Blog header empty pad on desk, pen and coffee cup

GRC-System

Governance - Risk - Compliance Management

So steuern Sie Governance Risk Compliance digital, zentral & revisionssicher 

 

Governance, Risk und Compliance sind die drei Schlagwörter, die eine erfolgreiche Unternehmensführung umreißen. Allerdings sind diese Begriffe zunächst nur abstrakte Konzepte, wenn Sie sie nicht in der Praxis umsetzen, z. B. durch den Einsatz eines GRC-Tools, mit dem Sie diese unternehmerischen Handlungsebenen holistisch abbilden.

In diesem Artikel zeigen wir Ihnen, wie Sie mit unserer Qualitätsmanagement-Software QM-Pilot effektives GRC-Management betreiben. Vor allem möchten wir Ihnen die Synergieeffekte zeigen, wenn Sie den QM-Pilot bereits im Prozessmanagement einsetzen und das Tool für Verknüpfungen innerhalb Ihres Unternehmens geeignet ist.

Was ist GRC (Governance Risk and Compliance)?

GRC steht für die Trias Governance, Risk und Compliance und fasst die drei wichtigsten Handlungsebenen für erfolgreiche Unternehmensführung zusammen. Governance steht für die Geschäftsleitung mittels definierter Ziele und Vorgaben, Risk für systematisches Risikomanagement und Compliance für die Einhaltung von Normen, Gesetzen und internen Richtlinien – kurz für den Wertekanon eines Unternehmens.

Governance: Transparente Unternehmensführung mit Struktur

Governance Risk and Compliance

Unternehmensführung im Sinne von Governance muss strukturiert vorgehen und sich an erreichten Zielen messen lassen. Governance impliziert somit ein Führungsverständnis, das nicht etwa von willkürlichen Entscheidungen und abrupten Richtungswechseln geprägt sein kann. Vielmehr gelangt ein Unternehmen zum Erfolg, indem seine Führung Ziele steckt und die entsprechenden Methoden zur Zielerreichung definiert und einhält.

Risk: Risikomanagement zum Bestandserhalt

Im Falle von GRC steht Risk für Risikomanagement, um den Bestand des Unternehmens auch bei Gefahren und Krisen zu sichern. Riskmanagement ist eine Führungsaufgabe, im Rahmen derer die Risiken einer Organisation identifiziert, analysiert und bewertet werden. Dafür werden möglichst wirkungsvolle Strategien entwickelt, um ihnen zu begegnen und notfalls Schäden in Grenzen zu halten.

Für einen holistischen Ansatz ist es wichtig, dass das Riskmanagement nicht für sich allein steht, sondern in den gesamten unternehmerischen Rahmen mit Governance und Compliance in Verbindung gebracht wird.

Compliance: Normen, Gesetze & moralische Unternehmenswerte

Governance Risk and Compliance

Unter Compliance ist die Regeltreue eines Unternehmens zu verstehen, also dass es sich zum einen an Recht und Gesetz hält, zum anderen, dass es den eigenen internen, u. a. ethischen, Vorgaben gerecht wird. Das Compliance-Management beschreibt den Grundsatz sowie Maßnahmen zur Einhaltung von Gesetzen, Richtlinien und internen Kodizes sowie die Vermeidung von Regelverstößen.

Was ist ein GRC-Tool?

Ein GRC-Tool ist ein Softwareprogramm, mit dem die Dimensionen von Governance, Riskmanagement and Compliance vollumfänglich abgebildet und gesteuert werden können. Dafür muss die Anwendung zugleich Risikomanagement-Software, Dokumentenmanagement-Software und Prozessmanagement-Software sein, um den vielfältigen und komplexen Ansprüchen an ein GRC-Tool gerecht zu werden.

Herausforderungen & Vorteile: Mit einem Tool für Governance Risk Compliance Hürden meistern

Governance Risk Compliance ist eine mehrdimensionale Aufgabe, die tiefgreifende Managementqualitäten erfordert, ein Unternehmen aber wirtschaftlich, zukunftsfähig sowie juristisch und moralisch sicher aufstellt. Zugleich sorgt GRC für eine führungsstarke Unternehmensspitze, die rational und nachvollziehbar im Sinne dieses Unternehmens agiert.

