Sicher zum Ziel – Reifegrad und Potenzial in Governance ...€¦ · 3 Vorwort Governance, Risk...

Sicher zum Ziel – Reifegrad und Potenzial in Governance, Risk Management und Compliance

StudieBestandsaufnahme und -analyse in

produzierenden Industrieunternehmen

Eine empirische Studie in Zusammenarbeit mit

Studie – Reifegrad und Potenzial in GRCBearingPoint GmbH

2

Inhaltsverzeichnis

Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

�. Hintergrund und Ziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

�. Management Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

�. Theorie und Methodik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

3.1. GRC als integrative Klammer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

3.2. Vorgehensweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

3.2.1. Rahmendaten der Studie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

3.2.2. Das BearingPoint GRC-Reifegradmodell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

3.3. Ausgangssituation in den Unternehmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

3.3.1. Status quo der organisatorischen Verankerung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

3.3.2. Bewegung mit GRC-Bezug . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

�. Ergebnisse der Studie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

4.1. Reifegrade der Einzelkriterien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

4.1.1. Kultur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

4.1.2. Integration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

4.1.3. Kommunikation und Transparenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

4.1.4. Organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

4.1.5. Prozesse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

4.1.6. IT-Unterstützung und Automatisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

4.2. GRC als Gesamtsystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

�. Fazit und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Anhang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

(A) Überblick der GRC-Elemente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

(B) Elemente des SCOR-Modells im Detail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

(C) Reifegrade mit kriterienspezifi scher Erläuterung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

3

Vorwort

Governance, Risk Management und Compliance (im Folgenden GRC) sind eng miteinander verbundene Themen-felder, deren Bedeutung in den letzten Jahren stetig zugenommen hat – nicht nur für international ausgerichtete und am Kapitalmarkt agierende Unternehmen.

Bilanzskandale mit massiven Auswirkungen auf die globale Ökonomie, weitreichende Korruptions-/Betrugsaffären und die omnipräsente Diskussion um Datenschutz und Datensicherheit sind nur einige Ausgangspunkte, die zur anhaltenden Verschärfung externer und gesetzlicher Vorgaben wie auch interner Kontrollsysteme und Richtlinien führen. Mit Blick auf die aktuelle Entwicklung im Bereich regulatorischer Vorgaben und die parallel geführte poli-tisch und wirtschaftlich geprägte Diskussion ist auch in Zukunft ein weiterer Bedeutungszuwachs dieses brisanten Themenkomplexes zu erwarten. Vor diesem Hintergrund sieht BearingPoint Unternehmen und Organisationen in der Pfl icht, den Status quo ihrer GRC-Komponenten zu bestimmen und daraus mögliche strategische Handlungs-felder abzuleiten. Dies veranlasste BearingPoint, die Realisierung von GRC-Komponenten innerhalb von Industrie-unternehmen zu evaluieren und aus den gewonnenen Erkenntnissen Ansätze und Orientierungspunkte für ein angemessenes Design von Governance, Risk Management und Compliance zu entwickeln.

Die vorliegende Studie bewertet den GRC-Reifegrad der teilnehmenden Unternehmen mit Hilfe eines eigenen industriespezifi schen Reifegradmodells und liefert somit praxisbezogene Aussagen über deren unternehmensin-terne Ausprägung sowie wesentliche Hintergründe. Zudem werden vorhandene Maßnahmen und Prozesse analy-siert und hinsichtlich ihrer Effektivität bewertet.


4

Eine Annäherung der Felder Governance, Risk Manage-ment und Compliance wird aktuell als perspektivrei-ches Konzept innerhalb der Unternehmenssteuerung verstanden. Mangels einer universellen, die drei Einzelbereiche verbindenden Defi nition orientiert sich die vorliegende Studie an der folgenden defi ni-torischen Abgrenzung, analysiert die Lücken zu einer integrierten Betrachtung und zeigt Ansätze zu ihrer Überwindung auf.

