in einer digitalen welt

GOVERNANCE, RISK & COMPLIANCE (GRC)
IN EINER DIGITALEN WELT
INHALT
2 Performance, Prozesse und Risiken
2 GRC als Bestandteil eines integrierten
Managementsystems
3GRC-Anwendungsfälle
4 Auf Risiken achten!
5 Alles unter Kontrolle?
6 GRC- und BPA-Aktivitäten effektiv auditieren
7Konklusion
8 GRC in einer digitalen Welt: zehn
Kernpunkte
8 Tun Sie den nächsten Schritt
Die Digitalisierung ist einer der großen aktuellen Megatrends.
Dabei ist Digitalisierung nicht nur ein IT-Thema, sie verändert
unseren Alltag grundlegend: Internet und soziale Netze
haben den Nachrichtenkonsum nachhaltig verändert und eine
ungekannte Transparenz und Wettbewerbssituation geschaffen.
Big Data und Internet of Things schaffen in der Verkehrssteuerung oder in der
Marktforschung eine nie dagewesene Informationsvernetzung. Die Möglichkeiten des
industriellen 3D-Drucks scheinen ganze Industriesegmente zu bedrohen: was ich mir aus
Metall oder Kunststoff sofort drucken kann, muss nicht mehr im Ausland hergestellt und
an die Produktionsstandorte transportiert werden.
Digitalisierung verändert den Alltag von Menschen genauso wie die Strategien und
Prozesse von Organisationen: Innovation und Transformation sind allgegenwärtige
Anforderungen. Organisationsstrukturen, Prozesse und manchmal auch ganze
Wertschöpfungsketten verändert sie grundlegend und nachhaltig.
Durch die Digitalisierung entstehen damit permanent neue Chancen aber auch neue
Risiken. Angriffe auf digitale Infrastrukturen, Diebstahl digitaler Ressourcen oder
Missbrauch digitaler Kommunikation sind Beispiele hierfür. Neue Regularien hierzu
erzeugen einen zunehmenden Veränderungsdruck auf Organisationen und Prozesse.
Gleichzeitig sind Methoden und Technologien geschaffen worden, mit den
Herausforderungen dieser Veränderungen umzugehen. Diese Technologien schaffen
die Basis für eine neue Art, Unternehmen zielorientiert zu entwickeln. Risiken und
Bedrohungen werden hierbei schneller erkannt und präventiv gemanagt. Nachweis über
die Compliance mit internen und externen Regularien wird effektiver geführt.
Digitalisierung schafft damit die Voraussetzung für adäquates, proaktives
Risikomanagement und transparente und nachvollziehbare Corporate-Governance.
WHITE PAPER
Governance, Risik & Compliance (GRC) in einer digitalen Welt
Performance, Prozesse und Risiken
Die durch die Digitalisierung entstehenden Veränderungen werden insbesondere an
zwei Stellen sichtbar:
Vision & Strategy
Objectives, Success factors, KPI/KRI
Improve
Control
Business Performance
Business Risk
1.Höhere Anforderungen an Geschwindigkeit und Flexibilität bei der Veränderung von
Geschäftsmodellen und den damit verbundenen Geschäftsprozessen
2.Und eine gleichzeitig frühere und stärkere Einbeziehung des Risikomanagements in
Prozessdesign- und Ausführung
Die Geschäftsprozess-Optimierung ist in vielen Unternehmen schon seit Jahren ein
Dauerbrenner. Demgegenüber setzt sich erst in den letzten Jahren die Erkenntnis
durch, dass die frühe Berücksichtigung von internen und externen Regularien eine
Notwendigkeit geworden ist. Ebenso leistet die frühe Einbindung einer Risikoanalyse
einen großen Wertbeitrag zur kontinuierlichen Verbesserung und Entwicklung
des Unternehmens. Und zwar nicht nur in der Betrachtung der Geschäftsprozesse
aus der internen Perspektive, sondern explizit inklusive der Customer-ExperienceAnforderungen, also der Betrachtung der Geschäftsprozesse aus Kundenperspektive.
Hierbei müssen Entscheidungsprozesse und das proaktive und präventive Management
von möglichen Risiken und regulatorischen Anforderungen bei der Gestaltung und
Ausführung von Geschäftsmodellen und -prozessen frühzeitig berücksichtigt werden.
