Governance, Risk Management und Compliance verschmelzen immer mehr zu einer komplexen Management-Aufgabe. Spiegel dafür ist das inzwischen gängige Kürzel „GRC“. Nicht immer ist jedoch klar, was damit gemeint ist: Business-GRC oder IT-GRC? Wer Schwierigkeiten in der Unterscheidung hat, braucht diese möglicherweise überhaupt nicht mehr zu lernen. Denn die beiden GRC-Bereiche wachsen allmählich zusammen – nur einer von mehreren Trends in einem Gebiet, auf dem enorme Bewegung zu beobachten ist.
Klar ist, dass es sich bei Governance um Unternehmensführung durch Richtlinien handelt, bei Risikomanagement um Strategien zur Minimierung von Risiken sowie Krisenmanagement und bei Compliance um das Einhalten interner und externer Normen. Klar ist auch, dass sich die Felder überschneiden und die Zeichen auf zunehmende Integration stehen. Allerdings grassiert eine unübersichtliche Zahl von Definitionen des Begriffs GRC, lanciert von Lösungs-Anbietern und Beratungshäusern. Eine erste goldene Regel für Unternehmen lautet daher: Genau überlegen, was GRC in der eigenen Firma heißen muss und welche Instrumente für einen effizienten Betrieb wirklich nötig sind. Diese eigene Definition gilt es, gegenüber Anbietern und Beratern durchzusetzen, damit alle Beteiligten die gleiche Sprache sprechen.
Die Lücke zwischen Business-GRC und IT-GRC schließt sich immer mehr, wie die Analysten von Forrester beobachten. Der Grund: Die wachsenden Anforderungen im Risk- und Compliance-Bereich auf Business-Seite erfordern zunehmend höhere IT-Unterstützung. Allein dadurch könne ein hohes Niveau an Performance, Integration, Datenmanagement und Benutzerfreundlichkeit erreicht werden. Laut Forrester werden im GRC-Umfeld auch Business Intelligence- und Analyse-Tools eine immer wichtigere Rolle spielen. „Die Unternehmen suchen mittlerweile nach Systemen, die auf Daten von verschiedenen Business-Anwendungen zugreifen“, berichtet Analyst Chris McClean. Auf diese Weise versuchen sie beispielsweise, Kreditdaten nachzuverfolgen, Betrugsmuster aufzudecken und andere Quervergleiche von Risikodaten anzustellen.
Die Analysten von KuppingerCole teilen diese Einschätzung. „Automatisierte Kontrollen für Geschäftsrisiken sind ja am Ende des Tages immer eine Sache der IT, und beide Welten wachsen immer weiter zusammen“, heißt es in einer Trendanalyse des Düsseldorfer Unternehmens. Die gemeinsame Betrachtung von technischen IT-Risiken und operationalen Risikoszenarien sei einer der wichtigsten GRC-Trends und entwickle sich zu einem bestimmenden Wettbewerbsfaktor auf Anbieterseite.
Unter den Anwendern gehen derzeit noch wenige Vorreiter den Weg hin zu einer umfassenden GRC ohne einseitigen Business- oder IT-Fokus. „Diese Entwicklung steht noch am Anfang“, so KuppingerCole. Sie beschränke sich auf Unternehmen, die heute schon ein ausgeprägtes GRC-Bewusstsein entwickelt haben oder dazu gezwungen sind.
Fortschritte vor allem beim Risikomanagement
Forrester rechnet insbesondere mit Verbesserungen beim Risikomanagement, die die Business-Performance verbessern. Noch sei dieses Feld „ein Geheimnis für die meisten Firmen“, so die Analysten. Der wirtschaftliche Aufschwung schaffe derzeit jedoch die Voraussetzungen für zukunftsweisende Investitionen unter anderem in einen wirksameren Einsatz von Risikomanagement. Vor allem in diesem Bereich entwickeln sich laut Forrester Forecasting- und Analyse-Tools zu immer wichtigeren Instrumenten.
Dass Risk im Vergleich zu Compliance und Governance aktuell die größte Herausforderung darstellt, bestätigt auch eine Umfrage des Magazins Business Finance. Insgesamt kommt die in den USA durchgeführte Studie zu dem Ergebnis, dass GRC beträchtlich an Reife zugelegt hat.
So beschreiben drei Viertel der Befragten ihre GRC-Strategien als richtlinienbasiert anstatt regelbasiert. Das heißt, dass ein an Risiko-Fragen orientierter Top-Down-Ansatz vorherrscht anstatt eines traditionellen Ansatzes der auf massive Dokumentation auf allen Ebenen setzt. 65 Prozent der Firmen arbeiten mit irgendeiner Form von Enterprise Risk Management (ERM), ein überraschend hoher Anteil von 60 Prozent hat sich einer ambitionierten GRC-Praxis mit fortlaufendem Auditing und Monitoring verschrieben.
Diese Fortschritte sind auch Forrester nicht entgangen. Automatisierte Kontrollen haben nach Einschätzung der Analysten vielen Firmen in jüngster Zeit nicht nur bei der Einhaltung einer stetig steigenden Zahl von Compliance-Anforderungen geholfen, sondern auch zu einer Reduzierung der für Compliance und Audits nötigen Ausgaben geführt. Deshalb erwartet Forrester, dass die Anbieter weitere zuverlässige Produkte dieser Art auf den Markt bringen und die Anwender dankbar zugreifen.
Während Prozess-Optimierungen im Compliance-Bereich für die Unternehmen also unerwartet oft mit Kostensenkungen einhergehen, bleibt grundsätzlich doch ein ständig wachsender Bedarf nach Personal und Technologie zu stillen. Das stellt Forrester fest – und die Umfrage von Business Finance bestätigt den Befund.
GRC-Budgets werden wachsen
Haupthürde für eine höhere Wirksamkeit von GRC-Programmen ist demnach eine mangelnde Finanzausstattung. 37 Prozent klagen darüber. 36 Prozent konstatieren einen Mangel an Personal, 30 Prozent eine veraltete beziehungsweise unzureichende technologische Ausrüstung.
Die finanziellen Fesseln sollten sich jedoch in absehbarer Zeit lockern. 59 Prozent der Befragten rechnen für das kommende Jahr mit einem unveränderten GRC-Budget, 37 Prozent kalkulieren mit mehr Geld als bisher. Investieren wollen 47 Prozent in Prozessverbesserungen oder strukturelle Veränderungen, 22 Prozent in Personal und Schulung, 15 Prozent in neue Technologie.
Als größte Herausforderung betrachten die Unternehmen operationale Risiken (53 Prozent), gefolgt von Compliance (45 Prozent) und strategischen Risiken (43 Prozent). Die geringsten Sorgen bereiten den Firmen Financial Reporting Risks (31 Prozent). Anforderungen aus regulatorischen Zwängen wie Sarbanes Oxley haben die Unternehmen offenbar relativ gut im Griff.