27.02.2020
Stefan Wenig
Autor: Stefan Wenig
Auf Xing vernetzen
Auf LinkedIn vernetzen
Zur Blog-Ãœbersicht

Integrierte GRC Plattformen – Einführung

Mittlerweile beschäftigen wir uns seit über 15 Jahren mit den Themen Datenanalyse, Audit, Risikomanagement, Compliance und IKS (ICS Internal Controls). Gerade in der jüngeren Vergangenheit der letzten 1-2 Jahre hat sich hier enorm viel getan.

Es sind neue und bessere Lösungen für einzelne Unternehmensbereiche entstanden, aber gleichermaßen konnten wir eine Konsolidierung von Insellösungen bzw. eine Integration in Softwareplattformen beobachten.

Aus diesem Grund macht es für uns Sinn, uns im Rahmen einer umfassenderen Blogpostreihe strukturiert damit zu beschäftigen, wie eine mögliche Plattform im Bereich GRC bzw. Unternehmens-Governance aussehen kann und wo sich einzelne Komponenten einordnen lassen.

Nach einer Einführung in das Thema an dieser Stelle beschäftigen wir uns in den nächsten Artikeln der Serie unter anderem mit folgenden Themenblöcken:

  • Internal Controls Management
  • Audit Management
  • Datenanalyse und Kontrollautomatisierung
  • Compliance Management
  • Vendor Risk Management

All das können Teile einer solchen GRC Plattform sein. Doch bevor wir uns diesen Bereichen im Detail widmen, werfen wir erst einmal einen Blick auf grundlegende Aspekte. Dabei unterscheiden wir hier zwischen eher technischen und funktionalen Anforderungen an eine Plattform, und möglichen Inhalten die integriert abgedeckt werden können.

 

Was kann man unter einer GRC Software-Plattform verstehen?

Der Begriff „Plattform“ wird oft als Überbegriff für Hard- oder Softwareplattformen verwendet. Die online zu findenden Definitionen sind dabei mit „Binärstellen-basierter Plattform“, „Quellcode-basierter Plattform“ oder „Laufzeitumgebung als Plattform“ zum Teil häufig eher technisch gehalten.

Analogie ERP Plattform

In unserem Zusammenhang verstehen wir den Begriff eher wie in diesem Artikel der Computerwoche über ERP Plattformen beschrieben. Interessant ist, dass der Autor Aspekte aufgreift, die wir später als zentralen Vorteil der von uns als Beispiel verwendeten GRC Plattform beschreiben:

  1. Den Wegfall der Customizing-Herausforderung
  2. Die Aufweichung der Starrheit eines geschlossenen Systems
  3. Die Integration verschiedener Teilbereiche (im Computerwoche Artikel am Beispiel der Wertschöpfungskette beschrieben).

Darüber hinaus wird die Entwicklung des SAAS Anteils an Plattformlösungen sowie die Bedeutung der Cloud-Technologie am Beispiel von ERP Plattformen aufgezeigt.

Definition GRC Plattform oder Enterprise Governance Plattform

Soweit zur Analogie in Sachen „ERP Plattformen“, die geeignet ist, ein Verständnis für das Konzept einer GRC Plattform zu schaffen. Im Rahmen unsere Blogposts würde ich in einfachen Worten eine GRC oder Enterprise Governance Plattform wie folgt definieren:

