IT-Governance, Risiko- und Compliance-Management (IT‑GRC) – Ein Kompetenz-orientierter Ansatz für KMU
Vorschaubild nicht verfügbar
Volltext URI
Text/Journal Article
ISSN der Zeitschrift
Kleine und mittlere Unternehmen aller Branchen versuchen sich nach wie vor angemessen mit den Herausforderungen der Globalisierung und der digitalen Transformation auseinanderzusetzen. Sie bilden in diesem Zusammenhang wachsende Kompetenz in der Produktionsautomatisierung (Industrie 4.0) und in digitalen Geschäfts- und Verwaltungsprozessen aus. In Bezug auf IT-GRC bleiben KMU demgegenüber faktisch oft noch unreif. Bestehende Ansätze des IT-Governance‑, Risiko- und Compliance-Managements sind noch zu wenig für KMU ausgestaltet. Der Artikel stellt vor diesem Hintergrund einen zunächst aus der Literatur abgeleiteten, und dann zusammen mit Feedback von 14 IT-GRC Experten aufgestellten, Kompetenz-orientierten Ansatz zur Wahrnehmung, Messung und Steuerung des IT-Governance, Risiko- und Compliance-Managements in KMU vor. Der Ansatz enthält sechs relevante Kompetenzkategorien. Der Beitrag stellt dann zwei abgeleitete, webbasierte Tools zur Messung und Erfassung der Handlungsbedarfe und zur Unterstützung von Management-Maßnahmen vor. Der Ansatz sowie die prototypisch realisierten Tools unterstützen das IT-GRC Management von KMU gemäß ihrem Reifegrad und bedarfsorientiert. Bei der Unterstützung wird der Fokus darauf gelegt, KMU bei der Umsetzung der ständig wachsenden IT-GRC-Anforderungen schlanke und konkrete Methoden, Werkzeuge und Hilfsmittel an die Hand zu geben und die verschiedenen Stakeholder einzubinden. SMEs in all sectors are still trying to deal adequately with the challenges of globalisation and digital transformation. They are building up competence in production automation (Industry 4.0) as well as in the digitalisation of common business models and administrative processes, SMEs are, however, often still immature with regard to IT-governance, IT-security and IT-compliance. Existing approaches for IT-GRC are not suitable and tailored enough towards the needs and realities of SMEs. The article thus presents a literature-based approach for the perception, measurement and control of IT governance, risk and compliance management in SMEs, which includes six relevant categories of competence, and which was formed by also using feedback from 14 IT-GRC experts. The article then introduces two web-based tools for measuring IT-GRC maturity, but also for the management of measures in the relevant areas of competence for SMEs. The approach as well as the prototypically realized tools supports IT-GRC management in SMEs depending on the degree of their IT-GRC maturity. It entails fields of action and result types (recommendations, checklists, sample contracts). In the approach, emphasis is put on the involvement of diverse stakeholders and their points of view, needs-driven and lean methods as well as concrete tools and aids.