Wenn Sie nach aktuellen Beispielen von Unternehmen fragen, die sich mit Governance-, Risiko- und Compliance-Problemen (GRC) auseinandersetzen, könnten Führungskräfte Unternehmen wie die Silicon Valley Bank erwähnen. Dies sind Organisationen, die ins Rampenlicht gerückt wurden, nicht aus lobenswerten Gründen, sondern aufgrund ihrer Kämpfe mit GRC.
Die Unternehmen, von denen Sie im Allgemeinen nichts hören, sind diejenigen, die es richtig gemacht haben. Diese Unternehmen stellten sicher, dass sie die Vorschriften einhielten, und hielten sich daher aus den Nachrichten heraus. Fast immer werden wir feststellen, dass sie sich inmitten einer Flut von regulatorischen Änderungen mit proaktivem GRC-Prozessmanagement beschäftigen.
Bevor wir jedoch einen Blick auf ihre Strategien werfen, wollen wir uns die typischen Herausforderungen ansehen, mit denen Unternehmen im Bereich GRC konfrontiert sind.
Riskantes Geschäft
Ein zentraler Teil der Herausforderung für viele Unternehmen besteht darin, dass ihre GRC-Funktion isoliert ist. Dies macht es schwierig, den Überblick über Risiken und Compliance zu behalten, und führt zu mehreren vermeidbaren Problemen.
Mangelnde Ausrichtung: Ein dediziertes, zugriffsbeschränktes GRC-System hat seine Vorteile. Dies bedeutet jedoch oft, dass die Geschäftseinheiten an vorderster Front nicht auf die Maßnahmen abgestimmt sind, die vom Compliance-Team eingeführt werden. Dies kann auch zu Herausforderungen führen, wenn interne Revisionsteams keinen sofortigen Zugriff auf die neuesten Informationen haben.
Mangelnde Eigenverantwortung und Verantwortlichkeit: Als Dominoeffekt übernehmen die Teams möglicherweise nicht die Verantwortung für die Risiken in ihren Abteilungen. Im schlimmsten Fall sind sie sich möglicherweise nicht einmal aller ihrer Risiken und der Kontrollen bewusst, die zu ihrer Minderung eingesetzt werden.
Schwierigkeiten bei der Bereitstellung operativer Nachweise: Ohne eine klare Dokumentation darüber, wie ein Prozess den Risiko- und Compliance-Standards entspricht, stehen Unternehmen bei externen Audits oft vor Herausforderungen. Es ist großartig, über klar definierte Risikomanagementstrategien und -kontrollen zu verfügen. Sie müssen jedoch immer noch nachweisen, dass diese Kontrollen wirksam sind.
Schwierigkeiten bei der Modellierung der betrieblichen Auswirkungen neuer Richtlinien: Mit neuen Gesetzen kann es schwierig sein, die nachgelagerten Auswirkungen von Änderungen an Arbeitsabläufen und Abläufen vorherzusehen. Das kostet im besten Fall Zeit und Geld. Im schlimmsten Fall führt dies zu einer Nichteinhaltung der Vorschriften und setzt das Unternehmen einem größeren finanziellen Risiko und einem größeren Reputationsrisiko aus.
Abbilden von Prozessen zur Risikominimierung
Diese Herausforderungen haben ein gemeinsames Thema: mangelnde Prozessausrichtung und Transparenz. Wenn die rechte Hand nicht weiß, was die linke tut, können Unternehmen Schwierigkeiten haben, mit ihren Risiken umzugehen und die Vorschriften einzuhalten.
Um das Problem zu lösen, setzen viele Unternehmen auf Prozessintelligenz. Sie wollen ihre Prozesslandschaft besser verstehen und die Funktionsweise ihrer Prozesse optimieren. Sie hoffen, dass sie dadurch in der Lage sein werden, sowohl die externen Vorschriften als auch die internen Richtlinien einzuhalten.
Was in dieser Phase jedoch wichtig wird, ist die Auswahl der Prozessintelligenz-Technologie des Unternehmens. Um eine echte Prozessausrichtung und -transparenz zu erreichen, ist eine Software erforderlich, die mit Schlüsselfunktionen ausgestattet ist:
Prozessmodellierung in einem zentralen Repository: Die Lösung des Alignment-Problems erfordert, dass alle an einem Prozess Beteiligten die Risiken und deren Kontrollen zur Risikominderung kennen und verstehen. Eine gute Lösung ermöglicht es dem Unternehmen, Prozesse zu modellieren, sowohl wie sie sind als auch wie sie sein sollten. Diese Modelle sollten aber auch über ein zentral zugängliches Prozess-Repository zur Verfügung gestellt werden. So wird sichergestellt, dass jeder sowohl die Risiken sehen als auch Vorschläge machen kann, wie die Prozesse verbessert werden können.
