Interviewpartner: Richard Jansen
Funktion: Managing Director
Unternehmen: BWise Germany GmbH
Website: http://www.bwise-grc.de
Beschreiben Sie kurz Ihr Unternehmen. Welche Zielgruppe sprechen Sie hauptsächlich an?
Nasdaq ist mit seiner BWise GRC-Plattform einer der führenden globalen Software-Anbieter in dem Bereich Governance, Risk und Compliance (GRC). Zu unserer Zielgruppe gehören global tätige Unternehmen (Großkonzerne als auch Familienunternehmen und gehobene Mittelständler), welche in einem sich stets verändernden Umfeld ihre Compliance, ihr Risikomanagement, IKS, Audit und ihre Informationssicherheit und/oder IT-Sicherheit managen müssen.
Was kann man sich unter dem Begriff “Continuous Monitoring” genau vorstellen?
IT- und ERP-Systeme enthalten eine Vielfalt an Daten, welche relevant sein könnten in GRC- Projekten. Bei Continuous Monitoring (CM) und Continuous Auditing (CA) geht es darum, die vorhandenen Daten im richtigen Format aufzubereiten, um eine effizientere und effektivere Überwachung der internen Prozessabläufe sicherstellen zu können.
In der Praxis fokussiert CA auf die periodische oder kontinuierliche Erstellung von Nachweisdokumenten und Indikatoren, die aus IT-Systemen, Prozessabläufen und Kontrollen abgeleitet werden können zur Unterstützung Ihrer Prüfungsaktivitäten.
CM ist die kontinuierliche Überwachung von Prozessabläufen oder IT-Systemen mit dem Ziel, Fehler, Fraud und Ausfall zu verhindern. Gleichzeitig bietet dieser Ansatz auch eine Vielfalt an Instrumenten der Leistungssteuerung.
Welche Punkte sind bei der Einführung eines Continuous Monitoring Systems zu berücksichtigen?
Die wichtigsten Punkte, die bei der Einführung eines CM-Systems zu berücksichtigen sind:
- Eine Vision entwickeln, welche Fachbereiche am meisten von einem CM/CA Ansatz profitieren könnten
- Ein Verständnis dafür entwickeln, was die verfügbaren Analysetools genau liefern können
- Die Systemlandschaft bewerten um festzustellen, welche Möglichkeiten man sofort nutzen könnte
- Verstehen, welche Bedürfnisse Ihre internen Kunden haben
- Priorisieren, welche Kosten-Nutzen-Analysen den größten Mehrwert liefern
Welche Bedeutung hat ein Continuous Monitoring System im Zusammenspiel mit internen Kontrollsystemen und Compliance Management Systemen?
Derzeit spezialisieren sich die meisten Softwareanbieter entweder auf Data Analytics oder auf GRC-Lösungen. Die beste Lösung ist eindeutig die Verbindung beider Welten, um maximale Kontrolle über Unternehmensrisiken bei gleichzeitigen Prozessverbesserungen und Kosteneinsparungen zu gewährleisten und den manuellen Aufwand deutlich zu verringern. Für die Compliance bedeutet es, dass CM die Konformität mit Anti-Korruptions-, Anti-Geldwäsche- und Anti-Betrugs-Vorschriften stützt und die fristgerechte Nachverfolgung und Echt-Zeit-Überwachung mit integrierten Workflows und Reporting-Funktionalitäten sicherstellt. Die automatisierte Beweis-Sammlung für ICFR/IKS -Compliance und die automatische Messung der Kontrollwirksamkeit unterstützen ein effizientes Internes Kontrollsystem. Darüber hinaus wird Segregation of Duties (SoD) gewährleistet und Ineffizienzen in Geschäftsprozessen identifiziert.
Welche neuen Entwicklungen gibt es im GRC-Umfeld, die derzeit die deutschen Unternehmen besonders beschäftigen (sollten)?
Unserer Einschätzung nach wird CM immer mehr an Bedeutung gewinnen, vor allem dadurch, dass Assurance-Konzepte zukünftig effizienter gestaltet werden müssen. Technologie ermöglicht es jetzt schon mehr und mehr automatisierte Abläufe einzuführen.
Allerdings bleibt auch die Integration eines Governance-, Risk- und Compliance-Ansatzes ein wichtiges Thema im Markt.
Immer mehr Unternehmen fokussieren neben klassischen Risikomanagement- und IKS- Systemen auch auf IT-Sicherheit und Informationssicherheitskonzepte. Der Einfluss der IT wird durch die IT-Entwicklungen von immer größerer Bedeutung.
Was war das spannendste Projekt, das Sie/Ihr Unternehmen in den letzten 12 Monaten in Angriff genommen haben?
Eines der spannendsten Projekte, in das wir neulich eingestiegen sind, betrifft die Implementierung einer integrierten GRC-Plattform mit der Zielsetzung eine Integration zu schaffen zwischen IT-Sicherheit, Informationssicherheit, Audit, Risikomanagement, IKS und Incident Management.
Wir fahren im Projekt einen phasenweisen Ansatz, wobei es besonders wichtig ist, von Anfang an einen Mehrwert zu schaffen für die einzelnen Abteilungen.
Es betrifft eine globale Implementierung, die voraussichtlich 2 Jahre in Anspruch nehmen wird.
Ein kurzes Statement zum Schluss:
Mir ist es persönlich wichtig, jeden Tag zu genießen und sich vor allem mit Themen zu befassen, die persönlich auch Spaß machen. Ich liebe es, etwas von Grund auf aufzubauen. Selbstverständlich stößt man regelmäßig auf Herausforderungen. Mittlerweile habe ich aber auch die Erfahrung, dass wenn man sich bemüht, für jedes Problem auch eine Lösung vorhanden ist.