Für mehr Transparenz und Effizienz: GRC-Tools als Game Changer

In einer zunehmend komplexer werdenden Geschäftswelt ist Transparenz über die unternehmensindividuellen Risiken essenziell. Doch wie können Unternehmen ihre Kontrollfunktionen für Governance, Risiko und Compliance (GRC) verbessern sowie eine effiziente Steuerung und Überwachung sicherstellen? Eine Antwort können übergreifende Tool-Lösungen sein.

Die Anforderungen an eine effektive und effiziente Ausgestaltung von Governance, Risikomanagement und Compliance steigen stetig. Unternehmen sehen sich mit komplexen Regulierungen, globalen Krisen und schnellen technologischen Entwicklungen konfrontiert. Die daraus resultierenden Risiken für die Organisationen sind vielfältig. Gleichzeitig sind die Unternehmen regelmäßig erheblichem Kostendruck ausgesetzt. Es ist daher wichtig, dass sie in ihren Kontrollfunktionen effektive, aber auch kostengünstige Strukturen und Maßnahmen für eine adäquate und konsistente Identifikation, Bewertung, Steuerung und Überwachung von Risiken implementieren. Die dadurch gewonnene Transparenz ist nicht nur im Innenverhältnis des Unternehmens wichtig, sondern dient auch als erforderliche Dokumentation und Nachweis gegenüber externen Dritten, wie etwa den Abschlussprüfer*innen.

Eine zentrale Herausforderung in diesem Kontext ist die Integration und Verzahnung der verschiedenen Governance-, Risiko- und Compliance-Funktionen, die oft isoliert voneinander agieren. Unterschiedliches Risikoverständnis und -bewusstsein, heterogene Sprache und Verwendung von Begrifflichkeiten sowie eigenständige Dokumentationsformate und Berichterstattungen sowie mangelnde Abstimmung führen zu sogenannten „Governance-Silos“. Diese Ausgestaltung erschwert es Unternehmen, übergreifend die wirksame Einrichtung eines Internen Kontrollsystems (IKS) sowie Risikomanagementsystems (RMS) sicherzustellen und bei Bedarf nach außen nachzuweisen.

Ein weiteres Problemfeld ergibt sich in der Praxis aus einer fehlenden oder unterschiedlich weit entwickelten Standardisierung und Automatisierung der operativen Geschäftsprozesse. Aktivitäten und Verantwortlichkeiten sind oft nicht einheitlich definiert und formalisiert. Unstimmigkeiten in der Identifikation, Erfassung und Einschätzung von relevanten Risiken sind die Folge und schränken die Reaktionsfähigkeit des Unternehmens auf Risikoereignisse ein. Erschwerend kommt hinzu, dass Unternehmen häufig verschiedenste Tools und Systeme in den Prozessen verwenden, die nur bedingt miteinander vernetzt sind. Die Erhebung, Konsolidierung und Analyse von GRC-relevanten Daten ist dadurch stark eingeschränkt und verlangsamt die Entscheidungsfindung.

Technologische Weiterentwicklung im GRC-Umfeld schreitet voran

In einigen GRC-Bereichen arbeiten die Unternehmen hierzulande noch immer überwiegend manuell. Besonders häufig ist das bei der Erstellung von Risikoanalysen oder der Dokumentation von Prüfungs- und Kontrollhandlungen der Fall. Die Tätigkeiten dauern auf diese Weise nicht nur länger, sie sind auch mit einem höheren Fehlerrisiko behaftet. Insgesamt lässt sich in den vergangenen Jahren gleichwohl eine fortschreitende Digitalisierung in den Kontroll- und Überwachungsfunktionen beobachten. So implementieren immer mehr Unternehmen Tools zur Unterstützung der operativen und überwachenden Tätigkeiten. Vorwiegend sind diese derzeit zwar noch auf einzelne GRC-Bereiche und konkrete Aufgaben ausgerichtet, der Trend zu ganzheitlichen digitalen Lösungen ist jedoch zu erkennen.

Diese Entwicklung der Digitalisierung im GRC-Bereich wird aktuell auch durch einen immer dynamischer voranschreitenden Markt für GRC-Technologie beschleunigt. Immer mehr Anbieter haben zwischenzeitlich GRC-Tools entwickelt, die stetig um neue Module und weiterführende Funktionalitäten erweitert werden. Die Nutzer*innen können die Tools dadurch ganzheitlicher und unternehmensindividuell auf ihre Bedürfnisse und Anforderungen ausrichten.

