Harmonisierung von Governance, Risk und Compliance

Der Mehrwert von integriertem GRC

Komplexer werdende Unternehmensumwelten, die voranschreitende Digitalisierung und neue Geschäftsmodelle – die Anforderungen an die strategische Planung steigen und die Geschäftsführung sieht sich mit neuen Herausforderungen konfrontiert. Integriertes GRC liefert die Leitplanken für risiko- und wertorientierte Unternehmensführung.

1. Die Verantwortung der Unternehmensleitung und der Bezug zu GRC

Die Unternehmensführung hat die Aufgabe, ihre Organisation so aufzustellen, dass sie die von den Eigentümern gesetzten Ziele erreichen kann – und das unter Berücksichtigung stetig komplexer werdender Rahmenbedingungen und einer sich immer schneller verändernden Unternehmensumwelt. Die Rahmenbedingungen spiegeln sich in den Kernaufgaben der Unternehmensleitung wider und sind in dieser oder abgewandelter Form in allen Unternehmungen anzutreffen (siehe Abb 1).

Kernaufgaben der Unternehmensführung

Abb 1: Kernaufgaben der Unternehmensführung, Quelle: avedos

Die primäre Aufgabe der Unternehmensleitung ist die Definition und Implementierung der Unternehmensstrategie. Dabei wird die Zielsetzung der Eigentümer und weiterer Stakeholder auf die Unternehmens­organisation heruntergebrochen, um eine Durchdringung der einzelnen Organisationseinheiten zu gewährleisten. Ziel ist es, die Erwartungen der Eigentümer hinsichtlich des Risk-Return-Profils mit der Implementierung der Strategie in der Organisation in Einklang zu bringen.

Die Umsetzung der Strategie hat unter Einhaltung von Normen und Gesetzen zu erfolgen. Der Finanzsektor befasst sich aufgrund der regulatorischen Vorgaben schon lange mit diesem Thema und kann daher als Vorreiter gesehen werden. Mittlerweile steigt allerdings auch in anderen Branchen die Regulationsdichte rapide. Compliance beschäftigt sich damit, geltende gesetzliche, institutionelle und selbst auferlegte Regelwerke einzuhalten und somit einen Rahmen zu schaffen, in dem das Unternehmen seiner Geschäftstätigkeit auf regelkonforme und ethisch korrekte Art und Weise nachkommen kann.

Risiko- und Chancenmanagement stellt die dritte Kernaufgabe hinsichtlich der Sicher­stellung der Zielerreichung dar. Dies umfasst die Herausforderung, das Unternehmen gegenüber äußeren Einflüssen und Ereignissen resilient (also widerstandsfähig) zu machen. Darüber hinaus sind die Risiken und Chancen der strategischen Ausrichtung des Geschäftsmodells proaktiv zu managen, um die Wettbewerbsfähigkeit des Unternehmens nachhaltig zu sichern.

Höchst aktuell in diesem Zusammenhang ist die Digitalisierung in vielen Branchen, die zu einer Disruption oder kompletten Substitution bestehender Geschäftsmodelle führen wird und Seite 21 gleichzeitig neue Geschäftsmodelle schafft. Die darin liegenden Chancen und Risiken zu antizipieren und Strategien zur Nutzung dieser Entwicklungen zu identifizieren, ist Aufgabe eines strategisch ausgerichteten Risikomanagements.

Darüber hinaus ist es Aufgabe der Unternehmensleitung, die Werte des Unternehmens zu schützen – das betrifft sowohl materielle Werte wie Gebäude, finanzielle Mittel, Anlagen und auch Personen als auch immaterielle Werte wie Schutz­rechte, Wissen oder Technologien. Das Sicherheitsmanagement verfolgt dabei das Ziel, eine Sicherheitskultur im Unternehmen zu verankern und so die Organisation vor Schaden zu bewahren.

Weiters gilt es, die Effektivität, Robustheit und durchgängige Funktionsfähigkeit von kritischen Unternehmensprozessen sicherzustellen. Beispiele wie der „Fake President Fraud“ zeigen die Schwere der Auswirkungen von Prozessen, die nicht stringent eingehalten werden. Bei dieser Art von Attacke gegen ein Unternehmen wird unter einer falschen Identität Kontakt mit einem Mitarbeiter aufgenommen und versucht, diesen zu überzeugen, eine Geldsumme auf ein ausländisches Konto zu überweisen. Solche Transaktionen können von einem effektiven Internen Kontrollsystem verhindert und damit Schaden abgewandt werden. Die Frage, wie Prozesse im Unternehmen geregelt sind und ob das entsprechende Kontrollsystem funktioniert, muss daher laufend gestellt werden.

