Jubeln statt Jammern - die Analysten von Aberdeen rufen in Sachen Compliance eine Trendwende aus. Ihre These: Wer Regularien wie Sox oder Basel II für eine ausgefeilte Business-Intelligence-Strategie nutzt (BI), profitiert von effizienteren Prozessen und Kostensenkungen.
Aberdeen untermauert das mit einer Studie, in der die analysierten Unternehmen je nach Performance in die Kategorien "Best in Class" (BiC), Mittelfeld und Schlusslichter ("Laggard") eingeteilt werden. Demnach konnten die Klassenbesten die Wirksamkeit ihrer Risk-Management-Aktivitäten um rund ein Drittel (31 Prozent) steigern. Dem Mittelfeld gelang nur eine Verbesserung um acht Prozent, den Nachzüglern um ein Prozent.
Ein Blick auf die Kosten: Während die BiC-Unternehmen ihre Bußgelder für Non-Compliance-Vorfälle um 14 Prozent senken konnten, sind sie bei allen anderen um ein Prozent gestiegen. Außerdem nehmen die Musterschüler für sich in Anspruch, die Effizienz ihres Compliance-Trackings um 30 Prozent verbessert zu haben. Die anderen Studienteilnehmer erreichen nur neun Prozent.
Diese Ergebnisse resultieren laut den Studienautoren aus einem Mix organisatorischer, prozessualer und technischer Faktoren. So haben 90 Prozent der BiCs einen GRC (Governance, Risk, Compliance)-Verantwortlichen eingesetzt. Im Schnitt sind es nur 78 Prozent. Stichwort Technik: 91 Prozent der besonders erfolgreichen Firmen arbeiten mit Analyse-Tools, die Risk- und Compliance-Prozesse sichtbar machen - im Durchschnitt können das nur 45 Prozent von sich behaupten.
Außerdem setzen die BiC-Unternehmen überdurchschnittlich häufig Executive Dashboards und automatisierte Kontrollen ein, die Regelverstöße melden. Darüberhinaus scheinen sie besser als der Rest des Feldes verstanden zu haben, dass Compliance von den Mitarbeitern abhängt. Konkret: Sie investieren in Trainings und Schulungen.
Technik ist dabei nie Selbstzweck. Der Knackpunkt liegt für die Autoren der Analyse darin, dass die Klassenbesten sämtliche Risk- und Compliance-Aktivitäten auf eine firmenweite Business-Intelligence-Strategie abstimmen.
Es scheint sich zu lohnen. Einer der als BiCs Geadelten berichtet: "Nachdem wir uns zu hundert Prozent auf SOX eingeschworen hatten, haben wir angefangen, firmeninterne Policies festzulegen. In weniger als einem Monat konnten wir unsere Prozesse besser aufeinander abstimmen und Kosten senken." Ein anderer schwärmt, Entscheidungen würden nun viel schneller getroffen und umgesetzt.
Erst wenig Erfahrung mit der Kombination BI und Compliance
Bis allerdings auch die Mittelklasse-Firmen und die Nachzügler in diesen Lobgesang einstimmen, dürfte es noch dauern. Nur ein Fünftel der Studienteilnehmer integriert BI- und Analyse-Tools seit mehr als drei Jahren in GRC-Initiativen, weitere acht Prozent seit zwei bis drei Jahren. Im Gegenzug gibt jedes dritte Unternehmen an, diesen Schritt derzeit erst zu planen.
Ein weiteres Ergebnis der Studie: Wer Geld für GRC-Aktivitäten haben will, muss sich in der Mehrheit der Firmen (53 Prozent) an den CEO wenden. In 35 Prozent der Unternehmen ist der CFO zuständig.
Um ein Unternehmen in Sachen Risk und Compliance auf Vordermann zu bringen, sollten nach den Worten der Analysten zunächst einmal Verantwortlichkeiten festgelegt werden. Dann müsse jeder Prozess-Eigner sicherstellen, dass seine Arbeit auf die Unternehmensziele ausgerichtet ist. Aberdeen rät, firmenübergreifende cross-funktionale GRC-Teams zu bilden.
Die Analysten haben für die Studie " Is your GRC strategy intelligent?" mit Entscheidern aus mehr als 150 global tätigen Unternehmen gesprochen.