Die Risikobranche liebt TLAs noch mehr als die Technik (ein ‚TLA‘ ist ein Akronym mit drei Buchstaben, ein weiteres, das Sie Ihrem Arsenal hinzufügen können).

Wir schieben GRC hin und her. Sehr oft. Aber was bedeutet es eigentlich?

Ich sehe das so:

  • Governance
    Das G in GRC kann alles sein, von staatlichen Vorschriften über vertragliche Verpflichtungen und gesellschaftliche Anforderungen bis hin zu Unternehmensrichtlinien. Das Verständnis der auferlegten Verpflichtungen und der potenziellen Auswirkungen auf die Organisation ist entscheidend für ihr Überleben. Es gibt viele Beispiele für das Versagen der Unternehmensführung, wie z.B. schlecht umgesetzte gesetzliche Anforderungen zur Bekämpfung von Bestechung oder schlichtweg ungeschickte Geschäftspraktiken. Das schlimmste Beispiel sind vielleicht unspezifische Vertragsklauseln („Das wusste ich nicht“ ist keine sinnvolle Antwort).
  • Risiko
    Hier ist es wichtig, Risiko und Belohnung abzuwägen – in der einfachsten Form heißt das: „Riskieren Sie nicht viel für wenig Geld“. Es ist wirklich ein Gleichgewicht zwischen dem, was genug Risiko ist, und dem, was nicht genug Risiko ist. Wenn das potenzielle Risiko die potenzielle Belohnung überwiegt, sollten Sie die Risiken wirklich gut kontrollieren können oder darauf vorbereitet sein, alles zu verlieren. Die einfachsten Beispiele finden Sie in den vielen Medienereignissen, bei denen Menschen die dümmsten Dinge tun, in der Hoffnung auf eine Belohnung wie ein wenig Geld oder flüchtigen Ruhm. Aus Unternehmenssicht sind die Dinge etwas schmerzhafter: von Medienberichten über Bestechungsgelder zur Erlangung von Aufträgen bis hin zu sinnlosen Kostensenkungen, die in massiven Schadensersatzzahlungen enden.
  • Compliance
    Ganz einfach: Sicherstellen, dass die richtigen Dinge auf die richtige Art und Weise und zur richtigen Zeit getan werden. Der Trick besteht darin, nicht so viel Aufwand zu betreiben, dass die Organisation zum Stillstand kommt.

Die Kapitalrendite (ROI) aus GRC herauszuholen, ist ein bisschen so, als ob man die verlorene Stadt Atlantis, den Heiligen Gral oder sogar einen einfachen Weg zum Ausfüllen der Steuererklärung finden würde. Es ist wichtig, zumindest einige vertretbare Parameter für den Wert für das Unternehmen festzulegen, bevor man sich überhaupt mit Governance, Risiko und Compliance beschäftigt. Das mag vielleicht etwas negativ klingen, aber wir stehen an einem Wendepunkt, wenn es darum geht, wie all dies auf rationelle und kostengünstige Weise zusammengebracht werden kann. Die Technologie hat die gesamte Branche verändert, selbst in den letzten 5-10 Jahren. Durch die Schaffung eines einzigen Überblicks über die unternehmensweite Governance, das Risiko und die Compliance werden Überschneidungen und Defizite sofort sichtbar. Mit der heutigen Konnektivität, die zu erheblich geringeren Kosten und in kürzerer Zeit verfügbar ist, können Manager nun alle beweglichen Teile sehen und Maßnahmen ergreifen, um die Governance ihrer Organisation zu verwalten, die Risiken, die diese Governance mit sich bringt, zu verstehen und angemessen darauf zu reagieren und das optimale Maß an Compliance zu erreichen. Auch wenn der ROI schwer genau zu definieren ist, können die Kernkosten der Technologie, die integrierte Risikomanagementsysteme ermöglicht, auf das gesamte Unternehmen verteilt werden. Die Fähigkeit, mit anderen Teilen des Unternehmens zusammenzuarbeiten, um diese integrierte Sicht zu erhalten, erhöht den Wert der Risikofunktion für das Unternehmen. Die Risikofunktion ist keine Kostenstelle, sondern kann zu einem integralen Bestandteil der Strategie des Unternehmens werden und wie erwartet funktionieren. Nichts von alledem ersetzt die Aufgabe des Managements, die Risiken zu managen – aber es macht diese Aufgabe handhabbarer.