Governance - Risk - Compliance

Governance, Risk und Compliance aus einem Guss

, Goriscon | Autor: Herbert Wieler

Governance, Risk und Compliance aus einem Guss

Unternehmerische Risiken identifizieren und steuern

Die Risiken für Unternehmen wachsen stetig. Hinzu kommt eine immer größere Zahl an Vorschriften und Verordnungen, die einzuhalten sind. Mit schlauer Software lassen sich Firmen effizienter steuern und Risiken minimieren.

Unternehmerische Risiken identifizieren und steuern. Bild: Dashboard von eGRC-Managementsystem, Goriscon

Der Vorfall kam zur denkbar unpassendsten Zeit: Gerade erst hatte der Stuttgarter Autobauer Mercedes-Benz starke Umsatz- und Gewinnzahlen für das vergangene Geschäftsjahr 2022 präsentiert, da erschien Mitte März die Staatsanwaltschaft im Haus. Laut Ermittlern geht es um den Vorwurf der „gewerbsmäßigen Bestechung und Bestechlichkeit im geschäftlichen Verkehr“. Die Ermittlungen richteten sich gegen zwei Mitarbeiter des Unternehmens. Die zwei Beschuldigten, so „Bild“, hätten bestimmten Lieferanten bei Bestellungen den Zuschlag verschafft – im Gegenzug gegen stattliche Belohnungen.

Fesseln für Vorstände und Aufsichtsräte werden immer enger

Gerade das Vergaberecht, ob bei privaten Unternehmen oder öffentlicher Hand, ist ein Paradebeispiel dafür, dass im Wirtschaftsleben trotz vieler Regeln und Regulierungen nicht immer alles mit dem Rechten zugeht. Doch während früher solche Vorfälle mitunter lax abgetan wurden, ist es heute vorbei mit dem Laisser-faire. Die rechtlichen Regulierungen und damit auch die Fesseln und Sanktionsmöglichkeiten für die Entscheiderinnen und Entscheider in den Vorständen und Geschäftsführungen, aber auch die Aufseherinnen und Aufseher in den Aufsichtsräten deutscher Unternehmen werden immer härter und fester. Selbst wer selbst keine Schuld trägt, aber nur etwas zu ungenau überwacht hat, steht mit einem Bein mit in der Haftung oder schlimmstenfalls im Gefängnis.

Governance, Risik und Compliance sind eng verwoben

Das Themenfeld „Governance, Risk and Compliance” – kurz GRC – wird für Unternehmen immer relevanter und existenzsichernd. Die drei Begriffe sind eng miteinander verwoben: „Governance“ meint die Art und Weise, wie Führungskräfte, Management und Aufsichtsrat ein Unternehmen führen. „Risikomanagement“ beschreibt, wie sich ein Unternehmen gegen Risiken aller Art – von finanziellen Risiken über IT-Risiken bis hin zu möglichem Fehlverhalten seiner Mitarbeitenden wie bei Mercedes – wappnet. Und vor allem im Vorfeld durch das richtige Antizipieren und Aufspüren von Signalen bestenfalls Risiken erkennt, bevor der Schaden eintritt. „Compliance“ schließlich steht für die Fähigkeit einer Firma, Gesetze, Richtlinien, Regeln und Standards korrekt und fristgerecht umzusetzen und einzuhalten. Das muss sich nicht allein auf Bestimmungen beschränken, die vom Bundestag oder dem EU-Parlament beschlossen werden, sondern kann auch interne Richtlinien und Verfahren beziehen, die Mitarbeiterinnen und Mitarbeiter des Unternehmens einhalten müssen.

Vertrauen ist gut, Kontrolle ist besser

Die immer wieder von Unternehmern beklagte Flut an Verordnungen und Vorgaben basiert auf einem Kerngedanken: „Vertrauen ist gut, Kontrolle ist besser.“ Eine Bewertung der vielschichtigen Risiken in Unternehmen gab es schon immer. Auch wenn sich bestimmte Risiken verändert oder zugenommen haben – gerade im Bereich IT, wo die Zahl der Cyber-Attacken auf Unternehmen explodiert oder durch das Überlappen privater Endgeräte mit den Firmennetzwerken neue Einfallstore entstehen. Relativ neu ist dagegen der Ansatz, alle drei Aspekte Governance, Risk und Compliance mit der Unterstützung smarter IT zusammenzuführen, zu verzahnen und weitgehend zu automatisieren.

Software schafft kompaktes Dashboard für das risikoarme Management

Was Unternehmenslenker und Unternehmensaufseher benötigen, sind schlaue Tools und übersichtliche Dashboards, mit denen sie jederzeit den Überblick haben und das Unternehmen in den drei sensiblen Bereichen überwachen und steuern können.

Ein solches Produkt stellt etwa „embedded GRC“, kurz „eGRC“ des Softwarehauses Goriscon GmbH dar. Das Unternehmen gehört zum Wirtschaftsverbund M71 Group, welcher mehrere IT- und Softwareunternehmen bündelt – unter anderem die Neto Consulting , das Beratungsunternehmen der Gruppe, mit Sitz in Rosenheim. Neto-Geschäftsführer Thomas Neuwert sagt über „eGRC“: „Das Programm ermöglicht Unternehmen jeder Größe und Branche durch IT-gestützte Abläufe eine zielgerichtete und effiziente Umsetzung in unterschiedlichen Bereichen, wie zum Beispiel Informationssicherheit, Datenschutz und Risikomanagement. Wir bieten eine gemeinsame Datenbasis, so dass die bisherigen Standards, Richtlinien und Bewertungen verknüpft werden und die Kunden dadurch Qualität und Zeit gewinnen. Somit sind sie jederzeit in der Lage, ihre Risiken zu identifizieren und zu steuern.“

Programme wie eGRC bieten zahlreiche Vorteile: Die Anwendung von Goriscon arbeitet mit übersichtlichen Dashboards und reduziert durch den integrierten Workflow und die Bereitstellung gebrauchsfertiger Vorlagen die Zentralisierung und Umsetzung deutlich.

Die Rosenheimer liefern eGRC mit verschiedenen Anforderungen, wie zum Beispiel ISO 27001, DSGVO oder KRITIS. Dennoch ist es nicht nur auf diese Anforderungen beschränkt. Die Kunden können Anforderungen anpassen und hinzufügen, die dem jeweiligen internen Risikorahmen entsprechen. eGRC ist eine revisionssichere Lösung und gibt Auditoren einen zentralen Überblick darüber, wie Informationssicherheit und Datenschutz im Unternehmen verwaltet werden.