Erschienen am: 03.03.2017, Ausgabe SPS-MAGAZIN 3 2017

GRC-Management-Tipps für die Praxis

Den richtigen externen Partner finden

Einführung und Betrieb eines GRC-Managements sollten Unternehmen nicht unterschätzen. Denn es geht nicht nur um Einführung und Anpassung einer Software, sondern auch um das Prozessdesign, das nicht selten mit einem Change-Management verbunden ist. Die Frage der späteren Verantwortung sollte im Vorfeld geklärt sein und dabei spielen Faktoren wie zeitliche Verfügbarkeit, fachliche Kompetenz oder Weisungsbefugnisse eine Rolle. Dafür gibt es interne, aber auch externe Lösungen.


Bild: © Artystarty / photodune.net

((Kasten))

Was genau ist Governance, Risk & Compliance?

Governance, Risk und Compliance, kurz GRC, beschreibt die drei wichtigsten Handlungsfelder zur erfolgreichen und verantwortungsvollen Führung eines Unternehmens aus ganzheitlicher Sicht. Ziel ist die koordinierte Steuerung der Überwachungsaktivitäten sowie die effiziente Nutzung der Ressourcen. Dies kann Sicherheit bei geringen Kosten erhöhen und die Risikokultur verbessern. Governance bezeichnet die Unternehmensführung in Abhängigkeit von gesetzten externen und internen Vorgaben und die darauf ausgerichtete Steuerung einer Organisation oder eines Unternehmens mittels geeigneter Managementsysteme. Risk (Risikomanagement) beschreibt die bewusste und zielgerichtete Auseinandersetzung mit Ereignissen, die eine potentielle (negative wie positive) Abweichung von der Erreichung gesetzter Ziele des Unternehmens haben können, sowie deren Steuerung nach Wesentlichkeitsgesichtspunkten. Compliance beschreibt die Befolgung und Einhaltung interner und externer Normen und Vorschriften. Ein Beispiel dafür sind die nationalen Unterschiede beim Thema Datenschutz. Informationsflüsse sind heute in fast jedem Staat der Welt per Gesetz geregelt - die Strafen und die Regulierungsbefugnis der Behörden unterscheiden sich jedoch enorm.

Ist im Unternehmen kein lösungsspezifisches Know-how für die Implementierung etc. vorhanden, lässt es sich mit dem richtigen Partner im Team relativ schnell aufbauen. Aber selbst wenn das erforderliche fachliche Know-how im Hause vorhanden ist, kann die Verfügbarkeit der designierten Lösungseigentümer über das Implementierungsprojekt hinaus und deren Bereitschaft zur Pflege und Weiterentwicklung der Lösung zur Herausforderung werden. Die frühzeitige Einbindung eines externen Partners kann allein aus diesem Grund zweckmäßig sein, gerade dann, wenn man sich die Möglichkeit offenhalten möchte, die fachliche und/oder technische Betriebsverantwortung für das GRC System teilweise oder ganz auszulagern.

Den richtigen Partner finden

Doch wie findet sich ein geeigneter Partner für das GRC-Implementierungsprojekt? Entscheidend für die Partnerwahl sind im Wesentlichen die beiden Faktoren Beratungskompetenz und Verfügbarkeit. Dabei sollte die Beratungskompetenz eine gute Balance aufweisen zwischen fachlichem Verständnis und technischer Umsetzungserfahrung mit der bevorzugten GRC-Lösung. Der Faktor Verfügbarkeit beinhaltet sowohl die regionale Vorschriftenkenntnis des Partners sowie eine größere Flexibilität und Kompetenz durch ein im Bedarfsfalle internationales Team und die zeitliche Verfügbarkeit kompetenter Berater in erforderlichem Umfang. Solche Partner sind in der Lage, ein Implementierungsprojekt (kosten-)effizient und ausgerichtet an den Compliance-Anforderungen des Kunden abzuliefern. Nicht zuletzt sprechen sie die Sprache des Kunden. Bevor sich Unternehmen für einen Beratungsdienstleister entscheiden, sollten sie fragen:

  • • Kennt er die Branche?
  • • Wie profund ist seine praktische Erfahrung in der Umsetzung von GRC-Lösungen insgesamt?
  • • Wie viele Projekte hat er mit dem ausgewählten Tool tatsächlich umgesetzt?
  • • Wie steht es um seine Verfügbarkeit über einen längeren Zeitraum hinweg?

