datenschutz mit 20 Prozent.
"Getrennte Systeme sind das größte Hindernis für ein effektives eGRC-Programm“, sagt Dr. Larry Ponemon, Vorsitzender und Gründer des Ponemon Institute for Privacy Research. "Die Abteilungen befassen sich mit Informationen, Richtlinien, Geschäftsabläufen und Vorschriften. Leider reden sie nicht miteinander, was zu Ineffizienz und Widersprüchen führt. Ohne Zusammenarbeit zwischen den Bereichen gehen Unternehmen unnötige Risiken ein."
Datenschutz ist ein wesentlicher Risikofaktor. Unabhängig von der Branche gaben alle Organisationen an, dass die Verwaltung von datenschutzrechtliche Bestimmungen je nach Land und in Übereinstimmung mit den Landesgesetzen ein treibender Faktor für ein integriertes eGRC ist, das die IT-Abteilung, Rechtsabteilung, Finanzabteilung und das operative Geschäft umfasst. Die größte Herausforderung sehen die Befragten bei der Weitergabe persönlicher Daten an Dritte und die Einhaltung aller einschlägigen Datenschutzvorschriften.
"Datenschutz und Datensicherheit ist ein besonders heikles Thema", sagt Dr. Ponemon. "Heutzutage sind die wesentlichen Verantwortlichkeiten für das Datenschutzmanagement üblicherweise zwischen der Rechts- und der IT-Abteilung aufgeteilt. Während die Rechtsabteilung insgesamt eine dominante Datenschutzrolle einnimmt, trägt die IT noch immer die Verantwortung für die Umsetzung von Kontrollen um die Erfüllung der datenschutzrechtlichen Bestimmungen zu gewährleisten. Dies verdeutlicht, weshalb die IT- und die Rechtsabteilung die gleiche Sprache sprechen und enger als jemals zuvor zusammenarbeiten müssen, um Risiken für das Unternehmen zu reduzieren."
Fast 90 Prozent der Befragten geben an, dass unterstützende Technologien für das Erreichen ihrer eGRC-Ziele unerlässlich oder sehr wichtig sind. Die Anwendungen die am wahrscheinlichsten eingesetzt werden, um eGRC-Aktivitäten zu unterstützen, sind Risikobewertung (81 Prozent), Richtlinien-Verwaltung (75 Prozent), Controls Assessment (73 Prozent), Incident Response und Management (68 Prozent) sowie Compliance Monitoring (63 Prozent). (EMC: ra)
EMC: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
- Anzeigen -
Meldungen: Studien
Anforderungen von Privatanlegern
In Zeiten volatiler Kapitalmärkte profitieren Unternehmen von Privatanlegern, die Aktien halten und Anleihen zeichnen und so Stabilität schaffen. Wie und mit welchen Informationen diese Zielgruppe versorgt werden möchte und wo heute noch Defizite in der Finanzkommunikation liegen, hat das Institut für Kommunikations- und Medienwissenschaft der Universität Leipzig gemeinsam mit der Deutschen Schutzvereinigung für Wertpapierbesitz e.V. (DSW), der Schutzgemeinschaft der Kapitalanleger e.V. (SdK) und der Deutsche EuroShop AG untersucht. Befragt wurden mehr als 500 Privatanleger in Deutschland mit monetärem Engagement in Aktien, Investmentfonds und/oder Unternehmensanleihen.
Angemessenheit der Vorstandsvergütung
Stimmt die Vergütung der Mitglieder deutscher Aufsichtsräte und Vorstände mit der gewachsenen Verantwortung und Komplexität ihrer Aufgaben überein? Werden Leistung und Qualität der Kontrolleure angemessen gefördert? Im Mittelpunkt der 10. Panel-Befragung der Zeitschrift "Der Aufsichtsrat" stand die kontroverse Diskussion um die Aufsichtsrats- und Vorstandsvergütung von Unternehmen.
