Die Einsicht, dass Governance, Risk und Compliance auch eine starke und moderne IT-Unterstützung beinhalten, setzt sich erst langsam durch. Doch die Investitionen nehmen zu.
GRC steht als Kürzel für Governance, Risk Management und Compliance [1]. Gemeint sein können Business-Aufgaben wie das Management von geschäftlichen Risiken oder aber auch IT-Fragen wie etwa das Erkennen von Sicherheitsrisiken. Eine einheitliche Definition dieser Begriffe findet sich daher ebenso wenig wie es für die praktische Umsetzung standardisierte Vorgaben gibt.
Eine erste goldene Regel für Unternehmen lautet daher: Genau überlegen, was GRC in der eigenen Firma heißen muss und welche Instrumente für einen effizienten Betrieb wirklich nötig sind. Diese eigene Definition gilt es, gegenüber Anbietern und Beratern durchzusetzen, damit alle Beteiligten die gleiche Sprache sprechen.
GRC erfordert einen ganzheitlichen Ansatz bei der Umsetzung, der Business- und IT-Anforderungen gleichermaßen berücksichtig, raten die Analysten von Forrester. Die steigenden Anforderungen im Risk-Management und in punkto Compliance auf Business-Seite sind ohne eine ausgeprägte IT-Unterstützung nicht mehr zu bewältigen. Erst durch den IT-Einsatz könne ein hohes Niveau an Performance, Integration, Datenmanagement und Benutzerfreundlichkeit erreicht werden.
Innerhalb des IT-Arsenals spielen laut Forrester [7] im GRC-Umfeld insbesondere Business Intelligence [8]- und Analyse-Tools eine maßgebliche Rolle. "Die Unternehmen suchen mittlerweile nach Systemen, die auf Daten von verschiedenen Business-Anwendungen zugreifen", berichtet Analyst Chris McClean. Auf diese Weise versuchen sie beispielsweise, Kreditdaten nachzuverfolgen, Betrugsmuster aufzudecken und andere Quervergleiche von Risikodaten anzustellen.
Die Analysten von KuppingerCole [9] teilen diese Einschätzung. "Automatisierte Kontrollen für Geschäftsrisiken sind ja am Ende des Tages immer eine Sache der IT, und beide Welten wachsen immer weiter zusammen", heißt es in einer Trendanalyse des Düsseldorfer Unternehmens. Die gemeinsame Betrachtung von technischen IT-Risiken und operationalen Risikoszenarien sei einer der wichtigsten GRC-Trends und entwickle sich zu einem bestimmenden Wettbewerbsfaktor auf Anbieterseite. Bei den Anwenderunternehmen sei allerdings eine ganzheitliche GRC-Strategie bislang nur in Ansätzen zu finden (das Risiko Management ist beispielsweise oft nur rudimentär entwickelt) [6]. Aber es gibt an einigen Stellen Fortschritte.
So beschreiben drei Viertel der Befragten in einer aktuellen Umfrage des Magazins Business Finance [10]ihre GRC-Strategien als richtlinien- und nicht als regelbasierend. Das heißt, dass ein an Risiko-Fragen orientierter Top-Down-Ansatz vorherrscht. Eine systematische Dokumentation auf allen Ebenen findet hingegen nicht statt. Andererseits arbeiten nach eigenen Aussagen 65 Prozent der Firmen mit irgendeiner Form von Enterprise Risk Management (ERM), und in überraschend hoher Anteil von 60 Prozent hat sich einer ambitionierten GRC-Praxis mit fortlaufendem Auditing und Monitoring [11] verschrieben (mehr zum Thema Risk und Compliance finden Sie auch beim CFOworld-Partner Risknet [12]).
Solche Verfahren haben nach Einschätzung der Analysten von Forrester vielen Firmen in jüngster Zeit nicht nur bei der Einhaltung einer stetig steigenden Zahl von Compliance-Anforderungen geholfen, sondern auch die Kosten für Compliance und Audits gesenkt. Dies Vorteile haben sich aber noch nicht überall herumgesprochen. Vielmehr bleiben in vielen Unternehmen GRC-Vorhaben unterfinanziert und personell schlecht ausgestattet. So beklagten in der Umfrage 37 Prozent der Unternehnmensvertreter fehlende oder zu geringe Budgets, 36 Prozent konstatieren einen Mangel an Personal, und 30 Prozent hatten mit veralteter beziehungsweise unzureichender Technik zu kämpfen.
Die finanziellen Fesseln sollten sich jedoch in absehbarer Zeit lockern. 59 Prozent der Befragten rechnen für das kommende Jahr mit einem unveränderten GRC-Budget, 37 Prozent kalkulieren mit mehr Geld als bisher. Investieren wollen 47 Prozent in Prozessverbesserungen oder strukturelle Veränderungen, 22 Prozent in Personal und Schulung, 15 Prozent in neue Technologie.
Als größte Herausforderung betrachten die Unternehmen operationale Risiken (53 Prozent), gefolgt von Compliance [13] (45 Prozent) und strategischen Risiken (43 Prozent). Die geringsten Sorgen bereiten den Firmen Financial Reporting [14] Risks (31 Prozent). Anforderungen aus regulatorischen Zwängen wie Sarbanes Oxley haben die Unternehmen offenbar relativ gut im Griff (mehr zu den Investitionsplänen von Unternehmen bei GRC finden Sie hier [4]).
[15]
[16]
Links:
[1] http://www.cfoworld.de/10/compliance
[2] http://www.cfoworld.de/33/management
[3] http://www.cfoworld.de/49/it-management
[4] http://www.cfoworld.de/governance-risk-compliance
[5] http://www.cfoworld.de/was-ist-eigentlich-corporate-governance
[6] http://www.cfoworld.de/lippenbekenntnis-risikomanagement
[7] http://www.forrester.com/rb/research
[8] http://www.cfoworld.de/11/business-intelligence
[9] http://www.kuppingercole.com/
[10] http://businessfinancemag.com/
[11] http://www.cfoworld.de/520/monitoring
[12] http://www.risknet.de/
[13] http://www.cfoworld.de/compliance-das-ungeliebte-kind
[14] http://www.cfoworld.de/647/berichtswesen
[15] http://www.cfoworld.de/forward?path=ohne-it-keine-compliance
[16] http://www.cfoworld.de/print/ohne-it-keine-compliance