• Governance: Rahmenwerk interner und externer Regeln und Richtlinien, nach denen ein spezi-fi sches Unternehmen geführt und kontrolliert werden soll

• Risk Management: strukturierter Prozess des einheitlichen, antizipativen Umgangs mit Risiken und Chancen

• Compliance: effektive und effi ziente Erfüllung verbindlicher Richtlinien und Vorgaben sowie sonstiger relevanter Regularien

Durch die gesamthafte Betrachtung und Realisierung der drei Teilgebiete öffnen sich Unternehmen verschie-dene Wege zur langfristig erfolgreichen Behauptung im Wettbewerb. Aufgrund dieser Entwicklung nimmt die Bedeutung von GRC in Industrieunternehmen zu.

5

Im Rahmen der Studie wurden in Kooperation mit dem Lehrstuhl für Controlling der Technischen Universität München im Zeitraum Dezember 2011 bis März 2012 Industrieunternehmen in Deutschland, Österreich und der Schweiz befragt. Die GRC-Aktivitäten der teilneh-menden Unternehmen wurden mit Hilfe des von BearingPoint neu entwickelten GRC-Reifegradmodells untersucht, bewertende Aussagen über die unter-nehmensinterne Ausprägung von GRC getroffen und die spezifi sche Positionierung der teilnehmenden Unternehmen innerhalb der BearingPoint GRC-Bewer-tungsmatrix ermittelt.

Die vorliegende Studie will einen fundierten Beitrag zur gegenwärtigen Diskussion von Governance, Risk Management und Compliance leisten und Unter-nehmen somit ermöglichen, ihre spezifi sche GRC-Ausprägung einzuschätzen und vom individuellen Standpunkt ausgehend adäquate Maßnahmen zielge-richtet abzuleiten. Dieses Ziel kann durch die Betrach-tung folgender Aspekte erreicht werden:

1. Analyse des GRC-Reifegrads auf elementarer Ebene anhand des Status quo aus unterschiedlichen Pers-pektiven

2. Beurteilung des GRC-Gesamtreifegrads und Auswertung hinsichtlich der Effektivität getroffener Maßnahmen

�. Hintergrund und Ziele


6

Die Ergebnisse der vorliegenden Studie zeigen, dass Unternehmen hinsichtlich der Weiterentwicklung ihrer GRC-Strukturen und -Aktivitäten noch über erhebli-chen Spielraum und beträchtliche Chancen verfügen. Ein Großteil der Befragten hat laut eigenen Angaben sowohl Bedeutung als auch Relevanz von GRC erkannt und beabsichtigt, diese Themenfelder kurz- bis mittel-fristig zu untersuchen und zu optimieren. Die bereits erfolgte praktische Umsetzung zeigt Verbesserungspo-tenzial bei unterschiedlichen Ansatzpunkten.

Bei der Umsetzung von Governance, Risk Manage-ment und Compliance standen die qualitätsstiftenden interdependenten Elemente Kultur, Integration, Transparenz/Kommunikation, Prozesse, Organisation und IT/Automatisierung im Kern der Betrachtungen.

Dabei war über alle befragten Unternehmen hinweg kein Einzelelement im positiven oder negativen Reife-gradbereich dominant ausgeprägt. Insgesamt wird allein die Kultur, sowohl in ihrer wahrgenommenen Bedeutung als auch in ihrer bewussten Ausgestaltung, tendenziell nachrangig behandelt.

Die restlichen Elemente ergeben ein uneinheitliches Bild. In bereits fest etablierten Bereichen – wie zum Beispiel der Prozessgestaltung – ist eine vergleichs-weise hohe bzw. ausgewogene Reife festzustellen. Erhebliches Potenzial birgt dagegen die hier relativ neue IT-Unterstützung, speziell in Form von Automati-sierung.

