Heidelinde Rameder von T-Systems Austria ist eine der führenden Expertinnen, wenn es um GRC Management geht und hat bereits zahlreiche erfolgreiche Projekte begleitet, unter anderem bei Otto Group und Wienerberger. Ziel dabei ist es, die Bereiche Governance, Risk und Compliance ganzheitlich zu betrachten.
Gesellschaft, Gesetzgeber und Kunden haben steigende Erwartungen an die Umsetzung von Datenschutz und Datensicherheit in Unternehmen. Gleichzeitig halten datengetriebene Geschäftsmodelle, Homeoffice und künstliche Intelligenz Einzug. Die Anforderungen von Seiten des Arbeitsrechts und im Bereich Cyber Security steigen, während immer mehr Arbeitnehmende remote Arbeitsplätze nutzen.
GRC Verantwortliche sollen einen Überblick über die Unternehmensrisiken und die Rechtslage haben, während gleichzeitig in größeren Eco-Systeme die Zusammenarbeit unvermeidbar ist und Abhängigkeiten bestehen, IT-Verantwortung zu Outsourcing- und Cloud Anbietern abwandert und die Risiken daher oft nicht bekannt sind bzw. ausreichend behandelt werden.
Es ist Zeit für eine gesamtheitliche Betrachtung über Abteilungsgrenzen hinweg. Inwieweit gehört eine Pandemie in der Risikoplanung eines Unternehmens berücksichtigt?
Die Corona Pandemie kann als klassisches „Black Swan“ Ereignis betrachtet werden. Das bedeutet, dass die Eintrittswahrscheinlichkeit sehr gering eingeschätzt wird oder das Risiko überhaupt nicht bekannt ist. Somit identifizierten die wenigsten Unternehmen eine Pandemie als realistisches Risiko. Es ist aber auch nicht sinnvoll, alle möglichen, relativ unwahrscheinlichen Szenarien individuell zu betrachten.
Die Wahrscheinlichkeit, dass eines der vielen potenziellen „Black Swan“ Ereignisse eintritt, ist wiederum relativ hoch. Die Frage für Unternehmen ist damit, wie sie sich vor allen unvorhersehbaren Ereignissen, die oft existenzbedrohend sind, gesamtheitlich wappnen können. Der Schlüssel ist Resilienz.
Die Stärkung der Resilienz erfordert ein besseres, ganzheitliches GRC Management für die Organisation. Da Risiken stärker miteinander verbunden und schnelllebiger sind als je zuvor, müssen sich die Geschäftsleitung und die Vorstände intensiver mit dem Thema GRC beschäftigen. Dies geht auch aus einer Umfrage von Gartner unter CEOs hervor: Risikomanagement war das Thema, das zwischen 2019 und 2020 mit Abstand am meisten an Bedeutung gewonnen hat (39 Prozent).
Während Unternehmen die Corona Schocks des Jahres 2020 verarbeiten, wird deutlich, dass viele Organisationen ihre Resilienz stärken müssen, bevor das nächste „Black Swan“ Ereignis eintritt. Hier setzt auch Business Continuity Management (BCM) an. Als Überbegriff umfasst BCM einen Mix aus verschiedenen Elementen. Das Ziel: die Resilienz der Organisation aufzubauen.
BCM spannt ein Netz über das gesamte Unternehmen. Es richtet sich an Prozessen, Prioritäten und Plänen aus. Auf diese Weise sollte es nicht nur die spezifischen Bedürfnisse des Unternehmens, sondern auch regulatorische Richtlinien und Branchenstandards berücksichtigen. Damit kann BCM als Teil eines integrierten GRC Managements verstanden werden.
Mitarbeiterakzeptanz und Bewusstsein gehören zu den wichtigsten Faktoren für erfolgreiches GRC Management. Das gelingt durch das aktive, rechtzeitige Miteinbeziehen der betroffenen Mitarbeitenden bei der Entwicklung und Verbesserung von GRC Prozessen. Alle Beteiligten müssen entsprechend ihrer Verantwortung und Rolle im Risikomanagement unterstützt werden.
