GRC in der Praxis

Feature | 20. März 2010 von Alex Joseph (itelligence), Alec Arons (Tatum) 0

Weltweit im Recht: GRC-Software machts möglich (Grafik: grasundsterne)

Weltweit im Recht: GRC-Software machts möglich (Grafik: grasundsterne)

Der Begriff „Governance, Risk und Compliance“, kurz GRC, wurde bereits für so viele GRC-Anliegen verwendet, dass es keine allgemeingültige Definition dieses Begriffs gibt. Wir definieren GRC als integriertes Rahmenwerk von Vorstands- und Managementmaßnahmen, das für die Prüfung des Unternehmens im Hinblick auf das übergeordnete Steuerungsmodell und die Organisationsstruktur herangezogen wird.

Zu diesen Aufgaben gehören das Erkennen und der Umgang mit den für den Unternehmenserfolg kritischen Risiken, die Einhaltung von geltenden Gesetzen und die Schaffung eines wirksamen Steuerungsumfelds. Die einzelnen Elemente dieses übergreifenden Rahmenwerks lassen sich mithilfe einfacher, praxisbezogener Maßnahmen umsetzen. Unterstützung erfährt das Unternehmen dabei häufig durch externe Risikoberater und IT-Experten.

Wachsende Bedeutung

Trotz der weit verbreiteten Begriffsverwirrung wird GRC in den Führungsriegen der Unternehmen weiterhin große Bedeutung beigemessen – und das aus gutem Grund. In den USA gibt es aktuell Bestrebungen von Seiten des Gesetzgebers und der Aufsichtsbehörden, kleine Aktiengesellschaften mit einer Marktkapitalisierung von weniger als 75 Millionen US-Dollar von den SOX-Vorschriften zu befreien. Während die US-Börsenaufsicht SEC im Oktober 2009 ankündigte, dass diese Unternehmen sich beginnend mit dem am oder nach dem 15. Juni 2010 endenden Geschäftsjahr der Prüfung ihrer internen Finanzkontrollen unterwerfen müssen, hat der Finanzausschuss des Repräsentantenhauses im Dezember 2009 eine Gesetzesvorlage angenommen, die kleine Aktiengesellschaften von den SOX-Vorschriften befreit beziehungsweise ihnen einen weiteren Aufschub für die Erfüllung der Vorschriften gewährt.

Diese Vorlage wird vom US-Senat 2010 geprüft. Zeitgleich wird der Oberste Gerichtshof über die Argumente beraten, die die Daseinsberechtigung der US-Aufsichtsbehörde für Wirtschaftsprüfungsunternehmen in Frage stellen – und somit das SOX-Gesetz, dessen Aufhebung spürbare Auswirkungen an allen Märkten hätte. Ein weiterer derzeit am Obersten Gerichtshof verhandelter Fall zeigt die Auswirkungen von Bestimmungen zum Schutz der Mitarbeiterdaten für Datennetzwerke auf. Mit diesem Fall rückt der effektive Einsatz von unternehmensweiten Richtlinien in den Vordergrund der Diskussion.

Während diese Anliegen in den USA entschieden werden, stehen die EU-Länder einer Änderung des Mehrwertsteuersystems gegenüber, das seit mehr als 40 Jahren in Kraft ist und sich auf die meisten innergemeinschaftlichen Verkäufe und Einkäufe auswirkt. Die Europäische Kommission hat neue Richtlinien erlassen, um das Betrugsrisiko zu reduzieren und alle Lieferanten unabhängig vom Land gleich zu behandeln, denn derzeit hat jeder Mitgliedsstaat eigene Bestimmungen, Gesetze und Steuersätze.

Investitionen in GRC

Selbst Unternehmen ohne offensichtliche Schwierigkeiten haben begonnen, GRC-Messgrößen zu verbessern, um von den globalen Märkten zu profitieren. Bei dem Versuch, SOX-Konformität zu erreichen, haben diese Unternehmen erkannt, dass es den Prozessen und Kontrollen auf globaler Ebene an Konsistenz fehlt – trotz Abwicklung der Geschäftsvorfälle über eine einzelne IT-Plattform. Das heißt, dass die Investitionen in ERP-Software nicht ausreichend ausgeschöpft werden.

Da die Unternehmen die Chance für die Bereitstellung weiterer Systeme sehen, streben sie jetzt an, die Geschäftsregeln zu straffen und die Geschäftsprozesse konsistenter zu gestalten. Laut einer von AMR Research im November 2009 durchgeführten Studie mit 151 Unternehmen aller Größen und Branchen ist für die US-Unternehmen das Risikomanagement immer noch der wichtigste Beweggrund für GRC. Diese Unternehmen planen 2010 Ausgaben für GRC-Aktivitäten in Höhe von 29,8 Milliarden US-Dollar, laut AMR Research ein Anstieg von 3,9 Prozent. Das führende Analystenhaus Gartner trifft eine globalere Aussage und prognostiziert, dass die weltweiten Unternehmensausgaben für GRC bis 2011 die Marke von 1,3 Milliarden US-Dollar übersteigen werden.