Innerhalb der teilnehmenden Unternehmen sind keine Extrempositionen positiver oder negativer Ausprägung

7

evaluiert und konkrete Optimierungsansätze entwi-ckelt werden.

zu verzeichnen. Unternehmensspezifi sch gibt es gene-rell gute Ansätze in einigen Kategorien, die aber durch Mängel in anderen relativiert werden.

Bei allen erkannten Schwachstellen kann eine stärkere Orientierung in Richtung einer integrierten organisa-torischen Umsetzung spürbare Verbesserungen der GRC-Performance bewirken. Beabsichtigen Unter-nehmen mehr als die reine Mängelbeseitigung, bietet die Reorganisation und der Einsatz technologischer Unterstützung nachhaltige Effi zienzvorteile.

Mit den in der Studie angewandten Modellen – dem BearingPoint GRC-Reifegradmodell und der Bearing-Point GRC-Bewertungsmatrix – können die spezifi sche GRC-Umsetzung eines Unternehmens zielgerichtet

�. Management Summary


8

direkt und mittelbar zum Schutz des Unternehmens-werts eingesetzten Instrumente:

• Risikoorientierung – Risiken stehen im Fokus und müssen aus unterschiedlichen Perspektiven bewertet und gesteuert werden.

• Zentrale Steuerung – Die verantwortlichen Einheiten sind organisatorisch in unmittelbarer Nähe zur Unternehmenssteuerung eingegliedert.

• Durchdringung – Getroffene Maßnahmen wirken prozess- und ebenenübergreifend im gesamten Unternehmen und adressieren häufi g jeweils iden-tische Zielgruppen.

Die Wahrnehmung einzelner Funktionen durch sepa-rate Instanzen bedingt einen hohen Koordinations-

3.1. GRC als integrative Klammer

Ein Unternehmen ist vielschichtigen Bedrohungen ausgesetzt, die das Geschäft beeinträchtigen können: ob durch unberechtigte Weitergabe vertraulicher Daten, verlustreiche Fehlkalkulation eines kost-spieligen Projekts, Zahlungs- oder Lieferunfähigkeit eines wichtigen Geschäftspartners oder durch einen Presseartikel zum medienwirksamen Fehlverhalten eigener Mitarbeiter. Um solche Herausforderungen zu meistern verfügt jede Organisation über Instrumente: z. B. Internes Kontrollsystem, Management operativer Risiken, Berechtigungsverwaltung, Policy Manage-ment oder Compliance Management.

Der Ansatz eines integrierten GRC-Managements berücksichtigt die zentralen Gemeinsamkeiten aller

9

komplexe Herausforderungen im Unternehmensum-feld.

aufwand und beträchtlichen Kommunikationsbedarf. Die Separierung erzeugt Redundanzen in Regularien, Prozessen, Systemen, Dokumentationen und Reports, Mitarbeiteransprachen, etc. und beeinträchtigt die Effi zienz.

Ziel des integrierten GRC-Ansatzes ist die Nutzung der Grundgemeinsamkeiten der einzelnen Bereiche in Form von Synergien. Das koordinierte ganzheitliche Zusammenwirken von Konzepten und Werkzeugen für die jeweiligen Funktionen nimmt die Realisierung von Potenzialen hinsichtlich Effektivität und Effi -zienz methodisch ins Visier. Die Harmonisierung von Enablern wie Strategie, Prozesse, Technologie und mitarbeiterbezogene Aspekte unter den Prämissen der einzelnen Betrachtungsfelder ist die Antwort auf

Abbildung 1: GRC als integratives Element

Governance

Strategie, Prozesse,Technologie,MitarbeiterRisk

Management Compliance

Effektivität und Effizienz

�. Theorie und Methodik


10

3.2.2. Das BearingPoint GRC-Reifegradmodell

Im Rahmen der Befragung wurde das BearingPoint GRC-Reifegradmodell mit dem Fokus auf Industrieun-ternehmen entwickelt. Es dient einer gleichermaßen treffsicheren wie zügigen Selbsteinschätzung hinsicht-lich der Güte von GRC-Aktivitäten verschiedener Unternehmensebenen durch die Abbildung unterneh-mensinterner Stärken und Verbesserungspotenziale von GRC.