Fehlende Compliance im Software-Lizenzbereich
26 Prozent aller Software in Deutschland war 2011 unlizenziert. Insgesamt wurde hierzulande PC-Software im Wert von 6,7 Mrd. Euro eingesetzt - lizenziert und bezahlt wurden aber nur Programme im Wert von 4,9 Mrd. Euro. Laut Selbstauskunft greifen nur 66 Prozent der deutschen Software-Nutzer nie zu unlizenzierter Software. Auch die zunehmende Verbreitung von Tablet-Computern und die Popularität von Software-as-a-Service (SaaS) konnte nicht verhindern, dass die "Schattenwirtschaft" mit illegaler Software weiterhin blüht: Trotz des rasanten Wachstums dieser Angebote war ihr Anteil zu gering, um deutliche Auswirkungen zu haben. Weltweit waren 42 Prozent aller eingesetzten Programme unlizenziert, was Software im Wert von 63 Mrd. US-Dollar entspricht. Die Ergebnisse stammen aus der aktuellen Piraterie-Studie der Business Software Alliance (BSA) im Verbund mit der IDC und dem Marktforschungsinstitut Ipsos.
Soziale Medien und Unternehmenskultur
Fast die Hälfte (47 Prozent) aller Unternehmen in Deutschland setzt soziale Medien ein. Weitere 15 Prozent haben bereits konkrete Pläne, damit in Kürze zu beginnen. Das geht aus einer Studie hervor, die der Hightech-Verband Bitkom in Berlin vorgestellt hat. Dabei wurden im Auftrag des Bitkom 732 Unternehmen aller Branchen befragt. Die Umfrage ist repräsentativ für die Gesamtwirtschaft.
Hoch im Kurs bei ECM: Compliance
Effiziente Suche, Vorgangsbearbeitung mittels elektronischer Akte und Business-Process-Management sind für Unternehmen die Top-Trends im Umfeld von Enterprise Content Management (ECM). Dies ergab eine umfangreiche Studie des Marktanalyse- und Beratungsunternehmens Pierre Audoin Consultants (PAC). Befragt wurden mehr als 100 Unternehmen mit über 1.000 Angestellten in der DACH-Region.
Professionelle Solvency II-Lösungen bevorzugt
Nach aktuellen Verlautbarungen der EU-Kommission ist der 30. Juni 2013 der Stichtag, bis zu dem alle europäischen Versicherungsunternehmen ihre Governance, Risk und Compliance (GRC) Prozesse und Systeme der Solvency II-Richtlinie angepasst haben müssen. Während jedoch die Unternehmen ihr Augenmerk bei den Vorbereitungen zur Umsetzung der Anforderungen auf Säule I (Kapitaleffizienz) und Säule II (Risikomanagement) richten, wird Säule III (Reporting) nur wenig Beachtung geschenkt. Bis heute haben 84 Prozent der europäischen Versicherer noch keinen Berichtsrahmen und ergänzende Systeme implementiert. Folglich sind nur 16 Prozent darauf vorbereitet, den EU-Aufsichtsbehörden die geforderten Quartals- und Jahresberichte vorzulegen. Dies sind die Ergebnisse einer aktuellen Studie der Management- und Technologieberatung BearingPoint bei der über 350 europäische Versicherungsunternehmen in verschiedenen Schlüsselmärkten befragt wurden.
Klarheit und Verständlichkeit der AGB
Nur jeder fünfte Internetnutzer (22 Prozent) liest mehr oder weniger regelmäßig die Allgemeinen Geschäftsbedingungen von Online-Anbietern. So lesen einer Bitkom-Umfrage zufolge 6 Prozent "immer" und 16 Prozent zumindest "manchmal" die AGB (Allgemeine Geschäftsbedingungen). Dagegen erklärten 17 Prozent der Anwender, das Kleingedruckte "selten" zu lesen, 23 Prozent tun dies "nie". Ein weiteres Drittel der Onliner machte dazu keine Angaben.
