Governance, Risk & Compliance

Governance, Risk & Compliance

Governance, Risk & Compliance (Governance, Risk Management, and Compliance - GRC) fasst die drei wichtigsten Handlungsebenen eines Unternehmens für dessen erfolgreiche Führung zusammen:

Governance
Die Unternehmensführung durch vordefinierte Richtlinien. Dazu zählt die Festlegung von Unternehmenszielen, die darauf angewandte Methodik zur Umsetzung und die Planung der notwendigen Ressourcen für das Erreichen der Ziele.
Risk
Das Risikomanagement mit bekannten und unbekannten Risiken durch vordefinierte Risikoanalysen. Ein wichtiger Faktor dabei ist das frühzeitige Auseinandersetzen mit Risiken, der Bereitstellung von Strategien zur Risikominimierung und dem Vorbereiten von Schadensfallpuffern bei Risikoeintritt.
Compliance
Die Compliance, das Einhalten interner wie externer Normen, für die Bereitstellung und die Verarbeitung von Informationen. Diese beinhaltet unter anderem Vorgaben aus Normierungsbestrebungen und die Zugriffsreglementierung für die Daten sowie die gesetzlichen Rahmenbedingungen für deren Verwendung.

Die englische Schreibweise hat sich im Sprachgebrauch etabliert, so dass auf eine deutsche Übersetzung der Begriffe verzichtet wird.

Heutige Management-Umgebungen müssen sich mit einer hochgradig komplexen Verteilung von Beziehungsebenen befassen: Überregionale und multinationale Geschäftsbeziehungen, gesetzliche und gesellschaftliche Regeln, Unternehmensabteilungen und deren Ziele und Vorgaben sowie Umsetzung, Kontrolle und Einhaltung von Prozessen. In jedem Vorgang innerhalb des Unternehmens treten die verschiedensten Ausprägungen dieser Einflüsse miteinander in Beziehungen und haben individuelle Anforderungen.

Beispiel

Bei einem Vorgang innerhalb eines Unternehmens kollidiert die SOX-Konformität mit nationalen Datenschutzbestimmungen beim Audit von Personalbestands- und Gehaltsdaten.

Dieses Beispiel ist eines von sehr vielen Vorgängen innerhalb eines Unternehmens und bringt eine Vielzahl von Ressourcen, Regeln und Risiken miteinander in Verbindung. Das GRC-Modell erhebt den Anspruch, über diese Vielzahl von Verflechtungen der unterschiedlichen Vorgänge ein Rahmengerüst zur Erleichterung der Organisation einzubringen. Dabei sind Lösungen dieser Art in der Regel IT-lastig und versuchen, über rechnergesteuerte Tools die Berücksichtigung vieler, im Idealfall aller oben genannter Abhängigkeiten zu berücksichtigen. Dabei bieten viele Hersteller Komponenten an, die GRC unterstützen (Identity Management, Risk-Management, Workflow-Engines, ERP-Systeme usw) und die ersten Anbieter stellen bereits ganzheitliche Lösungen zu GRC-Architekturen vor. Wichtigste Forderungen hierbei sind standardisierte Business-Objekte, automatisierte Abläufe und deren Einbettung in bestehende und kommende Geschäftsprozesse.

GRC-Forschung

Eine 2009 durchgeführte Literaturstudie ergab, dass integrierte GRC-Ansätze von der Wissenschaft bisher so gut wie nicht betrachtet wurden. 2010 wurde erstmals eine wissenschaftlich hergeleitete und mit GRC-Experten validierte Definition veröffentlicht (Racz et al., 2010): "GRC ist ein integrierter, holistischer Ansatz für organisationsweite Governance, Risk und Compliance, der gewährleistet, dass die Organisation sich ethisch und gemäß ihres Risikoappetits sowie interner und externer Vorgaben verhält, ermöglicht durch die Abstimmung von Strategien, Prozessen, Menschen und Technologie, wodurch Effizienz und Effektivität gesteigert werden." Die Autoren leiten aus der Definition einen Forschungsrahmen für integrierte GRC ab, der Einsteigern die Forschung in diesem Bereich erleichtern soll.

Forschungsrahmen für integrierte GRC

Der Forschungsrahmen setzt sich aus den GRC-Disziplinen (Governance, Risikomanagement, Compliance), den GRC-Regeln (interne Vorgaben, externe Vorgaben, Risikoappetit), den GRC-Eigenschaften (integriert, holistisch, organisationsweit), den GRC-Komponenten (Strategie, Prozesse, Menschen, Technologie), den GRC-Zielen (ethisches Verhalten, gesteigerte Effizienz, gesteigerte Effektivität) und den durch GRC gesteuerten und unterstützten Aktivitäten (z.B. Finanzprozesse, IT-Management o.ä.) zusammen.

Literatur

  • SecurIntegration GmbH (Hrsg.): GRC in SAP-Umgebungen. Mitp-Verlag, 2008, ISBN 978-3-82665954-6.
  • Racz, N., Weippl, E. & Seufert, A.: A frame of reference for research of integrated GRC. In: Bart De Decker, Ingrid Schaumüller-Bichl (Hrsg.): Communications and Multimedia Security, 11th IFIP TC 6/TC 11 International Conference, CMS 2010 Proceedings. Springer, Berlin 2010, ISBN 978-3-642-13240-7, S. 106-117.

Wikimedia Foundation.

Игры ⚽ Нужен реферат?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Chief risk officer — The chief risk officer (CRO) or chief risk management officer (CRMO) of a corporation is the executive accountable for enabling the efficient and effective governance of significant risks, and related opportunities, to a business and its various… …   Wikipedia

  • IDS Scheer AG — Unternehmensform Aktiengesellschaft ISIN …   Deutsch Wikipedia

  • Organisationsverfassung — Corporate Governance (frei: gutes Benehmen für Unternehmen oder der Knigge für Unternehmen ; engl. Corporate: Körperschaft, gemeinschaftlich; Governance: regieren, führen) beschäftigt sich mit Regeln, die für Mitarbeiter von Unternehmen oder die… …   Deutsch Wikipedia

  • Australian Securities Exchange — ASX redirects here. For other uses, see ASX (disambiguation). Australian Securities Exchange …   Wikipedia

  • Network Rail — Not to be confused with National Rail. Network Rail Type Company limited by guarantee / State owned company Industry Railway infrastructure provision …   Wikipedia

  • Milbank, Tweed, Hadley & McCloy — LLP Headquarters New York City No. of offices 11 …   Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”