Kultureller Wandel

Viele Unternehmen sind überrascht, dass das größte Problem korrekter GRC-Abläufe kultureller und nicht technischer Natur ist, denn die Investitionen in GRC sind umfangreich und die Bedeutung von ERP-Systemen für erfolgreiche GRC-Implementierungen ist hoch. Exportiert ein Unternehmen zum Beispiel in 150 Länder, muss es die Einhaltung von 150 unterschiedlichen Regelwerken sicherstellen und bei der Wahl seiner Partner deren Embargo- und Boykottlisten berücksichtigen. Eine GRC-optimierte ERP-Lösung kann zwar die erforderlichen Compliance-Berichte automatisieren, doch die Genauigkeit dieser Berichte ist davon abhängig, dass die Mitarbeiter wissen, wie die Informationen korrekt zu beschaffen und zu erfassen sind. Als Folge davon werden Richtlinien, Arbeitsanweisungen und Schulungen notwendig, um das Potenzial der IT-Lösung voll ausschöpfen zu können.

Externe Berater und Experten

Für diesen kulturellen Wandel rekrutieren einige Unternehmen externe Partnerteams aus Risikoberatern und IT-Spezialisten. Risikoberater mit Erfahrungen im oberen Management sind neutral und übernehmen die Aufsicht, die bei der Einführung einer neuen Führungsstruktur gefordert wird. Da diese Berater während der Projektdauer die Prozesse unterstützen und die kritischen Punkte angehen, ermöglichen sie es den internen Entscheidungsträgern, ihrem Tagesgeschäft nachzugehen.

In der Zwischenzeit arbeiten die Berater eng mit den IT-Dienstleistern zusammen, damit sich die neue Unternehmensstrategie in der technologischen Lösung widerspiegelt. Ziel der Lösung ist es, die Messgrößen der Unternehmenssteuerung zu unterstützen. Die externen Partner stehen dem Unternehmen in jeder Phase der Einführung unterstützend zur Seite. Sie bilden einen Projektlenkungsausschuss, führen eine Risikobewertung durch, entwickeln eine Strategie zur Risikominderung und bieten in allen anderen Phasen der Einführung eines ordnungsgemäßen GRC-Programms Hilfestellung.

Suche nach der richtigen Software

Bei der Bewertung potenzieller IT-Partner sollte das Management auch die Brauchbarkeit der angebotenen Softwareprodukte genau prüfen, die zu einem festen Bestandteil der zugrundeliegenden Struktur des Unternehmens werden. Eine gute Softwarelösung setzt auf das vorhandene ERP-System zwei neue Module auf. Eines dieser Module dient zur Überwachung der Sicherheit mithilfe von Revisionshistorien. Diese Aufzeichnungen verfolgen nicht nur die Benutzeraktivitäten innerhalb der Umgebungen, sondern führen auch Aktivitätssimulationen vor der Zugriffsgewährung durch, um die Integrität der Funktionstrennung aufrechtzuerhalten. Das andere Modul ist für die globalen Verfolgungs- und Versandbedürfnisse des Unternehmens zuständig. Diese zweite Komponente vergleicht nicht nur die für mehrere Länder erforderliche Dokumentation mit den tatsächlich vorhandenen Informationen, sondern gleicht auch alle Handelspartner mit den Listen ab, in denen risikobehaftete Länder aufgeführt sind.

Mit diesen Bausteinen überprüft das Unternehmen die Integrität der informatorischen Infrastruktur und erfüllt darüber hinaus die Anforderungen an die Berichterstattung zu Finanzen und Geschäftsvorfällen. Wichtiger noch: Dank dieser automatisierten Abläufe können die Entscheidungsträger aus zukünftigen Chancen Kapital schlagen.

Erfolg in allen Sprachen

Während es in den kommenden Jahren wahrscheinlich weiterhin schwierig sein wird, eine einheitliche Definition von GRC zu erarbeiten, können Unternehmen im Jahre 2010 und danach ihre ehrgeizigsten Ziele erreichen. Durch die Berücksichtigung bewährter Best Practices können sie eine konsistente, unternehmensweite Lösung vorausschauend implementieren. Unternehmen, die bei der Ermittlung der Interessengruppen ganzheitlich vorgehen, wirksame Strategien abbilden, Ressourcen und Tools realistisch bewerten und verwalten und sich zur Veränderung verpflichten, sind für einen langfristigen Erfolg im Risikomanagement gut positioniert. In diesem Zuge können diese Unternehmen die Früchte ernten und eine große Bandbreite strategischer Ziele leichter erreichen – von höheren Kosten- und Ressourceneinsparungen über geschäftliche Diversifizierung bis hin zu globaler Expansion.

Eine erweiterte englischsprachige Version dieses Artikels finden Sie hier.

Tags:

1 comment

  1. Adrian Suter

    Guter Artikel, aber etwas zuwenig detailliert.

Leave a Reply