Schon immer haben sich die Verantwortlichen in Unternehmen Gedanken über ihre interne Firmenpolitik und ihre Geschäftsprozesse gemacht. Zudem gab es seit jeher Gesetze, an die sich Betriebe zu halten hatten. Und dass Unternehmen versuchen, die Geschäftsrisiken klein zu halten, ist ohnehin ein alter Hut. Governance, Risiko-Management und Compliance ist somit nur ein neues, von IT-Anbietern oder Beratern erschaffenes Marketing-Thema – sollte man meinen.

Doch hinter dem Akronym GRC verbirgt sich mehr. Denn folgt ein Unternehmen einer entsprechenden Strategie, betrachtet es Governance, Risiko-Management und Compliance nicht mehr als drei getrennte Bereiche. Die Funktionen werden stattdessen miteinander koordiniert, um das Firmenschiff innerhalb von gesetzlichen Grenzen und akzeptablen Risiken so zu steuern, dass dabei der größtmögliche geschäftliche Nutzen erzielt wird. „Dabei ist Governance das Dach von allem“, erklärt Martin Kuppinger, einer der Gründer des Analystenhauses Kuppinger Cole und Partner. So wird sicher gestellt, dass sich sowohl die Methoden zur Erfüllung der rechtlichen Anforderungen – also Compliance – als auch zur Erkennung und Minimierung von negativen Ereignissen – also Risiko-Management – an den Unternehmenszielen und -prozessen ausrichten. Denn alle Maßnahmen sind nur dann erfolgreich, wenn sie unternehmensweit und systematisch gemanagt werden. Es hilft wenig, nur kurzfristig – etwa aufgrund einer gerade durchgeführten Revision – zu reagieren. Dem Ganzen muss ein langfristiges Konzept zugrunde liegen. Dieser ganzheitliche Blick sei der entscheidende und neue Aspekt beim Thema GRC, so Kuppinger.

Durch einen Dschungel aus Regularien

Der Bedarf an einer solch konsistenten Strategie ist groß. Denn Unternehmen müssen sich mittlerweile quasi durch einen Dschungel aus Regularien kämpfen. Zu Beginn beschäftigte etwa der Sarbanes-Oxley-Act (SOX) nur US-amerikanische Unternehmen und ihre Töchter sowie solche Firmen, die an einer US-Börse gelistet sind. Inzwischen ist jedoch fast die Hälfte aller deutschen Firmen von SOX betroffen. So lautet zumindest das Ergebnis einer gemeinsamen Studie des Beratungsunternehmens Accenture und von Professor Michael Amberg vom Lehrstuhl für Wirtschaftsinformatik III der Friedrich-Alexander-Universität Erlangen Nürnberg. Daneben sind weitere Regelungen zu beachten: unter anderem das Bundesdatenschutzgesetz, Basel II, das Kontroll- und Transparenzgesetz und die 8. EU-Richtlinie, die auch als Euro-SOX bezeichnet wird. Hinzu kommen interne Richtlinien und branchenspezifische Vorschriften.

Viele Experten gehen davon aus, dass der Paragraphendschungel noch weiter wachsen wird. Denn eine Folge der Finanzkrise sei die Forderung nach weiteren Auflagen für die Unternehmen. Das Marktforschungs- und Consulting-Haus Gartner erwartet zum Beispiel, dass sich neue Bestimmungen auf eine größere Transparenz, die Umsetzung von weltweiten Standards und schnelleres Reporting fokussieren werden. Kuppinger glaubt zwar nicht an noch mehr Regularien. Doch auch er sieht die Firmen vor großen Herausforderungen. „Der Druck entsteht vor allem durch die Wirtschaftsprüfer“, so der Analyst.

Die Finanzkrise hat aber zumindest dazu geführt, dass Unternehmen sich verstärkt Gedanken über ihr Risiko-Management machen. 85 Prozent der Firmen wollen aufgrund der jüngsten Erfahrungen ihren Ansatz für das Risiko-Management überholen, so eine weitere Untersuchung von Accenture. Befragt wurden dabei 260 Führungskräfte aus 21 Ländern. Andere Studien kommen zu einem ähnlichen Ergebnis. In den Organisationen gibt es offensichtlich noch viel Verbesserungsbedarf, wenn es darum geht, Gefahrenpotenzial einzuschätzen und zu reduzieren. „Die aktuelle Wirtschaftsflaute ist der ultimative Stresstest für die Risiko-Management-Funktionen eines Unternehmens“, stellt Dan London fest, Managing Director bei Accenture.