  • Additive, content-basierte Komponentenlösung: Es handelt sich um eine Gesamtlösung, die aus einzelnen Komponenten, oder Modulen bzw. Lösungen für verschiedene Teilbereiche eines Unternehmens besteht. Die Kombination der einzelnen Komponenten fügt sich zu einer Gesamtlösung, der Plattform, zusammen. Die Lösung soll dabei nicht nur ein leeres Framework sein, sondern bereits Content für die jeweiligen Module bieten; etwa Risiko-Kontroll-Matrizen für verschiedene Prozesse, Prüfkataloge und Standards.
  • Nahtlose Integration: Die Komponenten der Plattform sind dabei nahtlos integriert und verzahnt. Dies gilt für rein technische Aspekte ebenso, wie auch dass es prozessübergreifend eine homogene Lösung ist und der Benutzer, der bereichsübergreifend arbeitet nicht mehr in Modulen denkt bzw. diese klar identifizieren kann.
  • Prozess- und workfloworientierte Services: Die Plattform unterstützt alle relevanten Prozesse ohne Medien- und Formatbrüche in Form geeigneter Services.
  • Kollaborativ nach innen und außen: Die Plattform erlaubt es auf einfache Art und Weise, Inhalte zu teilen oder gemeinsam redundanz- und konfliktfrei an Objekten innerhalb der Plattform zu arbeiten. Dies gilt nicht nur für Zusammenarbeit innerhalb der Organisation, sondern auch mit externen Stakeholdern und Geschäftspartnern.
  • Mobil und Webbasiert: Die Lösung ist hinsichtlich User Interface so flexibel, dass sie sowohl mobil (Tablet, Smartphone) als auch auf Computern angewendet werden kann. Dies ermöglicht einen Einsatz in der erforderlichen Breite im Unternehmen, schafft Benutzerakzeptanz und Flexibilität.
  • Anwenderfreundlich: Eine GRC Plattform muss eine moderne, benutzerfreundliche, funktionale und schöne Benutzeroberfläche vorweisen, um die nötige Akzeptanz zu gewährleisten und eine Anwendung ohne großen Schulungsaufwand zu ermöglichen.
  • Flexibel: Die Lösung muss in Sachen Konfiguration, der im Zuge der Digitalisierung geforderten Agilität in Unternehmen gerecht werden. Jahrelange Implementierungs- oder Customizingprojekte sollten der Vergangenheit angehören. Trotzdem muss es möglich sein, dass sich User Interface und Content der einzelnen Lösungskomponenten in Inhalt und Wording der jeweiligen Domain ohne großen Aufwand anpassen lassen.
  • Skalierbares Framework: Die GRC Plattform sollte um zusätzliche Module oder Benutzer erweitert werden können, ohne dass der Integrationsgrad darunter leidet. Dies wird in der Regel durch ein aus Sicht der Softwarearchitektur tragfähiges Framework erreicht, das die Basis für die Lösung bietet.
  • Datenbasiert: Gerade in Hinblick auf das interne Kontrollsystem, Audit, Risikomanagement oder Enterprise Performance Management ist es zwingend nötig, dass die Unternehmensdaten (besonders: ERP und CRM Plattformen) sich hier redundanzfrei integrieren lassen, so dass aus Sicht des Unternehmensweiten Reportings und der im GRC Umfeld getroffenen Aussagen Konsistenz und Aussagekraft gewährleistet sind. Idealerweise geht der „data-driven“ Gedanke weit über das Einbetten fertiger Reports hinaus und bietet eigene Analyse- und Dashboardingmöglichkeiten sowie eine Vielzahl von Konnektoren zu einem breiten Spektrum relevanter Datenquellen (SAP®, ODBC, Salesforce, Google Hive, Twitter) und moderne Analysefunktionen (auch Machine Learning Methoden, Predictive Analytics Ansätze etc.).

Welche Komponenten können Teil einer GRC Plattform sein?

Bei der Beschreibung, was man unter einer GRC Plattform versteht, spielt der Modulgedanke (oder auch Teilbereiche, bzw. Komponenten) eine wichtige Rolle. Wenn man über GRC oder Unternehmens-Governance spricht, gibt es verschiedene Teilbereiche, die in diesem Zusammenhang immer wieder auftauchen. Ohne Anspruch auf Vollständigkeit sind dies zum Beispiel folgende Themen (hier alphabetisch gereiht, da die Bedeutung je nach Sichtweise variiert):