Das gilt in Zeiten der Digitalisierung nur umso mehr. Gerade und besonders angesichts
immer höherer Erwartungen an Innovation, angesichts von Disruption, ständiger
Veränderung, immer neuen Regularien und immer vielfältigeren und bedrohlicheren
Risiken sind die Verknüpfung von Business-Process-Analysis (BPA) und GRC in ein
gemeinsames methodisches Framework und eine integrierte technische Plattform von
unschätzbarem Wert.
Die Digital Business Platform der Software AG bietet genau diese Integration von
Geschäftsprozess-Optimierung und Performance- und Risikomanagement unter den
Anforderungen einer transparenten und nachhaltigen Governance.
Eine Änderung des Geschäftsmodells in ein kundenzentriertes, prozessgetriebenes und
IT-gestütztes Modell führt zu einer signifikanten Verbesserung der Customer-Experience
und der betrieblichen Effizienz.
GRC als Bestandteil eines integrierten Managementsystems
Nicht zuletzt die ISO Norm 31000 fordert in ihren Detailanforderungen (ISO 31010), dass
der „Output“ von Risikomanagement „Input“ sein muss für den Entscheidungsprozess
in einer Organisation. Risikomanagement muss eine Schnittstelle haben zu anderen
Managementdisziplinen.
Das richtige Gleichgewicht zwischen Performance und Risikomanagement sorgt für kontinuierliche Verbesserungsprozesse
2
Governance, Risk & Compliance (GRC) in einer digitalen Welt
Diese Anforderung bedeutet letztlich, dass eine moderne, risikoadäquate
Unternehmensführung ihr kaufmännisches und operatives Performance-Management
mit dem Risikomanagement verknüpfen muss. Operative Planungen (Prozesse,
Infrastrukturen, Mengengerüste etc.) müssen um die möglichen Risiken und ihre
Abwehrmechanismen ergänzt werden. Risikoanalysen müssen prüfen, ob die operativen
Prozesse gegen Angriffe und Ausfälle ausreichend geschützt sind. Die laufende
Überwachung der Kontrollmechanismen und die Dokumentation von Abweichungen
sowie die Umsetzung der nötigen Anpassungen müssen strukturiert, nachvollziehbar
und planvoll dargestellt werden. Die Organisation muss aktiv Schadensereignisse
aufnehmen und automatisch zum Anlass für einen kontinuierlichen
Verbesserungsprozess machen:
Risikomanagement muss ein integrierter, operativer und kontinuierlicher Managementprozess werden, der alle beteiligten Parteien aktiv einbindet.
All diese Anforderungen sind durch die Digital Business Platform der Software AG
darstellbar:
Define
Digital Strategy
Design/Plan
Digital Business
Implement
Digital Business
Execute
Digital Business
Control
Digital Business
Assess strategic
risks and risks
in executing
strategy
Create riskadjusted
performance
measures
Define risksensitive
implementation
project plan
Train operational
people
Schedule risk and
control audits
Evaluate different
strategic options
from risk point of
view
Define business
model including
risk and
regulations
Create project
audits and risk
alerts
Test and improve
risk mitigation
controls
Monitor risk &
performance
indicators
Define corporate
governance,
compliance
organization and
risk methodology
and appetite
Design to-be
processes
including risk and
control points
Monitor
achievement
reports and
rolling risk
exposure
Receive risk and
incident alerts
Initiate
continuous
improvement
GRC in den Phasen der Digital Journey
GRC-Anwendungsfälle
Die GRC-Lösung der Software AG deckt alle GRC-Anwendungsfälle ab:
•Risikomanagement
•Internes Kontrollsystem (IKS)
•Audit-Management
Alle drei GRC-Anwendungsfälle bereichern sich gegenseitig, und Daten und Ergebnisse
aus einem Szenario stehen auch den anderen als Input zur Verfügung. Darüber
hinaus gibt es Module für Befragungen oder Vorfalldokumentationen, die in allen
GRC-Anwendungsfällen zum Einsatz kommen können. Schließlich können alle GRCAnwendungsfälle der Software AG inhaltlich mit der BPA verknüpft werden.
