Governance, Risk Management & Compliance (GRC)

Behördliche Regularien und die Einhaltung gesetzlicher Vorschriften stellen Unternehmen vor große Herausforderungen die bewältigt werden müssen.

Mit dem ganzheitlicher Ansatz GRC werden die Disziplinen Corporate Governance, Risikomanagement und Compliance als durchgängiges Vorgehensmodell vereinigt um den gesetzlichen Anforderungen als Unternehmen gerecht zu werden.

Definition aus Wikipedia

Governance (von französisch gouverner, „verwalten, leiten, erziehen“, aus lateinisch gubernare; gleichbedeutend griechisch κυβερνάω bzw. κυβερνῶ (kontr.) / kybernáo bzw. kybernō: das Steuerruder führen) – oft übersetzt als Regierungs-, Amts– bzw. Unternehmensführung –, auch Lenkungsform, bezeichnet allgemein das Steuerungs- und Regelungssystem im Sinn von Strukturen (Aufbau- und Ablauforganisation) einer politisch-gesellschaftlichen Einheit wie Staat, Verwaltung, Gemeinde, privater oder öffentlicher Organisation. Häufig wird es auch im Sinne von Steuerung oder Regelung einer jeglichen Organisation (etwa einer Gesellschaft oder eines Betriebes) verwendet. Der Begriff governance wird häufig unscharf verwendet.

Das Risikomanagement übernimmt in Unternehmen das Management von Unternehmensrisiken durch deren Risikoidentifikation, Risikoanalyse, Risikoquantifizierung, Risikoaggregation, Risikobeurteilung, Risikobewertung, Risikokommunikation und abschließende Risikobewältigung.

Compliance ist die betriebswirtschaftliche und rechtswissenschaftliche Umschreibung für die Regeltreue (auch Regelkonformität) von Unternehmen, also die Einhaltung von Gesetzen, Richtlinien und freiwilligen Kodizes. Die Gesamtheit der Grundsätze und Maßnahmen eines Unternehmens zur Einhaltung bestimmter Regeln und damit zur Vermeidung von Regelverstößen wird von der „Regierungskommission Deutscher Corporate Governance Kodex“ als „Compliance Management System“ bezeichnet (IDW PS 980 Tz.6).

GRC – Eine Einführung

Die Governance-, Compliance- und Risikomanagement-Landschaft unterliegt einem ständigen Wandel: Zunehmend mehr Gesetze und Richtlinien fordern von Unternehmen Transparenz im Umgang mit Daten sowie die Trennung, Überwachung und Dokumentation von Geschäftsprozessen. Gleichzeitig findet eine Ausweitung der noch für die Papierwelt geschriebenen Gesetze auf die elektronische Welt statt: Die Aufbewahrungs- und Dokumentationspflichten für elektronische Geschäftsunterlagen nehmen zu. Alle rechtlichen und gesetzlichen Vorgaben der Papierwelt gelten auch in der elektronischen Welt! Die Anforderungen der IT-Welt sind jedoch häufig noch nicht oder nicht direkt enthalten und müssen daher adäquat abgeleitet werden.

Unternehmen stehen vor der großen Herausforderung, ihr Geschäft in Einklang mit den bestehenden und zukünftigen Regularien zu bringen und ein effektives Risikomanagement zu betreiben. Die Zusammenführung von Governance, Risikomanagement und Compliance, kurz GRC, ist ein wichtiger Schritt in der Bewältigung dieser Herausforderung.
GRC – die Buchstaben werden auch gern in anderer Reihenfolge kombiniert – bietet dabei einen ganzheitlichen Ansatz, der das Entstehen von Insellösungen verhindert. Die Führung von Unternehmen, die Einhaltung gesetzlicher Vorschriften und die Bewertung von Risiken gehen dabei zunehmend Hand in Hand. Die Abgrenzung der Aufgaben und der unterschiedlichen Auffassungen des Umfanges führen dabei jedoch zu sehr verschiedenen Ansätzen.
Um Klarheit in das Verhältnis der drei zugrundeliegenden Akronymbestandteile von GRC zu bringen, ist es erforderlich sie zunächst einzeln zu definieren.

