Wie Sie die passende GRC-Lösung finden

Die Anforderungen an das Risikomanagement und an das interne Kontrollsystem in Unternehmen steigen immer weiter - sowohl von außen als auch innerhalb des Unternehmens: Seit langem besteht für Unternehmen eine Reporting-Pflicht über die Existenz eines Risikomanagementsystems (RMS). Mit der 8. EU-Richtlinie und dem Gesetz zur Modernisierung des Bilanzrechts (BilMoG) als deutschem Pendant wird diese Pflicht nun um eine Einschätzung zur Wirksamkeit des RMS erweitert. Diese ist vom Aufsichtsrat zu bestätigen.

Darüber hinaus plant die EU-Kommission eine Meldepflicht für Hackerangriffe. Von dieser Meldepflicht sind zukünftig etwa 44.000 Unternehmen sämtlicher Branchen betroffen. Auch die weltwirtschaftlichen Rahmenbedingungen - gekennzeichnet durch teils hochgradig volatile Märkte - und die Furcht vor Reputationsschädigung lassen das Thema Governance, Risk & Compliance (GRC) auf der Agenda der Unternehmenslenker nach oben rücken.

Handlungsfelder

Innerhalb der Firmen haben sich im Laufe der Jahre eine Reihe von Handlungsfeldern herauskristallisiert, die die Notwendigkeit eines ganzheitlichen GRC-Ansatzes deutlich machen:

• Es ist zu beobachten, dass häufig eine ausreichende Management-Attention für das Thema Risikomanagement abseits der Corporate Governance Initiativen fehlt. Dieser Effekt verstärkt sich kaskadenartig über die einzelnen Mitarbeiterebenen. Aber auch das Extrem tritt häufig in Erscheinung: Aus Angst vor Non-Compliance wir das Effizienzbewusstsein unzureichend.

• Oft fehlt es am notwendigen Risikobewusstsein: Häufig werden innergesellschaftliche Betriebsprozesse gar nicht mit dem Risikomanagement in Verbindung gebracht, wie zu Beispiel in der IT Themen wie Backup und Recovery oder das klassische Issue oder Problem Management. Auch mangelt es an geeigneten Trainings- und Kommunikationsmaßnahmen für die involvierten Mitarbeiter.

• Die Unternehmensfunktionen Revision, Risikomanagement und internes Kontrollsystem haben sich weitestgehend unabhängig voneinander entwickelt.

• Beispielsweise kann die bisherige Herangehensweise, Risiken in separierten Silos für verschiedene Abläufe oder Funktionen zu managen, mit den immer komplexeren Anforderungen an das Risikomanagement nicht mehr Schritt halten. Diese Silos bedienen sich in der Regel größtenteils unterschiedlicher Risikomanagement-Methodiken, etwa im Einkauf, im Kreditrisikomanagement (z.B. gegen Ausfälle), bei Versicherungen (z.B. Unternehmenshaftpflicht) oder in der IT; dort sogar häufig noch granularer wie etwa in Form eines speziellen IT-Security-Risikomanagements oder im Rahmen des Service Continuitiy Managements.

• Diese Segmentierung lässt sich auch in der Landschaft der im Unternehmen eingesetzten IT-Lösungen beobachten. Während ein Fachbereich seit Jahren auf Excel als verlässlichen Begleiter setzt, haben andere Abteilungen komplexe, auf ihre speziellen Anforderungen angepasste Lösungen im Einsatz.

Ein GRC-Framework schaffen

Aufgrund von präsenten externen Anforderungen sowie den weitrechenden internen Optimierungsfelder konsolidieren aktuell führende Unternehmen weltweit ihre fachlichen und technischen Initiativen bezüglich GRC und investieren vermehrt in diesen Bereich. Ziel ist die Schaffung eines effektiven GRC-Frameworks mit einem unternehmensübergreifenden Ansatz.

Ein wichtiger Schritt in diese Richtung kann durch die Etablierung einer unternehmensweit verbindlichen GRC- Richtlinie erfolgen. Zum einen wird damit von höchster Ebene eine klare Stellungnahme zur Relevanz der GRC-Initiative ausgesprochen, zum anderen erhalten auch die mit der Umsetzung betrauten Mitarbeiter ein belastbares Mandat, um in der Richtlinie definierte Vorgaben im Unternehmen durch- und umzusetzen.

Hierbei ist wichtig, zu berücksichtigen, dass Konzerne mit Töchtergesellschaften häufig keine gesellschaftsrechtlichen Beherrschungsverträge haben, so dass jede einzelne Tochter die Richtlinie anerkennen und würdigen muss.