Studie zur Umsetzung der EU-Änderungen zu Cookies
Die durch die EU vorgegebenen Änderungen für den Umgang mit Cookies werden in den Mitgliedsstaaten sehr unterschiedlich umgesetzt. Entscheidende Fragen, wie die Einholung der Einwilligung zum Setzen von Cookies, sind daher von Unternehmen auch zukünftig nicht europaweit einheitlich zu beantworten. Das hat eine Vergleichsstudie zahlreicher europäischer Kanzleien ergeben, die von der englischen Kanzlei Bristows initiiert wurde und zu der Oppenhoff & Partner beigetragen hat.
Internet und Demokratie
Das Internet fördert in den Augen seiner Nutzer die Demokratie. 61 Prozent der deutschen Internetnutzer sind aktuell der Meinung, das Internet trage zu mehr Demokratie bei. Das geht aus einer Erhebung im Auftrag des Hightech-Verbandes Bitkom hervor. "Das Internet bietet hervorragende Möglichkeiten, die politische Arbeit transparenter zu machen und breite Bevölkerungsschichten einzubeziehen", sagte Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder. "In vielen Ländern ist das Web sogar zu einer wichtigen Voraussetzung geworden, um demokratische Strukturen überhaupt erst auf den Weg zu bringen."
Rechtswesen vernachlässigt Informationssicherheit
Unternehmen im Bereich Rechtsberatung wie zum Beispiel Anwaltskanzleien gehen im Vergleich mit anderen Branchen am nachlässigsten mit ihren Informationen um. Bei einer aktuellen europaweiten Studie von Iron Mountain und PwC zum Umgang mittelständischer Unternehmen mit Informationen landeten sie auf dem letzten Platz hinter Finanzdienstleistern, Versicherungen, produzierenden Unternehmen und der Pharmaindustrie. 42 Prozent der Kanzleien in Europa wissen nicht einmal, ob ihnen in den vergangenen drei Jahren Daten abhanden gekommen sind. Viele überprüfen auch nicht, ob ihre Mitarbeiter überhaupt Maßnahmen für eine höhere Informationssicherheit ergreifen. Mit der Studie wurde auch der europaweit erste europäische Vergleichsindex (Information Risk Maturity Index) erstellt, mit dem Unternehmen ermitteln können, ob sie angemessen auf Informationsrisiken vorbereitet sind.
SaaS, On demand, ASP, Cloud Computing, Outsourcing >>>
Top News
Literatur-Tipps
- Anzeigen -
- Anzeigen -
Kostenloser Newsletter
Werktäglich informiert mit IT SecCity.de, Compliance-Magazin.de und SaaS-Magazin.de. Mit einem Newsletter Zugriff auf drei Online-Magazine. Bestellen Sie hier
Im Außenhandel spielen heute über die reine Einfuhr- und Ausfuhranmeldung hinaus zahlreiche steuerliche und rechtliche Aspekte eine Rolle. Sanktionsverordnungen und Präferenzkalkulation sind hierfür nur zwei Beispiele. Hinzu kommt, dass Einfuhren, Ausfuhren und alle weiteren zollrechtlich relevanten Vorgänge zukünftig ausschließlich elektronisch über das ATLAS-Verfahren abgewickelt werden sollen. Zoll und Außenhandel sind heute derart komplex, dass Unternehmen sie - ähnlich wie Steuerangelegenheiten - nur noch mit Hilfe erfahrener Experten und einer leistungsstarken Software effizient und konform mit den geltenden rechtlichen Bestimmungen abwickeln können.
Der III. Zivilsenat des BGH hatte unlängst über die Frage zu entscheiden, ob bzw. nach welchen Maßgaben eine Kapitalanlage-Vertriebsorganisation für strafbare Handlungen eines von ihr eingesetzten Handelsvertreters dem geschädigten Anleger gegenüber haftbar gemacht werden kann (BGH, Urteil v. 15.03.2012 - III ZR 148/11).