Sowohl die Eigentümervertretung als auch die Unternehmensleitung müssen darüber hinaus sicherstellen, dass die oben genannten Ziele regelmäßig von einer unabhängigen Kontrollinstanz überprüft werden. Sowohl interne als auch externe Revision haben also den Auftrag, diese Managementsysteme zu prüfen und deren Effektivität sicherzustellen. Ein strukturiertes Audit Management unterstützt demnach wesentlich bei der Schaffung von Transparenz im Unternehmen, da es unternehmerische Abläufe prüft und beurteilt, um Schwachstellen aufzudecken und Verbesserungsmöglichkeiten aufzuzeigen.

2. Von der Geschäftsführung in die Gesamt­organisation

Es ist unabdingbar, dass die Mitarbeiter in den Fachbereichen befähigt werden, risiko- und chancenorientierte Entscheidungen zu treffen. Das gelingt nur, wenn diese Personen über die relevanten Informationen verfügen und im Umfeld einer gelebten Risikokultur handeln.

Die Maßnahmen, die der Vorstand aufgrund der Beschäftigung mit diesen Themen und Aufgaben setzt, können nur dann Wirkung zeigen, wenn im Unternehmen eine Kultur etabliert wird, die ein Hauptaugenmerk auf Risiko und Compliance legt. Es ist unabdingbar, dass die Mitarbeiter in den Fachbereichen befähigt werden, risiko- und chancenorientierte Entscheidungen zu treffen. Das gelingt nur, wenn diese Personen über die relevanten Informationen verfügen und im Umfeld einer gelebten Risikokultur handeln.

Um ein solches Umfeld zu schaffen, steht die Geschäftsführung vor der Herausforderung, eine Vorgehensweise über alle Bereiche hinweg einzuführen – eine entsprechende Kultur im Unternehmen zu etablieren, die die gesamte Organisation durchdringt. Ein hierfür geeignetes Modell ist das Three-Lines-of-Defense-Modell, das sich mit genau diesen Aufgabe­stellungen beschäftigt – dem Schutz des Unternehmens und der kulturellen Durchdringung.

Die First Line of Defense umfasst die operativen Einheiten des Unternehmens und somit die Manager, die im Tages­geschäft die Entscheidungen treffen. Hier ist demnach eine Vielzahl von Personen involviert, die angehalten ist, im Rahmen der vorge­gebenen Richtlinien, risikoorientierte Entscheidungen zu treffen. Typischerweise ist das Verständnis des Begriffs „Risiko“ in den verschiedenen Fachabteilungen wie Produktion, Entwicklung oder Marketing sehr unterschiedlich ausgeprägt. Daher sind ein einheitliches Bild von „Risiko“ sowie ein regulatorischer Rahmen unabdingbar.

Diesen regulatorischen Rahmen bietet die Second Line of Defense – von der Geschäftsleitung eingesetzte Personen, die für bestimmte Managementsysteme zentral verantwortlich sind. Sie etablieren Standards und Werkzeuge und stellen so die Einheitlichkeit eines Managementsystems in der Organisation – bspw des Risikomanagements – sicher. Sie unterstützen damit das operative Management in dessen Aufgabe, risikoorientierte Entscheidungen zu fällen.

Die Third Line of Defense – Internal Audit – agiert als unabhängige Kontrollinstanz. Sie prüft sowohl die Einhaltung und Ordnungsmäßigkeit der operativen Prozesse in den Fachbereichen als auch die Funktionsfähigkeit und Effektivität der Managementsysteme.

Die Unternehmensleitung ist für Aufbau und Inhalt dieser Strukturen verantwortlich – im Sinne von „accountable“ – und delegiert die Umsetzung typischerweise an einen Verantwortlichen – im Sinne von „responsible“ – je Managementsystem. Durch diese gewachsenen Strukturen ist in der überwiegenden Mehrheit der Unternehmen eine Reihe von Managementsystem-Silos entstanden, die in sich zwar funktionsfähig sind, aber gesamtheitlich betrachtet kein konsistentes Bild der Unternehmenslage bieten. Der Nutzen als wesentliches Entscheidungs- und Steuerungsinstrument für die Unternehmensleitung bleibt daher oft auf der Strecke.

