Governance, Risk & Compliance

Das fehlende P in GRC


Governance, Risk & Compliance: Das fehlende P in GRC Comment

Das Akronym GRC (Governance, Risk & Compliance) ist weit verbreitet, wird jedoch in Unternehmen, die sich der Digitalisierung verschrieben haben, mehr und mehr durch die Akronyme DRM (Digital Risk Management) (i) und IRM (Integrated Risk Management) (ii) ersetzt. Das IRM-Konzept wurde bereits im Jahr 2017 von Gartner eingeführt, um den immer komplexeren Bedürfnissen im Zusammenhang mit der Digitalisierung, der Cybersicherheit und dem Risikomanagement gerecht zu werden. Gartner bringt ein modifiziertes Konzept auf den Markt, das die inhärenten positiven Aspekte von GRC unter einem neuen Namen bekräftigt und gleichzeitig die negative Assoziation eliminiert. Forrester stellt in seiner GRC-Vision 2017-2022(iii) fest: "Die GRC-Bemühungen haben sich in den letzten 15 Jahren langsam entwickelt. In den nächsten fünf Jahren werden jedoch beispiellose Veränderungen in Wirtschaft und Technologie viel ausgefeiltere, strategischere und proaktivere GRC-Fähigkeiten erfordern". Warum sah Gartner die Notwendigkeit einer Neudefinition von GRC?

Warum von vielen Unternehmen das Thema GRC negative Assoziationen auslöst, könnte mehrere Gründe haben.

Wirkungs- und wertlose GRC-Systeme

Eine Beobachtung ist, dass, obwohl GRC eine der wichtigsten Disziplinen für die Führung eines erfolgreichen Unternehmens ist, nur wenige oder auch schlechte Methoden und Technologien vorhanden sind, um es adäquat zu unterstützen. Excel und sogar Word und Power Point gehörten in der Tat zu den am häufigsten verwendeten Softwaretechnologien, um den Bedarf des Unternehmens an Risikomanagement, Compliance-Management und Governance zu unterstützen. Die Fähigkeiten, die erforderlich sind, um ein nachhaltiges, effizientes und effektives GRC-Programm zu ermöglichen, das auf Strategie und Leistung abgestimmt ist, sind in solchen Tools einfach nicht vorhanden und werden letztendlich zu mangelndem Mehrwert und einer Nicht-Wirksamkeit führen. Dies führt dazu, dass GRC bei der Führungsspitze einen negativen Ruf genießt.

Check-Box-Compliance und ein notwendiges Übel

Eine zweite Beobachtung ist die Fokussierung der Kunden und Investoren auf die Mängel der Unternehmen in Bezug auf gute Unternehmensführung ("Corporate Governance"). Dies treibt einen neuen Trend voran, der als "geschäftliche Integrität" bezeichnet wird. Viele Regulierungsbehörden haben in diesem Bereich versagt und wurden daher nicht in unausgereifte GRC-Programm einbezogen. Führungskräfte haben die Erfahrung gemacht, dass sie in dieser Hinsicht versagen, obwohl sie seit Jahren GRC betreiben. Es ist erwähnenswert, dass traditionelles GRC oft mit der Einhaltung von Kontrollkästchen in Verbindung gebracht wird und ein notwendiges Übel ist, das ein Unternehmen dazu bringt, sich nur auf die absoluten Mindestanforderungen für die Einhaltung von Vorschriften zu konzentrieren – einfach, um ein mögliches Audit zu bestehen.

Das fehlende P in GRC

Eine dritte Beobachtung und mein Kernpunkt ist das fehlende P in GRC. OCEG.org, der Erfinder von GRC, stellt fest, dass "das erfolgreiche Erreichen von Principled Performance(iv) koordinierte Fähigkeiten erfordert, die sich mit der Leistung im Hinblick auf die Ziele, mit den Risiken, die sich aus Unsicherheiten ergeben, und mit der Einhaltung sowohl der obligatorischen als auch der freiwilligen Anforderungen befassen – jede mit Rücksicht auf die andere" ["the successful attainment of Principled Performance(iv) requires coordinated capabilities that address performance against objectives, risk arising from uncertainties, and compliance with both mandatory and voluntary requirements – each with consideration of the other". Das Ziel eines Unternehmens sollte darin bestehen, die gemeinsamen Fähigkeiten zur Erhöhung des Unternehmenswert durch effektives und effiziente Performancemanagement, Risiko- und Compliancemanagement – abgestimmt auf die Unternehmensstrategie – zu steuern.

