Governance, Risk & Compliance
Governance, Risk & Compliance (Governance, Risk Management and Compliance – GRC) fasst die drei wichtigsten Handlungsebenen eines Unternehmens für dessen erfolgreiche Führung zusammen:
- Governance ist die Unternehmensführung durch definierte Richtlinien. Dazu zählt die Festlegung von Unternehmenszielen, die darauf angewandte Methodik zur Umsetzung und die Planung der notwendigen Ressourcen für das Erreichen der Ziele.
- Risk steht für das Risikomanagement mit bekannten und unbekannten Risiken durch definierte Risikoanalysen. Ein wichtiger Faktor dabei ist das frühzeitige Auseinandersetzen mit Risiken, der Bereitstellung von Strategien zur Risikominimierung und dem Vorbereiten von Schadensfallpuffern bei Risikoeintritt.
- Compliance ist das Einhalten interner wie externer Normen für die Bereitstellung und die Verarbeitung von Informationen. Diese beinhaltet unter anderem Vorgaben aus Normierungsbestrebungen und die Zugriffsreglementierung für die Daten sowie die gesetzlichen Rahmenbedingungen für deren Verwendung.
Der englische Ausdruck hat sich im deutschen Sprachgebrauch etabliert, so dass auf eine deutsche Übersetzung der Begriffe verzichtet wird.
Das Management muss sich mit einer komplexen Verteilung von Beziehungsebenen befassen: überregionalen und multinationalen Geschäftsbeziehungen, gesetzlichen und gesellschaftlichen Regeln, Unternehmensabteilungen und deren Zielen und Vorgaben sowie Umsetzung, Kontrolle und Einhaltung von Prozessen. In jedem Vorgang innerhalb des Unternehmens treten die verschiedensten Ausprägungen dieser Einflüsse miteinander in Beziehungen und haben individuelle Anforderungen.
Beispiel
Bei einem Vorgang innerhalb eines Unternehmens kollidiert die SOX-Konformität mit nationalen Datenschutzbestimmungen beim Audit von Personalbestands- und Gehaltsdaten.
Dieses Beispiel beschreibt einen von vielen Vorgängen innerhalb eines Unternehmens und bringt eine Vielzahl von Ressourcen, Regeln und Risiken miteinander in Verbindung.
Lösungsansätze
Das GRC-Modell erhebt den Anspruch, ein Rahmengerüst zur Erleichterung der Organisation der Vielzahl von Verflechtungen der unterschiedlichen Vorgänge einzubringen. Dabei sind Lösungen dieser Art in der Regel IT-lastig und versuchen, über rechnergesteuerte Werkzeuge die Berücksichtigung vieler, im Idealfall aller oben genannten Abhängigkeiten zu berücksichtigen. Dabei bieten viele Hersteller Komponenten an, die GRC unterstützen (Identity Management, Risk-Management, Workflow-Engines, ERP-Systeme usw.), und erste Anbieter stellen bereits ganzheitliche Lösungen zu GRC-Architekturen vor. Wichtigste Anforderungen hierbei sind standardisierte Geschäftsobjekte, automatisierte Abläufe und deren Einbettung in bestehende und kommende Geschäftsprozesse.
GRC-Forschung
2010 wurde erstmals eine validierte Definition veröffentlicht (Racz et al., 2010): "GRC ist ein integrierter, holistischer Ansatz für organisationsweite Governance, Risk und Compliance, der gewährleistet, dass die Organisation sich ethisch und gemäß ihrem Risikoappetit sowie interner und externer Vorgaben verhält, ermöglicht durch die Abstimmung von Strategien, Prozessen, Menschen und Technologie, wodurch Effizienz und Effektivität gesteigert werden." Die Autoren leiten aus der Definition einen Forschungsrahmen für integrierte GRC ab, der Einsteigern die Forschung in diesem Bereich erleichtern soll.
Der Forschungsrahmen setzt sich aus den GRC-Disziplinen (Governance, Risikomanagement, Compliance), den GRC-Regeln (interne Vorgaben, externe Vorgaben, Risikoappetit), den GRC-Eigenschaften (integriert, holistisch, organisationsweit), den GRC-Komponenten (Strategie, Prozesse, Menschen, Technologie), den GRC-Zielen (ethisches Verhalten, gesteigerte Effizienz, gesteigerte Effektivität) und den durch GRC gesteuerten und unterstützten Aktivitäten (z. B. Finanzprozesse, IT-Management o. ä.) zusammen.
Literatur
- SecurIntegration GmbH (Hrsg.): GRC in SAP-Umgebungen. Mitp-Verlag, 2008, ISBN 978-3-8266-5954-6.
- N. Racz, E. Weippl, A. Seufert: A frame of reference for research of integrated GRC. In: Bart De Decker, Ingrid Schaumüller-Bichl (Hrsg.): Communications and Multimedia Security, 11th IFIP TC 6/TC 11 International Conference, CMS 2010 Proceedings. Springer, Berlin 2010, ISBN 978-3-642-13240-7, S. 106–117 (Online).
Weblinks
- Deutscher Corporate Governance Kodex. Abgerufen am 2. Juli 2013 (Netzauftritt des deutschen Corporate Governance Kodex auf corporate-governance-code.de).
- Compliance Management auf dem Prüfstand. Abgerufen am 2. Juli 2013 (Netzauftritt mit einer Studie zum aktuellen Stand des GRC Managements auf emea.nttdata.com).
- Strategisches GRC-Management – Grundzüge eines konzeptionellen Bezugsrahmens. (PDF; 130 kB) Abgerufen am 2. Juli 2013 (Forschungsbericht zum strategischen GRC Management auf db-thueringen.de).
- Grundlagen IT-Governance, Risk & Compliance