3
Governance, Risik & Compliance (GRC) in einer digitalen Welt
Bausteine der GRC-Lösung der Software AG
Auf Risiken achten!
Die Berücksichtigung von Risiken in Unternehmensstrukturen (Organisation, IT-Systeme)
oder bei der Gestaltung und Ausführung der Geschäftsprozesse stellt eine essenzielle
Aufgabe der Geschäftsleitung dar.
Ein wichtiger Schritt hierbei ist die Schaffung von Transparenz bei operativen Strukturen
und Abläufen. Welche Risiken können wo im Unternehmen auftreten? Die sogenannte
Risikoinventur ist Basis für die Entscheidung, wie mit den Risiken umzugehen ist.
Hierbei ergänzen sich die „Top-Down“-Risikoinventur, ausgehend von zentralen
Risikokatalogen, und die aktive Einbindung der Mitarbeiter in Befragungen „BottomUp“. Die Lösung der Software AG bietet beide Ansätze und damit ein Höchstmaß an
Flexibilität.
Risikorelevante Ereignisse und aufgetretene Verluste werden erfasst und Risiken in
unterschiedlichen Dimensionen (finanziell, Reputation etc.) bewertet. Direkte quantitative
und/oder qualitative Bewertungen kommen hierbei ebenso zum Einsatz wie die indirekte
Bewertung über Fragebögen. Die Ergebnisse dienen dann der Entscheidung, ob
Mitigationsmaßnahmen angestoßen werden sollen. Die Anpassung oder Definition von
Kontrollen, die Veröffentlichung von Policies, das Erfassen von Schadensfällen, Verlusten
oder Unregelmäßigkeiten oder das Initiieren von Audits stellen Anknüpfungspunkte zu
den anderen GRC-Anwendungsfällen dar.
Die Digitalisierung bietet hierbei neue Ansätze, Risiken zeitnah zu dokumentieren:
Schadensfall-Identifizierung mit einer mobilen App inklusive fotografischer
Dokumentation und direkte Weiterleitung mit einer kurzen Beschreibung an die
Verantwortlichen ist ein Anwendungsfall. Eine solche „Risk Catcher App“ bietet
die Möglichkeit, zeitnah und unkompliziert Handlungsbedarf zu erkennen und
Gegenmaßnahmen zu ergreifen.
Auch beim hochaktuellen Thema „Customer-Journey“, also der Betrachtung der
Geschäftsprozesse aus Kundensicht, bieten sich wertvolle Ansätze, Risiken aus
dem Zusammenspiel von Unternehmen und Kunden aufzuzeigen und frühzeitig zu
berücksichtigen. Die explizite Allokation und Bewertung von Risiken bereits bei der
Planung der „Customer-Touchpoints“ ermöglichen ein optimales Prozesserlebnis für den
Kunden.
Die Digitalisierung ermöglicht Unternehmen, veränderte Geschäftsmodelle schneller
umzusetzen, Prozesse zu verändern und bei neuen Risiken oder Schadensfällen zeitnah
zu reagieren.
4
Governance, Risk & Compliance (GRC) in einer digitalen Welt
Complex-Event-Processing (CEP) und Big Data können dazu beispielsweise
Verhaltensmuster bei Kundentransaktionen oder Indikatortrends aus Maschinendaten
oder sozialen Netzwerken frühzeitig erkennen. Das hilft, kostbare Zeit vor dem
möglichen Eintritt von Risiken zu nutzen.
Basis für ein erfolgreiches Risikomanagement ist, allen Interessensgruppen eine
gemeinsame Plattform zu bieten, in der Zusammenhänge transparent aufgezeigt
werden. Zielgruppenspezifische Auswertungen einer gemeinsamen Datenbasis lösen
Komplexitätsprobleme auf. Kooperative Maßnahmen aus den unterschiedlichen
Anwendungsfällen optimieren das GRC-Management.
Nur die Einbeziehung aller relevanten Beteiligten im Unternehmen aus Controlling-,
Prozess- oder IT-Management und aller Risikomanager der unterschiedlichen Risikoarten ermöglicht, Zusammenhänge zwischen Risiken und dem Unternehmensökosystem
darzustellen.
