Was ist Governance, Risk and Compliance (GRC)?
,
In der ersten wissenschaftlichen Studie zum Thema Governance, Risikomanagement und Compliance wurde GRC wie folgt definiert: „die integrierte Gruppe von Funktionen, die es einem Unternehmen ermöglichen, Ziele zuverlässig zu erreichen, Unsicherheiten zu bewältigen und mit Integrität zu handeln“. Seitdem sind digitale Technologien und Datenmengen geradezu explosionsartig gewachsen, doch die zentralen Geschäftsziele und ‑werte haben sich nicht verändert.
GRC: Bedeutung und Definition
Vereinfacht gesagt ist GRC die Strategie und Struktur, die dafür sorgt, dass ein Unternehmen sicher ist und auf Kurs bleibt. Ähnlich wie bei der Verwaltung einer Stadt oder dem Regieren eines Landes definiert die Corporate Governance für Unternehmen die Grundsätze und Vereinbarungen, nach denen die Menschen leben – und bietet die Steuerungsmöglichkeiten und die Unterstützung, die zum Erreichen der Gesamtziele beitragen. Im Rahmen des Risikomanagements werden Bedrohungen ermittelt und Prozesse eingeführt, die vor ihnen schützen. Und schließlich sorgt das Compliance-Management dafür, dass das Unternehmen geltende Vorschriften einhält, ordnungsgemäße Buchhaltungspraktiken verfolgt und ethisch agiert.
GRC ist die Strategie und Struktur, die dafür sorgt, dass ein Unternehmen sicher ist und auf Kurs bleibt.
Governance, Risikomanagement und Compliance können Sie sich als die drei Beine eines Stativs vorstellen, die ein Unternehmen in der Balance halten:
1. Unternehmensführung
Das G in GRC steht für Governance. Governance ist mehr als ein bloßes Regelwerk. Sie hilft dabei, Silos in Unternehmen miteinander zu verknüpfen, um sicherzustellen, dass die Aktivitäten im gesamten Unternehmen an den strategischen Zielen ausgerichtet sind. Sie unterstützt einen koordinierten, produktiven Arbeitsplatz, an dem alle Beteiligten – intern und extern – wissen, wie ihre Beiträge und Interessen mit denen der anderen zusammenhängen. Sie trägt dazu bei, Redundanzen, widersprüchliche Initiativen und unnötige Kosten zu vermeiden. Mit Schwerpunkt auf Ressourcenmanagement und Rechenschaftspflicht bietet sie die nötigen Kontrollen und Ausgleiche, um „das Haus in Ordnung zu halten“. Damit soll Folgendes sichergestellt werden: bestimmten Grundsätzen folgende Abläufe, die Beachtung von Unternehmenswerten und ethische Geschäftspraktiken. Zudem ist Governance ein Mechanismus zur Minderung von Risiken und zur Sicherstellung der Compliance durch Validierung und Verwaltung von Informationen sowie deren Quellen und Handhabung.
2. Risikomanagement und Risikominderung
Das R in GRC steht für Risiko. Alles, was bei einem beliebigen geschäftlichen Aspekt zu einem negativen Ergebnis führen könnte, stellt ein Risiko dar. Manche Risiken – wie beispielsweise eine Pandemie – entziehen sich jedoch jeglicher Kontrolle. Andere sind internen Ursprungs und basieren auf betrieblichen, verfahrenstechnischen oder technischen Schwachpunkten. Andere sind internen Ursprungs und basieren auf betrieblichen, verfahrenstechnischen oder technischen Schwachpunkten. Wieder andere sind Folge externer Bedrohungen wie Cyberangriffe und Betrug.
Technologie spielt eine entscheidende Rolle bei der Früherkennung von Risiken – aber Risikomanagement in Unternehmen erfordert mehr als nur Technologie. Die Werte, Prozesse und das diesbezügliche Engagement des Unternehmens sind für das Risikomanagement von entscheidender Bedeutung. Ein kürzlich in Forbes erschienener Artikel unterstreicht den wachsenden Bedarf und Wunsch nach Strategien für das Enterprise Risk Management (ERM), die „proaktive, integrierte Lösungen nutzen, die Menschen, Daten und Infrastruktur einschließen“.
Geschäftsrisiken lassen sich in fünf grundlegende Kategorien unterteilen. Jede einzelne von ihnen müssen die ERM- und GRC-Strategien eines Unternehmens antizipieren, mindern und vor allem verhindern können.