Das BearingPoint GRC-Reifegradmodell enthält eine GRC-spezifi sche und eine prozessorientierte Pers-pektive, wobei letztere an den zentralen Wertschöp-fungsprozess von Industrieunternehmen angelehnt ist (Abbildung 3). Diese zweidimensionale Betrach-tungsweise ermöglicht die Messung der GRC-Reife des gesamten Unternehmen und der Güte einzelner Prozesse.

Aus GRC-fachlicher Sicht sind insbesondere die Elemente Kultur, Integration, Transparenz/Kommuni-kation, Prozesse, Organisation und IT/Automatisierung beurteilungsrelevant, da sie ein hohes Maß an Interde-pendenz aufweisen und die maßgebliche Grundlage für die qualitative Umsetzung eines integrierten GRC-Ansatzes bilden. Jedes dieser Elemente wird hinsicht-lich seines Reifegrads im GRC-Gesamtkontext nach drei bis vier spezifi schen Kriterien analysiert und bewertet (siehe auch Tabelle 1 im Anhang).

Innerhalb der GRC-fachlichen Sicht wird eine zweite, prozessorientierte Dimension betrachtet, die sich an der ersten Ebene des Supply Chain Operations Reference-Modells1 (SCOR) orientiert und den GRC-sensitiven Innovate-Prozess einschließt. Somit ist eine Betrachtung der GRC-Qualität über den gesamten Wertschöpfungsprozess entlang der Abfolge Source, Make, Innovate, Deliver und Return inklusive der zent-ralen Funktion Manage möglich. Weitere Einzelheiten zu den aufgeführten Prozessen verdeutlicht Tabelle 2 im Anhang.

Ausgehend von den Angaben der teilnehmenden Unternehmen in einem systematisch abgestimmten Erfassungskonstrukt wurden die einzelnen Elemente – aus GRC- und Prozessperspektive – nach vier Reife-graden klassifi ziert:

• Champion• Improver• Intermediate• Beginner

1 Vgl. Supply Chain Council (http://supply-chain.org/)

3.2. Vorgehensweise

3.2.1. Rahmendaten der Studie

Im Rahmen der Studie wurden von Dezember 2011 bis März 2012 Industrieunternehmen aus Deutschland, Österreich und der Schweiz befragt. Für diese Unter-nehmen charakteristisch sind:

• Konzentration auf Produktion und Weiterverarbei-tung materieller Güter

• Supply-Chain-Einbettung

• Ausgeprägte Forschungs- und Entwicklungstätigkeit

• Weitgehende Unabhängigkeit von spezieller staat-licher Marktregulierung

Mehr als die Hälfte der namentlich beteiligten Unter-nehmen ist dem Segment Manufacturing zuzuordnen, gefolgt von den Branchen Chemicals & Life Science, Utilities und Natural Resources (siehe Abbildung 2).

Rund 50 Prozent der Studienteilnehmer weisen einen Jahresumsatz zwischen einer und zehn Millionen auf. Je ein Viertel liegt jeweils darüber bzw. darunter. Daher konnte in einer ausgewogenen Grundgesamt-heit von größeren mittelständischen Unternehmen sowie internationalen Großkonzernen eine breite Basis für die gewonnenen Aussagen erzielt werden.

Knapp zwei Drittel der teilnehmenden Unternehmen beschäftigen 20.000 Mitarbeiter oder weniger. Unter der Marke von 100.000 bleiben 20 Prozent; darüber liegen 15 Prozent.

