Artikel zum Thema "GRC" bei CIO.de

Der Bedarf an Software rund um Governance, Risk und Compliance steigt. Das behauptet zumindest der Marktforscher Chartis Research. Die Analysten haben 23 Anbieter positioniert, darunter IBM und Oracle, SAP und Thomas Reuters.

Der Marktforscher Chartis Research hat eine Übersicht der Anbieter von GRC-Software (Governance, Risk, Compliance) erstellt. Die Analysten schreiben, dass dieses Thema an Bedeutung gewinnt. Das liege zum Einen an gesetzlichen Vorgaben, zum anderen am Druck durch die Endverbraucher, wie die Reaktionen auf Unternehmensskandale zeigen. Chartis hat sich 23 Anbieter angesehen, darunter Dickschiffe wie SAP und kleine Spezialisten wie Yarcdata. Ein dezidiertes Ranking wollten die Analysten nicht erstellen, ihr Ansatz ist mehrdimensional. So unterscheiden sie beispielsweise nach branchenspezifischen Stärken (Finance, Non-Finance, Multiple Industries). Die Analysten teilen alle Anbieter nach folgenden vier Kategorien ein: Best-of-Breed, Category Leaders, Insel-Lösungen und Unternehmenslösungen. Innerhalb dieser Kategorien nimmt Chartis eine Einschätzung nach dem Marktpotenzial der jeweiligen Anbieter vor sowie nach deren Angebotspalette. Im Einzelnen ergibt sich folgendes Bild: Der Typus des Category Leaders ist mit neun Anbietern am stärksten vertreten. Chartis schreibt Thomas Reuters die größte Reife zu. Im Mittelfeld bewegen sich Metric Stream, IBM, Nasdaq-Bwise, Wolters Kluwer FS und SAS. Im unteren Bereich siedelt Chartis SAP, Oracle und Mega an. In der Kategorie Best-of-Breed positionieren die Analysten fünf Anbieter. Sie liegen relativ weit auseinander. Es sind Detica Netreveal (höchstes Marktpotenzial) und die Software AG, Nice Actimize sowie Protiviti und RSA (breitestes Angebot). Weitere sechs Unternehmen definiert Chartis als Anbieter von Insel-Lösungen. Das größte Potenzial schreiben sie Palantir zu, gefolgt von Yarcdata. Eine breitere Produktpalette haben aber BPS Resolver, Activerisk, Cura Technologies und Chase Cooper. Bei den Unternehmens-Lösungen schließlich liegen die drei Anbieter eng beieinander. Es handelt sich um Wynyard, SAI Global und Enablon. Die Anbieter und ihre Spezialisierungen Ein Blick auf die von den Anbietern adressierten Inhalte zeigt folgende Einschätzung: Für Banken, Versicherungen und Finanzdienstleister eignen sich insbesondere Lösungen von Chase Cooper, Detica Netreveal, Nice Actimize, Oracle, SAS, Thomas Reuters und Wolters Kluwer FS. Für den Non-Finance-Bereich nennen die Marktforscher Active Risk, Cura Technlogies, Enablon und SAI Global. Im Feld Multiple Industries sehen sie BPS Resolver, IBM, Mega, Metric Stream, Nasdaq Bwise, Palantir, Protiviti, RSA, SAP, die Software AG und Wynyard. Den Auslöser für das steigende Interesse an GCR-Software sieht Chartis Research noch immer in der globalen Finanz- und Wirtschaftskrise. Diese habe nicht nur zu immer mehr gesetzlichen Vorschriften geführt, sondern beispielsweise auch zur Diskussion um die Vergütungspraxis großer Unternehmen. Dadurch rücken Risk Management und Human Resources zusammen. Treiber für GCR-Software Unabhängig davon wirkt auch die "Mobile Revolution" als Treiber, so Chartis weiter. Hier kommt das Kürzel BYOD (für Bring your own device) ins Spiel. Unternehmen brauchen GCR-Software, um die Vielzahl eigentlich privater Endgeräte zu managen, die ihre Angestellten mit ins Büro bringen. Chartis Research erwartet, dass immer mehr Firmen die Position eines Chief Compliance Officer (CCO) oder Chief Risk Officer (CRO) schaffen werden. Diese sollten direkt an den Vorstand berichten. (jha)