3. GRC-Silos – ein Risiko für sich

Die Silobildung bei Managementsystemen an sich muss als Risiko betrachtet werden.

Aus Sicht von Vorständen und Geschäftsführern ist es essenziell, ein konsistentes und einheitliches Bild über die Organisation zu erhalten, um richtige Entscheidungen treffen zu können. Dem gegenüber stehen nun aber oben genannte Managementsysteme als separierte Silos, die dementsprechend auch separierte Berichte und Informationen produzieren. Die Geschäftsleitung steht dann vor der Frage, wie ein ganzheitliches Bild auf die Gesamtrisikosituation des Unternehmens erlangt werden kann. Die Antwort auf diese Frage lautet in den meisten Fällen – gar nicht. GRC-Silos führen also zu Problemen, die den Nutzen der GRC-Prozesse als Steuerungsinstrument kompromittieren:

  • Seite 22 individuelle Berichte/Informationen aus allen Managementsystemen (ergibt eine hohe Anzahl von Berichten);
  • inkonsistente Aussagen der Managementsysteme zu demselben Sachverhalt;
  • fehlende Erkenntnis von Zusammenhängen über Managementsystem-Grenzen hinweg;
  • unterschiedliche Steuerungsprozesse in den Managementsystemen.

Darüber hinaus verursachen GRC-Silos redundante und ineffektive Prozesse. In den Fachbereichen entsteht erheblicher Aufwand, da die Verantwortlichen für die Managementsysteme mehrfach auf die Fachbereiche zukommen, um Informationen und Assessments abzufragen. Außerdem sind bspw Nachverfolgungsprozesse für Maßnahmen oft je Managementsystem gänzlich unterschiedlich umgesetzt.

In strategischer Hinsicht spielen vor allem Überlegungen hinsichtlich der Langfristigkeit der strategischen Planung eine Rolle, da die Anforderungen diesbezüglich steigen. Die Entwicklung von Geschäftsmodellen schreitet erheblich rascher voran als noch vor einigen Jahren. Außerdem werden alle Branchen von den Auswirkungen der Digitalisierung erfasst und müssen sich darauf einstellen, dass sich Geschäftsmodelle alle zwei Jahre ändern, wohingegen die Entscheidungen in der strategischen Langfristplanung 20 bis 40 Jahre Vorausdenken erfordern.

All diese Gegebenheiten und Gefahren führen zu einem massiven Anstieg der Komplexität, und das stellt das größte Risiko nicht integrierter GRC-Silos dar: die überbordende Komplexität, die Unternehmen hemmt. Daher lautet die Kernfrage: Wie agil ist meine Organisation? Das Risikomanagement kann zu dieser Frage einen entscheidenden Mehrwert liefern, wenn die Informationen konsolidiert und integriert sind.

4. Strategischer Mehrwert von integrierten GRC-Prozessen

Im Rahmen der Integration von GRC-Prozessen geht es in erster Linie um die Reduktion der Komplexität, also um Vereinfachung. Es wird niemals möglich sein, die Realität in ihrer gesamten Komplexität zu erfassen, aber es wird ein möglichst guter Überblick benötigt, um fundierte Entscheidungen treffen zu können. Und dieser Überblick ist erst durch eine Vereinfachung der vorhandenen Informationen möglich. Erst in zweiter Linie geht es um die Automatisierung der Prozesse, also um deren Beschleunigung.

Ein Großteil der Unternehmen hat erkannt, dass die Integration von GRC-Prozessen in Zukunft notwendig sein wird und erhebliche Chancen bietet.

Ein Großteil der Unternehmen hat erkannt, dass die Integration von GRC-Prozessen in Zukunft notwendig sein wird und erhebliche Chancen bietet. Doch wo stehen wir aktuell? In einer OCEG-Studie von 2016 wurde genau diese Frage beleuchtet; in Abb 2 sind die Ergebnisse aufgeführt.