Abbildung 2: Branchenzuordnung der Studienteilnehmer

53 %

19 %

9 %

9 %

5 %5 %

Manufacturing

Automotive

Communication & Content

Utilities

Natural Resources

Chemicals & Life Science

11

. Theorie und Methodik

teil der Strategie und Struktur in organisatorischer Verantwortung umgesetzt wurde und die entschei-dende Voraussetzung für eine zumindest koordinierte Ausübung von Governance, Risk Management und Compliance gegeben ist. Welcher Effekt für GRC-Qualität und -Reifegrad aus der reinen Existenz einer defi nierten Verantwortung resultiert, kann nur bei Einbeziehung weiterer Aussagen beurteilt werden.

Die Zugehörigkeit zu einer Klasse gibt Auskunft, in welcher Qualität GRC bezüglich des einzelnen Elements bzw. im jeweiligen Prozess realisiert wurde. Einzelheiten zu den jeweiligen Reifegraden siehe Tabelle 3 im Anhang.

3.3. Ausgangssituation in den Unternehmen

3.3.1. Status quo der organisatorischen Verankerung

Vor einer Beschäftigung mit der Reife von GRC-Akti-vitäten lautet die grundlegende Frage, inwieweit die organisatorische Umsetzung bislang überhaupt erfolgt ist. Ohne eine konkrete Verantwortungszuordnung für diesen Themenkomplex kann die Qualität von GRC-System und Maßnahmen keine positive Ausprägung aufweisen.

Die Antworten der befragten Unternehmen ergaben, dass lediglich 15 Prozent GRC nicht in Verantwortung einer spezifi schen Abteilung oder Einzelperson umge-setzt haben. Insbesondere in kleinen und mittleren Betrieben mangelt es in diesem wichtigen Bereich offenbar an Sensibilisierung.

Umgekehrt bedeutet dies, dass bei den allermeisten Unternehmen das Thema GRC als fester Bestand-

Abbildung 4: Existenz einer expliziten GRC-Verantwortung im Unternehmen

15 %

85 %Ja

Nein

Organisation IT/Automatisierung

Kultur

Manage

Make &Innovate

Deliver

Return

Source

Liefe-ranten

KundenKommuni-kation/

Transparenz Integration

Prozesse

Abbildung 3: Das BearingPoint GRC-Reifegradmodell


12

stehenden Organisationsbereichs. Die Vorgehens-weisen sind dabei unterschiedlich. Der überwiegende Teil (30 Prozent) strebt eine unmittelbare Verbes-serung im Zusammenhang mit dem Risiko manage-ment an. Demgegenüber steht bei 21 Prozent der Teilnehmer die Unternehmens-IT im Fokus der Optimierungsmaßnahmen. Hier ist also in Feldern mit unmittelbarem GRC-Bezug eine hohe Dynamik an geplanten Verbesserungen zu verzeichnen, die die zunehmende Relevanz risikoorientierter Prozesse mit IT-Unterstützung widerspiegelt.

3.3.2. Bewegung mit GRC-Bezug

Faktoren wie eine veränderte strategische Ausrichtung oder ein sich entwickelndes Unternehmensumfeld erfordern Anpassungen in der eigenen Organisation. Maßnahmen wie eine Umgliederung von Geschäfts-sparten sind – anders als beispielsweise Änderungen in Steuerungsbereichen – gemeinhin wahrnehmbar. Umso markanter ist vor diesem Hintergrund die Antwort auf die Frage, in welchem Bereich essentielle Verbesserungsmaßnahmen in den kommenden fünf Jahren geplant sind.