Was GRC bedeutet und warum es wichtig ist

Governance, Risk & Compilance (GRC) ist der Sammelbegriff für Themen und Prozesse wie Unternehmenssteuerung, Risikomanagement, interne Kontrollsysteme und anforderungsgerechte Compliance. In diesem GRC-Zusammenhang meint Governance die Ausrichtung der Risikostrategie, dessen Steuerung und Initiativen in Bezug auf die Unterstützung der strategischen Geschäftsziele.

Das Risikomanagement (Risk) umfasst die Verankerung solcher Maßnahmen in den unterschiedlichen Geschäftsbereichen und -prozessen und die ganzheitliche Optimierung des ‚Managements der Risiken im gesamten Unternehmen.

Schlussendlich beschreibt Compliance die Erleichterung von Kontrollen und Prozessen zur Einhaltung von regulatorischen wie auch geschäftlichen Anforderungen.

Ernst & Young (EY) hat im Rahmen der Risiko Initiative ein Framework mit dem Ziel "Turning Risks into Results" entwickelt, mit dem sich eine Standortbestimmung ebenso wie die Ableitung von Handlungsempfehlungen zielgenau ermitteln lässt.

Die ganzheitliche Verknüpfung von nachhaltiger Unternehmenssteuerung, anforderungsgerechte Compliance, einem effektiven Risikomanagement und effizienten internen Kontrollsystem von der strategischen bzw. systemischen bis hin zur operativen Ebene kann nur dann effizient sein, wenn eine Software die Integration der Unternehmensfunktionen im Einklang mit einer holistischen Methodik unterstützt.

Wie man die richtige GRC-Lösung für spezifische Anforderungen findet

Es gibt eine Vielzahl von unterschiedlichen GRC-Lösungen auf dem Markt. Um herauszufinden, welches Produkt das passende ist, sollten die Unternehmen folgende drei Hinweise beachten:

1. Untersuchungen von EY haben ergeben, dass bestimmte Anbieter besonders gut für spezifische Anwendungsszenarien geeignet sind. Es gibt eine Vielzahl von Anbietern, die jeweils einen oder mehrere der folgenden Aspekte in den Mittelpunkt ihres Produktportfolios stellen: Applikationssicherheit und Berechtigungen, Prozessdokumentation, Kontrolldokumentationen, Risiko-Aggregation, Richtlinien-Management, Freigabeverfahren, Continuous Controls Monitoring sowie die Berichterstattung. Einmal mehr bewährt sich die Regel, sich an den realen Anforderungen zu orientieren.

2. Es muss nicht immer das Premiumprodukt sein. Gleichzeitig sollte die Lösung aber so ausgestattet sein, dass das Unternehmen damit sowohl die aktuellen Anforderungen erfüllen kann als auch mittel- und langfristige Strategien umsetzen kann. Denn auch wenn man bei der Recherche von GRC-Lösungen erst am Anfang steht, sollte man nicht kurzsichtig investieren. Zudem präsentieren sich aktuell viele kleinere, spezialisierte Anbieter am Markt. Grundsätzlich ein absolut positives Zeichen für die Relevanz des Themas. Aber erfahrungsgemäß wird es auch in diesem Bereich zu einer Konsolidierung des Marktsegments kommen. Unternehmen sollten sich deshalb im Vorfeld nicht nur die Lösung genau anschauen, sondern auch den Softwarehersteller aus wirtschaftlichen Gesichtspunkten näher betrachten.

3. Was macht eigentlich der Wettbewerb? Ihre Marktbegleiter stellen sich nur allzu häufig ähnliche Fragen und stehen vor vergleichbaren Herausforderungen. Dies gilt sowohl für das Risikomanagement als auch die GRC-Lösung. Unternehmen sollten sich aus diesem Grund nach Referenzen erkundigen, Austauschmöglichkeiten wie zum Beispiel die renommierten Risikomanagement-Stammtische von EY nutzen und sich nicht primär auf die regelmäßigen Berichte der Analysten vertrauen.

Nur wer genaue Ziele und Anforderungen definiert, kann auch die richtige Softwarelösung finden. Der Markt ist groß, die Unterschiede in Funktion, Umfang und Preis der angebotenen Lösung ebenso. Ein genauer Blick zahlt sich aus - manchmal sogar schon kurzfristig.

