Governance, Risk, Compliance – Brücken bauen

PolitikRechtSoftware

Governance, Risk und Compliance stellen begrifflich immer öfters ein Dreigestirn dar, das in der Realität der Unternehmen jedoch sehr selten in dieser Einheit zu finden ist. Einen einzigen Verantwortlichen für GRC findet man kaum, ja so gut wie nie. Vor allem nicht dort, wo er verortet sein müsste – nämlich im Management.

Eine aktuelle BARC-Umfrage bestätigt die zunehmende strategische Bedeutung von Performance Management, unter das auch Governance, Risk Management und Compliance fallen. Demnach ist in den letzten drei Jahren allein in Großunternehmen mit mehr als 5.000 Mitarbeitern die Anzahl der an Compliance und Risikomanagement beteiligten Personen um über 60 Prozent angestiegen. Doch ein dedizierter GRC-Beauftragter ist schwerer zu finden als die sprichwörtliche Stecknadel im Heuhaufen.

Was genau ist GRC?
Bei der übergeordneten Disziplin »Governance« handelt es sich um eine ureigenste strategische Aufgabe des Managements: Regeln, Strukturen und Prozesse sollen unter diesem Begriff definiert werden und dafür sorgen, dass die Ressourcen eines Unternehmens im Sinne der Unternehmensziele eingesetzt werden. Eng damit verknüpft ist das Risk Management, das erst durch die Orientierung an den Best Practices der Governance-Ebene möglich wird und dann dazu beiträgt, Unsicherheiten und Unklarheiten zu beseitigen, transparente Prozesse ermöglicht und so die Wahrscheinlichkeit des Eintretens eines negativen Ereignisses senkt. »Compliance-Management« schließlich vereint die Ebenen und verlangt von den Verantwortlichen, dass sie die Einhaltung aller internen und externen Vorgaben jederzeit nachweisen können.


Theorie und Wirklichkeit

Das Zusammenspiel der drei Disziplinen scheitert in der Realität oft an der immensen Komplexität der damit verbundenen Prozesse. Lieber teilt man die Verantwortlichkeiten auf mehrere Abteilungen auf, senkt so (scheinbar) die Komplexität, gibt aber auch die Chance auf, eine Gesamtsicht auf die strategische GRC-Steuerung zu haben. So wacht beispielsweise der CFO über die Compliance in der Finanzabteilung, der Risikomanager überprüft mögliche Fallstricke in Unternehmensprozessen und der CIO kümmert sich um Business Continuity, ganz zu schweigen von weiteren, für Einzelbereiche aus dem Umfeld GRC zuständigen Personen. Ohne eine zentrale Steuerung, d. h. jemanden auf höchster Managementebene, der die gemeinsame Richtung vorgibt, besteht dabei die Gefahr, dass die eingeschlagenen Wege der einzelnen Abteilungen nicht unbedingt zusammenpassen und nicht auf die Unternehmensziele ausgerichtet sind.

Aus drei mach eins
Von der Management-Perspektive aus betrachtet sind ausschließlich für bestimmte Abteilungen und Zwecke entwickelte Systeme und Lösungen ineffizient. Eine zentralisierte Implementierung und Überwachung der GRC-Prozesse und Auswertung von deren Ergebnissen wird durch solche »Technik-Inseln« verlangsamt und erschwert. Eine Erweiterung und unternehmensweite Ausdehnung des strategischen Prozessmanagements ist schwierig, wenn nicht sogar unmöglich, wenn die Einzelsysteme nicht kompatibel sind, keine Schnittstellen für Daten bieten. Die Vereinigung der Einhaltung gesetzlicher Vorgaben mit einer strategischen Unternehmensführung und einem firmenweiten Risikomanagement in einer Hand hat dagegen deutliche Vorteile. Hierzu zählen insbesondere die höhere Effizienz durch Integration, Standardisierung und Automatisierung der Prozesse, eine einheitliche Strategie und weniger Komplexität durch bessere Abstimmung zwischen Abteilungen sowie eine optimierte Verwaltung durch Integration spezialisierter Software.

Unterstützung durch Spezial-Software
Laut BARC-Studie setzen immerhin 20 Prozent der Befragten in ihrem Unternehmen im Bereich Compliance und Risikomanagement überhaupt keine Software zur Unterstützung ein, doch das ist die Ausnahme. Viele Unternehmen benutzen zumindest Excel, wobei der Trend jedoch in Richtung spezialisierte Software geht. Neuartige, vollintegrierte Prozessmanagement-Plattformen helfen dabei, das Dreigestirn aus Governance, Risk Management und Compliance auch in der Realität zusammenzuführen und erleichtern so die Zusammenarbeit der an den GRC-Prozessen beteiligten Personen. »Auslöser« für die Entwicklung solcher Plattformen war hier vor allem die Einführung von Compliance-Richtlinien wie der Sarbanes-Oxley Act (SOX) von 2002 sowie EuroSOX 2006. Der somit noch recht junge GRC Softwaremarkt hat trotzdem schon einiges an Lösungen zu bieten. Einerseits gibt es Firmen wie die DB3 aus Berlin, die sich mit ihrer HiScout GRC-Suite exklusiv der Entwicklung von GRC-Lösungen verschrieben haben; andererseits bieten gerade große Firmen wie Oracle, SAP oder IBM, die bereits Software für GRC-Teilbereiche herstellen, zunehmend übergreifende GRC-Suiten an.
Checkliste zur Auswahl der Software
Egal, ob die Wahl auf eine GRC-Software eines spezialisierten oder eines allgemeinen Anbieters fällt, sollten folgende Punkte im Vorfeld beachtet werden:
–    Können vorhandene IT-Systeme, die Informationen zu den verschiedenen Bereichen liefern, eingebunden werden?
–    Können alle notwendigen Vorschriften, Richtlinien und Risiken für alle Unternehmensbereiche abgebildet werden?
–    Bietet die Lösung einen Orientierungsrahmen in Form von Best Practices und sind wichtige Vorlagen und Informationen schon vorinstalliert?
–    Stehen die in einem Bereich erfassten Stammdaten allen anderen Abteilungen zur Verfügung, so dass der Verwaltungsaufwand reduziert und eine unternehmensweite GRC-Strategie unterstützt wird?
–     Ist die Lösung zukunftsfähig, d. h. kann die Funktionalität angepasst oder erweitert werden?

Neue Wege
Auf lange Sicht werden Unternehmen nicht ohne eine umfassende und integrierte GRC-Strategie auskommen, wenn sie Governance, Risk Management und Compliance firmenweit einsetzen und zum Erreichen der Geschäftsziele optimal nutzen wollen. Doch diese Strategie muss vom Management vorgegeben und deren Umsetzung und Einhaltung kontrolliert werden. Gerade in größeren Unternehmen können spezialisierte Software-Lösungen hier eine große Hilfe sein, um die notwendigen Informationen zu sammeln. Doch es bedarf auch eines Verantwortlichen, nämlich des dedizierten GRC-Beauftragten, der sich eben jene Informationen anschaut und prüft, ob die GRC-Strategie auch tatsächlich einheitlich und in allen Bereichen umgesetzt wird. Hier eröffnen sich ganz neue Chancen für Prozessmanager auf Abteilungsebene, die bei der Implementierung einer Strategie – beispielsweise für das Risk- oder Qualitätsmanagement – über ihren Bereich hinaus denken und planen. Ihnen steht für eine Zukunft als Chief GRC Officer wenig im Wege.