"Risiko" mit meiner Familie zu spielen, zählt zu meinen liebsten Freizeitbeschäftigungen. Das populäre Brettspiel erlaubt es, nach und nach die ganze Welt zu erobern. Als ich mir die Spielregeln einmal genauer ansah, fiel mir auf: Das zentrale Thema des Spiels lässt sich auch auf die Herausforderungen ummünzen, mit denen Unternehmen hinsichtlich Governance, Risk and Compliance (GRC) konfrontiert sind. So heißt es in der Spielanleitung: "Entwickeln Sie für Ihren Feldzug clevere Taktiken (...). Nur eine Macht kann triumphieren, also sollten Sie Ihre Entscheidungen sorgfältig treffen, damit Ihre Siegeschancen nicht zur vernichtenden Niederlage werden."
Der Umgang mit großen, komplexen Datenvolumen - sprich Big Data - ist für Unternehmen heutzutage Segen und Fluch. Sie sind sozusagen das Pulverfass im digitalen Zeitalter: Richtig genutzt, katapultieren sie Firmen an die vorderste Front beim Kampf um Kunden und bilden den Schlüssel für eine wettbewerbsfähige Unternehmensstrategie. In den falschen Händen können sie die Reputation eines Unternehmens hingegen völlig zerstören. Firmen sind sich dieser Problematik bewusst. Viele verwenden schon heute Unmengen an Ressourcen, um sensible Informationen vor Verlusten zu schützen und staatliche Compliance-Vorgaben zu erfüllen.
GRC-Grundlagen: ECM & BPM
Die Basis für eine effiziente GRC-Strategie bilden dabei vor allem zwei Tools: Enterprise Content Management (ECM) und Business Process Management (BPM). Durch die Kombination beider Lösungsansätze können Unternehmen das Risiko für den Verlust sensibler Daten erheblich verringern und den Wert der Informationen um ein Vielfaches steigern. Sie sorgen für eine richtlinienkonforme Information - Governance, ein operationales Monitoring, das Aufspüren von Risiken und die Prüfung von Compliance-Vorschriften.
Doch GRC ist zeit- und kostenintensiv. In einer weltweiten Studie fand das Marktforschungsinstitut Forrester kürzlich heraus, dass 89 Prozent der 211 befragten Unternehmen im Jahr 2015 noch mehr Geld für Information-Governance-Programme ausgeben werden als im Jahr 2014. Eine kürzlich von OpenText und AIIM (Association for Information and Image Management) durchgeführte Studie zeigte zudem, dass unter den 1.200 befragten Unternehmen 46 Prozent in den nächsten zwölf Monaten in GRC-Software oder -Services investieren wollen. Davon sollen 15 Prozent für Lizenzen und zwölf Prozent für Cloud/SaaS-Services ausgegeben werden. Wenn firmenintern wenig Know-how im Umgang mit GRC vorhanden ist, suchen 24 Prozent Rat bei professionellen Dienstleistern.
OpenText interessierte in der Studie besonders, welche GRC-Bereiche den Unternehmen am meisten Sorge bereiten. Zudem wurde hinterfragt, ob und wie Firmen ECM, BPM und andere Enterprise-Information-Management (EIM)-Technologien einsetzen, um GRC-Herausforderungen zu meistern und mit welchen Mitteln sie Programme, Prozesse und Tools rund um GRC verbessern wollen.
Chief Compliance Officer?
Was Führungskräfte am meisten umtreibt, ist nicht etwa das Risiko von Geldbußen bei Compliance-Verstößen (20 Prozent), sondern vielmehr die Angst vor Sicherheitslecks (56 Prozent) und der Schutz persönlicher Informationen (52 Prozent). Angesichts der vielen Medienberichte über Datenschutzpannen bei bekannten Firmen ist diese Sorge verständlich. An zweiter Stelle folgen Angst vor Rufschädigung (48 Prozent) und regulatorische Risiken (42 Prozent). Finanzielle und operative Gefahren verunsichern 35 Prozent der Befragten. 32 Prozent sind der Meinung, der "ehrliche Mitarbeiter" sei der wichtigste Treiber für GRC-Maßnahmen. Diese Auffassung findet man besonders in Unternehmen die sich bemühen, Regeln und Prozesse gemäß der eigenen Corporate Social Responsibility umzusetzen.
Richtlinien und Prozesse auf dem aktuellen Stand zu halten ist eine wesentlich größere Herausforderung (40 Prozent), als der Umgang mit sich verändernden Vorschriften (26 Prozent). Das ist leicht zu verstehen, wenn man bedenkt, dass die meisten Organisationen im Lauf der Zeit einen wahren Flickenteppich an Policy-Regeln angehäuft haben. Die Compliance-gerechte Verwaltung von Papierdokumenten ist für 19 Prozent die größte Herausforderung. EIM bietet beim Umgang mit Policies die nötigen Tools, um derartige Dokumente stringent zu verwalten. Dazu zählt etwa das Records Management für die Klassifizierung und Speicherung von Daten, der Aufbau eines Workflows um Policy-Entwicklungen zu automatisieren oder der Einsatz von BPM-Lösungen für Dashboard-Ansichten und Reports.