Das bedeutet jedoch nicht, dass jeder die Befugnis haben sollte, Risiken zu katalogisieren und Kontrollen zu erstellen. Ein Großteil dieser Arbeit kann noch im bestehenden GRC-System des Unternehmens erledigt werden, das weiterhin als Referenzsystem dient. Aber jeder sollte in der Lage sein, zu sehen, was diese Risiken sind, wo sie im Prozess auftreten und wie sie gemindert werden können.
Im Idealfall sollten alle Änderungen, die im GRC vorgenommen werden, automatisch wieder in das zentrale Prozess-Repository importiert werden. Dies gewährleistet eine kontinuierliche Abstimmung. Auch die Prozesse im Repositorium sollten so verknüpft werden, dass Änderungen an einem bestimmten Prozessschritt ganzheitliche Auswirkungen widerspiegeln. Mit anderen Worten, es sollte leicht zu erkennen sein, wie sich Änderungen auf andere Geschäftsprozesse, Systeme und einzelne Teams auswirken.
Process Mining und Konformitätsprüfungen: Process Mining bietet eine Möglichkeit, den Ablauf von Prozessen zu überprüfen. Funktionieren die Dinge wie vorgesehen? Und entsprechen die Prozesse den Kontrollen und Prüfungen, die eingerichtet wurden, um sicherzustellen, dass das Unternehmen konform bleibt? In der Lage zu sein, den Ablauf eines Prozesses nachzuweisen, löst die Herausforderung, einen operativen Nachweis zu erbringen. Dies minimiert den Zeitaufwand und die Schwierigkeiten, die mit Auditing-Prozessen verbunden sind.
Überprüfungs- und Genehmigungszyklen: Die gewählte Lösung sollte auch in der Lage sein, sicherzustellen, dass jeder informiert und rechenschaftspflichtig bleibt. Beispielsweise sollten relevante Benutzer benachrichtigt werden, wenn eine Änderung an einem Prozess vorgenommen wurde. Es könnte dann auch verlangen, dass sie anerkennen, dass sie diese Veränderungen gesehen haben.
Prozesssimulation: Mittels Prozesssimulation können vorgeschlagene Prozessänderungen visualisiert und getestet werden. Dies versetzt das Unternehmen in die Lage, die Auswirkungen dieser Änderungen zu minimieren. Wichtig ist, dass das Unternehmen testen kann, ob die Änderungen wie erwartet funktionieren, um das Risiko zu kontrollieren und die Einhaltung von Vorschriften sicherzustellen, ohne andere Geschäftsziele negativ zu beeinflussen.
Prozessberichterstattung und Versionskontrolle: Die Lösung soll auch die Anzeige des Status und der damit verbundenen Risiken eines Prozesses vereinfachen. Dashboards und Zusammenfassungen können die Prozesstransparenz erhöhen. Und Heatmaps können verwendet werden, um schnell Bereiche oder Teams zu erkennen, in denen ein hohes Risiko besteht. Prozessänderungen sollten auch strukturiert erfasst werden, um eine Versionskontrolle zu ermöglichen. Wenn dann Prozessänderungen vorgenommen werden, die sich auf GRC auswirken könnten, ist es einfach, das „Wer, Was und Wo“ zu ermitteln, das zu der Entscheidung geführt hat.
Risikomanagement mit Process360 Live
In einem immer komplexer werdenden regulatorischen Umfeld sind diese Fähigkeiten nicht nur „nice to have“. Sie ermöglichen es Unternehmen, ihre GRC-Landschaft effektiv zu verwalten. Es können Prozessänderungen vorgenommen werden, die sowohl konform als auch darauf ausgelegt sind, den Geschäftswert zu maximieren.
Diese Prinzipien sind auch ein zentraler Bestandteil des iGrafx-Ansatzes für Prozessintelligenz, der GRC unterstützt. Unsere Process360 Live-Plattform bietet nicht nur die besprochenen Funktionen, sondern ermöglicht es Unternehmen, ihre Prozesslandschaft kontinuierlich zu verbessern, die auf unserer einzigartigen „Discover, Design, Optimize„-Methodik basiert. Process360 Live lässt sich auch in bestehende GRC-Systeme (z. B. Archer) integrieren, um bestehende Risiko- und Kontrollkataloge in Ihr Prozess-Repository zu importieren. So bleibt jeder im Unternehmen auf dem Laufenden, was passiert und wofür er verantwortlich ist.
All dies führt zu einer Prozesslandschaft, die Sie nicht mit dem nagenden Verdacht zurücklässt, dass die GRC-Bemühungen Ihres Unternehmens möglicherweise nicht ausreichen.
Der Beweis, dass die Dinge wie beabsichtigt funktionieren, liegt direkt vor Ihnen. Und so können sich alle auf das Wesentliche konzentrieren: den Aufbau eines Geschäftswerts, der Sie aus den richtigen Gründen in die Schlagzeilen bringt.
Möchten Sie erfahren, wie die Prozessoptimierungsfunktionen von iGrafx die GRC-Funktion Ihres Unternehmens unterstützen können? Kontaktieren Sie uns für eine kostenlose Testversion.