Eine Betrachtung von GRC aus dem Blickwinkel dieser Beobachtungen wird einige Indikatoren dafür liefern, warum das Top-Management den potenziellen Wert von GRC in der Regel nicht erfahren hat, sondern eher das Gegenteil. In den meisten Unternehmen ist das primäre Unternehmensziel die Performance, und die meisten Topmanager befürworten die Bedeutung von GRC. Risiko- und Compliance-Manager, Sicherheitsfachleute, Managementberater, taktische Manager, HSEQ-Fachleute, Projektmanager – sie alle sind vom Wert von GRC überzeugt. Für sie ist es jeden Tag offensichtlich. Sie erleben die verbesserte Leistung auf operativer und taktischer Ebene, aber es ist kompliziert, das P zu betonen, um die nachhaltigen Geschäftsvorteile mit dem Top-Management und dem Vorstand zu demonstrieren.

Zur Veranschaulichung: Reputation und Nicht-Konformität werden aus ERM-Sicht (Enterprise Risk Management) als strategische und Compliance-Risiken betrachtet, weil sie das Potenzial haben, die Leistung zu beeinflussen. Reputations- und Compliance-Risiken bestehen jedoch nicht in ihren eigenen Silos, auch nicht auf der strategischen Ebene allein. Die negativen Reputations- und Rechtsfolgen von Risikoereignissen können sogar aus einem der operativen Bereiche oder von der Transaktionsebene herrühren. Beispiele für hochrelevante und kürzlich veröffentlichte Risikoereignisse, ohne dass bestimmte Unternehmen hier genannt werden, sind Hacking, Geldwäsche oder Bestechung. Wenn ein Reputationsverlust mit einem verminderten Marktwert einhergeht, dann sollten Unternehmen heute alle Risikoereignisse auf dem Radar haben, die die Reputation und Wahrnehmung des Marktes schädigen.

Aus externer Sicht gibt es keine Lücke zwischen Geschäftsstrategie, strategischer Umsetzung und Betrieb, und dem Markt ist es egal, ob die Erklärung des CEO für das Risikoereignis die Unvorbereitetheit, Unkenntnis oder eher eine Aussage war, die Unwissenheit beweist. Der Punkt ist, dass GRC einen immensen Einfluss auf die Leistung hat. Beides geht Hand in Hand und stellt eine echte Symbiose dar, um das Unternehmen erfolgreich auf dem Markt zu positionieren. Mit ausgereiftem GRC ergeben sich neue Chancen auf dem Markt.

Von der Hinterbank in die Vorstandssitzung

Immer mehr Unternehmen machen sich die Vorteile von GRC – oder GPRC – zunutze, weil sie erfahren haben, wie integriertes GRC ihre Leistung beeinflussen kann. Sie verlagern das Risiko- und Compliance-Management im Unternehmenskontext von der hinteren Bank auf die Vorstandsebene, um eine ganzheitliche Sicht ihres Risikoprofils zu erreichen und die Kluft zwischen Strategie, strategische Umsetzung und operativen Silos zu überbrücken, und sie nutzen sowohl die regulatorische als auch die freiwillige Compliance aus einer Auswahl leicht verfügbarer, bewährter Best-Practice-Rahmenwerke zur Steigerung der Unternehmensleistung und des Unternehmenswerts.

Author

Owe Lie-Bjelland
| Director | Program Management GPRC | Corporater Inc.


Quellen und weiterführende Literaturhinweise:

(i) http://www.drminstitute.org/what-is-digital-risk-management/
(ii) https://www.gartner.com/it-glossary/integrated-risk-management-irm
(iii)https://www.forrester.com/report/GRC+Vision+20172022+Customer+Demands+Escalate+As+Regulators+Falter/-/E-RES136452
(iv) https://www.oceg.org/about/what-is-principled-performance

[ Source of cover photo: Adobe Stock.com / showcake ]
Risk Academy

The seminars of the RiskAcademy® focus on methods and instruments for evolutionary and revolutionary ways in risk management.

More Information
Newsletter

The newsletter RiskNEWS informs about developments in risk management, current book publications as well as events.

Register now
Solution provider

Are you looking for a software solution or a service provider in the field of risk management, GRC, ICS or ISMS?

Find a solution provider
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.