15.01.2024

So bekommen Sie Ihr Risiko- und Compliance-Management in den Griff

Spätestens seit dem Wirecard-Skandal ist nicht nur großen, international tätigen Unternehmen klar, wie überlebenswichtig ein gut funktionierendes Governance, Risk & Compliance Management (GRC) ist. Wie die Business- und IT-Beratung metafinanz zeigt, kommt es dabei vor allem auf die Auswahl der richtigen Tools und eine ganzheitliche Betrachtung an. Erfahren Sie hier, wie Sie Ihr GRC-Programm erfolgreich aufsetzen.

Um Gefahren zu vermeiden und dem wachsenden Wettbewerbsdruck standzuhalten, ist für eine umfassende Unternehmensführung die Abschätzung etwaiger Risiken und die Einhaltung innerer und äußerer Richtlinien entscheidend. Daher müssen sich praktisch alle Unternehmen aktuell mit den Themen ‚Environmental, Social und Governance‘ (ESG) und dem damit verwandten Komplex ‚Governance, Risk & Compliance‘ (GRC) auseinandersetzen.

Das Ziel ist klar – aber oft fehlt es an den Basics

Die Erfahrung von metafinanz zeigt: Viele Unternehmen setzen sich ein umfassendes GRC-Management als Ziel, scheitern jedoch schon an den Voraussetzungen wie einer einheitlichen Linie, GRC-Beauftragten und den richtigen Tools. So hat inzwischen zwar fast jedes Unternehmen in Deutschland eine Art von GRC-Tool im Einsatz – dabei handelt es sich meist aber nach wie vor um Excel-Tabellen und manuelle Prozesse.

Office-Tools erfüllen die Anforderungen der Praxis aber meist nur unzureichend. Schwächen haben sie z. B. bezüglich der Reporting-Fähigkeit, Nachvollziehbarkeit und Auditierbarkeit. Wichtig ist ebenso eine funktionale GRC-Integration und ein aktives Stakeholder-Management, um alle Bereiche und Beteiligten einzubinden. Dedizierte GRC- und Kontinuitätsmanagement-Software hingegen erfüllt diese Kriterien. Aber auch hier gibt es verschiedene Herausforderungen, die ein GRC-Management erschweren:

 

  • Eine einzige Suite kann selten alle Anforderungen abbilden.
  • Eine Konsolidierung in einer Software verzögert und erschwert den Auswahlprozess.
  • In großen Unternehmen werden häufig viele ähnliche Tools eingesetzt und die Fachbereiche trennen sich nur ungern von diesen. Einzelne Initiativen bleiben dementsprechend fragmentiert und es gibt keine umfassende GRC-Strategie.

Personen und Tools müssen miteinander kommunizieren

Eine weitere Herausforderung: Viele Beteiligte mit unterschiedlichen Anforderungen müssen unter einen Hut gebracht werden. Dafür braucht es gemeinsame Lösungen und Arbeitsabläufe. Diese Arbeit wird jedoch in der Praxis durch unscharfe Abgrenzungen und unklare Verantwortlichkeiten erschwert. So laufen allzu oft verschiedene Projekte und Initiativen nebeneinander. Um dies zu verhindern, müssen Sie Ihr GRC-Programm steuern.

Kommunikation ist hier (wie so oft) der Schlüssel: Sowohl Tools als auch Personen müssen miteinander kommunizieren. Verantwortliche müssen wissen, welche Informationen woher kommen und wohin diese gehen sollen – und natürlich, welches Tool welche spezifische Information zuverlässig bereitstellt.

Unternehmen können so mehrere GRC-Lösungen und Expertentools betreiben. Voraussetzung hierfür ist, dass im Zielbild die funktionale Integration sichergestellt wird. Das Zielbild dient als strategischer Plan, der von allen Stakeholdern getragen wird und Informationen zur Risiko-Methodik, dem Bewertungssystem sowie relevanten Control Frameworks beinhaltet. Auch Integrationen mit anderen Systemen können dargestellt werden.

Die richtigen Leute und Tools sind entscheidend

Ein erfolgreiches, umfassendes GRC-Programm benötigt neben der richtigen Technologie auch Champions und Sponsoren als wichtige Leitstellen – davon sind wir bei metafinanz überzeugt. GRC-Champions sind in der Regel technisch versierte Fachkräfte, wie sie aus dem IT Risk, IT Security Management oder IT Compliance Management kommen. Idealerweise bringen sie auch ein Verständnis von der Anwendungsentwicklung mit und alle im Unternehmen sind sich dieser wichtigen Position bewusst.

Ist ein Champion benannt, sollten Sie einen Sponsor für das GRC-Programm benennen. Damit ist eine Person gemeint, die das GRC-Programm nach innen wie nach außen vertritt und auch die nötige Autorität und Durchsetzungskraft hat.

Einer Umfrage der Open Compliance and Ethics Group (OECG) zufolge fungiert meist der CEO als Sponsor, gefolgt von anderen Vorstandsmitgliedern und einem GRC Director. Unserer Erfahrung nach übernimmt auch oft der Chief Information Security Officer (CISO) die Rolle des GRC-Sponsors. Um Themen im GRC-Bereich gemeinsam voranzutreiben und zum Erfolg zu bringen, müssen Sponsor und Champion möglichst eng zusammenarbeiten. Denn: Neben der Technologie sind auch die richtigen Leute erfolgsentscheidend!

Kurze Etappen, großer Erfolg: Realistische Ziele setzen und erreichen

Besonders international operierende Konzerne sind in der Pflicht, ein funktionierendes GRC-Programm aufzulegen und nach innen sowie außen zu verfolgen. Diese informieren sich in der Regel bei führenden Beratungsunternehmen. Mittelständische Betriebe sind dagegen gut beraten, sich nicht an die globalen Big Player zu wenden, sondern an Anbieter und Dienstleister aus dem eigenen Sprachraum, wie z. B. metafinanz.

Um im GRC-Themenkomplex nicht den Durchblick zu verlieren, empfehlen wir Ihnen, zu Beginn realistische Ziele in kurzen Etappen zu setzen und Ihre Aktivitäten zu priorisieren. Sonst wird die Komplexität aus Tool, Prozessen und Anpassung der Organisation schnell nicht mehr beherrschbar. Diese kurzen Etappen könnten etwa folgendermaßen aussehen:

 

  • Phase 1: reine Datenerfassung (Eingabemasken, Datenmodell, etc.)
  • Phase 2: Workflows
  • Phase 3: Automatisierung.

Erfahren Sie im kostenlosen Whitepaper, wie metafinanz Unternehmen bei der effizienten Implementierung und Steuerung Ihres Governance, Risk & Compliance Managements unterstützt und Ihre Resilienz stärkt.

Quelle Titelbild: Adobe Stock / Parradee