Begriffsdefinitionen

Governance & Corporate Governance

Der Begriff Governance lässt sich zum Einen von dem französischen Begriff Gouvernance ableiten, der sich mit Herrschaft, Lenkung, Steuerung übersetzen lässt und zum Anderen von dem englischen Begriff für Regierung, Steuerung.
Für den Begriff Corporate Governance gibt es keine deutsche Direktübersetzung. Aus dem lateinischen Wortstamm lässt sich folgendes erkennen: “gubernator” bedeutet: Steuermann, “corporatio” bedeutet: Körperschaft. Wörtlich kann Corporate Governance also mit “körperschaftliche Steuerung” oder ” Leitung einer Körperschaft bzw. einer Gesellschaft” übersetzt werden.

Risk Management

Risiko ist das italienische Wort für Wagnis, Gefahr. Risikomanagement umfasst also die Maßnahmen zur Erfassung, Bewertung und Steuerung der Risiken.
Die Risiken müssen erhoben, aufbereitet und bewertet werden. Maßnahmen zur Vermeidung der Risiken und zur Einhaltung der relevanten Compliance-Anforderungen sind zu treffen. Dabei obliegt es der Geschäftsführung beziehungsweise dem Vorstand eines Unternehmens, die Verantwortung für den Umfang der Maßnahmen und deren Einhaltung zu übernehmen.

Compliance

Der Begriff Compliance kann aus dem Englischen mit Befolgung, Einhaltung oder Erfüllung bestimmter Anforderungen übersetzt werden.
Compliance umfasst die Gesamtheit aller zumutbaren Maßnahmen, die das regelkonforme Verhalten eines Unternehmens, seiner Organisationsmitglieder und seiner Mitarbeiter im Hinblick auf alle gesetzlichen Ge- und Verbote begründen. Compliance bezieht sich dabei sowohl auf die Erfüllung externer rechtlicher Vorgaben als auch auf die Erfüllung interner regulativer Vorgaben.

GRC als ganzheitlicher Ansatz

Wie aus den Definitionen bereits deutlich wird, können die Bereiche Governance, Risiko Management und Compliance nicht losgelöst von einander betrachtet werden: Compliance-Anforderungen beinhalten Verpflichtungen zu Risikomanagement und der Einhaltung von Governance-Richtlinien. Risikomanagement beinhaltet die Bewertung von Compliance-Anforderungen, und Corporate Governance umfasst sowohl Compliance als auch Risiko-Management. Lange jedoch wurden diese Aufgabenkomplexe als einzelne Arbeitsgebiete aufgefasst und auf verschiedene Bereiche und Rollen verteilt sowie in spezifischen Lösungen umgesetzt.

Unter diesen Gesichtspunkten betrachtet ist ein ganzheitlicher Blick auf das Unternehmen gefordert. Die separate Betrachtung von Governance, IT-Governance, Compliance und Information Management Compliance, Risk Management und Quality Management führt nicht zur geforderten Transparenz, Nachvollziehbarkeit und Durchgängigkeit. Für die Umsetzung in Prozessen und in der Organisation eines Unternehmens oder einer Verwaltung ist eine ganzheitliche Betrachtung erforderlich, bei der die Governance die Regeln und Richtlinien liefert, das Risiko Management diese bewertet und im Rahmen von Compliance die praktische, operative Umsetzung sichergestellt werden muss.

GRC vereinigt die Disziplinen Corporate Governance, IT-Governance, Information Governance, Risikomanagement, Sicherheit, Datenschutz und Compliance als durchgängiges Vorgehensmodell.

Abgesehen von den Anforderungen aus Dokumentationssicht ist hier auch ein wirtschaftlicher Faktor zu berücksichtigen – Governance, Compliance und Risiko-Management ermöglichen durch die geschaffene Transparenz auch die Einsparung von Kosten und ein wirtschaftlicheres Arbeiten. So können z.B. auch die erheblichen Kosten für die Umsetzung von Governance- und Compliance-Anforderungen ins Positive gewendet werden und zum wirtschaftlichen Erfolg des Unternehmens beitragen. (Dr. Ulrich Kampffmeyer, 2012; aktualisiert 2020)

GRC mit Governance, Risk Management und Compliance ist das Dach über allen Maßnahmen, im Unternehmen eine ordnungsmäßige, effiziente, sichere und nachvollziehbare Nutzung von Information zu gewährleisten.

Dr. Ulrich Kampffmeyer,
Keynote Information Management & Information Governance, 2014

GRC vereinigt die Disziplinen Corporate Governance, IT-Governance, Information Governance, Risikomanagement, Sicherheit, Datenschutz und Compliance als durchgängiges Vorgehensmodell.

Dr. Ulrich Kampffmeyer,
Seminar Elektronische Archivierung, 2002

Ressourcen