So sperrig wie der Begriff, so komplex die Herausforderung: GRC lautet das Kürzel für Governance, Risk und Compliance – drei zentrale Aufgaben, die in einheitlichen Software-Lösungen und Strategien verschmelzen. Unbestimmt und ständig im Wandel erscheint, was genau damit gemeint ist. Vor nicht allzu langer Zeit legten die meisten Anwender den Akzent auf das C, Compliance-Fragen bestimmten die Herangehensweise. Mittlerweile rückte das R für Risiko-Management stärker in den Fokus. Fest steht, dass die Mehrzahl der Firmen intensiv an GRC arbeitet. Laut einer aktuellen Studie der Wirtschaftsprüfer von KPMG International zählen 64 Prozent von über 540 befragten Unternehmen die Konvergenz von GRC zu ihren Prioritäten.
Ein Treiber der Entwicklung ist die Kostensenkung, die in doppelter Hinsicht zu erzielen ist. Zum einen schlägt es positiv zu Buche, wenn nicht jede Abteilung für sich Software einkauft und damit die für sie relevanten Risiken beackert. Eine unternehmensweite Strategie verspricht hier geringere Ausgaben durch Synergiebildung. Zum anderen trägt ein erfolgreiches GRC-Management dazu bei, unnötige Kosten in der Compliance sowie durch richtig kalkulierte Risiken zu sparen. „Die Unternehmen müssen die vielen Monitoring-Aktivitäten rationalisieren, die in Folge zunehmender Regulierungen entstanden sind“, sagt Michael J. Nolan, Global Ledaer for Risk and Compliance bei KPMG. „Es ist zu teuer, diese Funktionalitäten weiterhin isoliert zu managen“, so Nolan.
Die Frage nach den Erfolgsaussichten des Strebens nach Konvergenz haben für den Augenblick die Marktforscher von Aberdeen beantwortet. Wie sie in einer Erhebung zeigen, konnten die erfolgreichsten Unternehmen auf diesem Feld durch Zusammenführen ihrer früher vereinzelten Aktivitäten ihre Betriebskosten um 6,4 Prozent senken. Diese Firmen eliminierten ein Zehntel an überflüssigen Prozessen und Aktivitäten im Bereich des Risiko-Managements. Das entspreche für jede Unternehmenseinheit einem halben Tag pro Woche an gewonnener Produktivität, so Aberdeen.
Allerdings ist es keineswegs trivial, die in der Theorie unverkennbaren Vorzüge in der Praxis zu realisieren. Das Software-Etikett GRC steht unter Branchenkennern mitunter heftig in der Kritik. Es handle sich lediglich um eine hochtrabende Umschreibung für Chaos, wird gewettert. GRC-Software gebe es derzeit überhaupt nicht, heißt es außerdem. Eine Herausforderung sind tatsächlich die höchst unterschiedlichen Herausforderungen in den einzelnen Branchen. Für Versicherungen zum Beispiel sind Naturkatastrophen wie Wirbelstürme oder Erdbeben ganz entscheidende Risiken. Aber die Modellierung der für die Risiko-Einschätzung wesentlichen Daten ist hier schon schwierig genug, die Entwicklung einer integrierten GRC-Plattform eine schwer zu knackende Nuss.
Bei alldem handelt es sich womöglich um die üblichen Kinderkrankheiten eines jungen Ansatzes. Nichtsdestotrotz sind die Fortschritte auf Anbieterseite unverkennbar, integrierte und verschiedene Funktionalitäten vereinigende Lösungen zu entwickeln. Ein Beispiel sind die Bemühungen etablierter Software-Größen wie etwa Oracle, GRC mit bewährten Lösungen im Enterprise Resource Plannung (ERP) zu verzahnen.
Ohne menschliches Know-how läuft nichts
Auf Anwenderseite ist wie so oft zu beachten, dass die richtige Software nur eine wichtige Stufe auf dem Weg zum Erfolg ist. „Gleichzeitig wird die menschliche Erfahrung, Interpretation und Beurteilung immer benötigt“, warnt Derek E. Brink, Vice President bei der Aberdeen Group. „Die Rolle der Mitarbeiter im Security- und Audit-Bereich muss sich immer weiter entwickeln – über den reinen Schutz hinaus zur wirklichen Beratung der Business-Seite“, so Brink.
Die Aberdeen-Studie gibt zumindest zarte Hinweise darauf, was momentan die besten von den weniger erfolgreichen Unternehmen im GRC-Bereich unterscheidet. Beispielsweise liegen die Top-Performer in der Integration von Risiko-Management mit anderen Key Performance Indicators (KPI) vorne. Und sie haben mit vierfach höherer Wahrscheinlichkeit als der Rest in ein zentrales, automatisches GRC-System investiert. Auf der anderen Seite haben selbst die Besten noch jede Menge zu tun. Mehr als die Hälfte gibt an, noch vorwiegend mit einem manuellen Ansatz zu arbeiten.
An der Stoßrichtung der Aktivitäten im GRC-Bereich lässt wiederum die KPMG-Studie keine Zweifel. 44 Prozent der Befragten wollen schlichtweg die Komplexität im Business reduzieren, 37 Prozent streben nach einer Senkung der Ausgaben für Risiken. 32 Prozent wollen insgesamt ihre Performance verbessern.
Dies waren die Antworten auf die Frage, warum die Firmen ein GRC-Programm auflegten. Daneben sehen die Befragten weitere Vorzüge eines Engagements in diesem Bereich: 59 Prozent erhoffen sich, Risiken schneller zu identifizieren und zu managen. Und ein Viertel setzt auf den oben genannten Synergie-Effekt. Sie wollen Duplikate aussortieren und so ihre Kosten senken.