Governance, Risk und Compliance (GRC) - Ein integrierter Ansatz

ARIS Expert Paper Expert ARIS Paper Platform Ein integrierter Ansatz Governance, Risk und Compliance (GRC) www.ids-scheer.com ARIS Expert Paper Governance, Risk und Compliance (GRC) Ein integrierter Ansatz Die Globalisierung der Märkte und immer kürzer werdende Entwick- Über den Autor: lungszyklen zwingen Unternehmen, in einem immer größer und komplexer werdenden Umfeld und einem stetigen Wandel von gesetzlichen, politi- schen, kulturellen und auch technischen Anforderungen zu agieren. Abgesehen von Regulierungsanforderungen der deutschen Gesetzgebung werden Vorschriften und Gebaren anderer Kulturkreise und Länder immer wichtiger.[1] Eine Wahlfreiheit, sich den daraus resultierenden Anforde- rungen zu stellen, haben Unternehmen meist nicht, da mit einer Entschei- dung, gewisse Märkte zu besetzen, die Verpflichtung verbunden ist, sich diesen Regularien zu unterwerfen. Michael Hoffmann ist Leader Global Solution Center Hier lesen Sie: Governance, Risk & Compliance bei IDS Scheer AG, Saarbrücken. warum Governance, Risk & Compliance Management (GRC) im Michael Hoffmann arbeitet seit Rahmen der Globalisierung der Märkte immer mehr an September 2001 bei IDS Scheer Bedeutung gewinnt. und ist verantwortlich für das Global Solution Center wie ein Rahmenkonzept für einen integrierten Ansatz zur Governance, Risk and Compliance. Implementierung von GRC aussehen kann und lernen ein Michael Hoffmann ist Autor und Co-Autor verschiedener Beispiel für eine praktische Umsetzung kennen. Publikationen, u. a. mit Prof. wie Effizienzsteigerungen und Kostensenkungen realisiert Scheer zusammen. werden können. 1 Einleitung Gerade in Zeiten der Finanzkrise, die mittlerweile nahezu alle Kontinente erreicht hat, werden Rufe nach zusätzlichen und strengeren Regularien immer lauter. In diesem Artikel wird nicht das Für und Wider entsprechender Regularien dar- gestellt oder abgewogen. Solche Regularien existieren und Unternehmen müs- sen gegenüber den daraus resultierenden Anforderungen möglichst flexibel agieren. Hierzu wird in diesem Artikel eine mögliche Vorgehensweise beschrie- ben. Abschnitt 2 beschreibt den GRC-Ansatz der IDS Scheer AG und hebt die Stellung der IT-Organisation im Rahmen dieses Ansatzes hervor. Abschnitt 3 zeigt mit ARIS Value Engineering (AVE) for Governance, Risk and Compliance Manage- ment einen Beratungsansatz auf, der Unternehmen den Weg zu einem ganzheit- lichen Managment von GRC ebnet. Dadurch hilft er nicht nur, den entsprechen- den unternehmerischen Anforderungen gerecht zu werden, sondern weist auch Potenziale auf, um Effizienzsteigerungen und Kosteneinsparungen zu realisieren. Obwohl Defizite im Bereich GRC gerade in der letzten Zeit bei vielen Unter- nehmen der Finanzbranche aufgedeckt wurden, soll hier keine neue Inter- pretation eines solchen Falles gegeben werden. Auch fiel es schwer, einen externen Kunden zu gewinnen, an der Stelle offen über seine Defizite zu berich- ten. Daher zeigt Abschnitt 4 ein Beispiel, in dem die Erfüllung der SAS 70-Anfor- derungen (Report I und Report II) innerhalb der IDS Scheer AG beschrieben wird. Abschnitt 5 zeigt Ansätze der Weiterentwicklung des GRC Frameworks auf. Contact: arisproductmarketing@ids-scheer.com 2 ARIS Expert Paper 2 Governance, Risk und Compliance (GRC) 2.1 Governance Governance oder Governance Framework fokussiert auf das Setzen und Einhalten von Verhaltensregeln und Prozessen, die für ein Unternehmen und dessen Mitarbeiter gelten.[2] Im Rahmen eines GRC Frameworks (vgl. Abbildung 2) haben diese Regelungen ihren Ursprung im Risiko- und Compliance Management und stellen somit Maßnahmen dar, beispielsweise ein potenzielles Risiko für den Eintritt eines Schades zu senken oder im Falle eines eingetretenen Schadens, die Schadenssumme zu begrenzen. Dabei sollen detailierte Hand- lungsanweisungen helfen. Das Governance Framework umfasst beispielsweise organisatorische Regelungen (Security Policies, Handlungs- anweisungen, Unterschriftenregelungen, etc.), die Dokumentation von Governance-Prozessen wie die Risikobewertung, die Durchführung von Auftragsfreigaben oder auch die Beantragung und Freigabe von Systemberechtigungen. Viele dieser Regelungen und Prozesse werden nicht nur organisatorisch implementiert, sondern können auch system- technisch unterstützt werden. Die IT-Governance ist Teil der Corporate Governance und zielt auf die Schaffung von Organisationsstrukturen und Prozessen ab, damit die IT Organisation auf die Unternehmensstrategie und die Unterstützung der wertschöpfenden Geschäftsprozesse abgestimmt ist.