Ein Governance-, Risiko- und Compliance-Programm kann einer Organisation helfen, Unsicherheiten zu bewältigen, Überraschungen zu vermeiden und Geschäftsziele zu erreichen. Jede Organisation verfügt über irgendeine Form von GRC, auch wenn es nicht so genannt wird. Denn wer kümmert sich nicht um Regeln und Standards für die Führung des Unternehmens, die Identifizierung und das Management potenzieller Gefahren und die Einhaltung gesetzlicher Vorschriften, um Geldstrafen und Bußgelder zu vermeiden? Doch allzu oft macht jede Abteilung – versicherbare Risiken, Finanzen, interne Kontrollen, Gesundheit und Sicherheit sowie Corporate Compliance – ihr eigenes Ding. Einige verwenden Software, andere Tabellenkalkulationen und wieder andere E-Mails. Nichts ist einheitlich oder miteinander verbunden. Das Unternehmen von heute muss in der Lage sein, das gesamte GRC-Bild zu sehen. Sie müssen jedes Risiko verstehen, wie Ihre Risiken miteinander verbunden sind und wie sie mit Ihren Zielen übereinstimmen. Wenn Sie immer noch in Silos arbeiten, ist es vielleicht an der Zeit für ein Upgrade. Hier erfahren Sie, wie Sie Ihren Business Case für ein besseres GRC-Programm aufbauen können.

Wie verwalten Sie derzeit GRC?

Bevor Sie Verbesserungen definieren und Ihren Business Case erstellen können, müssen Sie ein klares Verständnis davon haben, wie die Komponenten von GRC in Ihrem Unternehmen derzeit gehandhabt werden. Beginnen Sie mit einer gründlichen Untersuchung Ihrer aktuellen Prozesse, Mitarbeiter und Systeme rund um Unternehmensrisiken, Compliance, Beziehungen zu Dritten und Richtlinien. Bedenken Sie:

  • Welche Prozesse und Technologien haben Sie im Einsatz? Wer ist für diese Prozesse verantwortlich? Was tun sie wirklich?
  • Wie werden GRC-bezogene Informationen in Ihrem Unternehmen ausgetauscht? Haben Sie alle dieselben Informationen im Blick oder sind diese in verschiedenen Abteilungen isoliert? Werden Aufgaben wiederholt, weil Informationen nicht einfach gemeinsam genutzt werden können? Sie könnten beispielsweise feststellen, dass die IT-Abteilung die Risiken und die Einhaltung der Vorschriften in Tabellen verwaltet, die Compliance-Abteilung die regulatorischen Anforderungen mit einer alten Datenbank verwaltet und die Abteilung für versicherbare Risiken eine Software verwendet. Gibt es Überschneidungen?
  • Was funktioniert und was nicht? Wenn bestimmte Abteilungen gut arbeiten, sollten Sie dies auf andere Abteilungen ausdehnen, die möglicherweise Schwierigkeiten haben, ihre Risiken zu managen.
  • Wie dienen Ihre Prozesse Ihren Geschäftsanforderungen? Verfügen Sie über genügend Informationen über Risiken, um Entscheidungen über die Zukunft des Unternehmens zu treffen? Verfügen Sie über die Informationen, die Sie benötigen, um rechtzeitig Maßnahmen zur Vermeidung oder Begrenzung von Verlusten zu ergreifen? Kennen Sie Ihr Risiko auf Unternehmens-, Prozess- und Technologieebene?

Welche GRC-Verbesserungen brauchen Sie?

Selbst die ausgereiftesten GRC-Programme haben in der Regel noch Raum für Verbesserungen. Finden Sie die Knackpunkte, an denen Ihr Programm nicht effektiv, nicht effizient oder nicht agil ist. Der GRC-Experte und Risk@Work-Webinar-Beitragende Michael Rasmussen nennt dies das Dante’sche Inferno des GRC. „Es gibt unnötige Komplexität, verschwendete Informationen, verschwendete Ressourcen, hohe Kosten, Doppelarbeit, Redundanz, Fragmentierung und Dinge, die durch die Maschen rutschen, weil jeder in eine andere Richtung geht. Wo können Sie Ihre Architektur weiterentwickeln, um die Governance-, Risiko- und Compliance-Anforderungen des Unternehmens zu unterstützen – und wo können Sie Technologie einsetzen, um manuelle Prozesse zu rationalisieren? Das Risikomanagement hängt von der Unternehmensführung ab, um den Kontext festzulegen, und von der Einhaltung der Vorschriften, um sicherzustellen, dass die Kontrollen vorhanden sind und funktionieren. Sie müssen in der Lage sein, alle drei Teile des GRC zusammenzuführen, um Ziele zuverlässig zu erreichen, Unsicherheiten zu beseitigen und integer zu handeln. Wie sieht Ihr Fahrplan aus, um diese einheitliche Sichtweise zu erreichen? Überlegen Sie:

  • Wie sehen Ihre gemeinsamen Prozesse für die Risikoidentifizierung, die Risikobewertung, das Risiko, die Einhaltung von Vorschriften, die Überwachung von Kontrollen, das Richtlinienmanagement und das Lieferantenmanagement aus?
  • Wie sollten diese Prozesse in den einzelnen Abteilungen und abteilungsübergreifend funktionieren?
  • Welche Technologie wird zur Unterstützung dieser Prozesse benötigt?