Wie GRC-Tools die Unternehmen auf das nächste Level heben

Interne Herausforderungen effizient meistern, Risiken transparent managen, Chancen nutzen – die Unternehmen profitieren erheblich durch den Einsatz moderner GRC-Tools. Fünf zentrale Vorteile sind hervorzuheben:

• Aufwandsreduzierung: Ein GRC-Tool kann den Arbeitsaufwand erheblich reduzieren, indem es manuelle Prozesse, wie z.B. die Berichterstellung, automatisiert und Doppelarbeiten eliminiert.
• Standardisierung: Ein GRC-Tool unterstützt die Standardisierung von Prozessen und Methoden, wodurch die Unternehmen konsistente Ergebnisse erzielen.
• Kosten- und Zeitersparnis: Durch die Automatisierung und Zentralisierung von GRC-Aktivitäten sparen die Unternehmen Zeit und realisieren signifikante Einsparungen bei den Betriebskosten.
• Erhöhte Transparenz: Die einheitliche Nutzung des GRC-Tools von mehreren Bereichen als zentrale Datenquelle führt zu einer erhöhten Transparenz und folglich zu einer qualitativ besseren Entscheidungsgrundlage für das Management.
• Verbesserte Bewertung und Überwachung: Durch die Aktualität und eine Echtzeit-Überwachung können Risiken besser bewertet und kontinuierlich überwacht werden, was zu einer schnelleren Reaktionsfähigkeit führt.

In drei Schritten zur Implementierung eines GRC-Tools

Die Einführung eines neuen GRC-Tools oder die Weiterentwicklung der bereits bestehenden GRC-Tool-Landschaft sollte strukturiert und schrittweise erfolgen. Es empfiehlt sich eine Vorgehensweise in drei Schritten:

1. Tool-Auswahl
Im ersten Schritt ist vom Unternehmen das GRC-Tool auszuwählen, das die spezifischen Anforderungen und Ziele bestmöglich abdeckt. Leitende Fragestellungen sind hierbei: In welchen Prozessen und für welche Tätigkeiten soll das GRC-Tool eingesetzt werden? Welche Risiken sind besonders relevant? Bei der Auswahl sollten die Unternehmen nicht nur berücksichtigen, dass alle fachlichen Anforderungen erfüllt sind. Es ist auch darauf zu achten, dass das Tool in die bestehende IT-Landschaft integriert werden und bestehende Prozesse unterstützen kann. Wichtig ist dabei auch, dass es sich bei zukünftigen Änderungen flexibel anpassen lässt.

2. Entwicklung des GRC-Designs
Im nächsten Schritt ist ein unternehmensspezifisches GRC-Design zu definieren, das alle relevanten und gewünschten Governance-Aspekte abdeckt – von der Risikoidentifikation über die Einhaltung von Compliance-Anforderungen bis hin zur Dokumentation von Prüfungs- und Kontrollhandlungen. Dabei sollten sowohl die individuellen Anforderungen verschiedener GRC-Funktionen als auch die Anforderungen der operativen Einheiten berücksichtigt werden. Auf diese Weise werden ein einheitliches Verständnis sowie eine unternehmensweite Struktur sichergestellt.

3. Implementierung in die IT-Landschaft
Abschließend ist das GRC-Tool zu implementieren und die Nutzung im Regelbetrieb zu etablieren. Da dieser Prozess komplex ist, sollten die Unternehmen ihn sorgfältig planen und umsetzen. So stellen sie sicher, dass sich das System nahtlos in die bestehende IT-Landschaft sowie Geschäftsabläufe integriert und von allen relevanten Funktionen effektiv genutzt werden kann.

Fazit: GRC-Tools schaffen Basis für nachhaltiges Wachstum

Ganzheitlich gedachte und implementierte Tools sind im GRC-Umfeld der Schlüssel für unternehmerische Resilienz und nachhaltigen Unternehmenserfolg. Indem sie die Entscheidungsträger*innen transparent und präzise mit Informationen versorgen, stärken sie die Fähigkeit des Unternehmens, schnell und effektiv auf eine sich stetig entwickelnde Risikolandschaft zu reagieren. Durch die systematische Implementierung und kontinuierliche Optimierung eines GRC-Tools sichern Unternehmen somit nicht nur ihre Compliance, sondern schaffen auch eine stabile, risikoadäquate Basis für kontinuierliches Wachstum.

Für weitere Themen rund um die Wirtschaftsprüfung und Forvis Mazars folgen Sie uns auch auf LinkedIn.