Kostensenkung, Prozessintegration und Monitoring

Governance Risk Compliance

Wer Governance, Risk, Compliance richtig angeht, hat Grund zur Freude. Zum Beispiel über deutliche niedrigere Betriebskosten. Umfragen zeigen, was Unternehmen vorhaben.

von Werner Kurzlechner, am 18. Februar 2010

Es ist nicht immer klar, was genau sich hinter der Abkürzung für Governance [1], Risk und Compliance [2] (GRC) verbirgt. Momentan etwa scheint das Augenmerk der Unternehmen vor allem auf dem R für Risiko-Management [3] zu liegen, während vor einiger Zeit das C für Compliance dominiert.

Unternehmen wollen GRC vereinen

In jedem Fall geht es um einheitliche Lösungen für alle drei Aufgaben, und die Firmen streben hier äußerst ernsthaft nach Konvergenz. Laut einer aktuellen Studie der Wirtschaftsprüfer von KPMG [9] International zählen 64 Prozent von über 540 befragten Unternehmen die Konvergenz von GRC zu ihren Prioritäten (andererseits scheitert die Vesserung des eigenen Risikomanagements oft an den Kosten, und einer fehlenden Risikokultur [7]).

Treiber Kostenreduktion

Ein Treiber der Entwicklung ist die Kostensenkung, die in doppelter Hinsicht zu erzielen ist. Zum einen schlägt es positiv zu Buche, wenn nicht jede Abteilung für sich Software einkauft und damit die für sie relevanten Risiken beackert. Eine unternehmensweite Strategie verspricht hier geringere Ausgaben durch Synergiebildung. Zum anderen trägt ein erfolgreiches GRC-Management dazu bei, unnötige Kosten für Compliance sowie durch richtig kalkulierte Risiken zu sparen.

Zunehmende Regulierungen

„Die Unternehmen müssen die vielen Monitoring [10]-Aktivitäten rationalisieren, die in Folge zunehmender Regulierungen entstanden sind“, sagt Michael J. Nolan, Global Ledaer for Risk and Compliance bei KPMG. „Es ist zu teuer, diese Funktionalitäten weiterhin isoliert zu managen“, so Nolan.

Integriertes GRC senkt die Betriebskosten

Die Frage nach den Erfolgsaussichten des Strebens nach Konvergenz haben für den Augenblick die Marktforscher von Aberdeen [11] beantwortet. Wie sie in einer Erhebung zeigen, konnten die erfolgreichsten Unternehmen auf diesem Feld durch Zusammenführen ihrer früher vereinzelten Aktivitäten ihre Betriebskosten um 6,4 Prozent senken.

Weniger Prozesse im Risk-Management

Diese Firmen eliminierten ein Zehntel an überflüssigen Prozessen und Aktivitäten im Bereich des Risiko-Managements. Das entspreche für jede Unternehmenseinheit einem halben Tag pro Woche an gewonnener Produktivität, so Aberdeen.

Kritik an Software für GRC

Allerdings ist es keineswegs trivial, die in der Theorie unverkennbaren Vorzüge in der Praxis zu realisieren. Das Software-Etikett GRC steht unter Branchenkennern mitunter heftig in der Kritik. Es handle sich lediglich um eine hochtrabende Umschreibung für Chaos, wird gewettert. GRC-Software gebe es derzeit überhaupt nicht, heißt es außerdem.

Keine GRC-Lösung von der Stange

GRC ist branchenunterschiede wirken sich aus

Eine Herausforderung sind tatsächlich die höchst unterschiedlichen Herausforderungen in den einzelnen Branchen. Für Versicherungen zum Beispiel sind Naturkatastrophen wie Wirbelstürme oder Erdbeben ganz entscheidende Risiken. Aber die Modellierung der für die Risiko-Einschätzung wesentlichen Daten ist hier schon schwierig genug, die Entwicklung einer integrierten GRC-Plattform eine schwer zu knackende Nuss.

Verknüpfung mit ERP

Bei alldem handelt es sich womöglich um die üblichen Kinderkrankheiten eines jungen Ansatzes. Nichtsdestotrotz sind die Fortschritte auf Anbieterseite unverkennbar, integrierte und verschiedene Funktionalitäten vereinigende Lösungen zu entwickeln. Ein Beispiel sind die Bemühungen etablierter Software-Größen wie etwa Oracle [12], GRC mit bewährten Lösungen im Enterprise Resource Plannung (ERP) zu verzahnen.

Aufs Personal kommt es an

Auf Anwenderseite ist wie so oft zu beachten, dass die richtige Software nur eine wichtige Stufe auf dem Weg zum Erfolg ist. „Gleichzeitig wird die menschliche Erfahrung [13], Interpretation und Beurteilung immer benötigt“, warnt Derek E. Brink, Vice President bei der Aberdeen Group. „Die Rolle der Mitarbeiter im Security- und Audit-Bereich muss sich immer weiter entwickeln – über den reinen Schutz hinaus zur wirklichen Beratung der Business-Seite“, so Brink (zumindest in Deutschland fehlen Experten für Risikomanagement [13]).

Das Rezept der Erfolgreichen

Die Aberdeen-Studie gibt zumindest zarte Hinweise darauf, was momentan die besten von den weniger erfolgreichen Unternehmen im GRC-Bereich unterscheidet. Beispielsweise liegen die Top-Performer in der Integration von Risiko-Management mit anderen Key Performance Indicators (KPI [14]) vorne.

Und sie haben mit vierfach höherer Wahrscheinlichkeit als der Rest in ein zentrales, automatisches GRC-System investiert. Auf der anderen Seite haben selbst die Besten noch jede Menge zu tun. Mehr als die Hälfte gibt an, noch vorwiegend mit einem manuellen Ansatz zu arbeiten.

GRC - Weniger Komplexität ist Hauptziel

An der Stoßrichtung der Aktivitäten im GRC-Bereich lässt wiederum die KPMG-Studie keine Zweifel. 44 Prozent der Befragten wollen schlichtweg die Komplexität im Business reduzieren, 37 Prozent streben nach einer Senkung der Ausgaben für Risiken. 32 Prozent wollen insgesamt ihre Performance verbessern.

Ein Viertel setzt auf Synergie-Effekt

Dies waren die Antworten auf die Frage, warum die Firmen ein GRC-Programm auflegten. Daneben sehen die Befragten weitere Vorzüge eines Engagements in diesem Bereich: 59 Prozent erhoffen sich, Risiken [15] schneller zu identifizieren und zu managen. Und ein Viertel setzt auf den oben genannten Synergie-Effekt. Sie wollen Duplikate aussortieren und so ihre Kosten senken.