Diese Ziele erreichen Sie in Ihrem Unternehmen mit dem entsprechenden Commitment und dem Einsatz professioneller Software, denn ohne ein funktionelles GRC-Tool kann Ihnen dieses Aufgabenbündel rasch über den Kopf wachsen. Wir zeigen Ihnen die Herausforderungen von GRC und wie Sie sie mit dem passenden GRC-Tool managen:

Wachstum und Internationalisierung

Wachstum und Internationalisierung: Mehr Standorte, möglicherweise sogar länderübergreifend oder interkontinental, erschweren die Einhaltung von GRC-Guidelines. Umso wichtiger ist daher ein zentral gepflegtes GRC-System, das zuverlässig und verbindlich die Richtung vorgibt – an jedem Standort, auf jedem Kontinent, im Homeoffice oder im Büro.

Digitalisierung

Digitalisierung: Die fortschreitende Digitalisierung etlicher Branchen und Geschäftsbereiche erhöht die Risikodichte für ein Unternehmen, v.a. im Hinblick auf die (IT-)Sicherheit. Dem begegnen Sie am besten mit GRC-Tools statt mit analogen Management-Mitteln, da erstere zugleich datensicher sind und die Vertraulichkeit wahren.

Unklarheit

Unklare Prozesse: Die wohl banalste und zugleich schwerwiegendste Herausforderung für GRC mit System! Wenn im Unternehmen Unklarheit über was, wie und wer herrscht, hilft zunächst eine gründliche Prozessdokumentation. Ihr GRC-Tool sollte die Erfassung und genaue Dokumentation interner Abläufe intuitiv ermöglichen, damit eine grundlegende Voraussetzung für GRC geschaffen wird.

Unklarheit

Unklare Zuständigkeiten: Gut gemeinte Maßnahmen scheitern oftmals an unklaren Zuständigkeiten sowie an der ungeklärten Frage, wer die Freigabe erteilen darf. In einem GRC-Tool legen Sie derlei Verantwortlichkeiten zweifelsfrei und ohne Verwechslungsgefahr fest.

Dezentrale Speicherung

Dezentrale Speicherung: Insbesondere, wenn sich bspw. an Normen etwas ändert, kann die Aktualisierung sämtlicher zugehöriger Informationen und Dokumente zur echten Mammutaufgabe werden. Mit einem GRC-Tool pflegen Sie derartige Stammdaten zentral an einer Stelle, statt sie an unzähligen Stellen händisch aktualisieren zu müssen.

Undefinierte Risiken

Undefinierte Risiken: Wovor soll man sich schützen, wenn die Risiken ungeklärt oder nicht aktuell sind? Gute GRC-Software impliziert daher stets auch Funktionen, um Risiken und Gefahren digital zu erfassen und zu verwalten.

Unbekannte Guidelines

Unbekannte Guidelines: Ahnungslosigkeit in der Belegschaft ist eine weitere Herausforderung, die einem effizienten GRC-Management in die Quere kommen kann. Anstatt Ihre GRC-Guidelines in gedruckten Handbüchern oder als Aushang zu kommunizieren, sollten Sie sie lieber zentral in Ihrem GRC-Tool für alle zugänglich machen und stets aktuell halten.

Fehlendes Qualitätsbewusstsein

Fehlendes Qualitätsbewusstsein: Gelingende GRC zahlt letztlich auf die Qualität Ihrer Dienstleistungen oder Produkte ein – umso problematischer, wenn Ihrem Team dieser Zusammenhang noch unklar ist! Vor diesem Hintergrund ist es nur logisch, GRC als Element des Qualitätsmanagements im Unternehmen zu begreifen und mit der entsprechenden Software abzubilden.

Dokumentenchaos

Dokumentenchaos: Altlasten an unsortierten und überholten Dokumenten können zum Problem für GRC werden. Eine GRC-Software sollte Ihnen daher die Möglichkeit bieten, Ihre Unterlagen strukturiert und systematisch abzulegen und wiederzufinden.

Fehlende Übersicht

Fehlende Übersicht über Ergebnisse: Sie möchten natürlich wissen und überprüfen, welche Methoden zum gewünschten Ergebnis geführt haben. Wählen Sie daher ein GCR-Tool mit automatisierter Reporting-Funktion.

Wie Sie sehen, gibt es ein paar typische Hindernisse, die in jedem Unternehmen gleich welcher Branche und Größe auftreten können und welche die Umsetzung von GRC erschweren. Mit einem GRC-Tool mit den essenziellen Funktionen sind Sie aber auch für diese Fälle gewappnet.