Letztlich kann nur die Integration von GRC- und Business-Perspektive die notwendige
Transparenz schaffen. Dann sieht auch der Business-Experte die für ihn notwendigen
Risikoinformationen und der GRC-Experte versteht den operativen Zusammenhang des
Geschäftsprozesses mit den Ressourcen, Dokumenten oder Systemen. Ein integriertes GRC-Management-System bietet viele Vorteile
Alles unter Kontrolle?
In vielen Unternehmen sind Aufbau und Führung eines IKS eine zeit- und
ressourcenfordernde Aufgabe. Im Rahmen der Digitalisierung bieten sich hierbei
Chancen, bewährte Ansätze mit neuen technischen Möglichkeiten zu verbinden. Vorteile
sind beispielsweise bei der Automatisierung von Kontrollen oder bei Workflow-basierten
Kontrolltests zu finden. Damit kann ein IKS schneller, effizienter und kostengünstiger
geführt werden. Auch kann auf notwendige Änderungen zeitnah reagiert und das
System nachweislich wirksam gehalten werden. Geeignete Kontrollaktivitäten in
den Unternehmensabläufen stehen hierbei ebenso im Fokus wie die Erstellung,
Kommunikation und Einhaltung von Policies oder andere geeignete GovernanceAktivitäten.
Neben der Planung und der Realisierung des IKS im Unternehmen stehen
die permanente Prüfung und Nachweisführung der Funktionsfähigkeit und
Manipulationssicherheit im Vordergrund. Dazu müssen – analog zum
Risikomanagement – Informationen über die Geschäftsprozess-Zusammenhänge, die Art
der Kontrollen selbst, über die Einhaltung und Durchführung der Kontrollen sowie die
Erstellung, Freigabe und Akzeptanz von Policies herangezogen werden.
Ziel ist der Nachweis des Funktionierens von Kontrollen über Workflow-gesteuerte,
manuelle Tests oder durch die Nutzung von Informationen aus der digitalen, realen Welt
(z. B. Internet of Things: Auslesen von maschinellen Kontrollen).
Die Digitalisierung der entsprechenden Geschäfts- und Produktionsprozesse stellt neue
Herausforderungen aber auch Möglichkeiten für ein IKS dar.
5
Governance, Risik & Compliance (GRC) in einer digitalen Welt
Transparenz und Integration von Unternehmensumwelt und GRC-Elementen ist dabei
absolut notwendig. Die Verbindung mit detaillierten grafischen Geschäftsprozessen
ist hier elementar für die Gestaltung sinnvoller Kontrollen. Die Dokumentation
der Kontrollen und ihrer Tests auf geeigneter Aggregationsebene erhöht die
Übersichtlichkeit für den Nutzer.
Ein praxisgerechtes IKS ermöglicht neben der planmäßigen Durchführung
von Kontrollen und entsprechenden Tests auch eine spontane Reaktion mit
außerplanmäßigen Kontrolltests auf bestimmte Ereignisse und Vorfälle.
Auch hier bietet der Einsatz von Big Data und CEP Möglichkeiten, betrügerische
Aktivitäten zu erkennen, rechtzeitig aufzudecken und zu verfolgen.
Die regelmäßige Überwachung und Bewertung des Kontrollsystems sowie die
Auswirkungsanalyse der Maßnahmen stellen einen wichtigen Baustein des
GRC-Managements dar. Ein weiterer ist die Möglichkeit, schnell und effektiv auf
Änderungen der Unternehmensumwelt („Regulatory Change Management“) oder der
Unternehmensstrategie reagieren zu können.
Der digitale Workflow steuert die Erstellung, Freigabe, Kommunikation und Bewertung
von Regularien und Policies durch alle relevanten Stakeholder. Diskussionen und
Feedback zur inhaltlichen Ausgestaltung werden zeitnah eingesammelt und erlauben
die frühzeitige Berücksichtigung von Ideen und Verbesserungen.