[3] 2.2 Risikomanagement Mit jedem unternehmerischen Handeln sind Risiken verbunden. Jedoch wird nur der, der sich den unternehmerischen Risiken stellt und nicht davor die Augen verschließt, Strategien entwickeln können, trotz Vorhandensein derselben, ein Unternehmen zum Erfolg zu führen.[4] Daraus ergibt sich die Forderung nach einem fortwährenden kontrollierten Umgang mit Risiken, dem Risikomanagement. Unter Risikomanagement wird die systematische Erfassung und Bewertung von Risiken verstanden. Darüber hinaus umfasst das Risikomanagement die systematische Bewertung und Steuerung von möglichen Handlungsoptionen als Reaktion auf die aktuelle Situation.[5] Die Verantwortung für ein betriebliches Risikomanagement liegt bei der Geschäftsführung. Unterstützt wird die Geschäftsführung durch die interne Revision und das Controlling. In der Riskoverantwortung stehen die Leiter der einzelnen Business Units beziehungsweise der Leiter der IT-Organisation. Für einen geregelten Ablauf des Risikomangements steht der Risikomanagementprozess, der die Interaktion der einzel- nen Organisationseinheiten bzw. deren Rollen beschreibt. In der Regel wird das Risikomanagement als kontinuierlicher Regelkreis-Prozess beispielsweise nach Deming [6] etabliert. Dieser findet seine Verankerung sowohl in den wesentlichen Unternehmensbereichen als auch in den Unternehmensprozessen. Hiervon sind die wertschöpfenden, betriebswirt- schaftlichen Geschäftsprozesse und auch die unterstützenden Prozesse, beispielsweise der IT-Organisation, betroffen.[7] Der Risikomanagementprozess deckt die Risikoanalyse, die Risikobewertung und die Risikobewältigung ab. 3 ARIS Expert Paper Abb. 1: Organisation Risikomanagement Abbildung 1 zeigt die grundsätzlichen Aufgaben der Managementfunktionen im Rahmen des Risikomanagements. Im Rahmen der unternehmerischen Tätigkeiten werden die Geschäftsrisiken oder Marktrisiken, Finanzrisiken und Betriebsrisiken oder operationale Risiken unterschieden.[8] Bei der Betrachtung der Risiken, sollten zur Aufdeckung von Entwicklungspotenzialen für das Unternehmen die Chancen integriert werden. 2.3 Compliance Management Compliance Management zielt ab auf das Einhalten von externen (gesetzliche Vorgaben etc.) und internen Regularien (Konzernrichtlinien etc.). Als Richtlinien werden auch nicht nur Regularien betrachtet, zu deren Einhaltung ein Unternehmen per Gesetz verpflichtet ist, sondern auch Regularien und Quasi-Standards, denen sich ein Unternehmen aus wettbewerbstechnischen oder auch ethischen Gründen unterwirft. Entscheidungen hierzu werden in der Unternehmensstrategie begründet. Nachfolgend wird das Risikomanagement als Treiber des Compliance Management betrachtet. Es handelt sich um Risiken, die sich aus der Nichteinhaltung von gesetzlichen Anforderungen und Quasi-Standards ergeben.[9] 4 ARIS Expert Paper 2.4 Herausforderungen an die IT-Organisation im Rahmen des GRC Frameworks Die Umsetzung der Strategie eines Unternehmens erfolgt in den wertschöpfenden Geschäftsprozessen. Diese werden durch IT Services unterstützt, die den Output der aus der IT-Strategie abgeleiteten IT-Produktions- und -Management- prozessen darstellen und den Anforderungen der Business-Seite entsprechen sollten. Die IT Services für Business und IT-Seite basieren auf entsprechenden Applikationen (vgl. Abbildung 2). Abb. 2: GRC Framework Auf das Unternehmen, im Mittelpunkt der folgenden Abbildung dargestellt, wirken beispielsweise Marktrisiken oder Risiken ein, die sich auf die Nichteinhaltung von Compliance-Anforderungen ergeben. Diesen Risiken versucht man durch ein unternehmensspezifisch ausgerichtetes Governance Framework entgegen zu wirken. Das Framework beinhaltet sowohl die Governance-Prozesse wie Risikomanagement, Notfallmanagement etc.