IT-Risikomanagement
Konzept zur Evaluierung einer GRC-Software
Meine Diplomarbeit befasst sich mit dem Thema Risikomanagement und der konzeptionellen Auswahl einer GRC-Software. Dem Leser wird ein Einstieg in Form einer allgemeinen Dokumentation zum Thema Risikomanagement geboten. Sie ermöglicht einen Überblick über die Bestandteile des Risikomanagements und eine Erläuterung zu den traditionellen und modernen Methoden, sowie deren jeweiligen Chancen und Risiken. Zum Schluss der Dokumentation erfolgt eine Überleitung zum Hauptteil der Diplomarbeit - der Evaluation einer GRC-Softwarelösung.
Ausgangslage
Die fortdauernde Zentralisierung von IT-Systemen und immer komplexere regulatorische Anforderungen erhöhen die Risiken für IT-Sicherheit und Datenschutz. Traditionelle, oftmals manuelle Ansätze stossen zunehmend an ihre Grenzen, weshalb Unternehmen die Einführung einer zentrale Lösung (GRC-Software) für unternehmensweite Verwaltung von Governance-, Compliance- und Risikomanagementprozesse prüfen sollten.
Vorgehen
Durch eine umfassende Marktanalyse wurde die wachsende Nachfrage nach GRC-Lösungen im Schweizer Markt bestätigt. Basierend auf den identifizierten Bedürfnissen potenzieller Kunden wurde mittels Brainstorming eine Vorauswahl von sechs Software-Lösungen getroffen. Die Auswahl der geeignetsten Variante erfolgte schrittweise durch mehrere Bewertungsvefahren und wurde abschliessend durch eine Sensitivitätsanalyse auf ihre Robustheit geprüft. Im Anschluss erfolgte eine konzeptionelle Kosten-Nutzen Analyse und es wurde ein dynamisches Konzept zur möglichen Implementierung ausgearbeitet.
Methodik
Die Auswahl erfolgte mittels verschiedener Analyse- und Bewertungsmethoden. Zuerst wurden die in der Marktanalyse identifizierten Anforderungskriterien an GRC-Tools priorisiert und dadurch die Variantenbildung auf vier Softwarelösungen reduziert. Anschliessend wurden die vier GRC-Tools mittels einer Präferenzmatrix und einer Nutzwertanalyse bewertet, wodurch sich feststellen liess, welches der vier Tools die wesentlichen Anforderungen bestmöglich erfüllt.
Durch das entwickelte Konzept wird Unternehmen die Möglichkeit geboten, durch individuelle Anpassung der Kriterien und deren Gewichtung ihre jeweiligen Anforderungen an eine Software zu präzisieren und dadurch eine passende Softwarelösung zu evaluieren. Zudem wurde ein 4-phasiges Implementierungskonzept erarbeitet, dass sich an "PDCA" orientiert und somit eine dynamische Implementation ermöglicht.
Ausblick
Durch die kontinuierlichen Innovationen im Bereich "Künstliche Intelligenz" und "Machine Learning" werden die Effizienz und Funktionsumfang von GRC-Tools laufend verbessert. Durch eine Integration mit anderen unternehmenspezifischen Systemen wird die Hebelwirkung zudem verstärkt und erleichtert die unternehmensweite Verwaltung von GRC-Anforderungen stetig.
Fazit und Danksagung
Die Diplomarbeit ermöglichte es mir, vertiefte Einblicke in das Thema IT-Sicherheit und Risikomanagement zu gewinnen. Durch die Anwendung des 4-Phasen-Modells des Projektmanagements, hatte ich zu jeder Zeit den Überblick über den Fortschritt der Diplomarbeit und konnte dynamisch auf Veränderungen und Herausforderungen reagieren. Zudem vereinfachte die Projekstrukturplanung das Bearbeiten dieses grossen Projekts, durch das Herunterbrechen in kleinere Arbeitspakete, massiv.
Mein besonderer Dank gilt dem engagierten Fachexperten, welcher mit seinen konstruktiven Feedbacks wesentlich zur Qualität meiner Diplomarbeit beigetragen hat.
Hinweis:
Die Diplomarbeit wurde nicht veröffentlicht. Bei Interesse an den Inhalten kann gerne eine Anfrage per E-Mail gestellt werden.
Dominique Kassold
arbeitet als Application Manager für einen der führenden Softwarehersteller von Bankensoftware
dominique.kassold@outlook.com
079 198 70 40
