PASS GRC – Governance, Risk und Compliance
Modulare, integrierte GRC Software zur Unterstützung der IT-Governance
PASS GRC Suite
Vollständig integrierte GRC Software zur Steuerung von IT-Governance, IT-Risikomanagement und IT-Compliance
PASS GRC unterstützt Prozesse der IT-Governance, insbesondere Risikomanagement, Prüfungen/Audits und KPI-basiertes Controlling.
Die moderne, benutzerkonfigurierbare Anwendungsumgebung beinhaltet Benachrichtigungs- und Erinnerungsmanagement und gewährleistet Revisionssicherheit. Daraus resultiert für Unternehmen eine Verbesserung hinsichtlich Qualität und Produktivität der Zusammenarbeit, vor allem im Risikomanagement und bei internen und externen Prüfungen.
Unser Blogbeitrag zum Thema:
Digitalisierung der IT-Governance: Integriert, papierlos und kollaborativ
Das Governance-Modell einer IT-Organisation
Basierend auf Gesetzen, Standards und der eigenen Strategie muss die IT-Organisation Ziele definieren und notwendige Aktivitäten oder Maßnahmen (Kontrollen) sowie Richtlinien/Leitlinien festlegen und umsetzen. Risiken, die mit einer mangelhaften Zielerreichung verbunden sind, müssen regelmäßig überwacht und behandelt werden (Risikomanagement). Die Einhaltung der Kontrollen muss stets im Rahmen interner bzw. externer Audits überprüft werden (Compliance). Das Management benötigt KPIs (Key-Performance-Indikatoren) zur zeitnahen Überwachung der Einhaltung von Sollwerten (Controlling).
Gesetzliche Grundlagen
Unterstützung gesetzlicher Anforderungen, z.B. EU DSGVO, branchenspezifische aufsichtsrechtliche Regelungen wie BAIT/VAIT und Managementsystemstandards wie ISO/IEC 27001.
PASS GRC Highlights
Flexible Kontrollvorgaben/ Systemeinstellungen
Steuerungsvorgaben können flexibel definiert und an angepasst werden, z.B. gesetzliche/regulatorische Vorgaben, Managementsystemstandards. Die Nutzung vorhandener Regelwerke ermöglicht eine schnelle Systemverfügbarkeit.
Zentrale Verwaltung von Dokumenten
Richtlinien, beziehungsweise Leitlinien stehen durch das GRC Tool an zentraler Stelle zur Verfügung. Damit ist gewährleistet, dass sämtliche Verantwortliche automatisch an notwendige Reviews und Freigaben erinnert werden.
Interaktionen und Transparenz bei Prüfungen
Prüfer können mit Asset Ownern im Risikomodul interagieren. Der konfigurierbare Workflow erleichtert die Zusammenarbeit interner und externer Prüfer. Der Prüfer hat Zugriff auf alle Ergebnisse und Feststellungen erfolgter Prüfungen.
Konfigurierbarer Risikomanagementprozess
Alle Parameter des Risikomanagementprozesses lassen sich gemäß den spezifischen Anforderungen des Unternehmens definieren. Die am Prozess Beteiligten werden automatisch an anstehende oder überfällige Aktivitäten erinnert.
Revisionssichere Archivierung
Nach Datenänderungen werden unveränderbare Snapshots gespeichert. Diese lassen sich miteinander vergleichen, so dass die Änderung und der Benutzer, der diese vorgenommen hat, nebst Überarbeitungsdatum und -uhrzeit erkennbar sind.
Automatisiertes KPI-basiertes Controlling
Mit Hilfe konfigurierbarer Adaptoren können KPIs durch Zugriffe auf externe Systeme, z.B. Ticketing-Systeme, zyklisch aktualisiert werden. Ein zentrales Dashboard zeigt den Status aller KPIs und ermöglicht Detailansichten.
Funktionen des GRC Tools
-
Benutzerzentrierte Oberfläche
PASS GRC bietet dem Anwender eine einheitliche Oberfläche und Bedienerführung über alle Module hinweg, die individuell angepasst werden kann. Benutzer können sich beispielsweise je Maske eigene Spalteneinstellungen wie auch Filter abspeichern und jederzeit wieder aufrufen. -
Benachrichtigungs- und Erinnerungsmanagement
Unmittelbar nach der Anmeldung wird jedem Anwender in seinem persönlichen Dashboard angezeigt, welche Bearbeitungsschritte aufgrund seiner Zuordnung anstehen bzw. überfällig sind. -
Workflow
Für alle Module können unabhängig voneinander Statuswerte definiert werden. Es kann festgelegt werden, welche Statuswerte Relevanz für das Benachrichtigungs- und Erinnerungsmanagement haben.
