Suchen

Sicherheit & Risikokultur Teil 2: So lassen sich Corporate Governance, Risk & Compliance professionell managen

| Redakteur: Ines Stotz

Wie lassen sich Governance, Risk & Compliance – kurz: GRC – professionell umsetzen? Wolfgang Surrey, Experte für GRC-Lösungen bei TÜV Rheinland, erläutert in einer dreiteiligen Serie mögliche Wege zum Thema GRC-Strategie und zu Implementierung eines GRC-Managements.

Firma zum Thema

Der Berater ist möglichst entlang der kompletten Prozesskette mit an Bord: von der Definition der GRC-Strategie über Prozess-Design und technische Umsetzung bis hin zum After-Go-live-Support und Applikationsbetrieb.
Der Berater ist möglichst entlang der kompletten Prozesskette mit an Bord: von der Definition der GRC-Strategie über Prozess-Design und technische Umsetzung bis hin zum After-Go-live-Support und Applikationsbetrieb.
(Bild: gemeinfrei / CC0 )

Ob Datenschutz oder Datensicherheit, IT-Risikomanagement, Audit Management oder der Umgang mit Lieferanten: Die Anforderungen von Aufsichtsbehörden und anderen interessierten Parteien an Sicherheit und Qualität von Geschäftsprozessen, Produkten und Services steigen – ebenso wie Anzahl und Komplexität der Risiken. Unternehmen müssen nachweisen, dass sie die Standards, Normen und regulatorische Auflagen sowie Vorschriften unter anderem bei der Informationssicherheit einhalten. Doch wie?

Teil 2:

Erfolgsfaktoren für GRC-Management: externes Know-how und Toolunterstützung

Unternehmen sollten Entwicklung und Implementierung der GRC-Strategie nicht unterschätzen. Doch worauf kommt es bei der Automatisierung von GRC-Prozessen an?

Was macht professionelles GRC-Management aus? Es basiert auf einer objektiven Analyse der Unternehmenssituation, die Umsetzung erfolgt auf strategischer, taktischer und operativer Ebene, die Prozesslandschaft ist belastbar und stimmig. Eine Unterstützung durch eine darauf spezialisierte Management-Softwarelösung ist nicht zwingend, ab einer gewissen Größenordnung oder abhängig vom Geschäftsmodell des Unternehmens nahezu unverzichtbar. Möglicherweise fällt die Entscheidung dafür nach einer Wirtschaftsprüfung, bei der die Revisionssicherheit des Risikomanagements angezweifelt wird, z.B. weil Inkonsistenzen im Berichtswesen bestehen, die sich nicht kurzfristig konsolidieren lassen. Auch die Ausweitung der Geschäftsaktivitäten in die USA hinein, wo etwaige Compliance-Verstöße teils drastisch geahndet werden, kann ein wichtiger Grund sein, sich weiter zu professionalisieren.

Mit GRC-Software lassen sich manuelle Prozesse effizienter gestalten, Informationen aus verschiedenen Quellen sinnvoll zusammenführen und mit dem eigentlichen Unternehmenskontext in Verbindung bringen. Das bedeutet: Im Rahmen eines risikozentrierten Ansatzes lassen sich die einzelnen Informationen nur dann sinnvoll auf ihre Kritikalität für das Unternehmen beurteilen, wenn sie sich im Zusammenhang mit den für das Unternehmen wesentlichen Geschäftsprozessen, damit verbundenen Produkten oder Services, Anwendungen, Standorte, etc. betrachten lassen.

Allerdings sollte man nicht dem Irrtum erliegen, verantwortliche Unternehmensführung und unternehmensweites Risikomanagement ließen sich so per Knopfdruck erledigen. Das Unternehmen muss im Vorfeld definieren, welchen internen und externen Vorschriften es unterliegt und welche Workflows am besten in die Abläufe des Unternehmens passen. Mit einem toolgestützten Ansatz verbessern sich Nachvollziehbarkeit und Auswertbarkeit von Informationen erheblich - und damit auch die Steuerungsmöglichkeiten innerhalb des Risikomanagements, selbst wenn Compliance-Anforderungen einem schnellen Wandel unterliegen.

(ID:44493077)