PASS GRC – Governance, Risk und Compliance Software
Modulare, integrierte GRC Software zur Unterstützung der IT-Governance
PASS GRC Suite
Vollständig integrierte GRC Software zur Steuerung von IT-Governance, IT-Risikomanagement und IT-Compliance
PASS GRC unterstützt Prozesse der IT-Governance, insbesondere Risikomanagement, Prüfungen/Audits und KPI-basiertes Controlling.
Die moderne, benutzerkonfigurierbare Anwendungsumgebung beinhaltet Benachrichtigungs- und Erinnerungsmanagement und gewährleistet Revisionssicherheit. Daraus resultiert für Unternehmen eine Verbesserung hinsichtlich Qualität und Produktivität der Zusammenarbeit, vor allem im Risikomanagement und bei internen und externen Prüfungen.
Unser Blogbeitrag zum Thema:
Digitalisierung der IT-Governance: Integriert, papierlos und kollaborativ
Das Governance-Modell einer IT-Organisation
Basierend auf Gesetzen, Standards und der eigenen Strategie muss die IT-Organisation Ziele definieren und notwendige Aktivitäten oder Maßnahmen (Kontrollen) sowie Richtlinien/Leitlinien festlegen und umsetzen. Risiken, die mit einer mangelhaften Zielerreichung verbunden sind, müssen regelmäßig überwacht und behandelt werden (Risikomanagement). Die Einhaltung der Kontrollen muss stets im Rahmen interner bzw. externer Audits überprüft werden (Compliance). Das Management benötigt KPIs (Key-Performance-Indikatoren) zur zeitnahen Überwachung der Einhaltung von Sollwerten (Controlling).
Gesetzliche Grundlagen
Unterstützung gesetzlicher Anforderungen, z.B. EU DSGVO, branchenspezifische aufsichtsrechtliche Regelungen wie BAIT/VAIT und Managementsystemstandards wie ISO/IEC 27001.
PASS GRC Highlights
Flexible Kontrollvorgaben/ Systemeinstellungen
Steuerungsvorgaben können flexibel definiert und an angepasst werden, z.B. gesetzliche/regulatorische Vorgaben, Managementsystemstandards. Die Nutzung vorhandener Regelwerke ermöglicht eine schnelle Systemverfügbarkeit.
Zentrale Verwaltung von Dokumenten
Richtlinien, beziehungsweise Leitlinien stehen durch das GRC Tool an zentraler Stelle zur Verfügung. Damit ist gewährleistet, dass sämtliche Verantwortliche automatisch an notwendige Reviews und Freigaben erinnert werden.
Interaktionen und Transparenz bei Prüfungen
Prüfer können mit Asset Ownern im Risikomodul interagieren. Der konfigurierbare Workflow erleichtert die Zusammenarbeit interner und externer Prüfer. Der Prüfer hat Zugriff auf alle Ergebnisse und Feststellungen erfolgter Prüfungen.
Konfigurierbarer Risikomanagementprozess
Alle Parameter des Risikomanagementprozesses lassen sich gemäß den spezifischen Anforderungen des Unternehmens definieren. Die am Prozess Beteiligten werden automatisch an anstehende oder überfällige Aktivitäten erinnert.
Revisionssichere Archivierung
Nach Datenänderungen werden unveränderbare Snapshots gespeichert. Diese lassen sich miteinander vergleichen, so dass die Änderung und der Benutzer, der diese vorgenommen hat, nebst Überarbeitungsdatum und -uhrzeit erkennbar sind.
Automatisiertes KPI-basiertes Controlling
Mit Hilfe konfigurierbarer Adaptoren können KPIs durch Zugriffe auf externe Systeme, z.B. Ticketing-Systeme, zyklisch aktualisiert werden. Ein zentrales Dashboard zeigt den Status aller KPIs und ermöglicht Detailansichten.
Funktionen des GRC Tools
-
Benutzerzentrierte Oberfläche
PASS GRC bietet dem Anwender eine einheitliche Oberfläche und Bedienerführung über alle Module hinweg, die individuell angepasst werden kann. Benutzer können sich beispielsweise je Maske eigene Spalteneinstellungen wie auch Filter abspeichern und jederzeit wieder aufrufen. -
Benachrichtigungs- und Erinnerungsmanagement
Unmittelbar nach der Anmeldung wird jedem Anwender in seinem persönlichen Dashboard angezeigt, welche Bearbeitungsschritte aufgrund seiner Zuordnung anstehen bzw. überfällig sind. -
Workflow
Für alle Module können unabhängig voneinander Statuswerte definiert werden. Es kann festgelegt werden, welche Statuswerte Relevanz für das Benachrichtigungs- und Erinnerungsmanagement haben.
