Wichtige Aspekte für die GRC-Einführung

EY hat ein GRC-bezogenes Reifegradmodell entwickelt. Dieses Reifegradmodell unterstützt Entscheidungsträgern mit der Hilfe einzelner, geführter Interviews eine adäquate Standortbestimmung und kurz-, mittel- und langfristige Optimierungsmöglichkeiten in kurzer Zeit herauszuarbeiten.

Unternehmen sollten dabei im Rahmen der Einführung einer ausgewählte GRC-Applikation die folgenden Aspekte berücksichtigen, damit sowohl die Methodik als auch die IT-Lösung belastbar und nachhaltig eingesetzt werden kann und das RMS und IKS gleichwohl effizient wie auch effektiv betrieben werden können:

1. Heute schon an morgen denken - wie kann das erreicht werden?

Achten Sie bei der Auswahl und Einführung von Anfang an auf die technische und inhaltliche Skalierbarkeit der GRC-Lösung. Konkret geht es darum, von der reinen Identifizierung und Dokumentation von Risiken zu einer GRC-Transformation innerhalb des gesamten Unternehmens hinzuwirken - hin zu einem umfassenden und unternehmensweiten Performance-Risiko-Management, dass nicht nur Werte schützt, sondern einen eigenen Wertbeitrag leistet. Dabei betrachtet man mehr ausschließlich nur die Vergangenheit inkl. des Status Quo, sondern richtet seinen Fokus absichtlich auch auf die Zukunft und auf Chancen und Potenziale, die mit jedem Risikomanagement einhergehen.

Häufig bieten Anbieter die Möglichkeit, mit der GRC-Software ebenfalls auch eine Business Impact Analyse (BIA) durchzuführen. Dies bindet zum einen den jeweiligen Fachbereich stärker in die Identifikation und Dokumentation von Prozessen, Risiken, Kontrollen und Maßnahmen ein und schafft damit eine präferiertes Verantwortungsbewusstsein, zum anderen verknüpft es die GRC Methodik effektiver mit den realen Geschäftsanforderungen und -verfahren, welche die Grundlage für ein zukunftsgerichtetes 'Performance Risk Management' darstellen können.

2. Wie können neue regulatorische Anforderungen umgesetzt werden?

Ein im GRC-Verfahren integriertes Compliance-Management verwaltet nicht nur die aktuell gültigen regulartischen Anforderungen (z.B. HGB, US-GAAP, SOX, BilMoG) und angewandten Standards (ISO 900X, 2700X, COBIT, RiskIT, GOBS, etc.), sondern bietet die Möglichkeit, durch eine Verknüpfung der Regularien und Standards eine proaktive und effiziente Einbindung von Neuerungen durchzuführen. Schon bei der Auswahl und Einführung einer GRC-Lösung sollten Sie deshalb dafür Sorge tragen, dass solche Neuerungen schnell (idealerweise sogar automatisch per neuem Release/Support-Package des Herstellers) mit Hilfe der Lösung und gleichwohl auch in der Lösung umgesetzt werden können.

Solche Anforderungen können unter anderem auf geänderten Daten und Verfahren für Geschäftsprozesse wie zum Beispiel der IBAN oder die elektronische Rechnungslegung basieren, aus denen Anpassungsbedarfe für bestehende Risikodokumentationen, Kontrollen oder Maßnahmen resultieren sowie die neue bzw. geänderte Berichtsformate, -anforderungen oder Workflows mit sich bringen.