Basic HTML-Version
30
Darüber hinaus scheinen dadurch Optimie-
rungspotenziale, zum Beispiel eine bessere
Informationsversorgung von Entschei-
dungsträgern, ungenutzt zu bleiben
.
Damit Management und Aufsichtsgremien
gezielte Informationen zur Unternehmensüber-
wachung erhalten, um auf dieser Basis Ent-
scheidungen treffen und damit ihrer Sorgfalts-
pflicht nachkommen zu können, bedarf es einer
leistungsfähigen Berichterstattung. Das Repor-
ting im Bereich Governance, Risk & Compliance
(im Folgenden auch als
GRC Reporting
oder
GRC-Berichterstattung bezeichnet)
sollte da-
her folgende Eigenschaften erfüllen:
·
Aussagekraft der Berichte und Relevanz
der verwendeten Kennzahlen
·
Einheitlichkeit der Berichte in Bezug auf
Format und Struktur
·
Regelmäßigkeit der Berichtsbereitstellung
·
Effiziente Bereitstellung durch geeignete
IT-Unterstützung
·
Integration des GRC Reporting in
Unternehmensreporting und -planung
·
Einbettung in einen strukturierten
Reportingprozess
Aussagekraft der Berichte
und Relevanz der verwendeten
Kennzahlen
Die GRC-Berichterstattung soll die Adressaten
über den Status Quo und wesentliche Entwick-
lungen im GRC-Umfeld informieren. Daher
müssen die GRC-Berichte zielgruppengerecht
gestaltet werden und die relevanten Kenn-
zahlen enthalten.
Gemäß den Ergebnissen der durchgeführten
Studie weist die GRC-Berichterstattung bezüg-
lich der Inhalte noch Optimierungspotenziale
auf (vgl. Abbildung 3). Insgesamt erscheinen
die Berichte stark anlassgetrieben und orientie-
ren sich vor allem an internen und externen
Auditberichten. Bei vielen Unternehmen be-
schränken sich die Ber ichte auf Status-
meldungen zu Risiken bzw. Schwachstellen,
zur Umsetzung bzw. Implementierung der
Kontroll- und Risikomanagementstrukturen
und -maßnahmen sowie zur Abarbeitung von
Anmerkungen der Wirtschaftsprüfer.
Aussagen zur Wirksamkeit von Kontroll-
und Risikomanagementstrukturen weisen
erst vergleichsweise wenige Unternehmen
auf.
Vierzig Prozent integrieren bereits Aussa-
gen zu Testingverfahren sowie rund dreißig
Prozent führen Kennzahlen zur Wirksamkeit von
Internen Kontrollen und Risikomanagement-
strukturen auf. Von den Teilnehmern geplante
Projekte sowie die Unternehmenspraxis zeigen,
dass sich die Unternehmen künftig verstärkt
mit manuellen und automatisierten Wirksam-
keitsmessungen und einer leistungsfähigen Be-
richterstattung auseinandersetzen wollen. Zu-
dem führen auch verschärfte regulatorische
Anforderungen sowie sich ändernde Risiko-
strukturen zu einer systematischen Auseinan-
dersetzung mit Reportinganforderungen und
deren Umsetzung in ein flexibles und adressa-
tengerechtes Berichtswesen.
Dass die GRC Reports heute diesen An-
sprüchen noch nicht gerecht werden, ist
sicherlich einerseits den Autoren dieser
Repor ts anzulasten, aber andererseits
auch den Empfängern, die wenige bzw.
nicht die richtigen Fragen stellen.
Denn nur
durch den stetigen Abgleich von Informations-
bedarf und -versorgung kann die Aussagekraft
der Berichte gesteigert und letztendlich auch
gewährleistet werden. Dieses gilt für die GRC-
Berichterstattung genauso wie für das gesamte
Unternehmensreporting.
Einheitlichkeit der Berichte in
Bezug auf Format und Struktur
Für eine aussagekräftige und effiziente Bericht-
erstattung müssen auch Formate und Struk-
turen der relevanten Berichte (z. B. Risikobe-
richt, Finanzbericht oder Compliance-Bericht)
abgestimmt und weitgehend angepasst wer-
den. Darüber hinaus sollten die Berichte eine
vergleichbare Detailtiefe aufweisen und die
Interdependenzen der Informationen erklären.
Eine
Standardisierung der Berichte
in Bezug
auf Formate, Strukturen und Detailtiefe bietet
erfahrungsgemäß einen guten Ansatzpunkt zur
Steigerung der Effizienz in der Berichterstat-
tung. Darüber hinaus trägt eine einheitliche Ge-
staltung der GRC Reports erfahrungsgemäß
wesentlich zur Verständlichkeit und damit zum
gezielten Einsatz der Berichte als Steuerungsin-
strumente bei. Im Hinblick auf die Einbindung
des GRC Reporting in das Unternehmensre-
Abb. 3: Inhalte der GRC-Berichterstattung
Governance, Risk & Compliance Reporting