Wie eine GRC-Lösung das Risikomanagement optimiert

Bevor das Unternehmen eine GRC-Lösung implementiert, ist zur Vorbereitung jedoch ein gründlicher Readiness-Check erforderlich:

• Gibt eines holistische Methodik für das Unternehmen und ist diese technisch abbildbar?
  Sechs-dimensionale Bewertungsdiagramme mögen gut klingen, steigern aber nicht unbedingt die Transparenz. Häufig werden Methodiken entwickelt, die sich technisch nicht oder nur mit sehr hohem und kostspieligem Aufwand abbilden lassen. Denken Sie schon bei der Erstellung Ihrer Methodik daran, dass diese auch technisch realisierbar sein sollte. Weniger ist möglicherweise mehr.

• Sind die Anforderungen an die Software vollständig bzw. werden alle relevanten Interessensgruppen involviert? Beispielsweise kann der Fall eintreten, dass eine Abteilung spezifische Anforderungen hat, die bei der Anforderungsaufnahme nicht berücksichtigt wurden. Dann wird diese die neue Lösung vermutlich gar nicht nutzen. Umso wichtiger ist es, im Vorfeld systematisch sämtliche relevanten Anforderungen zu erfassen. Je genauer die Anforderungen im Lastenheft beschrieben und dokumentiert sind, desto besser kann die richtige Lösung identifiziert und deren technische Abbildung im Pflichtenheft beschrieben werden. Schließlich erfolgen auch das Testing und die Abnahme auf Basis der Informationen aus diesen Dokumenten – idealerweise durch ein Gremium der beteiligten Stakeholder.

• Ist meine GRC-Applikation revisionssicher?
  Fragen Sie Ihre Softwarelieferanten nach einem Softwarebescheinigung auf Basis des Prüfungsstandards 880 des Instituts der Wirtschaftsprüfer (IDW). Hierbei wird die Software auf ihre Fähigkeit geprüft, ordnungsgemäß im Unternehmen einsetzbar zu sein. Darüberhinaus bietet der IDW-Prüfungsstandard 850 "Projektbegleitende Prüfung bei Einsatz von Informationstechnologie" einen guten Ansatzpunkt, um die Revisionssicherheit bezogen auf die Implementierung und den Betrieb der Lösung im Unternehmen zu gewährleisten. Denn häufig investieren Unternehmen viel Aufwand in eine neue Lösung, vernachlässigen dabei aber klassische IT Kontrollen wie das Zugangs- und Berechtigungsmanagement, Veränderungsmanagement, Archivierung und Datensicherheit auf technischer Ebene oder berücksichtigen diese gar nur sehr unzureichend. Welche Informationen werden benötigt, um ein effektives und effizientes GRC-System zu betreiben?

  Prozesse enden nicht am IT-System. Vielmehr muss beispielsweise die Berichterstattung an den Aufsichtsrat berücksichtigt werden, so der Tenor des BilMoG. Häufig wird dies bei der Softwareauswahl und -einführung als selbstverständlich betrachtet. Doch welche Daten und in welcher Form sollen an den Aufsichtsrat berichtet werden? Welche Informationen interessieren den Aufsichtsrat überhaupt?

  Gleiches gilt für die grundsätzliche Berichterstattung, denn dieses Thema wird häufig auch bei der Definition der RM-Methodik vernachlässigt. Zu klären ist hierbei, welche KPIs relevant sind und welche Key-Risk-Indikatoren von Bedeutung sind, um ein frühzeitiges und aktives Management von Risiken ermöglichen.

• Können die Bestandsdaten migriert werden?
  Häufig sind in den Unternehmen bereits RMS- und/oder IKS-Lösungen (internes Kontrollsystem) im Einsatz, die allerdings voneinander losgelöst und nicht konform zur neuen Methodik genutzt werden. Dennoch wäre es wünschenswert, idealerweise auch diese Daten in der neuen GRC-Lösung zu berücksichtigen.

• Wie kann ich mich heute bereits auf die Herausforderungen von morgen vorbereiten?
  Prüfen Sie, ob eine potenzielle IT-Lösung nicht nur perfekt auf Ihre aktuellen Anforderungen abgestimmt werden kann, sondern behalten Sie auch die mittel- und langfristige Entwicklung im Auge. Hierfür bietet sich an, bereits im Rahmen der Anforderungen eine Roadmap für den Release-Lifecycle zu entwickeln.

  Auch hier gilt: Weniger ist mehr. Doch überlegen Sie auch, wie viel Veränderung sie ihren Anwendern zumuten möchten oder können. Schließlich ist Veränderung in der Regel eher ein Auslöser für sinkende Akzeptanz und nur in sehr seltenen Fällen ein Erfolgsfaktor für software-bezogene Projekte.