Strategie & Umsetzung mit GRC-Software: Weil gut gemeint nicht automatisch gut gemacht ist

 

Dass GRC ein hochrelevantes Management-Aufgabenfeld ist, haben Global Player schon längst erkannt, aber auch viele mittelständische Unternehmen wissen um die richtungsweisende Bedeutung. Sehr wichtig ist, GRC nicht als „Nice to have“-Thema zu betrachten, sondern als Kernaufgabe des Managements, um ein Unternehmen langfristig wirtschaftsstark, moralisch integer und attraktiv für Mitarbeitende auszurichten.

Da Sie es dabei mit einem fortlaufenden und stets zu überprüfenden Task zu tun haben, sind eine strategische Herangehensweise und Umsetzung entscheidend. Andernfalls laufen Sie Gefahr, mit einem Ergebnis der Marke „Gut gemeint, aber nicht gut gemacht“ zu enden. Wir zeigen Ihnen, wie Sie unsere Software QM-Pilot als GRC-Tool einsetzen – unabhängig davon, ob Sie ihn bereits nutzen oder auf der Suche nach einer flexiblen Lösung sind.

Element Governance: Interne Vorgaben steuern

Das Abbilden der Geschäftsprozesse funktioniert in unserer Software für Prozessmodellierung im Modul Prozessmanagement inkl. der Daten aus den Modulen Dokumentenmanagement und Risikomanagement. Das ermöglicht ein holistisch aufgebautes Managementsystem.

Neben dem Abbilden der Prozesslandkarte, detaillierten Prozessbeschreibungen als Flow-Charts oder BPMN-Swimlanes können Sie diese mit unternehmensspezifischen Daten anreichern. Die Datenfelder sind flexibel konfigurierbar, beliebig erweiterbar und können unter anderem folgende Punkte abdecken:

  • Ziele auf jeder Prozessebene (Detailziele oder unternehmensübergreifende Ziele)
  • Methodik zur Umsetzung (erschließt sich aus den Prozessen und zugehörigen Informationen)
  • Angabe der notwendigen Ressourcen zu einem Prozess und Reporting zur Gesamtauswertung

Zusätzlich werden alle (internen) Vorgabedokumente im Dokumentenmodul verwaltet, versioniert, archiviert, immer aktuell freigegeben zur Verfügung gestellt und können in Verbindung mit Prozessen, Risiken und Compliance-Vorgaben gesetzt werden.

Prozesseditor Governance

  • Dokumente können direkt mit Prozess-Schritten oder in den Kenndaten (2) verknüpft werden und stehen immer nur in der aktuell freigegebenen Version zur Verfügung
  • Dokumente/Prozesse können mit Risiken verknüpft werden (3)
  • Normative Grundlagen können mit Dokumenten verknüpft werden (1)
  • Alle Verbindungen/Abhängigkeiten können dargestellt/nachvollzogen werden

Element Risk-Management: Gefahrenabwehr sinnvoll integrieren

Risk-Management ist ein integraler Bestandteil von GCR, der seine Wirkung dann optimal entfaltet, wenn er in sinnvollen Zusammenhang mit Governance und Compliance gebracht wird. Nutzen Sie den QM-Pilot als GRC-Tool sieht die ​​Risikoerfassung (Risikodaten, Beschreibung, Massnahmen/Kontrollen, Risikomatrix) so aus:

Risikomanagement

Die gezeigten Felder sind kundenspezifisch konfigurierbar. Daten wie bspw. Risikobeschreibung, Bewertung, Risikoappetit, normative Grundlagen und Verantwortlichkeiten können Sie einfach erfassen und über das Reporting auswerten. Berechnete Risikowerte können auf der Risiko-Matrix dargestellt und alle Abhängigkeiten zu anderen Systeminhalten (bspw. Prozessen und Dokumenten) können ebenfalls ausgewertet werden.

Bewertungsschemata können Sie in Stammdaten-Tabellen hinterlegen und bei der Risikobeschreibung über Auswahllisten zur Verfügung stellen. Darüber lässt sich auswerten, welche Kriterien in welchen Risiken angegeben sind.