IT als Baustein für ganzheitliche GRC-Konzepte

Einen entscheidenden Beitrag, um diesen Test zu bestehen, leistet die Informationstechnologie. Denn sie bildet die relevanten Geschäftsprozesse ab. Zudem lässt sich mit ihrer Hilfe überwachen, ob die Systeme zur Einhaltung der Compliance und für das Risiko-Management funktionieren. IT spielt eine wichtige Rolle bei Themen wie Datenschutz, der Sicherheit von Informationen oder Business Continuity. Und wie die Vorstände werden auch die IT-Führungskräfte bei Verstößen gegen rechtliche Bestimmungen im schlimmsten Fall persönlich zur Verantwortung gezogen. Sie müssen daher die Vorschriften kennen, die für ihr Unternehmen gelten, und diese auf die IT-Organisation übertragen. Die IT sei ein wichtiger Baustein in den GRC-Konzepten der Unternehmen, erklärt Forrester-Analyst Chris McLean. Und das habe großen Einfluss darauf, wie die IT-Abteilungen ihren Verantwortlichkeiten gerecht werden und wie sie mit anderen Abteilungen zusammenarbeiten. McLeans deutscher Kollege Kuppinger bringt es auf den Punkt: „Bei GRC geht es darum, dass die IT einfach professioneller agiert.“

Um eine GRC-Strategie umzusetzen, stehen den Unternehmen IT-Werkzeuge zur Verfügung – und zwar viele und aus unterschiedlichen Bereichen. Denn so breit wie das Thema insgesamt ist auch die Palette der Systeme, die zum Einsatz kommen. Schließlich sind die Funktionen, die unterstützt werden müssen, vielfältig: Dazu zählen Dokumentation, Prozess-Management, Reporting, Sicherheit, Verwaltung von Identitäten, Service Management oder Archivierung. Die Systeme, die diese verschiedenen Funktionen bieten, müssen zusammengebracht werden, um eine einheitliche Sicht und Steuerung möglich zu machen. Der umfassende Ansatz von GRC ist somit auch auf technischer Ebene notwendig. Eine Software-Lösung für Business Intelligence beispielsweise trägt nur einen Teil zum Ganzen bei. Sie ist aber nie alleine für ein GRC-Konzept ausreichend.

Der Trend geht daher zu Plattformen die mehrere Einzellösungen zusammenfassen. Die wichtigsten Funktionsbereiche dieser Plattformen sind laut Kuppinger Analyse und Auditing sowie Dashboards für die Ergebnisdarstellung. Außerdem: Rollen-Management, Attestierung, Risiko-Management sowie die Steuerung von Autorisierungen. Der Analyst empfiehlt den Unternehmen, auf solche umfassenden Lösungen zu setzen. Denn auf Dauer sei dies günstiger als der Einsatz von punktuellen Werkzeugen. Kuppinger räumt aber ein, dass keine Plattform bisher alle Funktionsbereiche auf einem hohen Niveau abdeckt. Die Verantwortlichen in den Firmen sollten sich daher für diejenige Lösung entscheiden, die ihre dringlichsten Anforderungen erfüllt.

Allerdings müssen sich die Unternehmen dabei in einem hektischen Markt zurechtfinden. Die Entwicklung der Produkte schreitet rasch voran und die Anbieterlandschaft wird sich noch deutlich verändern. Laut den Marktforschern von Gartner wächst das Geschäft mit GRC-Lösungen schnell. 2008 habe der Umsatz für Software-Lizenzen in diesem Bereich weltweit bei 97 Millionen Dollar gelegen. In diesem Jahr rechnet Gartner mit einer Wachstum des Marktvolumens um 50 Prozent.

Mit GRC auf der sicheren Seite

Wer den Aufwand für die Auswahl einer Lösung und der Umsetzung einer entsprechenden Strategie nicht scheut, kann sich aber über deutliche Vorteile freuen. Denn GRC sorgt nicht nur für Rechtssicherheit. Ein solches Konzept führt generell zu mehr Transparenz im Unternehmen. Die Verantwortlichen können so zum Beispiel erkennen, welche Geschäftsprozesse wie verbessert werden müssen. Das Risiko-Management deckt Schwachstellen rechtzeitig auf und hilft, diese zu beseitigen. Mit GRC verbessert sich auch das Informations-Management. Der einfachere Zugang zum Firmenwissen lässt sich dann auch für andere Zwecke nutzen – etwa um Abläufe zu beschleunigen oder der Konkurrenz aufgrund des Informationsvorsprungs eine Nasenlänge voraus zu sein. Letztlich ergeben sich auch Wettbewerbsvorteile in anderer Hinsicht: Kunden werden einem Unternehmen sicherlich stärker vertrauen, das transparent ist und seine eigene Organisation auf Trab gebracht hat. Analyst Kuppinger fasst zusammen: „Bei GRC geht es nicht nur darum, ein Häkchen hinter die Anforderungen zu machen. Mit GRC weiß ich einfach, dass ich die richtigen Dinge tue.“