Abb 2: Kernaufgaben der Unternehmensführung, Quelle: OCEG 2016 GRC Technology Strategy Survey [übersetzt durch avedos]

27 % der Studienteilnehmer gaben an, noch keine Schritte in Richtung Integration vorgenommen zu haben. 14 % arbeiten bereits mit voll integrierten Prozessen und ein Großteil, nämlich 59 %, hat begonnen, die vorhandenen Informationen zu integrieren und Prozesse zu harmonisieren, hat aber noch keine geeignete Methode zur Verfügung, die Integration auch technologisch umzusetzen.

5. Umsetzung der Integration in der Praxis

Bevor es an die konkrete Umsetzung gehen kann, müssen gewisse Voraussetzungen für die Integration erfüllt sein. Zunächst ist es von Seiten der Geschäftsführung notwendig, einen einheitlichen Auftrag an alle Managementsystemverantwortlichen auszu­geben, was in der Praxis häufig vernachlässigt wird. Aber nur durch ein gemeinsames Verständnis des Auftrags aller GRC-Verantwortlichen wird eine sinnstiftende Verknüpfung der Informationen und Prozesse möglich. Darüber hinaus ist auch ein gemeinsames Verständnis über die Risikolandk­arte sowie den Risikobegriff notwendig.

Nachdem der Mehrwert skizziert wurde und die grundsätzlichen Voraussetzungen erfüllt sind, stellt sich die Frage, wie konkret ein Projekt zur Integration von GRC-Prozessen in die Wege geleitet werden kann. Eine Möglichkeit, die immer wieder, bspw bei Schweizer Krankenversicherern, anzutreffen ist, ist die Schaffung einer eigenen GRC-Funktion, in der direkt an den Vorstand bzw Seite 23 den Aufsichtsrat berichtet wird. Diese Funktion gliedert sich dann wiederum in die verschiedenen GRC-Domänen, die aber inhaltlich und funktional verknüpft sind und über harmonisierte Prozesse verfügen.

In der konkreten Umsetzung können vier Kernelemente identifiziert werden, die zum Gelingen der Integration unerlässlich sind:

  • Einheitliches GRC-Managementsystem: Jede GRC-Domäne entspricht einem Managementsystem, denn sie verfügt über einen wiederkehrenden Zyklus, einen kontinuierlichen Verbesserungsprozess und greift aktiv in die Steuerung des Unternehmens ein. Die Prozesse und Vorgehensweisen aller GRC-Domänen zu vereinheitlichen und zu harmonisieren, muss dabei oberstes Ziel sein. Dies betrifft sowohl die zeitliche Abstimmung von Assessmentprozessen, die Kompatibilität der verwendeten Metriken, die Vereinheitlichung von Prozessabläufen wie auch einheitliche Governance-Vorgaben.
  • Integration der GRC-Landk­arte: Um eine fundierte „GRC-Intelligenz“ in der Organisation zu entwickeln, müssen die vorhandenen Informationen der unterschiedlichen Managementsysteme miteinander verknüpft werden – ähnlich einem menschlichen Gehirn. Darüber hinaus gilt es, adressatenspezifische Informationen zu verdichten bzw zu aggregieren, um die für die Entscheider wesentlichen Informationen zu berichten.
  • Harmonisiertes GRC-Reporting: Es können zwei Arten von Reportings unterschieden werden – das Fachbereichsreporting und das Managementsystemreporting. Letzteres gilt es, in einem einheitlichen, integrierten GRC-Reporting zusammenzufassen, um eine fundierte Aussagekraft über alle Managementsysteme hinweg und einen „drilldown“ in die Details der Informationen zu ermöglichen.
  • Einheitliche GRC-Software: Die Nutzung einer Plattformlösung zur Umsetzung einer integrierten GRC-Strategie ermöglicht es, Prozesse zu automatisieren, handelnde Personen auf einfache Art und Weise zu involvieren und damit die GRC-Denkweise des Unternehmens in die Organisation zu tragen.

Auf den Punkt gebracht

Zusammenfassend ist zu sagen, dass integriertes GRC durchaus Realität ist – in einer noch relativ geringen Anzahl von Unternehmen. Jedoch ist der Aufholbedarf erheblich, genauso wie die Chancen für Unternehmen, die sich dem Thema Integration von GRC-Domänen und Managementsystemen ernsthaft annehmen.

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.