  • Business Performance Management / Enterprise Performance Management: Der Blick auf das Unternehmen in seiner Gesamtheit wird immer wichtiger. Eine Aussagekraft kann mit Insellösungen in Teilbereichen kaum erreicht werden; eine unternehmensweite, datengestützte Plattform ist Voraussetzung dafür.
  • Compliance Management: Welche Regeln gibt es, wie sind diese ausgeprägt, welches Commitment gibt es hinsichtlich der Regeleinhaltung in den verschiedenen Unternehmensbereichen, und wie kann die Einhaltung überwacht und der Einhaltungs- respektive Abdeckungsgrad gemessen werden?
  • Datenanalysen & transaktionsbasiertes Reporting: In diesem Zusammenhang wird eher auf deskriptive Analysen abgezielt, die betriebswirtschaftliche Kennzahlen (klassische KPI), oder bei risikoorientierter Betrachtung KRI (Key Risk Indicators) liefern. Aber auch im Zuge des Ãœberprüfens der Wirksamkeit von Kontrollen (ICS: Controls operating effectively) inklusive Drilldown auf einzelne Transaktionen, die nachverfolgt werden, ordnen wir diesem Thema zu.
  • ERM Enterprise Risk Management: Welche Risiken gibt es auf aggregierter Unternehmensebene, wie steht es um Eintrittswahrscheinlichkeit und potenzielle Auswirkung? Mit welchen Maßnahmen können die Risiken gemindert oder vermieden werden und wie lässt sich das Ganze zielführend in Berichte kleiden?
  • Fraud prevention und Detection: Wie lassen sich betrügerische Handlungen bestenfalls vorbeugen oder im zweitbesten Fall vermeiden? Dies hat oft auch eine enge Verbindung zum Thema Datenanalyse (klassisch) oder predictive Analytics. 
  • GDPR / DSGVO: Im Hinblick auf die Datenschutzgrundverordnung bzw. General Data Protection Regulation gibt es zahlreiche Anforderungen an die „GDPR Compliance“. Auf Grund der aktuell großen Bedeutung des Themas ist es hier separat gelistet; streng genommen könnte es auch nur als eine inhaltliche Ausprägung des Punktes „Compliance“ gesehen werden.
  • Incident Management: Kommt es zu sicherheitsrelevanten Unterbrechungen bzw. (ggf. auch qualitätsmindernden) Störungen im Betriebsablauf, die eine geregelte Reaktion (Prozess) erfordern, um sie zu beheben, kann man von IT Störungsmanagement sprechen. Auch dies kann Teil einer derartigen Plattform sein.
  • Internes Kontrollsystem: Ein funktionsfähiges IKS ist für Unternehmen von zentraler Bedeutung, da es dabei hilft Schäden abzuwehren und internen und externen Regeln gerecht zu werden. Dabei ist es oft eine Herausforderung, die geforderte Transparenz von zu erreichenden Kontrollzielen (Objectives) in Verbindung mit dem Set an Kontrollen (Controls) zu schaffen, da es sich oft um ein erhebliches Mengengerüst handelt. Die Mischung aus manuellen und automatisierten Kontrollen, verschiedenen Kontrollzyklen (täglich, wöchentlich, monatlich etc.) erfordert Systeme, die helfen, das IKS zu betreiben und zu verwalten.
  • Interne Revision: Sie trifft Aussagen über die Wirksamkeit von Internen Kontrollen und des Risikomanagements, etwa in Form von Operational Audits, Compliance Audits, Financial Audits oder Management Audits und wird auch oft als Dritte Verteidigungslinie (Third line of defense) bezeichnet. Sie benötigt Unterstützung im Bereich der Revisionsplanung, Revisionsdurchführung (Fieldwork), Dokumentation der Ergebnisse, der Berichtserstellung und dem Bereich Follow-Up / Maßnahmennachverfolgung. Um über die Effektivität von Internen Kontrollen urteilen zu können, werden wiederum häufig Ergebnisse aus Datenanalysen mit einbezogen; ein anderer Aspekt kann hier aber auch die risikobasierte Prüfungsplanung sein.
  • IT Security Management: Dies befasst sich mit Verfahren und Regeln rund um die Informationssicherheit. In diesem Zusammenhang ist auch die ISO 27001 Zertifizierung auf Basis von IT-Grundschutz zu nennen.
  • Prozessanalysen / Process Mining: Ein weiteres aktuelles Thema, welches das Zeichnen des Ist-Zustandes aus Prozesssicht basierend auf den zusammengeführten Transaktionsdaten des Unternehmens umfasst. Ziel ist es, Prozessabläufe zu erkennen, und Schwachstellen zu identifizieren und zu verbessern. Verbesserungen können etwa durch geänderte operative Abläufe erfolgen, durch bessere Unterstützung einzelner Teilprozesse oder IT-seitig durch Automatisierungen im Sinne von RPA Robotic Process Automation.
  • Reporting: Eigentlich ist Reporting bzw. das Berichtswesen kein separates Modul, sondern kann übergreifend über alle hier genannten Komponenten eingesetzt werden, um Transparenz über die verschiedenen Themenbereiche zu erlangen. Idealerweise unterstützt es operative Berichte im Detail ebenso wie strategische Berichte für das Management. Es sollte so flexibel sein, dass Sachverhalte einfach nach bestimmten Objekten gruppiert werden können; aus Sicht des IKS etwa die Kontrollen pro Organisationseinheit, oder aus dem Blickwinkel der Internen Revision den Status der Maßnahmennachverfolgung je auditierter Einheit, oder Reports der Finanzbuchhaltung bzw. im Kontext von Business Performance Management.
  • SOX Testing (whom it may concern ;-) Der Sarbanes-Oxley Act feiert bald seinen 20. Geburtstag. Eingeführt um den Anlegern nach diversen Skandalen wieder mehr Sicherheit zu geben, was die Finanzberichte von Unternehmen anbelangt, ist ein wesentlicher Punkt darin, die Wirksamkeit des Internen Kontrollsystems zu prüfen und zu bestätigen. Hierfür bedarf es Unterstützung im Rahmen des Testing, aber auch der Dokumentation der Ergebnisse.
  • Vendor risk management / Third party risk management: Hier geht es um mögliche schwerwiegende indirekte Risiken die aus der Zusammenarbeit mit Geschäftspartnern wie etwa Lieferanten entstehen; beziehungsweise der Vermeidung/Verminderung solcher Risiken durch Evaluierung der Geschäftspartner bezüglich eines Katalogs an Mindestanforderungen. Third party risk management ist ähnlich gelagert, aber an einigen Stellen lassen sich beide Themen inhaltlich abgrenzen; eine entsprechende Differenzierung finden Sie zum Beispiel hier: https://de.wegalvanize.com/vendor-risk/the-difference-between-vrm-tprm/
  • Wirtschaftsprüfung (als Prüfung der Finanzberichterstattung) bzw. Jahresabschlussprüfung als Teilmenge davon: Für Kapitelgesellschaften einer bestimmten Größenordnung ist es Pflicht, sich einer Jahresabschlussprüfung zu unterziehen. Auch hier soll die Korrektheit des Jahresabschlusses bzw. der im Jahresabschluss beschriebenen Lage des Unternehmens bestätigt werden, um eine Sicherheit diesbezüglich für Dritte zu erzeugen.