  Schlussendlich sollte nicht mit der Überarbeitung der Methodik eine neue Software erforderlich sein. Zum einen können Entwickler bei einigen Applikationen durch Open Source oder klassische API-Funktionen weiterprogrammieren bzw. Anpassungen vornehmen. Zum anderen kann man sich eines flexiblen Datenkonzepts bei statischem Programmcode bedienen. Der Vorteil: Wer customizen kann, muss nicht programmieren.

Wichtige Aspekte für die GRC-Einführung

EY hat ein GRC-bezogenes Reifegradmodell entwickelt. Dieses Reifegradmodell unterstützt Entscheidungsträgern mit der Hilfe einzelner, geführter Interviews eine adäquate Standortbestimmung und kurz-, mittel- und langfristige Optimierungsmöglichkeiten in kurzer Zeit herauszuarbeiten.

Unternehmen sollten dabei im Rahmen der Einführung einer ausgewählte GRC-Applikation die folgenden Aspekte berücksichtigen, damit sowohl die Methodik als auch die IT-Lösung belastbar und nachhaltig eingesetzt werden kann und das RMS und IKS gleichwohl effizient wie auch effektiv betrieben werden können:

1. Heute schon an morgen denken - wie kann das erreicht werden?

Achten Sie bei der Auswahl und Einführung von Anfang an auf die technische und inhaltliche Skalierbarkeit der GRC-Lösung. Konkret geht es darum, von der reinen Identifizierung und Dokumentation von Risiken zu einer GRC-Transformation innerhalb des gesamten Unternehmens hinzuwirken - hin zu einem umfassenden und unternehmensweiten Performance-Risiko-Management, dass nicht nur Werte schützt, sondern einen eigenen Wertbeitrag leistet. Dabei betrachtet man mehr ausschließlich nur die Vergangenheit inkl. des Status Quo, sondern richtet seinen Fokus absichtlich auch auf die Zukunft und auf Chancen und Potenziale, die mit jedem Risikomanagement einhergehen.

Häufig bieten Anbieter die Möglichkeit, mit der GRC-Software ebenfalls auch eine Business Impact Analyse (BIA) durchzuführen. Dies bindet zum einen den jeweiligen Fachbereich stärker in die Identifikation und Dokumentation von Prozessen, Risiken, Kontrollen und Maßnahmen ein und schafft damit eine präferiertes Verantwortungsbewusstsein, zum anderen verknüpft es die GRC Methodik effektiver mit den realen Geschäftsanforderungen und -verfahren, welche die Grundlage für ein zukunftsgerichtetes 'Performance Risk Management' darstellen können.

2. Wie können neue regulatorische Anforderungen umgesetzt werden?

Ein im GRC-Verfahren integriertes Compliance-Management verwaltet nicht nur die aktuell gültigen regulartischen Anforderungen (z.B. HGB, US-GAAP, SOX, BilMoG) und angewandten Standards (ISO 900X, 2700X, COBIT, RiskIT, GOBS, etc.), sondern bietet die Möglichkeit, durch eine Verknüpfung der Regularien und Standards eine proaktive und effiziente Einbindung von Neuerungen durchzuführen. Schon bei der Auswahl und Einführung einer GRC-Lösung sollten Sie deshalb dafür Sorge tragen, dass solche Neuerungen schnell (idealerweise sogar automatisch per neuem Release/Support-Package des Herstellers) mit Hilfe der Lösung und gleichwohl auch in der Lösung umgesetzt werden können.

Solche Anforderungen können unter anderem auf geänderten Daten und Verfahren für Geschäftsprozesse wie zum Beispiel der IBAN oder die elektronische Rechnungslegung basieren, aus denen Anpassungsbedarfe für bestehende Risikodokumentationen, Kontrollen oder Maßnahmen resultieren sowie die neue bzw. geänderte Berichtsformate, -anforderungen oder Workflows mit sich bringen.

Zu viel Geld für zu wenig Effizienz

Viele Unternehmen nutzen das Potenzial automatisierter Kontrollprozesse noch nicht vollständig: 22 Prozent der befragten Unternehmen setzen noch gar keine IT-Lösung ein, um ihre GRC-Aktivitäten zu managen, ergab eine Untersuchung von Unishpere Research aus dem Jahr 2011. Laut dieser Studie beklagen gleichzeitig 40 Prozent der Unternehmen, dass zu viel Arbeitszeit für das Managen von IT-Risiken aufgewendet wird. Diese Befunde zeigen: Die Unternehmen geben zu viel Geld für zu wenig Effizienz aus.