-
Berechtigungssystem
Das konfigurierbare Rollen/Rechte-System ermöglicht eine feingranulare Festlegung funktionsbezogener Rechte für interne wie auch externe Anwender. Die Sichtbarkeit von Risiken, Prüfungen und Maßnahmen kann durch Zuordnung frei definierbarer Scopes für jeden Anwender zuverlässig eingeschränkt werden. -
Flexible Anpassung an unternehmensspezifische Vorgaben
Zur Anpassung des Risikomoduls können zahlreiche Optionen, Intervalle, Vorlaufzeiten zur Anzeige fälliger Bearbeitungsschritte im Dashboard usw. unternehmensspezifisch angepasst werden. -
Reportgenerator
Ein optional integrierter Reportgenerator ermöglicht die Erstellung von Standardberichten und deren Bereitstellung zum Aufruf durch festgelegte Anwendergruppen.
Screenshots aus der PASS GRC Suite
Kontrollen
Die Kontrollstruktur eines Unternehmens kann mit bis zu vier Hierarchieebenen modelliert werden. Bei Kontrollen ist eine Referenzierung auf gesetzliche Vorgaben oder Standards möglich. Für viele Bereiche kann zum schnellen Einstieg Content zur Verfügung gestellt werden (z.B. ISO/IEC 27001, BAIT/MaRisk usw.).
Risikomanagement
Das Risiko-Modul unterstützt einen zyklischen Prozess der Planung, Bewertung bzw. Überwachung, Berichtserstellung und Einholen der Managementakzeptanz von Chancen und Risiken bzw. der Durchführung und Nachverfolgung von Steuerungsmaßnahmen.
Richtlinien/Leitlinien
Mit einem Policy-Modul bietet PASS GRC Funktionen einer Dokumentenverwaltung, integriert in das Benachrichtigungs- und Erinnerungsmanagement.
Prüfungen/Audits
Das Audit-Modul unterstützt einen zyklischen Prüfungsprozess, der die Einbindung externer Prüfer ebenso unterstützt wie den Zugriff auf Ergebnisse und Unterlagen früherer Prüfungen oder den Informationsaustausch mit dem Risiko-Modul.
Benefits
Für Anwender und die Fachseite
- Individualisierbare, benutzerfreundliche Oberflächen mit zeitgemäßem UX-Design.
- Konfigurierbares Benachrichtigungs- und Erinnerungsmanagement.
Für IT- oder Bereichsverantwortliche
- Interaktionen sowie Transparenz zwischen den Modulen, beispielsweise Einblicke der Prüfer in Risikobewertungen und Anstoßen einer Neubewertung von Risiken.
Für Entscheider bzw. das Management
- Konformität der eigenen GRC Prozesse zu den definierten Zielen.
- Möglichkeit, Gefährdungen der Zielerreichung zu antizipieren.
PASS Services
Unsere Serviceleistungen
Mit unseren Services bieten wir eine Einführungsunterstützung im notwendigen Umfang an. Dazu gehören z.B.,
- die Analyse Ihrer Prozesse und Anforderungen,
- die Einrichtung und Konfiguration anhand bestehender Rahmenwerke oder die Übernahme bestehender Daten,
- die Integration in Ihre Systemlandschaft,
- die Erstellung von Adaptoren und
- die Ausbildung Ihrer Anwender.
Unsere Experten beraten Sie gerne, was den Aufbau von oder die Integration mit bestehenden Management- oder Kontrollsystemen angeht und unterstützen Sie ebenfalls bei der Zusammenarbeit mit externen Prüfern.
Im Rahmen der Wartung versorgen wir Sie mit notwendigen Updates, beispielsweise bei Änderungen relevanter Gesetze oder Standards.
Häufige Fragen unserer Kunden
Allgemein
Grundsätzlich sind die Steuerungsvorgaben frei definierbar und können an beliebige Vorgaben angepasst werden. Für viele Bereiche existieren bereits entsprechende Rahmenwerke, die vorgegeben werden können.
Ja, der Import vorhandener Zielbeschreibungen und Kontrolldefinitionen ist grundsätzlich möglich.
Ja, für jede Datenänderung ist nachvollziehbar, welcher Nutzer die Änderung wann vorgenommen hat.
Es lassen sich beliebig viele Rollen definieren. Für jede Rolle können verschiedene Funktionsbereiche reduziert werden (z.B. nur Lesen, unsichtbar). Falls erforderlich, kann dies auf Ebene einzelner GUI-Elemente erfolgen. Durch das Scoping kann auch die Sichtbarkeit der Daten feingranular eingeschränkt werden.
