Was ist GRC?

Die Fähigkeiten, die einem Unternehmen helfen, mit Unwägbarkeiten umzugehen, integer zu handeln und seine Ziele mit Hilfe einer risikobewussten Kultur zuverlässig zu erreichen.

Mit Governance, Risk, and Compliance (GRC) verfügen Unternehmen über das erforderliche Know-how und die Tools, die sie benötigen, um ihre Geschäfte zu führen und sich dabei im Rahmen der Gesetze zu bewegen. Viele Unternehmen haben entweder keine klar definierten GRC-Programme oder vernachlässigen deren Finanzierung. Um erfolgreich zu sein, müssen Unternehmen ihre Resilienz verbessern und sich auf Unterbrechungen vorbereiten. Nur so können sie am Markt bestehen und einen Mehrwert erwirtschaften.

Der Geschäftsnutzen von GRC muss sich auf die Verbesserung der Risikotransparenz, die Abstimmung der GRC-Aktivitäten mit den geschäftlichen Prioritäten und die Bereitstellung vorausschauender Einblicke konzentrieren, damit Unternehmen schnell und entschlossen handeln können.

Governance: Das Framework der Aktivitäten eines Unternehmens und die Frage, ob diese auf die geschäftlichen Ziele abgestimmt sind oder nicht. Zu den Aktivitäten gehören Prozesse, Strukturen und Richtlinien, die dazu dienen, die Unternehmensaktivitäten zu steuern und zu überwachen.

Risk: Ein nachhaltiger Prozess, der sich mit Risiken befasst, Risiken durch Steuerungen abmildert und sicherstellt, dass die Risiken gemäß den Richtlinien kontrolliert werden. Dazu gehören Risikomessung, -bewertung, -aufrechterhaltung, -monitoring und -identifizierung.

Compliance: Sicherstellen, dass die Aktivitäten innerhalb eines Unternehmens im Einklang mit Gesetzen und Vorschriften stehen.

  • Strategisch: Wirksame Verantwortung für Risiken und Governance, die sich auf die geschäftlichen Strategien auswirken.
  • Betrieblich: Alles, was den Betrieb eines Unternehmens und seine Abläufe unterbrechen, verändern oder beeinträchtigen kann.
  • Technologie: Umfasst neben Ausfällen von Anwendungen, Datenbanken, Infrastrukturen und anderen angeschlossenen Geräten auch Cyberrisiken.
  • Daten: Wenn Daten gestohlen oder beschädigt werden können. Der Schutz umfasst die Wahrung der Vertraulichkeit der Daten, die Gewährleistung ihrer Integrität und die Aufrechterhaltung ihrer Verfügbarkeit.
  • Cyber: Ähnlich dem Technologierisiko. Finanzielle Verluste, Unterbrechung des Geschäftsbetriebs oder allgemeine Schädigung des Rufs eines Unternehmens aufgrund von Störungen im Bereich der IT.
  • Datenschutz: Die Gefahr des Verlusts, der unbefugten Weitergabe oder des Diebstahls von privaten Daten.
  • Reputation: Die Gefahr, dass ein Unternehmen aufgrund eines verärgerten Kunden, einer Datenschutzverletzung, eines Produktfehlers oder einer negativen Bewertung in ein schlechtes Licht gerät.
  • Drittparteien: Sicherstellen, dass Anbieter, Lieferanten, Geschäftspartner und verbundene Unternehmen über eine gute Risikovorsorge verfügen und keine negativen Auswirkungen auf das Unternehmen haben.
  • Compliance/Vorschriften: Das Ausmaß, in dem sich die Nichteinhaltung von Vorschriften auf rechtliche Verpflichtungen auswirken kann.

