Inhaltsverzeichnis
Warum Tabellenkalkulationen für GRC gefährlich sind
3 Gründe, warum Tabellenkalkulationen im Weg sind
Wie Sie verhindern, dass Tabellenkalkulationen GRC bedrohen
Wie Sie den ROI einer GRC-Investition verbessern können
Schätzungsweise 1.000.000.000 Menschen verwenden Excel-Tabellen.
Offensichtlich hat sich die Geschäftswelt von seiner Wirksamkeit überzeugt. Und das ist auch kein Wunder: Excel hat viele großartige Funktionen. Wenn es jedoch um die Verwaltung von Governance, Risiko und Compliance (GRC) geht, können Tabellenkalkulationen tatsächlich ein gefährliches Werkzeug sein.
Die Verwendung von Excel oder anderen Tabellenkalkulationsprogrammen kann mehr Probleme schaffen als lösen. Für eine erste Auflistung von Risiken und vielleicht einige Bewertungen sind sie jedoch sehr hilfreich.
Aber um einen kontinuierlichen Prozess zu schaffen, wird schnell klar, dass diese Werkzeuge der Aufgabe auf Dauer nicht gewachsen sind.
Was ist GRC?
- Governance
Das G in GRC kann alles sein, von staatlichen Vorschriften über vertragliche Verpflichtungen und gesellschaftliche Anforderungen bis hin zu Unternehmensrichtlinien. Das Verständnis der auferlegten Verpflichtungen und der potenziellen Auswirkungen auf die Organisation ist entscheidend für ihr Überleben. - Es gibt viele Beispiele für Versäumnisse der Unternehmensführung, wie z.B. schlecht umgesetzte gesetzliche Vorschriften zur Bekämpfung von Bestechung oder schlichtweg ungeschickte Geschäftspraktiken.
- Der vielleicht schlimmste Übeltäter ist eine unspezifische Vertragssprache („Das wusste ich nicht“ ist keine sinnvolle Antwort).
- Risiko
Hier ist es von entscheidender Bedeutung, Risiko und Belohnung zu berücksichtigen – in der einfachsten Form heißt das: „Riskieren Sie nicht viel für wenig“. - Es geht wirklich um das Gleichgewicht zwischen ausreichendem Risiko und zu geringem Risiko.
- Wenn das potenzielle Risiko die potenzielle Belohnung überwiegt, sollten Sie die Risiken wirklich gut unter Kontrolle haben oder darauf vorbereitet sein, alles zu verlieren.
- Die einfachsten Beispiele finden Sie in den vielen Medienereignissen, bei denen Menschen die dümmsten Dinge tun, in der Hoffnung auf eine Belohnung wie ein wenig Geld oder flüchtigen Ruhm.
- Aus Unternehmenssicht sind die Dinge etwas schmerzhafter: von Medienberichten über Bestechungsgelder für Vertragsabschlüsse bis hin zu sinnlosen Kostensenkungen, die in massiven Schadensersatzzahlungen enden.
- Compliance
Ganz einfach: Sicherstellen, dass die richtigen Dinge auf die richtige Art und Weise und zur richtigen Zeit getan werden. Der Trick besteht darin, nicht so viel Aufwand zu betreiben, dass die Organisation zum Stillstand kommt. -
Warum GRC-konform sein?
-
Wie hoch sind die Kosten für die Einhaltung der Vorschriften im Vergleich zu den Kosten für Gebühren und Bußgelder, die bei Nichteinhaltung der Vorschriften anfallen? Nun, vor kurzem wurde ein weltweit tätiger Hersteller zu einer milliardenschweren Geldstrafe verurteilt, weil er sich der Nichteinhaltung verschiedener Vorschriften schuldig gemacht hatte.
Lassen Sie uns das ein wenig aufschlüsseln:
- U.S. Bevölkerung: ca. 325.000.0001
- Weltbevölkerung: ca. 7.400.000.0002
- Vom Hersteller gezahlte Geldbußen/Entschädigungen insgesamt: $21.300.000.0003
Anhand dieser Zahlen müsste jeder Mensch auf der Welt (Stand August 2016) im Durchschnitt 2,87 Dollar aufwenden, um diese Bußgelder zu bezahlen, und wenn die USA allein für diesen direkten Verlust verantwortlich wären, würde dies 23 Dollar pro Person bedeuten.