GRC- und BPA-Aktivitäten effektiv auditieren
Als dritter Anwendungsfall unterstützt Audit-Management alle notwendigen
Arbeitsschritte für Auditierungen, von der Audit-Planung über die Audit-Durchführung
bis zum Audit-Reporting. Durch die gemeinsame Datenbasis von BPA und GRC wird es
dem digitalen Unternehmen ermöglicht, beide Aspekte als Grundlage bei der AuditPlanung zu berücksichtigen. So kann die Entscheidung, welche Unternehmensaspekte
in einem Audit „in Scope“ gesetzt werden sollen, anhand der durchgeführten
Risikobewertungen aber auch als Ergebnis der Bewertung des IKS getroffen werden.
An welchen Standorten überschreiten Risiken einen definierten Schwellwert? Bei
welchen IT-Systemen traten im letzten Quartal die meisten Probleme hinsichtlich nicht
effektiver Kontrollen auf? Bei welchen Prozessen wurden „verdächtige“ Aktivitäten von
externer Seite festgestellt? Wichtig ist es, bei der Audit-Planung und -Durchführung die
relevanten Informationen aktuell und online verfügbar zu haben. Risikobewertungen,
die Ergebnisse der Kontrolltests, die beantworteten Fragebögen der untersuchten
Abteilungen oder die an den Prozessen dokumentierten Vorfälle oder Schäden liefern
plausible und verlässliche Daten für die Abarbeitung der einzelnen Audit-Schritte und für
die Entscheidung, an welchen Stellen Compliance-Verstöße vorliegen.
Der direkte Zugriff auf ergriffene Maßnahmen und damit erreichte Verbesserungen,
Einblicke in noch nicht abgeschlossene Aktivitäten, die zeitliche Entwicklung von
Risikobewertungen hinsichtlich der qualitativen und/oder quantitativen Schadenshöhe
und Eintrittshäufigkeiten zeigen internen und externen Auditoren und anderen
Stakeholdern, wie erfolgreich die GRC-Aktivitäten im Unternehmen sind.
Dabei ist die Nachvollziehbarkeit der Zusammenhänge dieser GRC- und BPA-Elemente
von unschätzbarem Wert. Transparente Abhängigkeiten zwischen Prozessabläufen,
inklusive der handelnden Personen und der unterstützenden IT, den Risiken, den
Kontrollen und ihren Tests und den erfassten Schäden, Vorfällen und Maßnahmen, sind
notwendige Informationsgrundlage für ein funktionierendes Audit-Management.
Ebenso ist aber auch der Einblick in die Abhängigkeiten von Audits untereinander
notwendig, um das Unternehmen ganzheitlich zu betrachten. Unterschiedliche Audits
betreffen dieselben Prozesse, Organisationselemente und IT-Systeme und können hier
widersprüchliche aber auch gleichgerichtete Anforderungen haben. Auch hier hilft ein
digitaler Ansatz, Potenziale für gemeinsame und abgestimmte Aktivitäten zu erkennen,
zu diskutieren und zu nutzen.
6
Governance, Risk & Compliance (GRC) in einer digitalen Welt
Konklusion
In einem Unternehmen, das die Herausforderungen und Möglichkeiten der digitalen
Welt wahrnehmen will, muss auch das Management diese Veränderung für sich nutzen.
Die immer tiefer gehenden Transformationsprozesse und die immer stärker in unseren
(Unternehmens-)Alltag integrierten Technologien ermöglichen und fordern eine
Digitalisierung der Management-, Geschäfts- und Produktionsprozesse.
Nutzen Sie die Chancen dieser Veränderung. Die Software AG bietet die einzigartige
Möglichkeit, den gesamten Management- und Veränderungsprozess in seiner fachlichen
Tiefe und organisatorischen Breite mit ihren Lösungen zu BPA und GRC zu einem
integrierten Performance- und Risikomanagement-System auszubauen.
Mit unseren Initiativen „From Strategy to Model“ und „From Model to Execution“
tragen wir die strategischen Ziele mit ihren taktischen Chancen und Risiken in die
Geschäftsprozesse und Unternehmensstrukturen. Dynamik, Transparenz, Struktur und
Nachvollziehbarkeit sind die Leitplanken der Unternehmenstransformation.
