GRC (für Governance, Risk und Compliance) ist eine Unternehmensstrategie für das Management der Governance, des Risikos und der Einhaltung von branchenspezifischen und behördlichen Vorschriften. GRC bezieht sich auch auf eine integrierte Suite von Softwarefunktionen zur Implementierung und Verwaltung eines GRC- Programms für Unternehmen.
Die GRC-Praktiken und -Prozesse bieten ein strukturiertes Konzept, um die IT mit den Unternehmenszielen in Einklang zu bringen. GRC hilft Unternehmen, IT- und Sicherheitsrisiken effektiv zu managen, Kosten zu senken und die Anforderungen bezüglich der Einhaltung von Vorschriften zu erfüllen. Darüber hinaus trägt GRC dazu bei, die Entscheidungsfindung und den Durchsatz zu verbessern, indem es einen integrierten Überblick über die Qualität des Risikomanagements eines Unternehmen gibt.
IBM OpenPages with Watson
Auf der untersten Stufe ist Governance die Gesamtheit der Regeln, Richtlinien und Prozesse, die sicherstellen, dass die Unternehmensaktivitäten auf die Unterstützung der Geschäftsziele ausgerichtet sind. Sie umfasst die Bereiche Ethik, Ressourcenmanagement, Rechenschaftspflicht und Managementkontrollen.
Governance stellt auch sicher, dass die oberste Führungsebene das Geschehen auf allen Ebenen des Unternehmens lenken und beeinflussen kann und dass die Geschäftsbereiche auf die Bedürfnisse der Kunden und die allgemeinen Unternehmensziele ausgerichtet sind.
Wirksame Governance schafft ein Umfeld, in dem sich die Mitarbeiter ermächtigt fühlen und in dem Verhaltensweisen und Ressourcen kontrolliert und gut koordiniert werden. Ein Ziel der Governance ist es, die Interessen der zahlreichen Stakeholder des Unternehmens, einschließlich der Unternehmensleitung, der Mitarbeiter, der Zulieferer und der Investoren, auszugleichen.
Um dieses Gleichgewicht aufrechtzuerhalten, kann Governance beispielsweise dazu beitragen, dass die Verträge zwischen den internen und externen Stakeholdern des Unternehmens eine angemessene Verteilung von Verantwortlichkeiten, Rechten und Belohnungen vorsehen. Dazu gehören auch Verfahren zum Ausgleich von konkurrierenden Interessen zwischen den Akteuren sowie Prozesse, die sicherstellen, dass Beaufsichtigung, Kontrolle und Datenflüsse als ein System von Kontrollen und Gegenkontrollen funktionieren.
Governance ermöglicht die Kontrolle über Einrichtungen und Infrastrukturen, wie z. B. Rechenzentren, sowie die Beaufsichtigung von Anwendungen auf Portfolioebene.
In erster Linie wird die Governance implementiert, um Rechenschaft über Verhalten und Ergebnisse abzulegen. Das Verhalten kann durch die Durchsetzung von ethischen Geschäftspraktiken und Corporate-Citizenship-Regeln gesteuert werden. Eine gute Governance definiert die Tätigkeiten auf der Grundlage der Geschäftsbereiche und bewertet die Mitarbeiter nach den erzielten Ergebnissen und nicht nach den Zuständigkeiten.
Risikomanagement ist der Prozess der Identifizierung, Bewertung und Kontrolle finanzieller, rechtlicher, strategischer und sicherheitsrelevanter Risiken für ein Unternehmen. Um Risiken zu verringern, muss ein Unternehmen Ressourcen einsetzen, um die Auswirkungen negativer Ereignisse zu minimieren, zu beaufsichtigen und zu kontrollieren und gleichzeitig positive Ereignisse zu maximieren.
Im weitesten Sinne ist das Risikomanagement ein System aus Menschen, Prozessen und Technologien, das es einem Unternehmen ermöglicht, Ziele in Übereinstimmung mit Werten und Risiken zu setzen.
Das Ziel eines Risikomanagementprogramms für Unternehmen besteht darin, die Unternehmensziele zu erreichen und gleichzeitig das Risikoprofil zu optimieren und den Nutzen zu sichern. Ein Teil dieser Aufgabe besteht darin, die Erwartungen der Stakeholder in den Vordergrund zu stellen und ihnen zuverlässige Informationen zu liefern.
