GRC

3 Schritte zur besseren Business Performance

31. Juli 2015
Olaf Riedel ist verantwortlicher Partner für die Beratungsgesellschaft EY in der DACH-Region. Als Mitglied im Fachausschuss IT des IDW arbeitet er an der Weiterentwicklung von Rechnungslegungsstandards mit Auswirkungen auf IT-spezifische Aspekte des Risikomanagements.
So vereinfachen Unternehmen die Governance-, Risk- und Compliance-Prozesse (GRC) und steigern ihre Business Performance.

Steuerhinterziehung, Korruptionsvorwürfe oder Datenskandale - Vorfälle dieser Art beschäftigen inzwischen Unternehmen aller Größen. Was sind die Ursachen?

Unternehmen betreiben ihre Risiko- und Compliance-Aktivitäten oft siloartig: Interne Audits und Kontrollen sowie das Risikomanagement laufen in den verschiedenen Unternehmensbereichen parallel ab und werden nicht von einer zentralen Stelle gesteuert. Wenn Unternehmen das ändern, können sie sich besser vor Risiken schützen - und so die Business Performance steigern.

Dazu bedarf es nur weniger Schritte.

1. Schritt: Eine einheitliche GRC-Strategie

Die einheitliche GRC-Strategie kann ein Unternehmen dann entwickeln, wenn es die eigene Risikosituation kennt oder nachdem es sie analysiert hat. Die drei gängigen Risikotypen in Unternehmen sind die vermeidbaren, die strategischen und die externen Risiken.

Jedes Unternehmen sieht sich verschiedenen Risiken ausgesetzt: den vermeidbaren, den strategischen und den externen Risiken. Bei jeder dieser Kategorien vermindert oder vermeidet ein anderes Kontrollmodell die negativen Einflüsse auf das Unternehmen.
Jedes Unternehmen sieht sich verschiedenen Risiken ausgesetzt: den vermeidbaren, den strategischen und den externen Risiken. Bei jeder dieser Kategorien vermindert oder vermeidet ein anderes Kontrollmodell die negativen Einflüsse auf das Unternehmen.
Foto: Ernst & Young

Eine unternehmensweit einheitliche GRC-Strategie fußt auf dieser individuellen Risikosituation und den darauf abgestimmten Kontrollmechanismen. Sie bezieht auch die Risikobereitschaft des Unternehmens mit ein. Alle Aktivitäten, die sich mit den drei Risikotypen beschäftigen, werden in ihren Prozessen vereinheitlicht und dem obersten Management direkt unterstellt.

Die GRC-Strategie ist außerdem in die Unternehmensstrategie eingebettet. Damit können die Erkenntnisse aus den GRC-Prozessen besser zum Treffen unternehmensweiter strategischer Entscheidungen genutzt werden. Die Entwicklung geht also weg von siloartig organisierten Prozessen mit unterschiedlichen Verantwortlichen hin zu einer zentral gesteuerten Vorgehensweise.

2. Schritt: Vereinfachte Prozesse

Die derzeit vorherrschenden Risiko-, Compliance- und Governance-Prozesse werden den vielfältigen Anforderungen der Unternehmen gerade an die Effektivität häufig nicht mehr gerecht. Dopplungen von Tätigkeiten wie Audits und Datenerhebungen und damit die Verschwendung von Ressourcen können die Unternehmen nur dann verhindern, wenn sie Prozesse aus den verschiedenen Bereichen vereinfachen und bündeln.

Das unternehmensweite Risiko-und Kontrollmodell, in dem die einzelnen GRC-Prozesse zusammengeführt werden, basiert auf der vom obersten Management definierten GRC-Strategie. Im Zuge der Entwicklung eines solchen Modells wird die Identifikation von Risiken formalisiert, um Reaktionszeiten zu verkürzen und Vorkommnisse an alle Betroffenen schnell und verständlich zu kommunizieren. Außerdem gilt es, die Risikofaktoren kontinuierlich zu bewerten - gerade in Bezug auf die Strategie und die Performance. So identifiziert das Unternehmen Gefahrenpotenziale und kann schnell gegensteuern.

Das Sponsorship ist bei diesem Teilschritt auf dem Weg zu einer besseren Business Performance entscheidend: Die vereinheitlichten Prozesse können nur so effektiv sein, wie das Management und die generelle Risikokultur im Unternehmen es zulassen. Verantwortlichkeiten müssen klar definiert sein, damit die Prozesse bei internen Audits und Kontrollen, ComplianceCompliance und Risikomanagement effizienter werden. Die Ansiedlung des Sponsorships auf der obersten Ebene steigert die Effektivität der Prozesse und hilft dem Unternehmen, Kosten und Ressourcen einzusparen. Alles zu Compliance auf CIO.de

Die aktuelle Organisation von GRC-Prozessen ist in vielen Unternehmen unstrukturiert. Daher ist es ratsam, die Prozesse zu bündeln und klarer zu strukturieren, um so die Effektivität zu steigern.
Die aktuelle Organisation von GRC-Prozessen ist in vielen Unternehmen unstrukturiert. Daher ist es ratsam, die Prozesse zu bündeln und klarer zu strukturieren, um so die Effektivität zu steigern.
Foto: Ernst & Young

3. Schritt: Die richtige Technik

Auf das Unternehmen abgestimmte Programme sind unabdingbar, um die GRC-Prozesse zu standardisieren und zu automatisieren. Dieser letzte Schritt ist ein kleinteiliger, aber wichtiger. Die Programme ermöglichen das Vereinheitlichen der Prozesse und das Zusammenführen aller gesammelter Daten, um diese kontinuierlich und umfassend analysieren zu können. Dadurch ergibt sich ein holistischer Blick auf die Gefahrenpotenziale in allen Bereichen. Zur erfolgreichen Umsetzung bedarf es allerdings einer genauen Planung. In einer mehrjährig angelegten Roadmap werden zum Beispiel die Meilensteine für die Vereinheitlichung aller Kontrollaktivitäten, die wichtigen Beteiligten und die Projektziele festgelegt.

Dieser Test ermöglicht es Ihnen, sich einen ersten Überblick über den Status-quo in Ihrem Unternehmen zu machen.
Dieser Test ermöglicht es Ihnen, sich einen ersten Überblick über den Status-quo in Ihrem Unternehmen zu machen.
Foto: Ernst & Young

Fazit

Das wichtigste Ziel einer einheitlichen GRC-Vorgehensweise ist die Einsparung von Ressourcen - seien sie finanzieller, zeitlicher oder anderer Natur. Zudem lassen sich durch die Zusammenführung der Daten genauere Analysen fahren und so Risiken gezielter, schneller und genauer vorhersagen und bewerten. Das macht es für das Management einfacher, zentrale Entscheidungen zur Steuerung und Ausrichtung des Unternehmens zu treffen. Und all das trägt schließlich dazu bei, die Business Performance kontinuierlich zu verbessern.

Links zum Artikel

Thema: Compliance

Kommentare zum Artikel

comments powered by Disqus
Zur Startseite