Nutzungsmodelle der GRC Software
| Lizenzierung als Software | Software as a Service (SaaS)/Mietmodell | |
|---|---|---|
| Welche Arten von Lizenzen gibt es? | Unternehmenslizenz, Konzernlizenz | Produktlizenz inklusive Hosting der GRC Software im deutschen PASS Rechenzentrum-Verbund |
| Ist eine Wartung erforderlich? | Ja | Ja |
| Wie hoch sind die Wartungskosten? | Mind. 18% vom Lizenzpreis, ggf. 33% | Sind in der Servicepauschale inkludiert |
| Erfolgt die Inbetriebnahme durch eine Installation? | Ja | Ja |
| Was sind die Vorteile dieses Nutzungsmodells? | Vollständige Integration in Unternehmensprozesse und Systeme. Customizing möglich | Einheitliches Servicepaket aus einer Hand und Hosting in Deutschland |
Internes Kontrollsystem (IKS) richtig managen
Speziell auf die Bedürfnisse von Banken und Versicherungen ausgerichtetes IKS Management
Aufgrund aufsichtsrechtlicher Regularien (wie BAIT/VAIT/MaRisk) und zunehmender Komplexität innerhalb von Banken und Versicherungen, z.B. durch steigende Anzahl von Dienstleistern, haben es Führungskräfte und Risikomanager immer schwerer das Interne Kontrollsystem (IKS) anzupassen und die Übersicht zu behalten.
Die PASS GRC Suite verfügt über eine branchenspezifische IKS-Lösung und hilft Finanzinstituten und Versicherungsunternehmen bei der Umsetzung, Überwachung und Einhaltung der EBA-Leitlinien (European Banking Authority) zu Auslagerungen sowie für das Management von IKT- und Sicherheitsrisiken.
Gesetzliche Grundlagen für Banken/Versicherungen in Deutschland
Bankaufsichtliche Anforderungen an die IT (BAIT) / MaRisk
- Bewertung der mit einer Auslagerung verbundenen Risiken und Berücksichtigung in der Gesamtrisikobewertung
- Inhaltliche Vorgaben für den Auslagerungsvertrag
- Vollständige, strukturierte Vertragsübersicht
- Zentrales Auslagerungsregister
- Überwachung der Leistungserbringung (auch durch KPIs) sowie regelmäßige und anlassbezogene Überprüfung
- Implementierung und Weiterentwicklung eines angemessenen Auslagerungsmanagements und entsprechender Kontroll- und Überwachungsprozesse
Versicherungsaufsichtliche Anforderungen an die IT (VAIT) / MaRisk
Sicherstellen des IKS Management
Oftmals ist es so, dass verschiedene Abteilung ihre Informationen in „eigenen“ Systemen oder Excel-Listen speichern und im Vorfeld von Audits, Prüfungen oder Ad-hoc-Anfragen sich die Informationen nur mühsam zusammensuchen lassen. Durch den Einsatz mehrerer Tools für unterschiedliche IKS-Aufgabenstellungen entstehen Medienbrüche in der Zusammenarbeit, es gibt wenig bis keine Transparenz über die Anwendungen hinweg oder die Prozesse sind aufwendig und teuer.
Mit der IKS-Software von PASS können Informationen strukturiert und zentral an einer Stelle abgelegt werden.
Vorteile der IKS Software
-
Management des internen Kontrollsystems in einer Anwendung
-
Kollaboratives Arbeiten von Compliance, IT, Orga und externen Prüfern
-
Externe Prüfer nutzen die Anwendung zur Dokumentation ihrer Vorgänge für Revisions- und Prüfungszwecke
-
Einbindung von Live-Daten aus der Produktion, SLA-Überwachung und weiterer KPI möglich
-
In Planung sind zusätzliche Module zum Auslagerungsmanagement aus Anforderungen der MaRisk/BAIT/VAIT
Highlights der IKS Software
Webanwendung
Webbasierte Anwendung mit moderner Benutzeroberfläche ermöglicht unternehmensweiten Zugriff und Kollaboration mit z.B. Wirtschaftsprüfern oder Auditoren.
Berechtigungsmanagement
Flexible Rollen- und Rechteverwaltung für Benutzer mittels LDAP-Anbindung.
Aufgabenmanagement
Unterstützung bei der vollständigen und termingerechten Erfüllung prüfungsrelevanter Aufgaben aus den Anforderungen von Management- und Kontrollsystemen.
Revisionssicherheit
Alle Anpassungen, Einträge, Statusveränderungen werden in der Lösung gespeichert und sind somit zu jeder Zeit nachvollziehbar.
Generisches System
Referenzierung auf mehrere Prüfungsstandards und regulatorische Vorgaben aus unterschiedlichen Anforderungen/Normen (ISO 27001, BAIT/VAIT, MaRisk, BSI, ISO 9001 u.a.). Erweiterbar um individuelle Regeln und Vorgaben.
Reporting
Ausführliche Berichts- und Reportfunktionen sowie E-Mail Versand. Ad-hoc-Reporting, z.B. zur Abarbeitung von Moniten oder Feststellungen.