Zu jedem Risiko können Sie beliebig viele Maßnahmen erfassen und die zugehörigen Kontrollen werden vom System automatisch angelegt. Verantwortlichkeit und Stellvertretende können hier eindeutig zugeordnet werden. Zur Dokumentation im System werden die Kontrollen von den Usern mit einem Status (in Arbeit, Erledigt, Abgelehnt, Erledigt mit Mangel) dokumentiert und in der Historie abgelegt:

Massnahmen Risikomanagement

Neben einer Vielzahl an Standardberichten (Risikoliste, Risiken mit Beschreibung, Maßnahmenliste, Kontrollen, IKS Risiko-Kontrollmatrix u.v.m.) können Sie für spezielle Reporting-Bedürfnisse spezifische Berichte bei uns anfragen und hinterlegen.

Element Compliance: Normen, Gesetze & Werte prozessual integrieren

Compliance ist insofern ein Spezialfall, als sie neben gesetzlichen und normativen Vorgaben auch interne Regeln und ethische Werte impliziert. Die Gesamtheit dieser Gesetze, Normen, Richtlinien sowie internen und externen Vorgaben muss zunächst als Übersicht in einem GRC-System erfasst werden. Dies erfolgt über eine Stammdatentabelle, die um zusätzliche Informationen ergänzt werden kann (Geltungsbereich, Links auf Dokumente u. v. m.).

Beispiel Stammdatentabelle Normative Grundlagen

Unser Beispiel zeigt Ihnen die Stammdatentabelle im QM-Pilot, in der normative Grundlagen erfasst werden. Diese Tabelle lässt sich beliebig konfigurieren und erweitern. Für alle Abhängigkeiten zeigt sie die Verwendung der Einträge an. Dadurch entsteht ein Gesamtbild, an welchen Stellen (Prozesse, Dokumente, Risiken) ein bestimmtes Gesetz/Norm/Richtlinie compliance-relevant ist.

​​Wie im Abschnitt Governance am Beispiel Prozesskenndaten ersichtlich, können Sie sich die Abhängigkeit zwischen normativer Grundlage und Prozess/Dokument/Risiko mittels Kenndatenfeldaufzeigen lassen. Zugegriffen wird mittels Auswahlliste auf die in der Stammdatentabelle erfassten Daten:

Auswahl Normative Grundlagen

Jede verknüpfte Abhängigkeit können Sie über die Anzeige der Verwendung auswerten und darstellen. Änderungen können Sie zentral in der Stammdatentabelle vornehmen. Bei spezifischen Auswertungen zu einzelnen Normen, Gesetzen und Richtlinien lassen sich alle Compliance-relevanten Inhalte per Klick anzeigen.

Übernehmen Sie mit passenden GRC-Tools das Steuer für Governance, Risk und Compliance

Die vielschichtigen und komplexen Aufgaben, die Governance, Risk und Compliance stellen, erhalten mit GRC-Tools Struktur und werden steuerbar. Machen Sie sich diese digitale Unterstützung zunutze, denn das diffizile Zusammenspiel der einzelnen Komponenten von GRC formt letztlich die Zukunft Ihres Unternehmens.

Im Managementsystem des QM-Pilot lässt sich GRC abbilden. Der notwendige, holistische Denkansatz findet sich im Aufbau des Systems, Datenbankverknüpfungen und visuelle Darstellung im User Interface. Als normorientiertes System werden Funktionen wie Versionierung, Prüf- und Freigabe-Workflow sowie die Sicherstellung des Zugriffs auf freigegebene Inhalte gewährleistet. Wir geben Ihnen gern mehr Infos – nehmen Sie Kontakt auf!

 

Bitte rechnen Sie 8 plus 7.
Picture Product Manager Kristin Prüssner

Haben wir Ihr Interesse geweckt?

Möchten Sie mehr über QM-Pilot erfahren? Vereinbaren Sie einen unverbindlichen Präsentationstermin oder fodern Sie einen Zugang zu unserer Demo Umgebung an!

Rufen Sie uns unter +41 61 205 60 20 an
oder senden Sie uns eine Nachricht.


Kontakt

Abel Systems
 Hammerstrasse 121
4057 Basel
T: +41 (0)61 205 60 20
info@abel-systems.ch

Support

T: +41 (0)61 205 60 28
E: service@qm-pilot.ch
Kontaktformular

 

Partner
Impressum
Datenschutz
Cookies

qmPilot ist ein Produkt der Abel Systems

Logo Swissmadesoftware

© abel systems