GRC – Ist es eine Notwendigkeit?

Diskussionsthemen

Als Experte für Governance, Risk & Compliance (GRC) gibt es eine Reihe von immer wiederkehrenden Diskussionsthemen, die Sie auf die richtige Art und Weise ansprechen möchten, um die Organisation in Bezug auf GRC auf ein reiferes Niveau zu bringen. Folgende Personengruppen werden dabei mit unterschiedlichen Themen und Fragen konfrontiert:

  1. Management: Der GRC-Experte gehört zu einer Stabsabteilung und trägt nicht direkt zum Wachstum des Unternehmens bei. Ihnen stellt sich die Frage: „Sollen wir darin investieren?“
  2. 1. Linie: Der GRC-Fachmann ist ein „Muss“, aber die Beratung mit ihm kostet Zeit. Also ist abzuwägen: „Ist das wirklich notwendig?“
  3. Die Aufsichtsbehörde/Partnerorganisation/der externe Prüfer: GRC kann sich in vielerlei Hinsicht noch verbessern. Hier fragt man sich stets: „Wo gibt es Verbesserungsbedarf?“

Aufgrund dieser offenen Fragen und des mangelnden Verständnisses für die Bedeutung von GRC wird oft nicht ausreichend darin investiert. Dies wiederum führt zu einem Mangel an GRC-Experten, unausgereiften Tools oder unsicherer Software. So wird nur noch das Nötigste getan und die Nutzung von unübersichtlichen Excel-Dokumenten wird zum Status quo.

Wie können wir helfen?

Seit 20 Jahren teilen wir unser Wissen, unsere Erfahrung und unsere Software, um Governance, Risk und Compliance in Unternehmen auf ein reiferes Niveau zu bringen. Wir betonen vor allem, dass der indirekte Wert, den GRC-Experten beitragen, von großer Bedeutung ist. Der GRC-Experte trägt wesentlich zum Wert des Unternehmens bei, denn GRC bedeutet:

  • Die Organisation ist zuverlässig gegenüber anderen Organisationen wie Partnern, Lieferanten, Kunden, verbundenen Parteien, kurz gesagt, dem gesamten Ökosystem, das Ihre Organisation umgibt.
  • Die Organisation ist zielgerichtet: Die Organisation konzentriert sich auf ein Risikoprofil, das mit den Zielen der Organisation übereinstimmt.
  • Die Organisation ist in ihrem Handeln integer und transparent.

Und ja, man kann all dies auf der Rückseite einer Serviette ausrechnen, wenn man einige Annahmen trifft oder es im Detail studiert. Das würden wir gerne mit Ihnen besprechen.

Aber wir wollen Ihnen auch auf andere Weise helfen.

Unsere Software ist vollgepackt mit Funktionen von unmittelbarem Nutzen, z. B. Durchführung von Simulationen, um Ihr Risikoprofil mit den finanziellen Reserven zu vergleichen; Selbsteinschätzungen, um sich sofort ein klares Bild von den Risiken in Ihrem Netzwerk zu machen; Workshops zur gemeinsamen Bewertung von Chancen und Auswirkungen; Vorfall- und Schadenmanagement zur Optimierung Ihres Versicherungsportfolios, usw. Würden Sie gerne mehr erfahren? Dann setzen Sie sich doch mit uns in Verbindung..

Wir haben bereits darüber gesprochen, wie man interne Unterstützung für GRC bekommt, denn Ihre Kommunikation als GRC-Experte ist entscheidend dafür, ob Sie als „Einzelkämpfer“ oder mit einem integrierten Ansatz arbeiten.

Beim Überzeugen der Mitarbeiter muss ein wichtiger Aspekt beachtet werden. GRC-Fachleute haben oftmals einen zyklischen Denkstil, denn es geht nicht um eine einmalige Verbesserung, die angestrebt wird, sondern um einen kontinuierlichen Verbesserungsprozess. Aber wie übersetzt man dieses zyklische Denken für die „linearen“ Denker, wie z.B. die erste Linie oder das Management, die meist nur das nächste Ziel im Auge haben?

Im Folgenden haben wir es für Sie ausgebügelt!