Und das sind nur die direkten Kosten. Der Reputationsschaden und die Kosten für die Neugestaltung der Prozesse werden wahrscheinlich noch ein paar Milliarden mehr betragen.
In Bezug auf GRC war die Governance in diesem Fall letztendlich die verschiedenen Vorschriften, die das Unternehmen einhalten musste.
- Möglicherweise gab es auch andere Regelungen innerhalb des Unternehmens, z. B. Richtlinien, die den Versuch des Betrugs oder der Irreführung der Öffentlichkeit untersagten, oder es gab sogar vertragliche Regelungen in Form von Verträgen zwischen Käufer und Verkäufer des Produkts, die die Einhaltung von Mindeststandards vorsahen, wobei das Risiko darin bestand, dass im Falle einer Nichteinhaltung Strafen und Sanierungskosten anfallen würden.
- Es wäre interessant, die Risikobewertung für diesen Fall zu sehen (falls es eine gab), einschließlich der Bewertung möglicher strafrechtlicher Maßnahmen und der Kosten für die Behebung.
- Wären die Kosten für die Einhaltung der Vorschriften für den Zeitraum der Nichteinhaltung der Vorschriften auch nur annähernd so hoch gewesen wie diese Zahlen, die fast 14 % der Unternehmenseinnahmen entsprechen? Es ist schwer, das volle Ausmaß der Kosten zu erfassen, und es wird interessant sein zu sehen, wie sich das Unternehmen davon erholt.
- Es lohnt sich also, darüber nachzudenken, ob wir in vielen Unternehmen eine stärkere Betonung der vollständigen Bewertung der Risiken bestimmter Handlungen erwarten können und wie eine effektive Überwachung der Einhaltung der Vorschriften umgesetzt und aufrechterhalten werden kann.
GRC-Herausforderungen
GRC ist keine singuläre Herausforderung für Unternehmen. Vielmehr sind Governance, Risiko und Compliance lediglich Kategorien für eine ganze Reihe von Herausforderungen und Risiken, die in jeder dieser Kategorien eingebettet sind.
Es gibt zwar keine allgemein akzeptierte Definition von GRC, aber seine drei Elemente werden in der Regel grob wie folgt beschrieben:
- Governance bezieht sich auf die gesamten Managementprozesse einer Organisation, die im Wesentlichen vom Senior Management (C-Level-Team) gesteuert werden.
- Der Begriff Risikomanagement bezieht sich auf die Versuche einer Organisation, Bedrohungen für ihren Betrieb zu identifizieren und zu analysieren. Oft handelt es sich dabei um die Nichteinhaltung gesetzlicher Vorschriften.
- Die Einhaltung der Vorschriften bezieht sich auf Korrekturmaßnahmen, die von der Organisation ergriffen werden, um die zuvor identifizierten Risiken zu verringern.
-
Die Bedeutung der ISO
- Die ISO, die Internationale Organisation für Normung[1], hat über 21.000 Normen veröffentlicht, die so ziemlich alles abdecken, was Sie sich vorstellen können, und wahrscheinlich auch einige, die Sie sich nie vorstellen würden. Sie ist eine globale Organisation und hat 163 nationale Normungsorganisationen als Mitglieder.
- Das ist eine Menge Macht, denn es gibt fast 200 Länder auf der Welt. Viele der Normen sind zwar eher Richtlinien als in Stein gemeißelte Vorschriften, aber sie werden häufig verwendet, um Käufern und anderen Personen bei der Entscheidung zu helfen, ob es eine gute Idee ist, das Produkt oder die Dienstleistung zu kaufen, für die die Norm gilt. Seit der Einführung der ISO 31000 zum Risikomanagement[2] im Jahr 2009 wurde das Risiko zunehmend in diese Normen aufgenommen. Zum Teil, so wird vermutet, um zu vermeiden, dass Ressourcen für die blinde Durchsetzung der Einhaltung des letzten Buchstabens der Norm verschwendet werden. Im April 2016 wurde die ISO 37001 in die letzte Phase vor der Umsetzung versetzt[3]. Die Norm gilt für Managementsysteme zur Bekämpfung von Bestechung und ist eng an viele staatliche Standards angelehnt. Was diesen Standard von vielen anderen unterscheidet, ist die Tatsache, dass sich Organisationen für die Einhaltung der Norm zertifizieren lassen können.
