Viele Unternehmen setzen Technologien für Governance, Risiko und Compliance (GRC) ein, um ihre Aktivitäten in diesen drei Bereichen zu verwalten. Dieser Wandel wird durch die sich ständig ändernden gesetzlichen Bestimmungen und eine zunehmend vernetzte Welt vorangetrieben. GRC-Lösungen automatisieren die Erfassung, Korrelation und Berichterstattung von Informationen, um ein umfassenderes Bild davon zu vermitteln, wie gut das Unternehmen nicht nur seine Leistung erbringt, sondern auch die Gesetze einhält und Risiken verwaltet.

Nachdem Sie den mühsamen Prozess der Rechtfertigung der Investition in GRC-Lösungen durchlaufen und eine Auswahl der verfügbaren Plattformen getroffen haben, die Ihren Anforderungen am besten entspricht, bringt die eigentliche Implementierung eine Reihe von Herausforderungen mit sich, die im Voraus bedacht werden müssen, damit alles so reibungslos wie möglich abläuft und so wenig Störungen wie möglich verursacht werden. Lesen Sie weiter, um mehr über die 10 häufigsten organisatorischen Herausforderungen bei der Implementierung einer GRC-Lösung zu erfahren und beginnen Sie jetzt mit der Planung, um sie zu bewältigen.

  1. Bestimmen Sie die Schlüsselpersonen und ihre Rollen frühzeitig im GRC-Prozess. Wenn Sie mit der Festlegung des Teams und der Rollen warten, kann dies zu Verzögerungen, Nacharbeit und Frustration führen, da eine neue Person eine andere Perspektive oder ein anderes Ziel haben kann. Dies ist vor allem bei den Sponsoren wichtig, da sie oft die Agenda auf höchster Ebene festlegen.

  2. Wissen, dass Kommunikation der Schlüssel ist! Es mag banal und unnötig erscheinen, aber dies ist oft ein Bereich, in dem das GRC-Programm entgleist. Wenn Sie an Kommunikation denken, denken Sie daran:
    • Interne Stakeholder für Planung, Fortschritt, Beratung, Entscheidungsfindung, etc.
    • Peers (für Beratung, Änderungen, Herausforderungen, bewährte Verfahren usw.)
    • Implementierungsteams – sowohl für das GRC-Programm als auch für eine mögliche Automatisierung oder Software – für Anforderungen, Gesamtvision und Ziele, Interessengruppen usw.
  3. Nutzen Sie die verfügbaren Rahmenwerke und Richtlinien als Lackmustest für Ihr Programm. Rahmenwerke und Leitfäden wie COSO, COBIT, NIST, ITIL, UCF usw. können einen hervorragenden Ausgangspunkt sowie einen starken Berührungspunkt während Ihres Reifungsprozesses bieten, um sicherzustellen, dass Sie alle Aspekte eines GRC-Programms berücksichtigen.
  4. Aufbau eines Netzwerks von Gleichgesinnten in Ihrem Fachgebiet und Ihrer Branche. Erkundigen Sie sich bei ihnen nach bewährten Verfahren, Herausforderungen, Änderungen, Anleitungen usw. Auf diese Weise erhalten Sie die Gewissheit, dass der GRC-Prozess, den Sie aufbauen, alle Aspekte berücksichtigt, die berücksichtigt werden müssen.
  5. Sie denken, dass Sie einen ausgereiften Geschäftsprozess haben müssen, um ein automatisiertes GRC-Programm zu implementieren. Es ist nicht notwendig, dass Sie bereits über einen ausgereiften Geschäftsprozess verfügen, um damit zu beginnen. Sie sollten jedoch sicherstellen, dass Sie ein grundlegendes Verständnis davon haben, wie der Geschäftsprozess aussehen soll – der Prozess kann im Laufe der Zeit ausgereift sein, aber ein solider Ausgangspunkt wird Nacharbeit und Frustration vermeiden.
  6. Verständnis für die Prozesse, Daten, Teams usw., die in Ihrem Unternehmen bereits vorhanden sind. Es gibt oft sehr solide GRC-Bereiche, die ein guter Ausgangspunkt für die Entwicklung eines robusten Programms sein können. Interne Revision, SOX, IT GRC und andere haben beispielsweise ausgereifte Geschäftsprozesse mit definierten Datentaxonomien, die ein GRC-Programm viel schneller von den Kinderschuhen zur Reife bringen können. Außerdem können diese vertikalen Bereiche, die eine starke Führung bei der Entwicklung von GRC-Programmen haben, starke Fürsprecher in einem Unternehmen sein und zum Erfolg des GRC-Aufbaus insgesamt beitragen.
  7. Beginnen Sie mit dem gewünschten Endergebnis und arbeiten Sie sich rückwärts vor. Wenn Sie wissen, welche Berichte und Dashboards Sie benötigen, können Sie die zu erfassenden Informationen bestimmen und festlegen, wie diese strukturiert sein müssen, um das gewünschte Endergebnis zu erzielen.
  8. Klare Kommunikation der Anforderungen in der RFP oder im Verkaufszyklus. Wenn Sie sich entscheiden, eine Software zur Unterstützung Ihres GRC-Prozesses zu automatisieren oder zu implementieren, müssen Sie unbedingt sicherstellen, dass Sie genau verstehen, wozu sich der SOW verpflichtet und was er ausschließt. Wenn Sie sich über etwas nicht im Klaren sind, drängen Sie in diesen Bereich, um Klarheit zu erhalten. Das Verständnis dessen, was geliefert wird und was nicht, ist der Schlüssel dazu, wie gut das System für Sie insgesamt funktionieren wird, und gibt Ihnen die Gewissheit, dass das Produkt Ihre Anforderungen in Bezug auf die erwarteten Kernfunktionen erfüllen wird.
  9. Denken Sie zuerst an das große Ganze. Wenn Sie eine Software zur Unterstützung Ihres GRC-Prozesses automatisieren oder implementieren, denken Sie zu Beginn an das große Ganze und arbeiten Sie dann darauf hin. Es ist vernünftig, klein anzufangen und dann auf ein komplettes GRC-Programm hinzuarbeiten, aber wenn Sie die ersten Prozesse aufbauen, sollten Sie sicherstellen, dass das Endergebnis bei Ihren Entscheidungen berücksichtigt wird. Andernfalls kann es zu unbeabsichtigten Blockaden im Prozess kommen, die dazu führen, dass die angestrebte Aufspaltung der Unternehmensbereiche nicht erfolgreich ist.
  10. Hören Sie auf den Rat und die Führung der Menschen in Ihrer Umgebung. Ob von der Unternehmensleitung, von Kollegen, von externen Quellen oder von den Implementierungsteams bei der Automatisierung, dies ist eine Schlüsselkomponente für eine erfolgreiche Implementierung. Sie können dann die Informationen, die Sie erhalten haben, durch die Linse dessen betrachten, was Sie zu erreichen versuchen. Seien Sie offen für die Sichtweise von außen, aber stellen Sie sicher, dass sie mit den Zielen, auf die Sie hinarbeiten, übereinstimmen.

Die Implementierung einer oder mehrerer GRC-Lösungen ist keine Kleinigkeit, und auf dem Weg dorthin gibt es zwangsläufig unvorhergesehene Hindernisse. Wenn Sie jedoch einige der wahrscheinlichen Herausforderungen im Voraus kennen und proaktiv Pläne für deren Bewältigung erstellen, sind Sie besser darauf vorbereitet, Ihr Unternehmen auf Erfolgskurs zu bringen.