Basic HTML-Version
32
Hälfte der Teilnehmer bereits entsprechende
IT-Tools. Stattdessen ist der Einsatz von Stan-
dard-Office-Anwendungen weit verbreitet. Die
Anwendung von IT-Tools beschränkt sich
zumeist auf einzelne Einsatzfelder, v. a. im
Bereich der Berichterstattung. Hier tendieren
die Unternehmen eher zum Einsatz von Stan-
dard-IT-Tools. Dabei handelt es sich zum einen
um generelle Reporting-Lösungen (z. B. SAP
BI/ BO), und zum anderen um spezifische Lö-
sungen aus dem GRC-Umfeld. Das ist darauf
zurückzuführen, dass es einerseits gut eta-
blierte Werkzeuge am Markt gibt, und zum
anderen vor dem Hintergrund der definierten
IT-Strategie sowie Synergien; häufig bestehen-
de Reporting-Lösungen werden auch für GRC-
Zwecke eingesetzt.
Nur ein Drittel der Unternehmen verwendet
bereits eine integrierte GRC-Softwarelö-
sung.
Das ist zum einen auf die fehlende Inte-
gration der GRC-Ansätze zurückzuführen, die
häufig zu funktionalen IT-Lösungen führt. Zum
anderen trägt der heterogene GRC-Software-
Markt dazu bei.
Integration des GRC Reporting
in Unternehmensreporting
und -planung
Um eine effiziente Unternehmenssteuerung
sicherzustellen und einer Isolierung des GRC
Managements vorzubeugen,
sollte der GRC-
Regelprozess
(Risk Assessment, Status
Check, Anpassung, Umsetzung, Monitoring)
mit der Unternehmensplanung verknüpft
werden
. Die Nutzung von Schnittstellen und
Synergien kann Effizienzpotenziale sowohl für
die Unternehmensplanung als auch für das
GRC Management realisieren. Dazu zählen bei-
spielsweise die Überwachung der Planungsprä-
missen durch geeignete GRC-Sensoren, eine
regelmäßige Überprüfung der Wirksamkeit der
Sensoren, die Synchronisierung der Risikoer-
hebung und -bewertung, eine rechtzeitige Es-
kalation kritischer Entwicklungen sowie die
Verfügbarkeit einer ganzheitlichen und aktu-
ellen Risikolandkarte.
Neben der Verzahnung mit der Unternehmens-
planung sollte auch eine Verbindung und Ab-
stimmung von GRC Reporting und Unterneh-
mensreporting erfolgen. Durch dieses Zusam-
menspiel können Redundanzen verringer t,
die Effizienz in der Gesamtberichterstattung
verbesser t und die Qualität des jeweiligen
Berichtswesens signifikant gesteigert werden
(vgl. Abbildung 5).
Die GRC-Berichterstattung kann dabei Input zu
aktuellen Risiken geben, die im Rahmen von
Soll-Ist-Vergleich und Forecast Berücksichti-
gung finden. Diese Informationen können im
Unternehmensreporting Erklärungsfaktoren für
Entwicklungen und Abweichungen bieten sowie
zur Rückkopplung mit Planungsprämissen
herangezogen werden.
Des Weiteren kann
das GRC Reporting wichtigen Input für die
strategische Steuerung
(z. B. zu Messgrößen
und Maßnahmen für die Balanced Scorecard)
geben
. Das Unternehmensreporting kann sei-
nerseits Hinweise für die Validierung der Risiko-
bewertung und Impulse für das Monitoring
liefern. Des Weiteren können im Rahmen des
Reportingsprozesses neue Risiken identifiziert
werden, die dann wiederum in das GRC Ma-
nagement eingespeist werden können.
Die Ergebnisse der vorliegenden Studie zeigen,
dass die GRC-Berichterstattung oftmals eher
einem Prüfungsbericht als einem Management-
report gleicht. Die GRC-Risiken werden isoliert
von der Gesamtrisikoberichterstattung des Un-
ternehmens bewertet und haben somit noch
keinen Weg in das Unternehmens-Reporting
gefunden. Dies führt mitunter dazu, dass das
GRC Management nur bedingt als Steuerungs-
instrument fungieren kann.
Einbettung in einen
strukturierten Reportingprozess
Die GRC-Berichterstellung erfolgt in mehr als
zwei Drittel der Unternehmen durch die mit der
GRC-Methodenhoheit betraute Organisations-
einheit, in den restlichen Fällen durch zentrale
Supportfunktionen (z. B. Prozessmanagement,
Abb. 5: Abstimmung von GRC-Berichterstattung und Unternehmensreporting
Autoren
Dr. Kai Brühl
ist Competence Unit Manager, Governance, Risk & Compliance
Consulting, DATA Deutschland, Frankfurt a.M.
E-Mail:
Alexandra Hiendlmeier
ist Vice President, Finance Transformation Consulting, NTT DATA
Deutschland, München.
E-Mail:
Governance, Risk & Compliance Reporting