Wie kommen Sie dorthin?

„Viele Unternehmen gehen GRC mit manuellen Prozessen und einer Menge von Dokumenten, Tabellen und E-Mails an. Das nenne ich die Unvermeidbarkeit des Scheiterns“, sagt Rasmussen. Er warnt auch davor, zuerst die Technologie zu kaufen und dann erst zu versuchen, Ihre GRC-Prozesse zu entwickeln. „Aber Sie brauchen eine Technologie und eine Informationsarchitektur, die GRC-Datenpunkte aufnimmt und verteilt, den Kontext herstellt, Beziehungen analysiert und Aktionspunkte entwickelt. Technologie ist der Klebstoff, der alles andere zusammenhält.“ GRC-Technologie hilft Ihnen:

  • Definieren Sie ein gemeinsames Vokabular für Risiken in allen Disziplinen.
  • Legen Sie eine Quelle der Wahrheit fest.
  • Standardisieren Sie Prozesse, Praktiken und Richtlinien.
  • Klären Sie Rollen und Verantwortlichkeiten für GRC-Aufgaben.
  • Erleichtern Sie die funktionsübergreifende Kommunikation und Zusammenarbeit.
  • Sorgen Sie für Transparenz bei der Entscheidungsfindung und der Weitergabe von Informationen.

Bauen Sie Ihr Argument für GRC der nächsten Stufe auf

Jetzt, da Sie wissen, wo Sie hinwollen und was Sie brauchen, um dorthin zu gelangen, besteht der nächste Schritt darin, Ihre Strategie, den Wert und die Erwartungen der Beteiligten zu kommunizieren. Beginnen Sie mit der Effizienz. Dies ist eine traditionelle ROI-Berechnung von Zeit- und Geldersparnis. Denken Sie an die Kosten, die durch die Verwaltung von Dokumenten, Tabellenkalkulationen und E-Mails entstehen, und daran, dass Sie sich um halb ausgefüllte oder nicht ausgefüllte Dokumente kümmern müssen, anstatt das Risiko zu managen. Ein Bericht, für dessen Erstellung Sie derzeit 200 Stunden benötigen, kann mit den richtigen Prozessen und Technologien in einer Minute erstellt werden. Das ist eine erhebliche Ersparnis für das Unternehmen. Effektivität bedeutet größere Genauigkeit. Sie gewinnen an Effektivität, wenn weniger Dinge durch die Maschen schlüpfen, wenn das Risiko verringert wird und wenn Sie die Wahrscheinlichkeit einer Geldstrafe oder eines Bußgeldes verringern. Effektivität bedeutet mehr Vollständigkeit, Genauigkeit und mehr Leistung. Und Sie sollten wissen, wer Ihre Stakeholder sind und was sie von einem verbesserten GRC-Programm erwarten können. Sie müssen jedem Mitglied Ihrer Stakeholder-Community den Wert vermitteln. Was wollen diese wirklich?

  • Governance will gute Daten und Informationen, die in ihrem Kontext aufgerollt sind.
  • Risiko will die Fähigkeit, das Risikomanagement in die strategische Planung zu integrieren, einen 360-Grad-Blick auf die Unternehmensrisiken zu erhalten und die Ressourcen zur Bewältigung dieser Risiken effektiv einzusetzen.
  • Ethik und Compliance wollen eine Unternehmenskultur und etablierte Praktiken, um Fehlverhalten zu verhindern, Integrität zu fördern, Probleme aufzudecken und die Ergebnisse zu verbessern.
  • Die Finanzabteilung möchte die Kosten senken und die Kapitalzuweisung für Governance-, Risiko- und Compliance-Prozesse optimieren, damit GRC besser auf das Geschäft abgestimmt ist.
  • Audit- und Versicherungsfunktionen wollen über Finanzprozesse hinausgehen und die Gestaltung und Funktionsweise von Kontrollen für Governance, Risiko und Compliance bewerten.
  • Die Rechtsabteilung möchte solide Praktiken zur Bewältigung ihrer rechtlichen Risiken einführen und gleichzeitig die Fähigkeit zur Verteidigung der Organisation verbessern.

Auf der Führungsebene werden die meisten Ohren auf den ROI aus den Effizienzgewinnen eines verbesserten GRC-Programms gespitzt. Die Effektivität kann jedoch unterschätzt werden, wenn sie nicht in nachvollziehbaren Begriffen erklärt wird. Ein effektiveres Risikomanagement könnte zum Beispiel das Restrisiko verringern, was es dem Unternehmen theoretisch ermöglichen würde, bei gleicher Risikobereitschaft mehr strategische Risiken einzugehen. Mehr strategisches Risiko kann zu höherer Rentabilität führen. Das ist etwas, woran die Geschäftsleitung definitiv interessiert sein wird. Ein erfolgreicher Business Case für GRC setzt voraus, dass das richtige Team mit der richtigen Führung an Bord ist, die die Mitarbeiter dazu bringen kann, gemeinsam eine Unternehmensperspektive zu entwickeln und dabei klare und überzeugende Fakten in Bezug auf Effizienz, Effektivität und Agilität zu nutzen. Das ist Ihr Business Case für GRC.

Wenn Sie mehr über GRC erfahren möchten, laden Sie Governance, Risk, and Compliance: The Definitive Guide, und sehen Sie sich die GRC-Softwarelösungen von Riskonnect an.