Eine GRC oder Governance Plattform umfasst idealerweise Lösungen für die oben genannten Teilbereiche und integriert diese in einer ganzheitlichen GRC Plattform. Wobei es in der oben genannten Liste auch Grauzonen und Überschneidungen gibt: So könnte SOX Testing als Spezialfall des Bereiches IKS / ICS gesehen werden; während GDPR und ISO27001 Standards und Regelwerke sind, die wie oben schon kurz angeschnitten als Content im Bereich Compliance Management angesiedelt sind.

Wir haben nun also den Gedanken einer „GRC Plattform“ beschrieben; erst technisch-funktional in Anlehnung an die Charakteristiken etablierter ERP Plattformen, dann inhaltlich durch eine Listung möglicher Komponenten und Module, die so eine Plattform beinhalten bzw. integrieren könnte.

In den nächsten Blogposts dieser Reihe greifen wir einzelne Teilbereiche heraus und beleuchten diese detaillierter. Konkret werden wir uns im nächsten Artikel mit den Möglichkeiten beschäftigen, die eine GRC Plattform im Bereich IKS bietet. Wir beschäftigen uns mit Themen wie risikoorientiertes Kontrolldesign, zeigen Beispiele für Risiken, und skizzieren Möglichkeiten der Evaluierung von Risiken und Kontrollen, sowie der Automatisierung von Kontrollen durch Datenanalysen. Vorbereitend dazu finden Sie hier ein Ebook, welches einige Grundlagen in Sachen IKS legt, und begleitend dazu einen Blogpost über Internal Control Design des Softwareherstellers Galvanize, dessen GRC Plattform Highbond wir für unsere Beispiele nutzen werden.

Wir hoffen, Ihnen einen hilfreichen Ãœberblick und Einstieg in das Thema vermittelt zu haben. Wenn Sie Fragen oder Anmerkungen haben, kommen Sie bitte jederzeit gerne auf uns zu!

Kommentare (0)
Sei der erste, der diesen Blog-Beitrag kommentiert.
Blog Anmeldung

Sie sind nicht angemeldet. Bitte melden Sie sich an um diesen Blogbeitrag zu kommentieren.

anmelden