Dieser Blogbeitrag gibt einen Einblick in die interessante Podcast-Folge mit Christian Buechler, GRC Expert bei der avedos GRC GmbH. Er berichtet über Herausforderungen bei der Einführung einer GRC-Software und verrät kritische Erfolgsfaktoren, die einen Implementierungserfolg sicherstellen.

Viele Unternehmen betreiben einen hohen manuellen Aufwand, um Risiken und Kontrollen zu erfassen und zu testen. Das ist bei einfachen und schlanken Prozessen möglich, erreicht aber bei großen Unternehmen eine Komplexität, die nicht mit Excel und Access zu bewerkstelligen ist. An diesem Punkt überlegen viele Firmen eine GRC-Software einzuführen. Ein weiterer Grund warum sich Unternehmen mit diesem Thema beschäftigen ist, dass Vorstände zu Risiken unterschiedliche Berichte erhalten. Das heißt, aus verschiedenen Risikofunktionen im Unternehmen werden unterschiedliche Wahrheiten zu ein und demselben Thema kommuniziert. Ziel sollte allerdings sein, dass Vorstand und Geschäftsführung entscheidungsrelevante Informationen erhalten.

 

Bei der Einführung einer GRC-Software ergibt sich eine Vielzahl von Herausforderungen:

 

  • Eine der größten Schwierigkeiten ist die unterschiedliche Organisationsaufstellung in Unternehmen. Das betrifft auch das Thema Governance, Risk and Compliance. Oftmals sind verschiedene Personen für Risikomanagement, Internes Kontrollsystem oder Compliance zuständig. Hier wirken unterschiedliche Funktionen, die häufig nicht aufeinander abgestimmt sind.
  • Des Weiteren ist es wichtig, sich von historischen Prozessen zu lösen, die in sogenannten einzelnen „Silos“ bestehen. Oftmals werden Aussagen wie „das hat man immer schon so gemacht“, oder „das hat immer so funktioniert“, getätigt. Widerstände zu überwinden ist sicherlich eine Herausforderung.
  • Ein weiterer wichtiger Punkt für Unternehmen ist es auch das „große Ganze“ nicht aus den Augen zu verlieren. In diesem Fall ist es wichtig eine integrierte Lösung für Risikomanagement, Compliance-Management, Internes Kontrollsystem und weitere GRC-Funktionen zu implementieren.
  • Unabhängig von der Unternehmensgröße ist es essentiell, dass die benötigten Ressourcen bereitgestellt werden. Bei der Einführung einer GRC-Software ist nicht nur die professionelle Implementierungsarbeit des Anbieters ausschlaggebend, sondern auch die Verfügbarkeit und das Wissen der eigenen Mitarbeiter. Das Ziel ist eine passgenaue Lösung für den verfolgten GRC-Ansatz. Hier ist sowohl das fachliche Wissen innerhalb des Unternehmens als auch die zeitliche Verfügbarkeit besonders wichtig. Neben der Implementierung der Software sind Mitarbeiter natürlich auch für das Tagesgeschäft verantwortlich. Häufig ist es so, dass Letzteres höher priorisiert wird.

 

 

Erfolgsfaktoren bei der Einführung einer GRC-Software richten sich auch an die Herausforderungen. Es ist wichtig, dass Anwender und Berichtsempfänger der Software frühzeitig eingebunden werden. Das Wissen um deren Anforderungen ist eine Grundvoraussetzung zur Verbesserung des Tagesgeschäfts. Dies erfolgt durch eine effizientere Dokumentation und Kommunikation von Informationen. Wesentlich ist dabei der möglichst schnelle Informationsfluss an die Berichtsempfänger. Ein wichtiger kritischer Erfolgsfaktor ist also jener, dass Personen frühzeitig in den Verlauf des Implementierungsprojekts eingebunden, und nicht vor vollendete Tatsachen gestellt werden. Die aktive Beteiligung von fachlichen Mitarbeitern und deren Wissen spielt dabei eine große Rolle. Natürlich werden im Zuge dessen auch bisherige Prozesse im jeweiligen Unternehmen in Frage gestellt. Das klare Ziel ist es, diese zu optimieren.

 

Ein weiterer wichtiger Erfolgsfaktor ist das Thema „Training“. Mitarbeiter, die im entsprechenden Tool arbeiten, müssen zuvor ausreichend geschult werden. Dies ist deshalb wichtig, da eine GRC-Software nicht täglich im Einsatz ist, sondern nur ein- bis zweimal im Monat. Die Software muss daher intuitiv und leicht verständlich sein. In Konzernen kann eine Änderung der IT Infrastruktur zu langen Prozessen führen. Deswegen ist es besonders wichtig, nicht nur den Fachbereich, sondern auch die Konzern IT frühzeitig einzubinden. Nach der erfolgreichen Implementierung muss auch eine entsprechende Infrastruktur vorhanden sein.

 

 

Die vollständige Podcast-Folge inkl. Transkript mit Christian Buechler finden Sie hier!

 

Im Februar 2019 startete die erste Folge des avedos GRC Podcasts. In dieser Reihe dreht sich alles um die Themen integriertes GRC, Enterprise Risk Management, Internes Kontrollsystem und Informationssicherheitsmanagement. Mittlerweise sind bereits 8 Folgen verfügbar und können auch über diverse bekannte Plattformen wie SoundcloudSpotifiy und Apple Podcast gestreamed werden.