Von der Software Auswahl bis zur erfolgreichen Implementierung bei Ihren Kunden. Teil 1: Überblick und grundsätzliche Idee der GRC-Integration.

Wir haben die GRC advisor Webinar Reihe ins Leben gerufen, um die erfolgreiche bestehende Zusammenarbeit mit Beratungsunternehmen zu vertiefen und weiter auszubauen. Beide Seiten profitieren voneinander, verfügen sie doch über jeweils ergänzende Erfahrungsschätze, die äußerst hilfreich sein können. Ein weiteres Ziel, das wir mit der Webinar Reihe verfolgen, ist, die Berater zu befähigen, bei ihren Kunden aussagefähig zu sein. In diesem Blogbeitrag fassen wir die Inhalte des ersten Teils der GRC advisor Webinar Reihe kurz und strukturiert zusammen.

 

GRC im Unternehmen

Wir sind überzeugt davon, dass GRC einen wertvollen Beitrag zur Unternehmensentwicklung leisten kann und viel mehr ist als nur die lästige Erfüllung von gesetzlichen und regulatorischen Pflichten. Dem (teilweise) schlechten Ruf von GRC wollen wir ein wenig auf den Grund gehen:

 

 

 

Das Management eines jeden Unternehmens hat eine Reihe von Kernaufgaben zu erfüllen: Ganz allgemein gilt es zu entscheiden, welche Produkte und Lösungen vertrieben werden sollen und welche Strategien dabei entwickelt werden müssen, um nachhaltiges Wachstum zu generieren. Gleichzeitig existiert eine Reihe von Rahmenbedingungen, die eingehalten werden müssen, darunter auch gesetzliche und regulatorische Vorgaben. Um nachhaltig erfolgreich zu sein, müssen die Unternehmenswerte gesichert werden, was wiederum zu einem robusten Unternehmen beiträgt. Es sind weiters verschiedene Prozesse und interne Richtlinien und Vorgaben nötig, die eingehalten werden müssen. Das führt zu einer bestimmten Ordnung im Unternehmen und stellt sicher, dass die Prozesse wiederholbar werden. Und letztlich braucht es eine unabhängige Kontrollinstanz im Unternehmen, die kontinuierlich verbessert. Aus diesen Aufgaben heraus ergeben sich die sechs GRC-Domänen:

 

 

 

Historisch bedingt sind die GRC-Prozesse in vielen Unternehmen in Silos aufgebaut und gewachsen. GRC zieht sich aber über alle Kernprozesse in einem Unternehmen hinweg und betrifft sämtliche Unternehmensbereiche. Das Three Lines of Defense Modell stellt einen Leitfaden dar, wie Verantwortlichkeiten innerhalb eines Unternehmens aufgeteilt werden sollten und dient der systematischen Herangehensweise an potentielle Risiken.

 

 

Three Lines of Defense

First Line of Defense:

Risiken entstehen im Alltag in den täglichen Prozessen. Deswegen muss man sie auch dort managen und deswegen müssen bspw. auch dort die Kontrollen greifen. Die Aufgabe der 1. Line ist es, sämtliche GRC-Aktivitäten in den operativen Prozessen zu verankern.

 

Second Line of Defense:

Die 2. Line besteht aus den Fachbereichsleitern, z.B. den Zentralverantwortlichen für das Risikomanagement oder das IKS. Deren Aufgabe ist es, die Vorgaben für die jeweiligen Prozesse zu definieren, die GRC-Abläufe zu steuern und darüber zu berichten. Das geschieht meist quartalsweise und jährlich, aber es ergeben sich immer wieder auch spezielle Anforderungen zu ad hoc Themen wie z.B. dem Brexit oder der DSGVO.

 

Third Line of Defense:

Aufgabe der 3. Line ist es, diverse Prüfungen durchzuführen. Dazu zählen u.a. die Prüfung von einzelnen Prozessen in den jeweiligen Fachbereichen, z.B. in Legal Entities, oder Prüfungen über das gesamte Unternehmen hinweg. Beliebt in letzter Zeit sind auch sog. Sonderprüfungen, die unserer Erfahrung nach die Interne Revision vor recht schwierige Herausforderungen stellen kann.