In den letzten Jahren sind die gesetzlichen Anforderungen für den Mittelstand in den Bereichen Risikomanagement, Compliance und interne Revision / Kontrolle (auch Governance, Risk & Compliance = kurz "GRC" genannt) derart gestiegen, dass sie mit MS-Excel nicht mehr effizient und rechtssicher abgebildet und erfüllt werden können. Das Dickicht der gesetzlichen Anforderungen bindet Mitarbeiterkapazitäten und ist nicht zuletzt eine Frage der Haftung der Geschäftsführung. GRC sollte aber kein Selbstzweck sein, sondern insbesondere im Mittelstand auch einen wirtschaftlichen Nutzen generieren. Dieser ergibt sich unter anderem aus der Integration der Risikodimension in die Steuerungs- und Entscheidungsprozesse und durch die Verknüpfung von GRC mit bereits bestehenden Steuerungsinstrumenten/-systemen (Planung, Controlling, Interne Revision). Quelle: Noetzold/Kriebel Regulatorische Anforderungen im Bereich GRC. Pragmatische und effiziente Ansätze bei GRC GRC-Lösungen bei Mittelstandsunternehmen unterscheiden sich zu den Ansätzen von Großunternehmen primär durch die involvierten Personalressourcen und den Grad der Integration der drei GRC-Themen ERM (Enterprise Risk Management), IKS (Internes Kontrollsystem) und COM (Compliance), also hinsichtlich Effizienz und Effektivität. So verantworten in Großunternehmen verschiedene Mitarbeiter die einzelnen Aufgabenfelder. Eine Integration der drei GRC-Themen beschränkt sich auf die Administration und Stammdatenpflege. Im Gegensatz dazu muss sich im Mittelstand meist ein einzelner Mitarbeiter um die gesamte GRC-Thematik, d.h. alle drei Themen gleichzeitig, kümmern, weshalb der effizienten Verwaltung eine größere Bedeutung zukommt, als in Großunternehmen. Entsprechend versteht man hier unter Integration, alle GRC-Themen mit Hilfe einheitlicher Methoden, Prozesse und Modelle in einem System abzubilden. Im Hinblick auf die Kosten und mögliche Wertschöpfung legen Mittelständler weniger Wert auf komplexe Workflows (hoher administrativer Aufwand) und bunte Reportingbildchen, sondern auf Analyseergebnisse und effiziente Steuerungsmaßnahmen. Ferner wird eine eindeutige GRC-Struktur vorgegeben (vgl. die nachfolgende Abbildung), in der das ERM-System das führende System ist, während IKS (operationelle Prozessrisiken) und Compliance (Risiken durch Verstöße gegen Gesetze, Normen und Richtlinien) Subsysteme bilden. Quelle: Noetzold/Kriebel Integriertes und effizientes GRC-Konzept Solche integrierten GRC-Systeme sind heute laut unserer Praxiserfahrung und Marktkenntnis im Mittelstand verbreitet. Sie stellen sicher, dass Risiken im Rahmen eines integrierten Gesamtprozesses mit einheitlichen Methoden und Modellen bewertet, gesteuert, überwacht und berichtet werden. Mehrarbeit vermeiden Dies vermeidet Doppelarbeiten und Redundanzen und eröffnet den Weg zu einer ganzheitlichen und vor allem konsistenten Sicht des GRC-Systems auf das Unternehmen (Gesamtexposure) wie sie gerade der CFO dringend braucht. Die volle Transparenz der Subsysteme (z.B. Exposure jeweils im ERM, IKS, Compliance) bleibt dabei erhalten. Ein detailliertes Berechtigungskonzept gewährleistet die Vertraulichkeit von Daten und Ergebnissen (siehe die nachfolgende Abbildung).   Quelle: Noetzold/Kriebel   Integrierte GRC-Systeme reduzieren TCO Integrierte GRC-Systeme senken nicht nur Personalressourcen und Administrationsaufwand, sondern auch Prozess- und IT-Kosten. Gegenüber Einzellösungen werden die Total-Cost-of-Ownership (TCO) nach unserer Erfahrung auf weniger als die Hälfte reduziert. Bei den direkten Kosten sind sowohl Anschaffung als auch Unterhalt von IT-Systemen erheblich günstiger: Quelle: Noetzold/Kriebel "Keep it simple but professional" Zur Gewährleistung von Rechtssicherheit und dem Ausschluss von Haftungsrisiken der Geschäftsführung, bei gleichzeitiger Generierung von Nutzenpotenzialen, müssen GRC-Systeme professionell, effizient und pragmatisch sein und gleichzeitig die Möglichkeit einer Verknüpfung mit bereits bestehenden Entscheidungsprozessen bieten. GRC sollte nicht Selbstzweck sein, über die Erfüllung gesetzlicher Anforderungen hinausgehen und nachhaltigen Nutzen generieren. Jeder administrative Mehraufwand, zum Beispiel durch Verwendung von Workflows, ist unter Kostengesichtspunkten zu vermeiden. Dr. Mark Noetzold ist Mitbegründer und Vorstand der Opture AG . Er ist Experte für Risikomanagement, Strategieentwicklung, Controlling, Process Reengineering, Restrukturierung und Mergers & Acquisitions. Mark Noetzold ist Mitglied mehrerer Aufsichträte und Dozent für Risikomanagement an verschiedenen Hochschulen/Universitäten. Er erlangte seine Expertise als Consultant bei einer weltweit führenden Strategieberatungsfirma und als Vorstand eines marktführenden Filialunternehmens im Bereich audiologischer und medizintechnischer Produkte.   Peter Kriebel ist Senior Vice President der Opture AG. Nach abgeschlossenem Studium absolvierte er ein Traineeprogramm bei einem Finanzinstitut und sammelte erste Erfahrungen als Firmenkundenberater. In den Folgejahren hat er für das Unternehmen verschiedene Niederlassungen im europäischen Ausland aufgebaut und geleitet. Seine fachlichen Schwerpunkte sind die Implementierung von Risikomanagement- und GRC-Systemen sowie die Verknüpfung mit der Unternehmenssteuerung. Künftig schreibt Herr Kriebel regelmäßig für CFOworld über seine Erfahrungen mit einem bis heute (falsch) betriebenen Risik Management und über die Möglichkeiten, mit Enterprise Risk Management (ERM) echten Mehrwert zu generieren. Sie erreichen ihn unter pkriebel (at) opture.com. Die letzten Beiträge von Peter Kriebel: Mythen im Risikomanagement, Teil 1: Verstehen Sie RiskMaps? (7. Mai 2012) Autor: Dr. Mark Noetzold und Peter Kriebel