grc

Kritische Erfolgsfaktoren für Ihr GRC-Programm

Fabian Neukamm - metaMind
Experte für GRC-Lösungen
Mehr erfahren

Der Themenkomplex Governance, Risk und Compliance (GRC) hat spätestens seit dem Fall Wirecard oder neuen Gesetzesinitiativen wie dem Lieferkettengesetz an Bedeutung gewonnen. Unternehmen sind gut beraten, ihre Aktivitäten in den drei Disziplinen zusammenzuführen und ganzheitlich zu betrachten. Wir stellen Ihnen daher einige Erfolgsfaktoren vor, wie Sie Ihr GRC-Programm erfolgreich aufsetzen können.

Inzwischen dürfte jedes Unternehmen in Deutschland eine Art von GRC-Tool im Einsatz haben. Oft sind es nach wie vor Excel-Tabellen und manuelle Prozesse. Aber auch dedizierte GRC-Lösungen sind besonders in den großen Unternehmen anzutreffen. Um gleich Missverständnissen vorzubeugen: Ein einheitliches GRC-Programm bedeutet nicht, alle Anforderungen mit einer einzigen Suite abzubilden. Je stärker alles in einem Tool konsolidiert wird, desto länger und schwieriger wird der Auswahlprozess und desto komplizierter die Weiterentwicklung. Die Erfahrung zeigt uns, dass in großen Unternehmen ohnehin viele ähnliche Tools eingesetzt werden und die Fachbereiche sich oft nur ungern davon trennen möchten. Dadurch bleiben die einzelnen Initiativen jedoch fragmentiert und es gibt keine umfassende GRC-Strategie – jede Einheit kocht also ihr eigenes GRC-Süppchen. Das ist weder sinnvoll noch effizient.

Das Ziel: funktionale Integration

Entscheidend ist, dass sowohl Tools als auch Mitarbeiter*innen miteinander kommunizieren und die Verantwortlichen wissen, welche Informationen woher kommen und wohin gehen sollen – und welches Tool für eine spezifische Informationen die Quelle der Wahrheit ist. So kann ein Unternehmen mehrere GRC-Lösungen und Expertentools betreiben, wenn im Zielbild die funktionale Integration sichergestellt wird.

Bei dieser Thematik ist Transparenz ein wesentlicher Faktor (Quelle: AdobeStock / pio3).

Darüber hinaus sollte es ein zentrales Reporting-Frontend geben, in dem alle Informationen geordnet und möglichst automatisiert zusammenlaufen.

Auch Governance braucht Steuerung

Durch die funktionale Integration entstehen allerdings neue Herausforderungen: Viele Beteiligte mit unterschiedlichen Anforderungen müssen unter einen Hut gebracht werden, gemeinsame Lösungen und Arbeitsabläufe werden benötigt, unscharfe Abgrenzungen und unklare Verantwortlichkeiten erschweren die Arbeit, und oft laufen viele verschiedene Projekte und Initiativen nebeneinander. Hier kommt das G in GRC ins Spiel. So wie Unternehmen interne Steuerungsgremien einsetzen, um Governance sicherzustellen, müssen sie auch ihr GRC-Programm steuern. Unserer Erfahrung nach gibt es dazu einige Best Practices, mit denen eine Organisation ihr GRC-Programm optimal strukturieren und steuern kann.

  • Unterstützung durch das Top-Management: finden Sie einen Executive Sponsor in der Vorstandsetage, welcher die Verbindung zum Aufsichtsrat sowie zum Vorstand sicherstellt und Expert*innen an einen Tisch bringen kann. Dieser Sponsor versteht die Geschäfts- und Vorstandsziele und profitiert vom Risiko-Reporting.
  • GRC-Champion innerhalb der Organisation: diese Person hält den Schwung des GRC-Programms aufrecht und fungiert als interne Botschafter*in, um das GRC-Programm innerhalb der Organisation zu vermarkten und andere Stakeholder an Bord zu holen. Darüber hinaus ist ein GRC-Champion innerhalb sowie außerhalb der Organisation gut vernetzt und stimmt sich eng mit dem Executive Sponsor ab.
  • Definiertes und abgestimmtes Zielbild: Dieses stellt die funktionale Integration zwischen Anwendungsfällen in einer für das Unternehmen verständlichen Weise dar. Das Zielbild dient als strategischer Plan, der von allen Stakeholdern getragen wird und sollte Informationen zur Risiko-Methodik, dem Bewertungssystem sowie relevanten Control Frameworks beinhalten. Auch Integrationen mit anderen Systemen können dargestellt werden.
  • Richtige Technologie und Betriebs-Strukturen: Es gibt eine Vielzahl an Tools für GRC, die Auswahl ist schwierig. Entscheidend ist der Anforderungskatalog, in dem die Anforderungen aller Stakeholder gewichtet und anhand der relevanten GRC-Tools bewertet werden.
  • Aktives Stakeholder-Management: Nehmen Sie regelmäßig Kontakt mit den Stakeholdern auf, diskutieren Sie GRC-Trends und Herausforderungen, binden Sie sie aktiv in den Planungsprozess ein, und hören Sie ihnen zu.
  • Nicht zu schnell zu viel wollen: Setzen Sie realistische Ziele anfangs in kurzen Etappen und priorisieren Sie Ihre Aktivitäten. Sonst wird die Komplexität aus Tool, Prozess und Anpassung der Organisation schnell nicht mehr beherrschbar. Phase 1 etwa kann die reine Datenerfassung sein (Eingabemasken, Datenmodell, etc.), Phase 2 die Workflows und Phase 3 zum Beispiel die Automatisierung.

In den kommenden Blog-Beiträgen gehen wir näher auf die einzelnen Best Practices ein. Sollten Sie Fragen zum Thema haben, finden Sie hier weitere GRC-Informationen und unsere Kontaktdaten.

Quelle Titelbild: AdobeStock / ArtFamily

Fabian Neukamm - metaMind
Experte für GRC-Lösungen
Mehr erfahren

Weitere Beiträge

Risk & Security

Messenger-Security-Check: Wie sicher sind die täglichen Begleiter?

Weiterlesen
Human & Relations

Warum Meinungsvielfalt eine Chance ist

Weiterlesen
Agile & Organisation

Agiles Powerplay

Weiterlesen

Kommentieren

Diesen Beitrag teilen

Alle Beiträge von
Risk & Security