Ein Risikomanagementprogramm bezieht sich auch auf die Identifizierung von Bedrohungen und Risiken für die Cyber- und Informationssicherheit - z. B. Softwareschwachstellen und schlechte Kennwortpraktiken der Mitarbeiter - und die Umsetzung von Plänen zu deren Reduzierung.
Das Programm sollte die Systemleistung und -effektivität bewerten, veraltete Technologien beurteilen, Betriebs- und Technologieausfälle ermitteln, die sich auf das Kerngeschäft auswirken könnten, und das Infrastrukturrisiko sowie potenzielle Ausfälle von Netzen und Datenverarbeitungsressourcen beaufsichtigen.
Ein Risikobewertungsprogramm muss rechtliche, vertragliche, interne, soziale und ethische Ziele erfüllen und neue technologiebezogene Vorschriften überwachen. Indem ein Unternehmen seine Aufmerksamkeit auf das Risiko richtet und die notwendigen Ressourcen zur Risikokontrolle und -minderung einsetzt, schützt es sich vor Unsicherheit, senkt die Kosten und erhöht die Wahrscheinlichkeit von unterbrechungsfreien Geschäftsabläufen und Erfolg.
Compliance beinhaltet die Einhaltung von Regeln, Richtlinien, Normen und Gesetzen, die von der Branche und/oder den staatlichen Stellen festgelegt wurden. Wird dies nicht beachtet, kann das Unternehmen durch schlechte Leistungen, kostspielige Fehler, Bußgelder, Strafen und Gerichtsverfahren Schaden nehmen.
Die Einhaltung gesetzlicher Bestimmungen umfasst externe Gesetze, Verordnungen und Branchenstandards, die für das Unternehmen gelten. Die unternehmensinterne Einhaltung von Vorschriften beschäftigt sich mit Regeln, Vorschriften und internen Kontrollmechanismen, die vom betreffenden Unternehmen festgelegt werden. Es ist wichtig, dass das interne Compliance-Management-Programm mit den externen Compliance-Anforderungen integriert wird. Das integrierte Compliance-Programm sollte auf einem Prozess der Erstellung, Aktualisierung, Verteilung und Nachverfolgung von Compliance-Richtlinien und der Schulung der Mitarbeiter zu diesen Richtlinien beruhen.
Um ein effektives Compliance-Programm zu erstellen, müssen Unternehmen wissen, welche Bereiche das größte Risiko darstellen, und ihre Ressourcen auf diese Bereiche konzentrieren. Dann sollten Richtlinien entwickelt, umgesetzt und den Mitarbeitern mitgeteilt werden, um diese Risikobereiche anzugehen. Es sollten Leitlinien entwickelt werden, die es Mitarbeitern und Anbietern erleichtern, die Compliance-Richtlinien zu befolgen.
Ein GRC-Framework hilft Unternehmen bei der Festlegung von Richtlinien und Praktiken zur Minimierung des Compliance-Risikos. GRC-Lösungen für IT und Sicherheit konzentrieren sich auf die Nutzung aktueller Informationen über Daten, Infrastrukturen sowie virtuelle, mobile und Cloud-Anwendungen.
Darüber hinaus sollte das GRC-Programm eines Unternehmens die Effizienz verbessern, Risiken reduzieren sowie die Leistung und den ROI steigern. Die Unternehmen entwickeln und nutzen ein GRC-Framework für die Leitung, die Organisation und den Betrieb ihrer IT-Bereiche, um sicherzustellen, dass diese die strategischen Ziele des Unternehmens unterstützen und ermöglichen. Dazu gehört die Korrelation von Informationen im Kontext von Geschäftsprozessen, Richtlinien und Kontrollinstrumenten sowie von Aktivitäten, die von IT-, Finanz- und HR-Teams sowie von den Chefetagen durchgeführt werden.
Risikobewertung, Compliance-Management, interne Audits und andere GRC-Aktivitäten können zeit- und ressourcenaufwendig sein, wenn sie ohne eine GRC-Softwareplattform durchgeführt werden. Eine GRC-Plattform kann Unternehmen dabei helfen, Silos in Prozessen und Daten aufzubrechen, Vorschriften einzuhalten und Verluste und Risikoereignisse zu überwachen, zu messen und vorherzusagen.
Sie kann Unternehmen auch dabei unterstützen, den Lebenszyklus von Finanzmodellen und von mit künstlicher Intellligenz (KI) gesteuerten Modellen zu managen und die Einhaltung von IT-Vorschriften und -Kontrollinstrumenten zu verbessern. Unternehmen können sogar die Auswirkung gesetzlicher und geschäftlicher Anforderungen auf das Richtlinien-Framework messen und durch die Integration mit Produkten von Drittanbietern automatische Messungen und IT-Kontrollen unterstützen.