  • Die Stakeholder verlangen ein hohes Maß an Transparenz, Verantwortlichkeit und Leistung.
  • Die gesetzlichen Bestimmungen ändern sich ständig und auf unvorhersehbare Weise.
  • Die Zahl der Beziehungen zu Dritten und die Risiken nehmen exponentiell zu und stellen das Management vor eine Herausforderung.
  • Eine unzureichende Risikoerkennung hat schwerwiegende Folgen.
  • Effizienzgewinne durch GRC sind für das geschäftliche Wachstum unerlässlich.

Integriertes GRC oder integriertes Risikomanagement ist ein umfassenderer, unternehmensweiter Ansatz, der Unternehmen in die Lage versetzt, verschiedene Risiken in Echtzeit zu überwachen, zu kontrollieren und darauf zu reagieren. Das integrierte Risikomanagement ist ein wichtiger Aspekt, der in risikobewussten Unternehmen die Leistung und Entscheidungsfindung verbessern kann.

Strategie

Die Führungskräfte können fundierte, risikobasierte Entscheidungen treffen, die mit den geschäftlichen Zielen im Einklang stehen.

Integration

Unternehmen können Risiken und deren Auswirkungen auf das Endergebnis besser einschätzen. Diese Informationen werden von allen Abteilungen und Geschäftsbereichen gemeinsam genutzt und können dazu beitragen, Silos abzubauen und unnötige Doppelarbeit zu vermeiden.

Digitalisiert

GRC ist in einer einzigen Plattform vereint, damit Prozesse automatisiert werden können. Workflows lassen sich vereinfachen, Dokumentationen können gespeichert werden, und es wird ein einheitlicherer Rahmen geschaffen.

Die Erwartungen seitens der Akteure entwickeln sich weiter, sodass ein integrierter Ansatz für das Risikomanagement angebracht ist.

Wirksames GRC muss:

  • Von Verantwortlichen verschiedener Bereiche wie CISOs, CROs, CIOs, CFOs, CEOs, Rechtsabteilungen usw. getragen werden
  • Über eine risikoorientierte Kultur verfügen
  • Auf einer modernen, integrierten, cloudbasierten Plattform aufbauen
  • Sich problemlos mit anderen Technologien im Ökosystem zur Datenerfassung integrieren lassen
  • Die gemeinsame Nutzung von Daten vereinfachen, damit gemeinsame Daten übergreifend genutzt werden können.
  • Geschäftsrisiken im gesamten Unternehmen und in den Ökosystemen von Drittparteien erkennen und beseitigen
  • Geschäftsorientierte, prozessbasierte Workflows zur Analyse und Behandlung von Risiken erstellen
  • Risikoinformationen und Workflows in die täglichen/betrieblichen Tools einbetten
  • Dafür sorgen, dass die Risiken und die Compliance für jedermann leicht erkennbar sind
  • Ein kontinuierliches Monitoring von Risiken und Steuerungen durch den Einsatz automatisierter Risikoindikatoren ermöglichen
  • Risiken in geschäftlichen Begriffen anhand von geschäftsspezifischen Dashboards erläutern
  • All dies sollte fortlaufend für Abteilungen und funktionale Gruppen im gesamten Unternehmen und mit Anbietern durchgeführt werden, um eine ganzheitliche Echtzeit-Ansicht der Risiken zu erhalten.

  • Kosten können steigen.
  • Die möglichen Risiken lassen sich nicht ausreichend erkennen.
  • Der zeitaufwändige Prozess zur Erstellung von Berichten auf Vorstandsebene zieht inaktive Daten nach sich. Dies hindert die Führungskräfte und den Vorstand daran, angemessene Anweisungen zu geben und Kontrollen durchzuführen.
  • Risiken von Drittparteien werden nicht angemessen berücksichtigt.
  • Die Messung der risikobereinigten Leistung gestaltet sich schwierig.
  • Es gibt zu viele negative Auswirkungen. Die Folgen sind:
    1. Auditergebnisse
    2. Compliance-Strafen
    3. Kosten für die Bereinigung von Datenschutzverletzungen
    4. Kundenverluste
    5. Rufschädigung
  • Ohne eine gemeinsame Sprache verschwenden die Mitarbeiter ihre Zeit mit zweitrangigen Angelegenheiten.
  • Zeitraubende Prozesse führen zu Produktivitätseinbußen.
  • Umständliche und ungewohnte Benutzer-Experiences behindern das Geschäft und demotivieren Mitarbeiter mit direktem Kundenkontakt.
  • Mangelnde Effizienz bei der abteilungsübergreifenden Zusammenarbeit