In einem digitalen Unternehmen
•Entsteht Kollaboration statt Silodenken
•Werden Chancen und Risiken präventiv in den Entscheidungen berücksichtigt
•Verwandelt sich Datenflut zu zielgerichteter, aktueller und persönlicher Information
Erreichbarer Nutzen durch den Einsatz der GRC-Lösung der Software AG
7
Governance, Risik & Compliance (GRC) in einer digitalen Welt
GRC in einer digitalen Welt: zehn Kernpunkte
1. GRC ist ein Geschäftsprozess
Lassen Sie Office-Tabellen und verstreute
Dokumente und Archive nicht die Basis Ihrer
Compliance werden
2. GRC ist ein Managementprozess
Verfolgen Sie die Ziele von GRC planvoll,
nachvollziehbar und strukturiert
3. Keine Informationssilos
Alle Disziplinen von GRC müssen mit
denselben Daten arbeiten – miteinander
4. Verknüpfung der strategischen Ziele
mit dem Geschäftsbetrieb
Integrieren Sie kaufmännische, operative
und strategische Ziele mit Ihren
Veränderungsprozessen
5. Herstellung von Transparenz
Nachvollziehbarkeit und Transparenz helfen
Risiken zu vermeiden und schaffen Vertrauen
6. Governance = Compliance =
Risikomanagement = Prozesse
Schaffen Sie Balance und Kooperation
zwischen den regulatorischen und
kaufmännischen Anforderungen
7. Performance kommt und geht mit
Risiken
Eine risikoadäquate PerformanceOptimierung steht für nachhaltige
Unternehmensführung
8. Prozesse im Auge behalten
Der Geschäftsprozess ist das zentrale Element
der Unternehmenstransformation
9. Zusammenarbeit ist unerlässlich
GRC und andere Managementdisziplinen müssen gemeinsam die
Unternehmensentwicklung steuern
10. Digitalisierung jetzt!
Digitale Methoden, Prozesse und
Technologien sind die richtige Lösung für die
aktuellen Herausforderungen
Tun Sie den nächsten Schritt
Die Integration von Performance-Management und GRC ist unerlässlich in unserer
digitalen Welt, sie sichert Ihrem Unternehmen das Überleben und verschafft ihm einen
Wettbewerbsvorsprung. Sie verknüpfen damit alle relevanten Informationen und
Dokumente und zeigen internen und externen Stakeholdern, dass Sie alle Risiken unter
Kontrolle haben.
ARIS BPA und ARIS GRC sind die essenziellen Bausteine Ihres zukünftigen digitalen
GRC-Management-Systems, sie erfüllen sowohl Ihre strategischen als auch Ihre
operativen Anforderungen.
Vereinbaren Sie einen Termin mit Ihrem zuständigen Software AG-Repräsentanten, und
entdecken Sie, wie ARIS Ihr Unternehmen im digitalen Zeitalter, in dem Veränderung die
einzige Konstante ist, unterstützen kann.
ÜBER DIE SOFTWARE AG
Die digitale Transformation verändert IT-Landschaften von Unternehmen: sie entwickeln sich von unflexiblen Applikationssilos hin zu modernen softwarebasierten IT-Plattformen. Nur diese schaffen
die Offenheit, Schnelligkeit und Agilität, die für das digitale Echtzeit-Unternehmen unabdingbar sind. Die Software AG bietet die erste Digital Business Platform für durchgängige Prozesse auf Basis
offener Standards mit den Kernkomponenten Integration, Prozessmanagement, In-Memory-Datentechnologie, flexible Anwendungsentwicklung, Echtzeit-Analyse und IT-Architektur-Management.
Dank dieser modularen Plattform können Anwender ihre Applikationssysteme von morgen entwickeln, um heute ihre digitale Zukunft zu gestalten. Seit über 45 Jahren steht die Software AG für
Innovationen, die sich an den Bedürfnissen ihrer Kunden ausrichten. Weitere Informationen erhalten Sie unter www.SoftwareAG.com.
© 2016 Software AG. Alle Rechte vorbehalten. Software AG und alle Produkte von Software AG sind Marken oder eingetragene Marken von Software AG.
Andere Produkt- und Unternehmensnamen können Marken der jeweiligen Markeninhaber sein.
SAG_Governance_Risk_and_Compliance_8PG_WP_G_Sep16

Download Report