Mit den folgenden fünf Fragen können Unternehmen prüfen, welches Einsparpotenzial ihr Risikomanagement bietet und wie die Effizienz gesteigert werden kann:

1. Sind alle Unternehmensbereiche und -felder im Risikomanagement berücksichtigt?

2. Decken die implementierten Maßnahmen und Kontrollen die relevanten Risikobereiche ab?

3. Wie viel echten Gewinn an Sicherheit und reelle Reduzierung der Eintrittswahrscheinlichkeit des Risikos bringen zusätzliche Maßnahmen oder Kontrollen?

4. Wie hoch sind die durchschnittlichen Kosten, z.B. je Risiko bzw. Kontrolle (cost of controls) und wie können diese reduziert werden - z.B. durch Automatisierung, was häufig zusätzlich mit einer Steigerung der Assurance/Prüfungssicherheit einhergeht?

5. Wie können durch ein effizienteres Risikomanagement auch Geschäftsprozesse optimiert werden?

Beispiele für Effizienz

Über die Kontrollen und Maßnahmen aus interner und externer Compliance-Sicht hinaus können die Unternehmen GRC-Tools zur Steigerung der Prozesseffizienz nutzen. Diese Nutzung soll mit nachfolgenden Beispielen veranschaulicht werden:

• Reduzierung von Medienbrüchen: Lösen Sie manuelle Verfahren und Papierformulare durch Web-Anwendungen, Interactive Offline-Formulare oder sogar mobile Applikationen (Apps) ab. Diese können auch abseits der klassischen GRC-Verfahren Potenziale heben.

• Applikationsseitige Kontrollanalysen: Nutzen Sie diese Analysen für die Optimierung Ihrer Prozesse, etwa zur Analyse von CpD-Konten oder zur Cash-Flow-Optimierung. Wussten Sie zum Beispiel, dass viel häufiger als geahnt die in den Zahlungsbedingungen genannten Zeiträume nicht oder nur unzureichend ausnutzen?

• Integriertes Incident- und Issue-Management: Diese Funktionalität ist in vielen GRC-Tools bereits integriert. Werden Abweichungen, egal ob aus regulatorischer Perspektive oder aber auch Performance-Sicht, manuell oder automatisch identifiziert, kann ein Incident oder Issue mit angeschlossenem Workflow automatisch bei einer effiziente und zeitnahe Korrektur unterstützen. Vorbei sind die Zeiten, in denen Änderungswünsche und -aufforderungen per Email oder gar Hauspost tagelang unbearbeitet blieben.

Die richtige GRC-Lösung schafft also nicht nur Transparenz und Sicherheit, sondern hilft sogar dabei, Prozesse zu optimieren. Daraus ergibt sich eine ganz neue Business-Case-Rechnung - über den Benefit eines klassischen Risikomanagement mit separatem Internen Kontrollsystem hinaus.

Fazit

Risikomanagement ist kein Standard, welcher mit generischen Ansätzen optimiert werden kann. Vielmehr braucht es Erfahrung und Weitsicht, um neue Perspektiven zu entwickeln und bestehende Prozesse und Abläufe aus- und umzubauen. Mit den dargestellten Methoden besteht die Möglichkeit, zielgerichtet und bedarfsgerecht Potenziale zu identifizieren, um durch nachhaltigen Einsatz betrieblicher Ressourcen, Kreativität und neuen GRC-Technologien nachhaltige Transparenz und Sicherheit im Einklang mit den Unternehmenszielen zu ermöglichen.

Typische Governance-Fragestellungen Gibt es eine GRC-Strategie oder Roadmap? Wo wollen wir in zwei bis drei, wo in fünf Jahren stehen? Gibt es eine offizielle Richtlinie oder RM-Verfahrens-/Arbeitsanweisung, die verbindlich und konzernweit gilt und kommuniziert ist? Wer ist verantwortlich für die GRC-Richtlinien Risiken, Kontrollen und Maßnahmen? Wer gibt diese frei (ggf. gilt das Mehraugenprinzip)? Wer prüft den Inhalt - formell und fachlich und wie regelmäßig? Wem gehört die GRC-Applikation (System-Owner, Applikation-Owner) und wem die darin befindlichen Daten (Stichwort: Bundesdatenschutzgesetz)?

Olaf Riedel ist Partner und Christian Hoppe Senior Manager Advisory Services bei E&Y.