Governance, Risk & Compliance
Großunternehmen, die international tätig sind, haben komplexe Strukturen und handeln (wenn sie börsennotiert sind) im eigenen wirtschaftlichen Interesse sowie im Interesse der Aktionäre. Um eine reibungslose Zusammenarbeit zwischen den verschiedenen Standorten und Abteilungen im In- und Ausland zu garantieren, hilft das Governance, Risk & Compliance-Modell (Governance, Risk Management and Compliance – GRC). Es fasst die drei wichtigsten Handlungsebenen eines Unternehmens für dessen erfolgreiche Führung zusammen:
- Governance ist die Unternehmensführung durch definierte Richtlinien. Dazu zählt die Festlegung von Unternehmenszielen, die darauf angewandte Methodik zur Umsetzung und die Planung der notwendigen Ressourcen für das Erreichen der Ziele.
- Risk steht für das Risikomanagement mit bekannten und unbekannten Risiken durch definierte Risikoanalysen. Ein wichtiger Faktor dabei ist das frühzeitige Auseinandersetzen mit Risiken, der Bereitstellung von Strategien zur Risikominimierung und dem Vorbereiten von Schadensfallpuffern bei Risikoeintritt.
- Compliance ist das Einhalten interner wie externer Normen für die Bereitstellung und die Verarbeitung von Informationen. Diese beinhaltet unter anderem Vorgaben aus Normierungsbestrebungen und die Zugriffsreglementierung für die Daten sowie die gesetzlichen Rahmenbedingungen für deren Verwendung. Es geht also um den gesamten moralischen und ethischen Wertekanon eines Unternehmens.[1]
Der englische Ausdruck hat sich im deutschen Sprachgebrauch etabliert, so dass auf eine deutsche Übersetzung der Begriffe verzichtet wird.
Das Management muss sich mit einer komplexen Verteilung von Beziehungsebenen befassen: überregionalen und multinationalen Geschäftsbeziehungen, gesetzlichen und gesellschaftlichen Regeln, Unternehmensabteilungen und deren Zielen und Vorgaben sowie Umsetzung, Kontrolle und Einhaltung von Prozessen. In jedem Vorgang innerhalb des Unternehmens treten die verschiedensten Ausprägungen dieser Einflüsse miteinander in Beziehungen und haben individuelle Anforderungen.
Beispiel
BearbeitenBei einem Vorgang innerhalb eines Unternehmens kollidiert die SOX-Konformität mit nationalen Datenschutzbestimmungen beim Audit von Personalbestands- und Gehaltsdaten.
Dieses Beispiel beschreibt einen von vielen Vorgängen innerhalb eines Unternehmens und bringt eine Vielzahl von Ressourcen, Regeln und Risiken miteinander in Verbindung.
Lösungsansätze
BearbeitenDas GRC-Modell erhebt den Anspruch, ein Rahmengerüst zur Erleichterung der Organisation der Vielzahl von Verflechtungen der unterschiedlichen Vorgänge einzubringen. Dabei sind Lösungen dieser Art in der Regel IT-lastig und versuchen, über rechnergesteuerte Werkzeuge die Berücksichtigung vieler, im Idealfall aller oben genannten Abhängigkeiten zu berücksichtigen. Dabei bieten viele Hersteller Komponenten an, die GRC unterstützen (Identity Management, Risk-Management, Workflow-Engines, ERP-Systeme usw.), und erste Anbieter stellen bereits ganzheitliche Lösungen zu GRC-Architekturen vor. Wichtigste Anforderungen hierbei sind standardisierte Geschäftsobjekte, automatisierte Abläufe und deren Einbettung in bestehende und kommende Geschäftsprozesse.
GRC-Forschung
Bearbeiten2010 wurde eine Definition veröffentlicht, die durch Online-Befragung von etwa 130 „GRC-Professionals“ mit durchschnittlich 7,5 von 10 Punkten bewertet wurde:[2] „GRC ist ein integrierter, holistischer Ansatz für organisationsweite Governance, Risk und Compliance, der gewährleistet, dass die Organisation sich ethisch und gemäß ihrem Risikoappetit sowie internen und externen Vorgaben verhält, ermöglicht durch die Abstimmung von Strategien, Prozessen, Technologie und Menschen, wodurch Effizienz und Effektivität gesteigert werden.“ Die Autoren leiten aus der Definition einen Forschungsrahmen für integrierte GRC ab, der Einsteigern die Forschung in diesem Bereich erleichtern soll.
Der Forschungsrahmen setzt sich aus den GRC-Disziplinen (Governance, Risikomanagement, Compliance), den GRC-Regeln (interne Vorgaben, externe Vorgaben, Risikoappetit), den GRC-Eigenschaften (integriert, holistisch, organisationsweit), den GRC-Komponenten (Strategie, Prozesse, Menschen, Technologie), den GRC-Zielen (ethisches Verhalten, gesteigerte Effizienz, gesteigerte Effektivität) und den durch GRC gesteuerten und unterstützten Aktivitäten (z. B. Finanzprozesse, IT-Management o. ä.) zusammen.
Literatur
Bearbeiten- SecurIntegration GmbH (Hrsg.): GRC in SAP-Umgebungen. Mitp-Verlag, 2008, ISBN 978-3-8266-5954-6.
Weblinks
Bearbeiten- Adaptiver Ansatz für das Risk Management. Abgerufen am 7. Juni 2023 (Expertenbericht auf csoonline.com).
- Deutscher Corporate Governance Kodex. Abgerufen am 2. Juli 2013 (Netzauftritt des deutschen Corporate Governance Kodex auf corporate-governance-code.de).
Einzelnachweise
Bearbeiten- ↑ Was ist Governance, Risk & Compliance (GRC)? Abgerufen am 28. März 2022.
- ↑ N. Racz, E. Weippl, A. Seufert: A frame of reference for research of integrated GRC. In: Bart De Decker, Ingrid Schaumüller-Bichl (Hrsg.): Communications and Multimedia Security, 11th IFIP TC 6/TC 11 International Conference, CMS 2010 Proceedings. Springer, Berlin 2010, ISBN 978-3-642-13240-7, S. 106–117 (Online [abgerufen am 26. April 2024]).