 

Für die einzelnen Bereiche gibt es jeweils eigene Verantwortliche und darunter gewachsene Abteilungen. Diese Silos führen in weiterer Folge zu einer Vervielfachung des Aufwands, zu erhöhten Kosten, De-fokussierung und einer Reduktion der Akzeptanz. Denn all diese Zentralfunktionen brauchen die First Line und gehen regelmäßig auf diese für Abstimmungen, Bewertungen oder Kontroll-Assessments zu. Durch diese vielen Interaktionen entsteht der schlechte Ruf der Second Line, die häufig mit Aussagen konfrontiert wird wie: "Warum werde ich dazu schon wieder befragt. Das war doch letzte Woche bereits Thema."

 

Im nächsten Schritt berichten diese einzelnen Funktionen jeweils separat an Vorstand und Aufsichtsrat. Dabei entstehen zum Teil sehr umfangreiche Berichte über hunderte von Seiten. Natürlich müssen hier gesetzliche Anforderungen befriedigt werden, aber zu einem großen Teil geht es nur um Absicherung und Enthaftung. Hinzu kommen dann auch noch Berichte aus den Kernprozessen, wie z.B. zu Vertriebs- und Absatzzahlen o.ä. Das alles trägt dazu bei, dass die Wahrnehmung des Mehrwerts der GRC-Funktionen im Top Management eher bescheiden ist.

 

Unser Ziel: Die Integration der GRC-Domänen

Unser Ziel leitet sich aus genau diesen Herausforderungen ab: Wir glauben daran, dass Verbesserungen erreicht werden können, indem diverse Aktivitäten näher aneinander gebracht werden, indem man sie integriert und gemeinsam durchführt. Bspw. können Risk-Assessments auf ähnlichen Bewertungsskalen aufgebaut werden, um sie vergleichbar zu machen. Oder auch ganz triviale Dinge wie eine gründliche Abstimmung innerhalb der Abteilungen, bei denen überprüft wird, welche Informationen bereits vorhanden sind und welche davon weiter verwertet werden können.

 

Unserer Erfahrung nach erfolgt eine derartige Integration meist in Form von kleinen Projekten, die sich dann nach und nach im ganzen Unternehmen ausbreiten. Dabei entstehen oft Hürden: In der Regel sind einzelne Abteilungen dafür verantwortlich, spätestens wenn es um eine Zusammenlegung der Bereiche geht entstehen Hindernisse in der internen Struktur. Das übergeordnete Ziel bleibt aber erhalten, um diese Aktivitäten von Prozessanfang bis zur Berichterstattung näher aneinander zu bringen, zu vereinheitlichen und die Qualität der erkenntnisgebenden Berichterstattung zu verbessern.

 

Dies bringt für alle Beteiligten eine Erleichterung, auch zeitlicher Natur, aber vor allem trägt es dazu bei, eine bessere Entscheidungsbasis aus den diversen Aktivitäten ableiten zu können, die man sowieso erledigen muss. In weiterer Folge hilft es auch dabei, den Ruf der Second Line im Unternehmen nach und nach zu verbessern.

 

Unsere Leitlinien zur Digitalisierung von GRC-Prozessen

Intelligent GRC - risk2value unterstützt die Vernetzung von unterschiedlichen GRC-Informationen und ermöglicht dadurch erkenntnisgebende Berichterstattung.

 

Tailored GRC - risk2value ermöglicht die Individualisierung für spezifische GRC-Anforderungen von Kunden und Branchen mittels Konfiguration und Customizing.

 

Digital GRC - risk2value ermöglicht das Einbinden von in der Organisation vorhandenen Informationen und Daten in GRC-Prozesse.

 

Connected GRC - risk2value unterstützt die Zusammenarbeit und Kommunikation sowie den strukturierten Informationsaustausch verschiedener GRC-Prozesse innerhalb und außerhalb der Organisation.