Auf der linken Seite sehen sie den Verlauf von Risiko, Maßnahme und Audit (ohne Details) dargestellt und auf der rechten Seite die Übersetzung in einen linearen Prozess, den Sie für die erste Managementlinie verwenden können. Dabei skizzieren Sie für Risiko, Maßnahme und Audit den Rahmen, beschreiben die Umsetzung und definieren die Strategie. Wenn dieser lineare Prozess das erste Mal durchlaufen wurde und ein neuer Zyklus auf dieser Grundlage beginnt, bleibt er für lineare Denker linear. Jede Ausführung des linearen Prozesses ist ein Verbesserungsschritt, mit dem der Zyklus von neuem beginnt.

Erklärung

  1. Risiko
    • Rahmen: Wie hängen Risiken und Ziele zusammen und in welchem Kontext befinden sie sich (interne oder externe Risiken, Hauptrisiken, operationelle Risiken usw.)?
    • Ausführung: Erfassen Sie die Risiken und analysieren und bewerten Sie diese. Ein einziges Risikoregister mit allen erdenklichen Risiken ist effektiver zu verwalten.
    • Strategie: Für das komprimierte Register legen Sie die Strategie pro Risiko fest, bestimmen die Bruttowahrscheinlichkeit und die Auswirkungen und gehen dann zu den Maßnahmen über.
  2. Maßnahme
    • Rahmen: Bei Maßnahmen geht es um Kontrolle und Handhabbarkeit. Eine Maßnahme muss einmalig sein, d. h. Sie wollen Duplikate möglichst vermeiden. Eine Maßnahme, wie beispielsweise das Vier-Augen-Prinzip, sollte auf verschiedene Prozesse, Risiken oder Standards anwendbar sein. Die zweite Linie kann dieses Register für die erste Linie vorbereiten, um den Aufwand für diese zu minimieren.
    • Ausführung: Hierbei geht es um die Analyse der Ursachen der Hauptrisiken (historische Daten, Fehler, Analysen), die Priorisierung der wichtigsten Ursachen und die Festlegung von Maßnahmen und Warnsignalen (Key Risk Indicators).
    • Strategie: Sie können die 1. Linie unterstützen, indem Sie eine Selbstbewertung vornehmen, Nachweise hinzufügen, nächste Schritte festlegen oder ein Benchmarking durchführen, wenn die Maßnahme beispielsweise für mehrere Abteilungen, Prozesse oder Risiken gleich ist.
  3. Audit
    • Rahmen: Eine geprüfte Stelle, die über den Umfang, die Stichprobe und die Dokumentation informiert ist, versteht, was verlangt wird, sieht den Zweck und die Notwendigkeit eines Audits und wird sich somit einem Audit nicht entziehen. Die geprüfte Stelle ist ein Teilnehmer und kein „Subjekt“.
    • Ausführung: Der Zweck eines Audits besteht nicht darin, Befunde zu erstellen, sondern auf der Grundlage der Befunde Empfehlungen auszusprechen, Folgemaßnahmen zu ergreifen, Verbesserungen vorzunehmen und zu überprüfen.
    • Strategie: Die Maßnahmen führen zu Verbesserungen und im besten Fall schließlich zu einer Erklärung oder Zertifizierung. Wenn es ein gemeinsames Verständnis für dieses Ziel gibt und der Rahmen klar ist, wird die Strategie zu einer gemeinsamen Anstrengung.

Und ja, die Verzahnung dieser 3 komplexen und zyklischen Prozesse (wobei wir hier viele Details ausgelassen haben) ist in NARIS-GRC® möglich. Wir können dazu beitragen, GRC aus einer nebensächlichen Rolle, wie anfangs erwähnt, in eine zentralere Rolle zu rücken, und somit für mehr Sicherheit, Verlässlichkeit, Ehrlichkeit und Transparenz sorgen.

LinkedIn
Twitter
Facebook
Email
Print
GRC

In Kürze:

Über den Autor
Über den Autor

Robert 't Hart ist Direktor von Naris. Aufgrund seiner positiven Einstellung zum Thema Risikomanagement ist er ein häufiger Referent auf Konferenzen. Er ist auch ein begeisterter Blogger über die neuesten Entwicklungen. Robert ist Dozent an der Universität Twente und der Fachhochschule Den Haag sowie Trainer an der Naris Risk Academy. Er ist im Bereich Governance und Risikomanagement zu Hause und hilft Organisationen bei der konkreten Umsetzung. Risikokultur und Unterstützung schaffen gehören zu seiner Expertise.