Wir rechnen also mit einem Ansturm von Möglichkeiten, sich zum „Zertifizierer“ ausbilden zu lassen. Das ist an sich wahrscheinlich nichts Schlechtes, aber man muss sich zweier Schlüsselkomponenten bewusst sein: Risiko und Prozess. Beide müssen durch ein angemessenes Maß an Effizienz, Transparenz und Überprüfbarkeit unterstützt werden.
Das Risiko ist im Wesentlichen eine Kombination aus drei Faktoren:
- Die Wahrscheinlichkeit, dass das Ereignis eintritt.
- Die Auswirkungen, wenn es dazu kommt.
- Der Zeitpunkt des Ereignisses.
Die meisten Menschen kennen eine Überschwemmung im Verhältnis 1:100, aber niemand ist in der Lage, genau zu sagen, wann diese Überschwemmung eintreten wird. Und wie groß sind die Auswirkungen? Ein sehr kostspieliges, ruinöses Ereignis oder vielleicht ein Klaps auf die Hand und es kommt nicht wieder vor? DieFragen lauten im Wesentlichen: „Kann das Ereignis eintreten (ja/nein/vielleicht)?“ und „Wenn es eintritt, wie schwerwiegend werden die Folgen sein?“ Keiner dieser Werte kann exakt sein. Das würde bedeuten, dass es eine absolute Sicherheit gibt – das Gegenteil von Risiko.Um sich zertifizieren zu lassen, benötigen Unternehmen Prozesse, die beweisen, dass Ihr Unternehmen genug getan hat, um Bestechung zu verhindern. Natürlich scheint man sich nicht darum zu bemühen, den Umfang der Bestechung zu minimieren, sondern nur die Wahrscheinlichkeit, dass sie auftritt. Das ist vergleichbar mit Sprinklern, die zwar nie verhindert haben, dass ein Feuer ausbricht, aber in der Regel sehr gut verhindern, dass sich das Feuer zu einem Inferno ausweitet. ISO 37001 befasst sich mit der Wahrscheinlichkeit, aber nicht mit den Auswirkungen. Dazu muss die Organisation in der Lage sein, ein klares Verständnis der relevanten Governance(z.B. Anti-Korruptionsvorschriften in jedem Land, in dem sie tätig ist), der Höhe des Risikos (das nicht immer durch die Größe des Umsatzes in einem bestimmten Land bestimmt wird) und der Fähigkeit, die Zusicherung aller relevanten Teilnehmer (Mitarbeiter, Kunden, Lieferanten usw.) auf effiziente, einfache und sichere Weise zu erhalten. Dies deutet darauf hin, dass die Rolle des Chief Compliance Officers noch einmal gestärkt wird, wobei die Unterstützung des Prozesses stark von der Technologie abhängt.
Warum Tabellenkalkulationen für Governance, Risiko und Compliance gefährlich sind
Zunächst einmal tun viele Personen, die mit den Daten interagieren müssen, dies nicht täglich, oft sogar viel seltener, und zu erwarten, dass wahrscheinlich >95% der Personen, die Daten bereitstellen und auf die Informationen reagieren müssen, ist in der Regel zu viel verlangt, selbst wenn die Tabellenkalkulationen geschützte Zellen und Dropdowns haben.
Darüber hinaus führt die Notwendigkeit, Änderungen an diesen Dropdowns und Zellen vorzunehmen, zu großen Problemen in einer Excel-Umgebung. Zum Beispiel der einfache Vorgang, eine Änderung an einem Dropdownfeld vorzunehmen.
Das ist in einem Arbeitsblatt leicht zu bewerkstelligen, aber dann müssen alle Benutzer dieselbe Version haben, sonst wird die Datenerfassung unübersichtlich und die gesammelten Informationen sind fehlerhaft.
Denken Sie auch daran, dass Sie in der Lage sein müssen, einer Vielzahl von Interessengruppen nachzuweisen, woher die Daten stammen. Sicherlich ist es möglich, die aktuellsten Daten zu sehen, aber woher stammen diese Daten und wie haben sie sich verändert?