- Performance- oder Betriebsrisiken weisen den breitesten Rahmen und die größte potenzielle Vielfalt auf. Sie sind Folge des (zufälligen oder absichtlichen) Versagens von Struktur, Systemen, Personen, Produkten oder Prozessen, die an einem beliebigen Aspekt des Geschäftsbetriebs beteiligt sind.
- Compliance-Risiken resultieren aus Verstößen gegen Gesetze, Vorschriften, Verhaltenskodizes oder etablierte Praxisstandards in einer Branche oder Organisation.
- IT-Risiken entstehen durch Ausfall oder Missbrauch von IT, was zu Verlusten oder negativen Geschäftsergebnissen führt. Das kann von versehentlichen IT-Ausfällen bis hin zu vorsätzlichem Betrug, Hacking oder Cyberangriffen reichen.
- Finanzielle Risiken als Unterkategorie der Geschäftsrisiken beschreiben das Risiko, im Rahmen einer Investition oder geschäftlichen Unternehmung Geld zu verlieren. Dies kann ein Kredit- oder Liquiditätsrisiko umfassen – oder mit einem operativen Risiko wie Betrug oder Missmanagement einhergehen.
- Reputationsrisiken können Folge von Versäumnissen in den obigen vier Kategorien sein, die in einer negativen öffentlichen Wahrnehmung des Unternehmens münden. Das Reputationsrisiko stellt zwar weniger einen quantifizierbaren Verlust dar, ist aber dennoch eines der potenziell zerstörerischsten Risiken für ein Unternehmen oder eine Marke.
GRC-Software hilft Unternehmen bei der Erkennung von Bedrohungen, um Risiken proaktiv zu überwachen und zu steuern.
3. Compliance-Management
Das C in GRC steht für Compliance. Die mangelnde Einhaltung gesetzlicher Vorschriften kann häufig zu enormen finanziellen Verlusten und schweren Rufschädigungen führen. Im Jahr 2019 erreichten die aufgrund von Verstößen gegen den Datenschutz verhängten Bußgelder ein Allzeithoch: Laut U.S. International Trade Commission gaben in der EU ansässige Unternehmen im Jahr 2019 bis zu 4 % ihres weltweiten Jahresumsatzes für Geldbußen im Zusammenhang mit der DSGVO aus. Dazu kommen weitere Milliarden, die jedes Jahr in Reaktion auf andere Herausforderungen bei der Einhaltung gesetzlicher Vorschriften aufgewendet werden.
Die Aufrechterhaltung der Compliance mag zwar komplex und schwierig sein, dennoch basiert sie im Grunde nur auf Regeln und kann bei guter Steuerung daher eines der einfacher zu vermeidenden Risiken sein. Intelligente Technologien und moderne GRC-Softwarelösungen stehen im Vordergrund, wenn es um Datenmanagement, vorausschauende Analysen und Einblicke in Echtzeit geht, die für die Umsetzung einer soliden und zeitgemäßen Compliance-Strategie erforderlich sind.
Was ist ein GRC-Framework und warum ist es so wichtig?
Ein GRC-Framework integriert unternehmensweite Systeme und Prozesse, um letztlich alle Aspekte von Governance, Enterprise Risk Management und Compliance zu überwachen. Es bietet das nötige strukturierte Konzept, um die Geschäftsstrategie eines Unternehmens mit seiner Informationstechnologie in Einklang zu bringen, damit es Risiken effektiv verwalten und Compliance-Anforderungen erfüllen kann. GRC steuert, wie das Unternehmen agiert – neben seiner eigentlichen Tätigkeit. Es geht also nicht um Fertigung, Einzelhandel oder Professional Services, sondern um die Art und Weise, wie das Unternehmen seine Mission erfüllt – unabhängig davon, in welchem Bereich es tätig ist – und dabei ethisch, umsichtig und verantwortungsbewusst handelt.
Warum ist ein solides GRC-Framework wichtiger denn je? Weil heutige Unternehmen mit einer beispiellosen Komplexität konfrontiert sind. In seinem Global Business Risk Report für das 3. Quartal 2020 bezifferte Dun & Bradstreet die Risikobewertung für den Global Business Impact mit einem Rekordwert. Mehr noch: Laut einer aktuellen Studie sollen sich die weltweiten Kosten für Cybersicherheitskriminalität und Datenschutzverletzungen bis zum Jahr 2025 auf einen Wert von über 10 Billionen US-Dollar summieren – mehr als das Dreifache des Wertes von 2015. Als Reaktion auf diese neuen Risiken gab es parallel dazu eine weltweite Zunahme an Regulierungsbehörden. Allein im Bankensektor gibt es dem Financer zufolge derzeit mehr als 250 solcher Gremien. Das hat zur Folge, dass sich die aufsichtsrechtlichen Bestimmungen für Banken alle zwölf Minuten ändern.