Besorgniserregend: Der Studie zufolge sind nur neun Prozent der Befragten überzeugt, dass ihre Policies auf dem aktuellen Stand sind. Unternehmen, die in solide ECM- und BPM-Lösungen investieren, haben hingegen weniger Schwierigkeiten, ein effektives Policy-Management aufzubauen. Die Frage, wer in Unternehmen GRC-Programme verantwortet, scheint nicht eindeutig geklärt zu sein: Typischerweise regelt das Legal Department oder der Chief Compliance Officer (CCO) Governance, Risk & Compliance-Aktivitäten eines Unternehmens. Überraschenderweise berichten aber 56 Prozent der Unternehmen, dass sie keinen CCO haben. Es scheint, als ob das Bewusstsein für die Relevanz dieser Rolle fehlt.
Die größten Herausforderungen von Governance, Risk & Compliance
Gefragt nach den größten Herausforderungen im Umgang mit GRC-Prozessen, klagen die Umfrageteilnehmer besonders über die folgenden drei Punkte:
• Noch immer sind ganz unterschiedliche Systeme im Einsatz, mit denen die Einhaltung von Compliance-Richtlinien dokumentiert wird. Das betrifft Policies und Prozesse, Lieferanten- und Verkäuferdaten oder auch die interne Revision.
• Prozesse, die GRC eigentlich unterstützen sollen, laufen zumeist noch manuell ab und sind ineffizient, wie etwa die Durchführung von internen Audits und die Freigabe neuer Richtlinien.
• Die Nutzung von Tabellen und anderen intern entwickelten Tools ist für viele zwar frustrierend, aber immer noch gang und gäbe. So etwa bei der Archivierung von internen Kontrollen, dem Richtlinienstatus und der Nachverfolgung von Compliance-Vorgaben.
Die Ergebnisse der Studie zeigen, wie wichtig es für Unternehmen ist, über einen zentralen, sicheren Datenspeicher für Compliance-relevante Informationen zu verfügen. Zudem spiegelt sich darin der in vielen Unternehmen vorherrschende Wunsch wider, manuelle und papierbasierte Prozesse auf automatisierte, effizientere und leicht nachvollziehbare Workflows umzustellen.
GRC-Nachholbedarf in vielen Unternehmen
Vielen Umfrageteilnehmern ist bereits klar, dass Enterprise Information Management (EIM)-Software zur Verbesserung von GRC-Prozessen beitragen kann. Dazu zählen insbesondere: Records Management, Dokumentenmanagement, E-Mail-Management, die Buchungskontrolle und BPM. Diese Priorisierung ist wenig überraschend, bildet doch gerade das Management von Informationen das Herz jeder GRC-Strategie.
Trotzdem kämpfen viele Firmen noch mit der Einführung tragfähiger GRC-Maßnahmen. So verfügen sie beispielsweise nicht über ein ausreichendes Records Management und verzichten auf eine Optimierung ihrer Workflows. Andere verstehen zwar den Wert von EIM-Technologien, sind aber nicht in der Lage Profit daraus zu schlagen. So geben 67 Prozent der Befragten in der Studie zu Protokoll, dass sie EIM-Systeme als wichtig erachten, sie für GRC aber erst noch optimieren müssen. 30 Prozent glauben, dass EIM hilft ihre GRC-Lösung zu verbessern. Ganze 85 Prozent sind davon überzeugt, dass ECM- und Records-Management-Systeme erheblich dazu beitragen können, ihre Compliance-Anforderungen zu erfüllen.
Fakt ist: EIM ist für Unternehmen das Mittel der Wahl, um die volle Kontrolle über Governance, Risk & Compliance zu behalten. Ein zentraler Speicher, Mechanismen zur Automatisierung von Geschäftsprozessen und Reporting-Funktionen sind die Eckpfeiler einer guten GRC-Strategie. Die Vorteile für Unternehmen liegen auf der Hand: Sie haben ihre finanziellen und operativen Abläufe besser im Griff, minimieren das Risiko von Datenverlusten, senken Compliance-Kosten, verbessern ganz allgemein die Unternehmensleistung und haben im Wettbewerb die Nase vorn. Oder um es mit den Worten der "Risiko"-Erfinder zu sagen: So verpassen Unternehmen keine der Chancen, die sich aus den verfügbaren Informationen ergeben. (fm)