In einer Excel-Umgebung wird dies bald bedeutungslos und unhaltbar. Ein sicherer Prüfpfad ist für die Unterstützung eines ERM-Prozesses von entscheidender Bedeutung, zumal die Integration von Risikodaten aus nahezu allen Bereichen eines Unternehmens immer mehr zur Norm und nicht zur Ausnahme wird.
Es gibt zwar noch viele andere Faktoren, die es unmöglich machen, einen tabellengestützten ERM-Prozess korrekt zu pflegen, aber betrachten Sie nur einen weiteren Faktor: „eine Quelle der Wahrheit„.
Bei unzähligen Tabellenkalkulationen befinden sich die Schlüsseldaten oft an mehreren Stellen und eine Änderung in einer Komponente wird sich erst dann in allen aggregierten Daten widerspiegeln, wenn die betreffende Kalkulationstabelle in eine Art Mega-Kalkulation hochgeladen wird.
Woher soll der Benutzer dieser Daten wissen, dass diese Daten aktuell und genau sind, wenn er viele Tabellenkalkulationen verwendet. Tabellenkalkulationen führen nur zu einem falschen Gefühl von Wissen und Genauigkeit und führen unweigerlich zu schlechten Entscheidungen auf der Grundlage fehlerhafter Daten.
GRC ist komplex. Und wenn Sie Tabellenkalkulationen verwenden, die nur die Sprache einer Abteilung oder einer Art von Datensatz in jedem Dokument „sprechen“, ist die Wahrscheinlichkeit, dass Sie diese Komplexität in den Griff bekommen, gleich Null.
3 Gründe, warum Tabellenkalkulationen im Weg sind
1. Tabellenkalkulationen sind schwer zu handhaben
Die Suche in einer Tabelle ist einfach. Viele davon zu durchsuchen, nicht so sehr. Sind daher Unmengen von Tabellenkalkulationen ein effektiver Weg, um Informationen zu finden?
Nicht wirklich. Natürlich könnten Sie Ihre vielen Tabellenkalkulationen auch in einer einzigen konsolidieren, aber das ist genauso arbeitsintensiv.
Wahrscheinlich verbringen die Mitglieder Ihres Compliance-Risikomanagementteams sehr viele Stunden damit, Tabellenkalkulationen zu erstellen, zu verbuchen, zu bearbeiten und Berichte zu erstellen. Das ist eine wichtige Arbeit, aber ist sie auch effizient? Oder kosteneffektiv? Oder ist es einfach, gute Berichte zu erstellen? Und schließlich, sind sie gut skalierbar? In den meisten Fällen lautet die Antwort auf diese Fragen „Nein“.
Tabellenkalkulationen verschlingen Zeit und Ressourcen und zwingen Ihre Mitarbeiter dazu, Excel-Experten zu sein, anstatt GRC-Experten zu sein, die zur Lösung kritischer Probleme eingesetzt werden könnten.
2. Tabellenkalkulationen sind anfällig für Fehler
Unzählige Tabellenkalkulationen bedeuten oft unzählige Fehler. Untersuchungen legen sogar nahe, dass 88 Prozent der Tabellenkalkulationen in Unternehmen Fehler enthalten.
Fehler entstehen regelmäßig durch die Fehlinterpretation von Daten bei der Auswertung einer Vielzahl von Tabellenkalkulationen in unterschiedlichen Formaten oder durch Fehler bei der manuellen Neueingabe von Daten, um viele Tabellenkalkulationen in einer einzigen zu konsolidieren.
So führen Tabellenkalkulationen entweder zu einem falschen Gefühl von Wissen und Genauigkeit oder umgekehrt zu völligem Misstrauen gegenüber Daten. So oder so ist eine schlechte Entscheidungsfindung oft die Folge.
3. Tabellenkalkulationen bieten keine Beweiskette
Versionskontrolle und Datensicherheit sind bei Tabellenkalkulationen ein echtes Problem. Es besteht große Unsicherheit darüber, ob und wann Informationen aktualisiert wurden und wer die Informationen aktualisiert hat. Dies kann dazu führen, dass Benutzer sich fragen
- Ist dies das richtige Datum? Oder wurde sie geändert?
- Ist dies ein korrekter Eintrag? Oder wurde sie verändert?
- Habe ich diesen Eintrag gemacht? Oder hat es jemand anderes getan?
