GRC – Eine Einführung
Die Governance-, Compliance- und Risikomanagement-Landschaft unterliegt einem ständigen Wandel: Zunehmend mehr Gesetze und Richtlinien fordern von Unternehmen Transparenz im Umgang mit Daten sowie die Trennung, Überwachung und Dokumentation von Geschäftsprozessen. Gleichzeitig findet eine Ausweitung der noch für die Papierwelt geschriebenen Gesetze auf die elektronische Welt statt: Die Aufbewahrungs- und Dokumentationspflichten für elektronische Geschäftsunterlagen nehmen zu. Alle rechtlichen und gesetzlichen Vorgaben der Papierwelt gelten auch in der elektronischen Welt! Die Anforderungen der IT-Welt sind jedoch häufig noch nicht oder nicht direkt enthalten und müssen daher adäquat abgeleitet werden.
Unternehmen stehen vor der großen Herausforderung, ihr Geschäft in Einklang mit den bestehenden und zukünftigen Regularien zu bringen und ein effektives Risikomanagement zu betreiben. Die Zusammenführung von Governance, Risikomanagement und Compliance, kurz GRC, ist ein wichtiger Schritt in der Bewältigung dieser Herausforderung.
GRC - die Buchstaben werden auch gern in anderer Reihenfolge kombiniert – bietet dabei einen ganzheitlichen Ansatz, der das Entstehen von Insellösungen verhindert. Die Führung von Unternehmen, die Einhaltung gesetzlicher Vorschriften und die Bewertung von Risiken gehen dabei zunehmend Hand in Hand. Die Abgrenzung der Aufgaben und der unterschiedlichen Auffassungen des Umfanges führen dabei jedoch zu sehr verschiedenen Ansätzen.
Um Klarheit in das Verhältnis der drei zugrundeliegenden Akronymbestandteile von GRC zu bringen, ist es erforderlich sie zunächst einzeln zu definieren.
Begriffsdefinitionen
Governance & Corporate Governance
Der Begriff Governance lässt sich zum Einen von dem französischen Begriff Gouvernance ableiten, der sich mit Herrschaft, Lenkung, Steuerung übersetzen lässt und zum Anderen von dem englischen Begriff für Regierung, Steuerung.
Für den Begriff Corporate Governance gibt es keine deutsche Direktübersetzung. Aus dem lateinischen Wortstamm lässt sich folgendes erkennen: "gubernator" bedeutet: Steuermann, "corporatio" bedeutet: Körperschaft. Wörtlich kann Corporate Governance also mit "körperschaftliche Steuerung" oder " Leitung einer Körperschaft bzw. einer Gesellschaft" übersetzt werden.
Risk Management
Risiko ist das italienische Wort für Wagnis, Gefahr. Risikomanagement umfasst also die Maßnahmen zur Erfassung, Bewertung und Steuerung der Risiken.
Die Risiken müssen erhoben, aufbereitet und bewertet werden. Maßnahmen zur Vermeidung der Risiken und zur Einhaltung der relevanten Compliance-Anforderungen sind zu treffen. Dabei obliegt es der Geschäftsführung beziehungsweise dem Vorstand eines Unternehmens, die Verantwortung für den Umfang der Maßnahmen und deren Einhaltung zu übernehmen.
Compliance
Der Begriff Compliance kann aus dem Englischen mit Befolgung, Einhaltung oder Erfüllung bestimmter Anforderungen übersetzt werden.
Compliance umfasst die Gesamtheit aller zumutbaren Maßnahmen, die das regelkonforme Verhalten eines Unternehmens, seiner Organisationsmitglieder und seiner Mitarbeiter im Hinblick auf alle gesetzlichen Ge- und Verbote begründen. Compliance bezieht sich dabei sowohl auf die Erfüllung externer rechtlicher Vorgaben als auch auf die Erfüllung interner regulativer Vorgaben.
GRC als ganzheitlicher Ansatz
Wie aus den Definitionen bereits deutlich wird, können die Bereiche Governance, Risiko Management und Compliance nicht losgelöst von einander betrachtet werden: Compliance-Anforderungen beinhalten Verpflichtungen zu Risikomanagement und der Einhaltung von Governance-Richtlinien. Risikomanagement beinhaltet die Bewertung von Compliance-Anforderungen, und Corporate Governance umfasst sowohl Compliance als auch Risiko-Management. Lange jedoch wurden diese Aufgabenkomplexe als einzelne Arbeitsgebiete aufgefasst und auf verschiedene Bereiche und Rollen verteilt sowie in spezifischen Lösungen umgesetzt.
Unter diesen Gesichtspunkten betrachtet ist ein ganzheitlicher Blick auf das Unternehmen gefordert. Die separate Betrachtung von Governance, IT-Governance, Compliance und Information Management Compliance, Risk Management und Quality Management führt nicht zur geforderten Transparenz, Nachvollziehbarkeit und Durchgängigkeit. Für die Umsetzung in Prozessen und in der Organisation eines Unternehmens oder einer Verwaltung ist eine ganzheitliche Betrachtung erforderlich, bei der die Governance die Regeln und Richtlinien liefert, das Risiko Management diese bewertet und im Rahmen von Compliance die praktische, operative Umsetzung sichergestellt werden muss.
GRC vereinigt die Disziplinen Corporate Governance, Risikomanagement und Compliance als durchgängiges Vorgehensmodell.
Abgesehen von den Anforderungen aus Dokumentationssicht ist hier auch ein wirtschaftlicher Faktor zu berücksichtigen – Governance, Compliance und Risiko-Management ermöglichen durch die geschaffene Transparenz auch die Einsparung von Kosten und ein wirtschaftlicheres Arbeiten. So können z.B. auch die erheblichen Kosten für die Umsetzung von Governance- und Compliance-Anforderungen ins Positive gewendet werden und zum wirtschaftlichen Erfolg des Unternehmens beitragen.