Die treibende Kraft hinter GRC ist heute das Risikomanagement – Compliance ist passé

Compliance ist nicht mehr die entscheidende treibende Kraft hinter Governance, Risiko und Compliance (GRC). In einer Studie von MetricStream gaben 70 % der Befragten an, dass sie GRC in erster Linie für das Risikomanagement nutzen. In diesem Beitrag diskutiert MetricStream die Gründe für die zunehmende Fokussierung auf das Risikomanagement und wie Unternehmen mithilfe von Technologie eine schlanke und transparente GRC-Infrastruktur schaffen können. Dieser Beitrag erschien ursprünglich im Blog von MetricStream und wird hier mit freundlicher Genehmigung erneut veröffentlicht.

Die Insolvenz von Enron zählt nicht nur in den USA, sondern auch weltweit zweifellos zu den größten Fällen von Bilanzbetrug, die jemals aufgedeckt wurden. Der Enron-Skandal offenbart aber auch eine Tatsache, die zwar oft klar erkannt, aber dennoch ignoriert wird: Ein gut geschriebener Verhaltenskodex oder ein ebenso gut abgefasstes Compliance- Handbuch stellt noch lange kein wirksames Compliance-Programm dar. Enron hatte einen überzeugenden Verhaltenskodex – zumindest auf dem Papier. Aber auch dieser konnte den Zusammenbruch des Energiekonzerns nicht verhindern.

Moderne CIOs müssen sich endlich der Realität stellen. Wenn Sie der Meinung sind, dass bei Governance, Risiko und Compliance (GRC) für den CIO in der heutigen Zeit Compliance im Vordergrund steht, sollten Sie darüber nochmals nachdenken. GRC wächst und entwickelt sich weiter. Schnell. Sehr schnell. Auch wenn sich die heutigen CIOs der Bedeutung von GRC bewusst sind, so haben sich doch die Argumente für Investitionen in GRC von Compliance hin zum Risikomanagement verschoben. Compliance wird mittlerweile als „gegeben“ angesehen.

In einer aktuellen Umfrage von MetricStream gaben 70 % der Befragten an, dass sie GRC nutzen, um das Risikomanagement ihres Unternehmens zu optimieren. Andere Faktoren wie Cybersecurity, die Compliance von Partnerunternehmen sowie die Einhaltung von Gesetzen und Regularien zählen zwar eindeutig weiter zu den wichtigsten Treibern, folgen jedoch nun erst an zweiter Stelle hinter dem Risikomanagement.

Was ist Risikomanagement und was macht es so schwierig? Im Lexikon der Financial Times wird Risikomanagement wie folgt definiert: „Der Prozess der Identifizierung, Quantifizierung und Bewältigung der Risiken, denen ein Unternehmen ausgesetzt ist. Die zukünftigen Ergebnisse jeder unternehmerischen Tätigkeit sind unsicher und müssen daher als risikobehaftet betrachtet werden.“ Verschiedene Faktoren erschweren das Risikomanagement. Allerdings ist derzeit die Mobilität der Faktor mit den größten Auswirkungen auf den Risikoquotienten eines Unternehmens. Mobilität betrifft längst nicht mehr nur Tablets und Smartphones. Heute sind sogar die Daten selbst mobil. Der CIO einer Großbank sagte in einem kürzlich mit MetricStream geführten Interview: „Ich habe 3.000 Apps in der Cloud.“ Das bedeutet: Daten sind überall und zudem auch noch extrem mobil.

Um eine flächendeckende Einführung zu ermöglichen, arbeitet MetricStream, der Marktführer bei GRC-Apps, an einer umfassenden GRC-Lösung, die zudem die GRC-Prozesse vereinfacht. Mit einer vollständig vereinheitlichten und übergreifenden GRC-Technologie können Unternehmen ein zentralisiertes und transparentes GRC-Ökosystem aufbauen. Dies kann eine unternehmensweite Kultur mit einem hohen Bewusstsein und einer klaren Verantwortung für GRC fördern, in der jeder Mitarbeiter und Funktionsbereich seine Risiken und Compliance-Aufgaben eigenständig steuern kann, während gleichzeitig Daten unternehmensweit konsolidiert und in einer übergeordneten GRC-Zusammenfassung verdichtet bereitgestellt werden. Im Rahmen seiner übergreifenden GRC-Strategie bietet MetricStream GRC-Funktionen, die vorab in die Apps des Kunden integriert werden.

Die Vereinfachung sämtlicher GRC-Prozesse ist ein zentrales Anliegen von MetricStream. „Wir wollen sicherstellen, dass die GRC-Anforderungen unserer Kunden nahtlos erfüllt und in ihre vorhandenen Salesforce- oder ERP-Lösungen integriert werden“, sagte French Caldwell, Chief Evangelist bei MetricStream.

Ein Blick in die Zukunft: Um GRC als vollständig durchdringende und allumfassende Lösung zu etablieren, werden Technologien wie beispielsweise erweiterte Analyse- und Überwachungsfunktionen benötigt, die eine lückenlose Verfügbarkeit von Risikodaten und Regulatory Intelligence bieten.