Studie zu Governance, Risk & Compliance

Mit GRC-Software & -Services zum Erfolg

Lubor Ptacek ist seit 2008 für OpenText tätig. In seiner derzeitigen Rolle als Vice President of Product Marketing ist er für eine Reihe unternehmensweiter Marketingfunktionen, wie Produktmarketing, Corporate Messaging, Thought Leadership und Technisches Marketing verantwortlich. Vor seiner Tätigkeit bei OpenText arbeitete er für EMC, Documentum, Vignette und Novell. Derzeit ist er auch Teil des Board of Directors for the Association for Intelligent Information Management (AIIM).

Lubor Ptacek studierte an der Technischen Universität Ilmenau Informatik und erhielt einen MBA an der Santa Clara University in Kalifornien. Er lebt und arbeitet in Kalifornien, bloggt auf www.luborp.com, ist ein gefragter Sprecher und regelmäßig in den Medien präsent.
Eine effiziente GRC-Strategie bietet Unternehmen zahlreiche Vorteile. Bei der Umsetzung gibt es jedoch noch jede Menge Nachholbedarf, wie eine aktuelle Studie von AIIM und OpenText zeigen möchte.

"Risiko" mit meiner Familie zu spielen, zählt zu meinen liebsten Freizeitbeschäftigungen. Das populäre Brettspiel erlaubt es, nach und nach die ganze Welt zu erobern. Als ich mir die Spielregeln einmal genauer ansah, fiel mir auf: Das zentrale Thema des Spiels lässt sich auch auf die Herausforderungen ummünzen, mit denen Unternehmen hinsichtlich Governance, Risk and Compliance (GRC) konfrontiert sind. So heißt es in der Spielanleitung: "Entwickeln Sie für Ihren Feldzug clevere Taktiken (...). Nur eine Macht kann triumphieren, also sollten Sie Ihre Entscheidungen sorgfältig treffen, damit Ihre Siegeschancen nicht zur vernichtenden Niederlage werden."

Der Umgang mit großen, komplexen Datenvolumen - sprich Big Data - ist für Unternehmen heutzutage Segen und Fluch. Sie sind sozusagen das Pulverfass im digitalen Zeitalter: Richtig genutzt, katapultieren sie Firmen an die vorderste Front beim Kampf um Kunden und bilden den Schlüssel für eine wettbewerbsfähige Unternehmensstrategie. In den falschen Händen können sie die Reputation eines Unternehmens hingegen völlig zerstören. Firmen sind sich dieser Problematik bewusst. Viele verwenden schon heute Unmengen an Ressourcen, um sensible Informationen vor Verlusten zu schützen und staatliche Compliance-Vorgaben zu erfüllen.

Die richtige GRC-Strategie kann Unternehmen zu mehr Erfolg führen. Dennoch gibt es hinsichtlich Governance, Risk & Compliance jede Menge Nachholbedarf im Unternehmensumfeld.
Die richtige GRC-Strategie kann Unternehmen zu mehr Erfolg führen. Dennoch gibt es hinsichtlich Governance, Risk & Compliance jede Menge Nachholbedarf im Unternehmensumfeld.
Foto: Creativa Images - shutterstock.com

GRC-Grundlagen: ECM & BPM

Die Basis für eine effiziente GRC-Strategie bilden dabei vor allem zwei Tools: Enterprise Content Management (ECM) und Business Process Management (BPM). Durch die Kombination beider Lösungsansätze können Unternehmen das Risiko für den Verlust sensibler Daten erheblich verringern und den Wert der Informationen um ein Vielfaches steigern. Sie sorgen für eine richtlinienkonforme Information - Governance, ein operationales Monitoring, das Aufspüren von Risiken und die Prüfung von Compliance-Vorschriften.

Doch GRC ist zeit- und kostenintensiv. In einer weltweiten Studie fand das Marktforschungsinstitut Forrester kürzlich heraus, dass 89 Prozent der 211 befragten Unternehmen im Jahr 2015 noch mehr Geld für Information-Governance-Programme ausgeben werden als im Jahr 2014. Eine kürzlich von OpenText und AIIM (Association for Information and Image Management) durchgeführte Studie zeigte zudem, dass unter den 1.200 befragten Unternehmen 46 Prozent in den nächsten zwölf Monaten in GRC-Software oder -Services investieren wollen. Davon sollen 15 Prozent für Lizenzen und zwölf Prozent für Cloud/SaaS-Services ausgegeben werden. Wenn firmenintern wenig Know-how im Umgang mit GRC vorhanden ist, suchen 24 Prozent Rat bei professionellen Dienstleistern.

OpenText interessierte in der Studie besonders, welche GRC-Bereiche den Unternehmen am meisten Sorge bereiten. Zudem wurde hinterfragt, ob und wie Firmen ECM, BPM und andere Enterprise-Information-Management (EIM)-Technologien einsetzen, um GRC-Herausforderungen zu meistern und mit welchen Mitteln sie Programme, Prozesse und Tools rund um GRC verbessern wollen.

Chief Compliance Officer?

Was Führungskräfte am meisten umtreibt, ist nicht etwa das Risiko von Geldbußen bei Compliance-Verstößen (20 Prozent), sondern vielmehr die Angst vor Sicherheitslecks (56 Prozent) und der Schutz persönlicher Informationen (52 Prozent). Angesichts der vielen Medienberichte über Datenschutzpannen bei bekannten Firmen ist diese Sorge verständlich. An zweiter Stelle folgen Angst vor Rufschädigung (48 Prozent) und regulatorische Risiken (42 Prozent). Finanzielle und operative Gefahren verunsichern 35 Prozent der Befragten. 32 Prozent sind der Meinung, der "ehrliche Mitarbeiter" sei der wichtigste Treiber für GRC-Maßnahmen. Diese Auffassung findet man besonders in Unternehmen die sich bemühen, Regeln und Prozesse gemäß der eigenen Corporate Social Responsibility umzusetzen.

Richtlinien und Prozesse auf dem aktuellen Stand zu halten ist eine wesentlich größere Herausforderung (40 Prozent), als der Umgang mit sich verändernden Vorschriften (26 Prozent). Das ist leicht zu verstehen, wenn man bedenkt, dass die meisten Organisationen im Lauf der Zeit einen wahren Flickenteppich an Policy-Regeln angehäuft haben. Die Compliance-gerechte Verwaltung von Papierdokumenten ist für 19 Prozent die größte Herausforderung. EIM bietet beim Umgang mit Policies die nötigen Tools, um derartige Dokumente stringent zu verwalten. Dazu zählt etwa das Records Management für die Klassifizierung und Speicherung von Daten, der Aufbau eines Workflows um Policy-Entwicklungen zu automatisieren oder der Einsatz von BPM-Lösungen für Dashboard-Ansichten und Reports.

Besorgniserregend: Der Studie zufolge sind nur neun Prozent der Befragten überzeugt, dass ihre Policies auf dem aktuellen Stand sind. Unternehmen, die in solide ECM- und BPM-Lösungen investieren, haben hingegen weniger Schwierigkeiten, ein effektives Policy-Management aufzubauen. Die Frage, wer in Unternehmen GRC-Programme verantwortet, scheint nicht eindeutig geklärt zu sein: Typischerweise regelt das Legal Department oder der Chief Compliance Officer (CCO) Governance, Risk & Compliance-Aktivitäten eines Unternehmens. Überraschenderweise berichten aber 56 Prozent der Unternehmen, dass sie keinen CCO haben. Es scheint, als ob das Bewusstsein für die Relevanz dieser Rolle fehlt.