Für die Entscheidungsträger gibt es zu jeder Zeit einen konsolidierten Gesamtüberblick über den Status der Risikosituation und Maßnahmen. Das Ziel ist, Mehraufwände und Komplexität, die beispielsweise durch die vielen Compliance Vorgaben entstehen, maximal zu reduzieren, kontinuierlichen und echten Mehrwert im Rahmen der GRC Prozesse zu liefern, sowie Risikotransparenz zu schaffen. Damit wird eine hohe Akzeptanz und gute Datenqualität und Compliance bei der Befolgung und Umsetzung der jeweiligen Prozesse erreicht.
Die Pandemie hat viel Digitalisierung gebracht – worauf sollte man als GRC EntscheiderIn jetzt achten, um der schnellen Umstellung geschuldete Risiken und Schwachstellen wieder gerade zu bügeln? Die Reaktion hat oft gut und schnell funktioniert. Es mussten Rahmenbedingungen ad hoc geändert werden.
Um den Betrieb aufrecht zu erhalten und Mitarbeitenden zu ermöglichen, weiter zu arbeiten, wurden beispielsweise im Rahmen von Homeoffice Umstellungen, Netzwerke und Servicezugänge geändert oder persönliche Geräte in Unternehmensnetzwerke eingebunden.
Sehr oft gibt es dazu keine ausreichenden Regelungen oder es wird gegen bestehende Policies verstoßen. Dadurch existieren nun diverse neue Risiken, die nicht transparent sind. Es ist unbedingt notwendig, diese zeitnahe zu identifizieren, das integrierte GRC Management entsprechend anzupassen und Risiken zu behandeln.
Wie kann man Risiko überhaupt managen, wenn kein Stein auf dem anderen bleibt? GRC und Risikomanagement im Speziellen soll immer als iterativer und dynamischer Prozess gelebt werden, der regelmäßigen Verbesserungen unterzogen wird. Damit ist es möglich, schnell auf eine sich ändernde Risikolandschaft zu reagieren und entsprechende Maßnahmen zu treffen.
Die Digitalisierung von GRC Prozessen durch GRC Tools erlaubt einen einfach erreichbaren, zielgruppengerechten Mehrwert für alle Beteiligten. GRC Tools reduzieren z.B. durch konsolidierte Risiko und Control Frameworks und Prozessautomatisierung Mehraufwände und Komplexität. Synergieeffekte und die Zusammenarbeit mit verschiedenen Bereichen werden besser unterstützt.
Integriertes GRC bringt einen dynamischen, bereichsspezifischen oder kumulierten und aktuellen Risikoüberblick und damit eine gute Entscheidungsgrundlage für die Geschäftsführung / das Management. Auch das ist durch konkret darauf ausgerichtete GRC Tools in der Praxis möglich. Verantwortliche können mit GRC Tools Risiken tagesaktuell und ohne großen Aufwand konkret für ihren Verantwortungsbereich und zu spezifischen Themen einfach einsehen, berichten und auswerten. Sie behalten den Überblick über Behandlungs- und Maßnahmenpläne sowie deren Verantwortlichkeiten und deren Umsetzungszustand.
Dabei sollen Unternehmensprozesse nicht umständlich angepasst werden müssen – sondern bestehende Prozesse unterstützt, integriert und im Reifegrad verbessert werden. Je nach Reifegrad und Bedarf werden verschiedene GRC Bereiche, wie z.B. Datenschutzmanagement, Informationssicherheit, Risikomanagement oder Business Continuity Management integriert. Die Zusammenarbeit mit kompetenten GRC Service Partnern, die auch GRC Tools unterstützen, gewährleistet eine erfolgreiche Umsetzung, da neben der fachlichen Projekt- und Serviceerfahrung auch die technische Expertise mitgebracht wird.