-
Berechtigungssystem
Das konfigurierbare Rollen/Rechte-System ermöglicht eine feingranulare Festlegung funktionsbezogener Rechte für interne wie auch externe Anwender. Die Sichtbarkeit von Risiken, Prüfungen und Maßnahmen kann durch Zuordnung frei definierbarer Scopes für jeden Anwender zuverlässig eingeschränkt werden. -
Flexible Anpassung an unternehmensspezifische Vorgaben
Zur Anpassung des Risikomoduls können zahlreiche Optionen, Intervalle, Vorlaufzeiten zur Anzeige fälliger Bearbeitungsschritte im Dashboard usw. unternehmensspezifisch angepasst werden. -
Reportgenerator
Ein optional integrierter Reportgenerator ermöglicht die Erstellung von Standardberichten und deren Bereitstellung zum Aufruf durch festgelegte Anwendergruppen.
Screenshots aus der PASS GRC Suite
Kontrollen
Die Kontrollstruktur eines Unternehmens kann mit bis zu vier Hierarchieebenen modelliert werden. Bei Kontrollen ist eine Referenzierung auf gesetzliche Vorgaben oder Standards möglich. Für viele Bereiche kann zum schnellen Einstieg Content zur Verfügung gestellt werden (z.B. ISO/IEC 27001, BAIT/MaRisk usw.).
Risikomanagement
Das Risiko-Modul unterstützt einen zyklischen Prozess der Planung, Bewertung bzw. Überwachung, Berichtserstellung und Einholen der Managementakzeptanz von Chancen und Risiken bzw. der Durchführung und Nachverfolgung von Steuerungsmaßnahmen.
Richtlinien/Leitlinien
Mit einem Policy-Modul bietet PASS GRC Funktionen einer Dokumentenverwaltung, integriert in das Benachrichtigungs- und Erinnerungsmanagement.
Prüfungen/Audits
Das Audit-Modul unterstützt einen zyklischen Prüfungsprozess, der die Einbindung externer Prüfer ebenso unterstützt wie den Zugriff auf Ergebnisse und Unterlagen früherer Prüfungen oder den Informationsaustausch mit dem Risiko-Modul.
Benefits
Für Anwender und die Fachseite
- Individualisierbare, benutzerfreundliche Oberflächen mit zeitgemäßem UX-Design.
- Konfigurierbares Benachrichtigungs- und Erinnerungsmanagement.
Für IT- oder Bereichsverantwortliche
- Interaktionen sowie Transparenz zwischen den Modulen, beispielsweise Einblicke der Prüfer in Risikobewertungen und Anstoßen einer Neubewertung von Risiken.
Für Entscheider bzw. das Management
- Konformität der eigenen GRC Prozesse zu den definierten Zielen.
- Möglichkeit, Gefährdungen der Zielerreichung zu antizipieren.
PASS Services
Unsere Serviceleistungen
Mit unseren Services bieten wir eine Einführungsunterstützung im notwendigen Umfang an. Dazu gehören z.B.,
- die Analyse Ihrer Prozesse und Anforderungen,
- die Einrichtung und Konfiguration anhand bestehender Rahmenwerke oder die Übernahme bestehender Daten,
- die Integration in Ihre Systemlandschaft,
- die Erstellung von Adaptoren und
- die Ausbildung Ihrer Anwender.
Unsere Experten beraten Sie gerne, was den Aufbau von oder die Integration mit bestehenden Management- oder Kontrollsystemen angeht und unterstützen Sie ebenfalls bei der Zusammenarbeit mit externen Prüfern.
Im Rahmen der Wartung versorgen wir Sie mit notwendigen Updates, beispielsweise bei Änderungen relevanter Gesetze oder Standards.
Häufige Fragen unserer Kunden
Allgemein
Grundsätzlich sind die Steuerungsvorgaben frei definierbar und können an beliebige Vorgaben angepasst werden. Für viele Bereiche existieren bereits entsprechende Rahmenwerke, die vorgegeben werden können.
Ja, der Import vorhandener Zielbeschreibungen und Kontrolldefinitionen ist grundsätzlich möglich.
Ja, für jede Datenänderung ist nachvollziehbar, welcher Nutzer die Änderung wann vorgenommen hat.
Es lassen sich beliebig viele Rollen definieren. Für jede Rolle können verschiedene Funktionsbereiche reduziert werden (z.B. nur Lesen, unsichtbar). Falls erforderlich, kann dies auf Ebene einzelner GUI-Elemente erfolgen. Durch das Scoping kann auch die Sichtbarkeit der Daten feingranular eingeschränkt werden.
Nutzungsmodelle der GRC Software
| Lizenzierung als Software | Software as a Service (SaaS)/Mietmodell | |
|---|---|---|
| Welche Arten von Lizenzen gibt es? | Unternehmenslizenz, Konzernlizenz | Produktlizenz inklusive Hosting der GRC Software im deutschen PASS Rechenzentrum-Verbund |
| Ist eine Wartung erforderlich? | Ja | Ja |
| Wie hoch sind die Wartungskosten? | Mind. 18% vom Lizenzpreis, ggf. 33% | Sind in der Servicepauschale inkludiert |
| Erfolgt die Inbetriebnahme durch eine Installation? | Ja | Ja |
| Was sind die Vorteile dieses Nutzungsmodells? | Vollständige Integration in Unternehmensprozesse und Systeme. Customizing möglich | Einheitliches Servicepaket aus einer Hand und Hosting in Deutschland |