Der Berater sollte möglichst entlang der kompletten Prozesskette mit an Bord sein: von der Definition der GRC-Strategie über Prozessdesign und technische Umsetzung bis hin zum After-Go-live-Support und Applikationsbetrieb.

Einführung eines nachhaltigen GRC-Managements

1.) Das Unternehmen sollte schrittweise vorgehen und sich nicht zu viel vornehmen, sondern zunächst einmal nach Quick Wins streben, und zwar anhand von ein bis zwei Fragestellungen hoher Priorität, also z.B. das Messen der Lieferanten-Performance anhand einheitlicher Metriken oder das zentrale Nachverfolgen von Feststellungen. Stellen sich hier schnell Erfolgserlebnisse ein, ist der Projektsponsor auch geneigt, weitere Budgets freizugeben. Startet das Projekt mit einer zu hohen Komplexität, droht sich das Team schnell zu verzetteln, der Fortgang des Projektes kann gefährdet sein.

2.) Es ist wichtig von Beginn an abzuwägen, wie viele Abteilungen direkt involviert sind. Die Integration von zu vielen Abteilungen bedeutet eine entsprechende Multiplikation von Individualanforderungen, die unter Umständen schwer miteinander zu harmonisieren sind, insbesondere, wenn die Gesamthoheit über die fachliche Projektsteuerung nicht geklärt und in der Organisation verankert wurde.

3.) Von hoher Bedeutung ist die Vorbereitung der prozessualen Seite: Wie sieht der Implementierungsprozess aus? Wer ist verantwortlich? Welche Vorarbeiten muss das Unternehmen leisten, z.B. mit der Definition branchenrelevanter Use Cases.

4.) Zentral sind personelle Fragen, die das Unternehmen kritisch und ehrlich beantworten sollte: Wer ist der Lösungseigentümer, eine einzelne Person, eine Abteilung oder Gruppe, und müsste diese ggf. organisatorisch eingebettet werden, um über die notwendige Weisungsbefugnis zu verfügen? Wie geht es nach der Implementierung weiter, sind wir intern in der Lage, den Support zu leisten? Verfügen wir heute und zukünftig über die technische Expertise, um die Lösung gemäß unseren Anforderungen weiterzuentwickeln? Der oder die Lösungseigentümer sollten in ausreichendem Maße einen Teil ihrer Arbeitszeit der Pflege und Weiterentwicklung der GRC-Softwarelösung widmen können und ein Mindestmaß an Tool-Affinität aufweisen. Das beinhaltet auch weniger fachliche Aufgaben wie die Einrichtung von User-Accounts über Rollen- und Berechtigungsvergaben bis hin zur Prüfung der Berichtsqualität und gegebenenfalls 1st-Level-Support für Endbenutzeranfragen und Troubleshooting.

5.) Wer dieses Personal nicht im Hause hat, oder organisatorisch nicht sicherstellen kann, dass das Wissen und die Kompetenz rund um die GRC-Lösung nachhaltig gesichert werden kann, sollte dies bei der Wahl des Implementierungspartners berücksichtigen und darauf achten, dass diese Funktionen nach Bedarf an den Partner ausgelagert werden können. Sich allein auf den Helpdesk des Herstellers zu verlassen, ist riskant. Oft mangelt es diesen Support-Abteilungen am fachlichen Verständnis für die teilweise stark angepassten Kundenlösungen (nicht zu sprechen von sprachlichen Barrieren internationaler Support-Organisationen), was zu erheblichem Aufwand bei der Fehlersuche und -beseitigung führen kann.

6.) Sind mehrere Abteilungen involviert, ist es wichtig, sich methodisch auf eine gemeinsame Taxonomie zu einigen, um Sprachverwirrung zu vermeiden. Ist beispielsweise das 'Issue' aus dem internen Kontrollsystem gleich der 'Feststellung' der internen Revision? Abzustimmen sind bei der Integration mehrerer Abteilungen auch die methodischen Herangehensweisen an bestimmte Aufgaben oder der jeweils erforderliche Detailgrad an Informationen im Berichtswesen.

Autor: Wolfgang Surrey, Management Security Consultant, TÜV Rheinland

n