Ein effizientes GRC-Konzept stellt sicher, dass die richtigen Personen zum richtigen Zeitpunkt die erforderlichen Informationen erhalten, dass Ziele festgelegt und die erforderlichen Steuerungen eingerichtet werden, um auf unvorhersehbare Situationen reagieren und entsprechend handeln zu können. Ein ordnungsgemäß durchgeführter GRC-Prozess bietet die folgenden Vorteile:

  • Kostenreduzierung durch Automatisierung und Verringerung der Wahrscheinlichkeit von Sanktionen aufgrund von Auditergebnissen, Compliance-Verstößen und Datenschutzverletzungen
  • Verringerung des von den Anbietern ausgehenden Risikos
  • Verbesserte Anpassungsfähigkeit an Veränderungen von Geschäftsmodellen, Risiken im Zusammenhang mit der digitalen Transformation oder neue Vorschriften
  • Verringerte Auswirkungen auf den Betrieb – Effizienzsteigerungen ermöglichen es Unternehmen, mit weniger mehr zu erreichen.
  • Verbesserte Voraussetzungen für die Skalierung und das geschäftliche Wachstum
  • Bessere Möglichkeiten zur schnellen und effizienten Erfassung hochwertiger Informationen von Mitarbeitern und Lieferanten
  • Verbesserter Zugriff auf Risikoinformationen im gesamten Unternehmen über ein einziges Repository
  • Verbesserung der Fähigkeit, Prozesse auf konsistente Art und Weise zu wiederholen
  • Verbesserte Produktivität durch Beseitigung sich wiederholender und redundanter Aufgaben
  • Effiziente Kommunikation mit den Stakeholdern im gesamten Unternehmen, mit der Geschäftsleitung und mit dem Vorstand
  • Strategische Entscheidungsfindung mit Risikodaten in Echtzeit und der Möglichkeit, die Auswirkungen auf das Unternehmen zu berechnen
  • Wettbewerbsvorteile: Die Kunden können sicher sein, dass es einen Plan zur Bewältigung von Risiken gibt, was die Wahrscheinlichkeit einer Datenschutzverletzung reduziert und einen besseren Schutz ihrer Daten gewährleistet.

Eine GRC-Lösung, die für jedes Unternehmen ein effektives Governance, Risk, and Compliance gewährleistet, gibt es nicht. Die meisten GRC-Lösungen haben allerdings gemeinsame Komponenten. Nachfolgend finden Sie einige wesentliche Funktionen und Faktoren, die den meisten GRC-Plattformen gemein sind.

  • Kontrollen
  • Workflows
  • Zentrales Datenrepository
  • CMDB zur Bestimmung der geschäftlichen Auswirkungen
  • Risikoindikatoren
  • Richtlinienlebenszyklus
  • Bibliothek regulatorischer Dokumente
  • Mobile Lösungen
  • Chatbots
  • OOTB-Integrationen zu Drittparteien

  • Richtlinienmanagement
  • Regelkonformität
  • Management digitaler und technologischer Risiken
  • Management von Drittparteirisiken
  • Audit Management
  • Resilienz- und Kontinuitätsmanagement
  • Datenschutzmanagement

Erste Schritte mit ServiceNow Governance, Risk, and Compliance

Verwalten Sie Risiken und Resilienz in Echtzeit mit ServiceNow.