GRC ermöglicht es Unternehmen, Risikobewertung und Risikominderung einzurichten, zu automatisieren und zu managen. Und mithilfe der Daten einer GRC-Plattform können Unternehmen sachkundigere Entscheidungen treffen und Ressourcen zur Risikominderung zuweisen.
Audits für Vorschriften wie den Sarbanes-Oxley Act sind die Meilensteine, nach denen GRC arbeitet, und die Abteilungen müssen über sensible Details - einschließlich Rechnungen, Personalakten und Finanzberichte - entsprechende Aufzeichnungen führen und diese sicher verwahren, um für diese Audits gerüstet zu sein.
Ein effektives GRC-Programm kann besonders hilfreich für Unternehmen sein, bei denen sich ein signifikanter Compliance- oder Risikovorfall ereignet hat. Darüber hinaus können Unternehmen, bei denen die Einhaltung von Vorschriften oder die interne und externe Berichterstattung und Transparenz von Finanzrisiken noch nicht sichergestellt ist, auf ein GRC-Modell zurückgreifen, um redundante Steuerelemente und ineffektive Frameworks zu korrigieren und zu überwachen, um wiederholte Risikoprobleme zu vermeiden.
Mitunter ist es für Unternehmen schwierig, Ressourcen zuzuweisen, Interessenkonflikte zu lösen und den Erfolg zu messen. Dies kann darauf zurückzuführen sein, dass man sich mit den steigenden Kosten für die Bewältigung von Risiken und Anforderungen auseinandersetzen muss und gleichzeitig vor der Herausforderung steht, das exponentielle Wachstum von Beziehungen zu Dritten und die damit verbundenen Risiken zu bewältigen.
Unternehmen können jedoch mithilfe von Metriken, die von einer GRC-Plattform generiert werden, klare Ziele festlegen und überwachen. Dies wird dazu beitragen, ihren Durchsatz zu steigern und ihren ROI zu verbessern.
GRC-Tools sind eine Möglichkeit, die Unternehmensaktivitäten zu managen und sicherzustellen, dass das Unternehmen die Compliance- und Risikostandards erfüllt. Tools können auch dabei helfen, Risiken im Zusammenhang mit der Nutzung, dem Besitz, dem Betrieb, der Einbindung, dem Einfluss und der Einführung von IT in einem Unternehmen zu ermitteln und zu mindern. GRC-Tools sollten betriebliche Risiken, Richtlinien und Compliance, IT-Governance und interne Revision berücksichtigen.
Die meisten GRC-Tools verfügen über einige der folgenden Funktionen:
Wirksame GRC-Tools erstellen und verteilen Richtlinien und Kontrollinstrumente und ordnen sie den Vorschriften und Compliance-Anforderungen zu. Sie helfen bei der Beurteilung, ob Kontrollinstrumente eingeführt wurden, korrekt funktionieren und die Risikobewertung und -minderung verbessern.
IBM OpenPages with Watson ist eine KI-gesteuerte Governance-, Risiko- und Compliance-Plattform, die Unternehmen bei der Bewältigung von Risiken und der Einhaltung von Vorschriften unterstützt.
IBM Watson Assistant bietet Kunden schnelle, konsistente und genaue Antworten für alle Anwendungen, Geräte oder Kanäle.
IBM Cloud Pak for Data ist eine offene, erweiterbare Datenplattform, die ein Data Fabric zur Verfügung stellt, um alle Daten für KI und Analytics in jeder Cloud verfügbar zu machen.
Stärkung der ersten Verteidigungslinie durch kognitive Fähigkeiten und ein verbessertes Benutzererlebnis (UXD).
IBM untersucht, wie Governance-, Risiko- und Compliance-Lösungen der nächsten Generation in den sich schnell verändernden globalen Finanzmärkten immer mehr Unternehmen und Geschäftsanwender in die Lage versetzen, risikobewusste Entscheidungen zu treffen und die Effizienz und Effektivität ihrer Prozesse zu steigern.
GRC-Experten im Finanzdienstleistungssektor stehen vor einer neuen Ära der Digitalisierung. Hochentwickelte Technologien wie KI können eine wichtige Rolle bei der Bewältigung neuer Risiken in diesem unkalkulierbaren Umfeld spielen.