Wer ist für GRC verantwortlich?
Die Verantwortung für die Erstellung und Pflege von GRC-Plänen und ‑Prozessen liegt in der Regel bei den Top-Führungskräften im Finanz- und Compliance-Bereich (CFO und CCO) und ihren Teams – mit Unterstützung der Leiter von IT-, HR- und operativen Teams aus dem gesamten Unternehmen. Die Entwicklung einer hervorragenden GRC-Strategie ist nur eine Seite; damit sie wirksam ist, muss sie jedoch erfolgreich in die täglichen Arbeitsaktivitäten im gesamten Unternehmen eingebunden und berücksichtigt werden. Die besten GRC- und Risikomanagementstrategien setzen auf einen „People First“-Ansatz: Alle Mitarbeiter sollen großes Interesse daran haben, die Nachhaltigkeit des Unternehmens sicherzustellen.
GRC und intelligente Technologielösungen
Technologien für künstliche Intelligenz (KI), darunter maschinelles Lernen, komplexe Analysen und vorausschauende Analysen, werden in zunehmendem Maß zur Transformation von Risikomanagement- und regulatorischen Technologien (RegTech) eingesetzt. Die Fähigkeit, umfangreiche und sich schnell ändernde Datenbestände zu verarbeiten, zu analysieren und Erkenntnisse aus ihnen zu gewinnen, ermöglicht GRC-Experten, die Kompetenzen des Menschen zu erweitern, im Rahmen von Analysen gewonnene Erkenntnisse in Echtzeit zu nutzen und die unmittelbare Situation über mehrere Szenarios hinweg besser zu visualisieren.
Die Automatisierung robotergestützter Prozesse (Robotic Process Automation, RPA) ist ein entscheidendes Werkzeug für die Entwicklung robusterer und effektiverer Compliance-Programme. RPA unterstützt die fortlaufende Überwachung sowie die vollständigen Stichproben-Audits. Das erleichtert die Erkennung von Risiken und Anomalien. Zudem helfen RPA-Tools, die repetitiven und häufig umfangreichen administrativen Aufgaben im Zusammenhang mit ERM und Compliance zu automatisieren und zu optimieren. Blockchain-Technologie verleiht GRC-Systemen eine noch größere Schlagkraft – aufgrund der Sicherheit und Unveränderlichkeit der Transaktionsdatensätze. Als „Single Source of Truth“ minimiert Blockchain zudem Risiken in praxisbezogeneren Geschäftsbereichen, weil sie die genaue Herkunft von Materialien und Waren – sowie deren Zahlungsdatensätze – von jedem Ort der Welt aus sicherstellt. Angesichts der wachsenden Komplexität von Risiko- und Compliance-Herausforderungen bieten intelligente Technologien die Zuversicht und Verlässlichkeit, um proaktiv das zu managen, was die Zukunft bereithält.
Zusammenfassung
Die heutige Risikolandschaft verändert sich ständig. Die Pandemie hat uns nur zu deutlich vor Augen geführt, dass wir alle – von Staaten über Konzerne bis hin zum Einzelnen – von den Kräften der Natur ausgebremst werden können. Und mit der fortschreitenden Entwicklung von Cloud-Lösungen und intelligenten Technologien werden Cyberkriminalität, Datenschutzverletzungen und Betrug zu einer immer komplexeren Bedrohung.
In diesem aktuellen Umfeld mit seinen gestiegenen Risiken und Unsicherheiten müssen Unternehmen jedes verfügbare Werkzeug nutzen – und vereinfachen –, um Risiken zu antizipieren und zu steuern. Geschäftsziele zu erreichen und strenge Compliance- und Governance-Standards einzuhalten, stellt für jedes Unternehmen eine wachsende Herausforderung dar. Die besten Unternehmen meistern diese Anforderungen mit einem „People First“-Ansatz und dem kontinuierlichen Bemühen, ihre Teams – von oben nach unten – zu schulen und zu befähigen, neue Technologien zu nutzen und innovative GRC-Strategien zu entwickeln.
Mehr über GRC-Software erfahren
Mehr über Strategien und Lösungen für Governance, Risiko & Compliance erfahren.
SAP-Insights-Newsletter
Ideen, die Sie sonst nirgendwo finden werden
Registrieren Sie sich für eine Reihe von Business Intelligence, die direkt in Ihren Posteingang geliefert werden.