Governance, Risk & Compliance

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Governance, Risk & Compliance (Governance, Risk Management, and Compliance – GRC) fasst die drei wichtigsten Handlungsebenen eines Unternehmens für dessen erfolgreiche Führung zusammen:

Governance
Die Unternehmensführung durch definierte Richtlinien. Dazu zählt die Festlegung von Unternehmenszielen, die darauf angewandte Methodik zur Umsetzung und die Planung der notwendigen Ressourcen für das Erreichen der Ziele.
Risk
Das Risikomanagement mit bekannten und unbekannten Risiken durch definierte Risikoanalysen. Ein wichtiger Faktor dabei ist das frühzeitige Auseinandersetzen mit Risiken, der Bereitstellung von Strategien zur Risikominimierung und dem Vorbereiten von Schadensfallpuffern bei Risikoeintritt.
Compliance
Die Compliance, das Einhalten interner wie externer Normen, für die Bereitstellung und die Verarbeitung von Informationen. Diese beinhaltet unter anderem Vorgaben aus Normierungsbestrebungen und die Zugriffsreglementierung für die Daten sowie die gesetzlichen Rahmenbedingungen für deren Verwendung.

Der englische Ausdruck hat sich im deutschen Sprachgebrauch etabliert, so dass auf eine deutsche Übersetzung der Begriffe verzichtet wird.

Management muss sich mit einer komplexen Verteilung von Beziehungsebenen befassen: Überregionale und multinationale Geschäftsbeziehungen, gesetzliche und gesellschaftliche Regeln, Unternehmensabteilungen und deren Ziele und Vorgaben sowie Umsetzung, Kontrolle und Einhaltung von Prozessen. In jedem Vorgang innerhalb des Unternehmens treten die verschiedensten Ausprägungen dieser Einflüsse miteinander in Beziehungen und haben individuelle Anforderungen.

Beispiel[Bearbeiten]

Bei einem Vorgang innerhalb eines Unternehmens kollidiert die SOX-Konformität mit nationalen Datenschutzbestimmungen beim Audit von Personalbestands- und Gehaltsdaten.

Dieses Beispiel beschreibt einen von vielen Vorgängen innerhalb eines Unternehmens und bringt eine Vielzahl von Ressourcen, Regeln und Risiken miteinander in Verbindung.

Lösungsansätze[Bearbeiten]

Das GRC-Modell erhebt den Anspruch, ein Rahmengerüst zur Erleichterung der Organisation der Vielzahl von Verflechtungen der unterschiedlichen Vorgänge einzubringen. Dabei sind Lösungen dieser Art in der Regel IT-lastig und versuchen, über rechnergesteuerte Werkzeuge die Berücksichtigung vieler, im Idealfall aller oben genannten Abhängigkeiten zu berücksichtigen. Dabei bieten viele Hersteller Komponenten an, die GRC unterstützen (Identity Management, Risk-Management, Workflow-Engines, ERP-Systeme usw), und erste Anbieter stellen bereits ganzheitliche Lösungen zu GRC-Architekturen vor. Wichtigste Anforderungen hierbei sind standardisierte Geschäftsobjekte, automatisierte Abläufe und deren Einbettung in bestehende und kommende Geschäftsprozesse.

GRC-Forschung[Bearbeiten]

2010 wurde erstmals eine validierte Definition veröffentlicht (Racz et al., 2010): "GRC ist ein integrierter, holistischer Ansatz für organisationsweite Governance, Risk und Compliance, der gewährleistet, dass die Organisation sich ethisch und gemäß ihres Risikoappetits sowie interner und externer Vorgaben verhält, ermöglicht durch die Abstimmung von Strategien, Prozessen, Menschen und Technologie, wodurch Effizienz und Effektivität gesteigert werden." Die Autoren leiten aus der Definition einen Forschungsrahmen für integrierte GRC ab, der Einsteigern die Forschung in diesem Bereich erleichtern soll.

Forschungsrahmen für integrierte GRC

Der Forschungsrahmen setzt sich aus den GRC-Disziplinen (Governance, Risikomanagement, Compliance), den GRC-Regeln (interne Vorgaben, externe Vorgaben, Risikoappetit), den GRC-Eigenschaften (integriert, holistisch, organisationsweit), den GRC-Komponenten (Strategie, Prozesse, Menschen, Technologie), den GRC-Zielen (ethisches Verhalten, gesteigerte Effizienz, gesteigerte Effektivität) und den durch GRC gesteuerten und unterstützten Aktivitäten (z. B. Finanzprozesse, IT-Management o. ä.) zusammen.

Literatur[Bearbeiten]

  •  SecurIntegration GmbH (Hrsg.): GRC in SAP-Umgebungen. Mitp-Verlag, 2008, ISBN 978-3-82665954-6.
  •  Racz, N., Weippl, E. & Seufert, A.: A frame of reference for research of integrated GRC. In: Bart De Decker, Ingrid Schaumüller-Bichl (Hrsg.): Communications and Multimedia Security, 11th IFIP TC 6/TC 11 International Conference, CMS 2010 Proceedings. Springer, Berlin 2010, ISBN 978-3-642-13240-7, S. 106-117.

Weblinks[Bearbeiten]