Dies kann dazu beitragen, dass die Daten mit Fehlern behaftet sind und dass Sie für fehlerhafte Informationen, die sich negativ auf Ihr Unternehmen auswirken könnten, nicht zur Verantwortung gezogen werden.
Wie Sie verhindern, dass Tabellenkalkulationen GRC bedrohen
Tabellenkalkulationen haben viele Vorteile, aber nicht, wenn es um die Verwaltung von Governance, Risiken oder Compliance geht. Die Technologie für integriertes Risikomanagement hingegen löst viele der Probleme, die Tabellenkalkulationen mit sich bringen – ganz einfach aufgrund ihres Designs. In erster Linie arbeitet diese Technologie in der Cloud und sammelt und aktualisiert Daten automatisch und in Echtzeit. Sie bringt relevante GRC-Informationen an die Oberfläche, wo auch immer sie in Ihrem Unternehmen versteckt sind. Sie verbindet sie mit anderen internen und externen Daten und normalisiert sie dann mit Datenverarbeitungstools, um die Konsistenz der Daten, die Sie vergleichen, sicherzustellen. So können Sie mit nur wenigen Klicks auf aktuelle Risikomanagementdaten zugreifen und diese analysieren, anstatt eine Vielzahl von Tabellenkalkulationen zu einem Mega-Tabellenblatt zusammenzuschustern, das im Grunde genommen veraltet ist, sobald es Zeit für einen Bericht ist. Mehr noch, die richtige Technologie für integriertes Risikomanagement ist speziell auf die Verwaltung von GRC zugeschnitten und bietet eine ganze Reihe von Anwendungen zur Verbesserung der Effizienz und Konsistenz aller Geschäftsprozesse und Entscheidungen im Zusammenhang mit Corporate Governance, Risiko und Compliance. Lassen Sie sich nicht von Tabellenkalkulationen aufhalten. Integrierte Risikomanagement-Technologie kann Ihre GRC-Programme vereinfachen und automatisieren – damit können Sie Ihre GRC-Funktionen implementieren, anpassen, erweitern und skalieren.
Wie Sie den ROI Ihrer GRC-Investition verbessern können
Die Kapitalrendite (ROI) aus GRC herauszuholen, ist ein bisschen so, als ob man die verlorene Stadt Atlantis, den Heiligen Gral oder sogar einen einfachen Weg zum Ausfüllen der Steuererklärung finden würde. Es ist wichtig, zumindest einige vertretbare Parameter für den Wert für das Unternehmen festzulegen, bevor man sich überhaupt mit Governance, Risiko und Compliance beschäftigt. Das mag vielleicht etwas negativ klingen, aber wir stehen an einem Wendepunkt, wenn es darum geht, wie all dies auf rationelle und kostengünstige Weise zusammengebracht werden kann. Die Technologie hat die gesamte Branche verändert, selbst in den letzten 5-10 Jahren. Durch die Schaffung eines einzigen Überblicks über die unternehmensweite Governance, das Risiko und die Compliance werden Überschneidungen und Defizite sofort sichtbar. Mit der heutigen Konnektivität, die zu erheblich niedrigeren Kosten und in kürzerer Zeit verfügbar ist, können Manager nun alle beweglichen Teile sehen und Maßnahmen ergreifen, um die Governance ihrer Organisation zu verwalten, die Risiken, die diese Governance mit sich bringt, zu verstehen und angemessen darauf zu reagieren und das optimale Maß an Compliance zu erreichen.
Der ROI ist zwar schwer genau zu definieren, aber die Kernkosten für die Technologie, die integrierte Risikomanagementsysteme ermöglicht, lassen sich auf das gesamte Unternehmen verteilen. Die Fähigkeit, mit anderen Teilen des Unternehmens zusammenzuarbeiten, um diese integrierte Sicht zu erhalten, erhöht den Wert der Risikofunktion für das Unternehmen. Die Risikofunktion ist keine Kostenstelle, sondern kann zu einem integralen Bestandteil der Strategie des Unternehmens werden und wie erwartet funktionieren. Nichts von alledem ersetzt die Aufgabe des Managements, Risiken zu managen – aber es macht diese Aufgabe handhabbarer. Erfahren Sie mehr darüber, wie Sie mit Risikomanagement-Software die Einhaltung von Vorschriften und ethischen Grundsätzen gewährleisten können.