Demnach beabsichtigt jedes zweite Unternehmen die Optimierung eines mit GRC unmittelbar in Verbindung

Abbildung 5: Unternehmensbereiche mit geplanten Verbesserungen

Marketing

Legal

Interne Revision

Qualitätssicherung

Personalmanagement

Controlling/Financial Analysis

Vertrieb/Kundenmanagement

EDV/IT

Risikomanagement

1,8 %

0 % 10 % 20 % 30 % 40 %

3,5 %

5,3 %

5,3 %

5,3 %

8,8 %

14,0 %

21,1 %

29,8 %

13

. Theorie und Methodik


14

Trotz der beträchtlichen Relevanz und ihrer richtung-weisenden Bedeutung schneidet die Kultur in den bewerteten Elementen am schlechtesten ab:

4.1. Reifegrade der Einzelkriterien

4.1.1. Kultur

Die Wahrnehmung des Themas GRC innerhalb des Unternehmens und die Bedeutung für die unterschied-lichen Stakeholder spielen eine fundamentale Rolle. Der „tone at the top“, der insbesondere das Commit-ment bzw. das Vorbild des Führungspersonals sowie die Management Attention bezüglich GRC umfasst, ist Schlüsselfaktor für eine gelungene Umsetzung. Entscheidend ist die gefestigte, positive und konst-ruktive Einstellung von Führungskräften gegenüber GRC und die Mitarbeiterintegrität, da es andernfalls zu Nachlässigkeit, schlimmstenfalls zu kollusivem Handeln kommen kann, das auch mit Management-techniken nicht zu kompensieren ist.

Abbildung 6: Gesamtreifegrad ‚Kultur‘

0 % 10 % 20 % 30 % 40 % 50 %

Beginner

Intermediate

Improver

Champion 12 %

25 %

17 %

46 %

15

Abbildung 7: Einzelaspekte ‚Kultur‘

0 % 20 % 40 % 60 % 80 % 100 %

Umgang mit Veränderungenin GRC-Zusammenhängen

Vertrauen der Mitarbeiter in GRC-Stellen

GRC-Bewusstsein der Führungskräfte

GRC-Bewusstsein der Mitarbeiter

Beginner-Level Intermediate-Level Improver-Level Champion-Level

38 % 45 % 3 %14 %

10 % 57 % 17 % 16 %

7 % 38 % 45 % 10 %

13 % 43 % 27 % 17 %

�. Ergebnisse der Studie


16

mangelhaften GRC-Systems vermeiden: sie begegnen diesem Punkt aktiv und aufgeschlossen.

4.1.2. Integration

Die Integration der einzelnen Elemente ist die maßgebliche Voraussetzung für den tatsächlich positiven Einfl uss einer gut ausgestalteten Kultur auf die GRC-Reife. Sie wird in zwei Dimensionen hinter-fragt. Zuerst müssen vormals autarke Silo-Funktionen inklusive der genutzten Instrumente harmonisiert und zwangsläufi ge Redundanzen sowie diametrales Handeln verhindert werden. Das zweite Kriterium drückt aus, dass GRC in angemessener Form mit den jeweils relevanten Details (Kompetenzen, Benachrich-tigungen, Reports etc.) an den entsprechenden Stellen im Unternehmen präsent bzw. etabliert sein muss.

Hinsichtlich der Integration ergibt sich in der Gesamt-heit ein ausgewogenes Bild. Etliche Unternehmen

Bei erkennbar weniger als der Hälfte der befragten Unternehmen ist eine gut ausgeprägte Kultur (Cham-pion und Improver) zu verzeichnen. Dagegen weisen rund zwei von drei Unternehmen Mängel in diesem für die GRC-Gestaltung maßgeblichen Aspekt auf (Intermediate und Beginner).

Offensichtlich wurde gerade der essenzielle „tone at the top“ vielfach nicht angemessen umgesetzt. Dies verdeutlicht das insgesamt schwach ausgeprägte GRC-Bewusstsein bei Führungskräften wie Mitarbeitern. Zwischen diesen beiden Einzelkriterien nimmt das Bewusstsein weiter ab; in der Gruppe der Mitarbeiter hat mehr als ein Drittel eine negative Wahrnehmung bzw. Einstellung zu GRC (Beginner-Level). Weitere knapp 50 Prozent geben an, darin einzig eine aufer-legte Anforderung zu sehen (Intermediate-Level). Hier zeigt sich bei den verantwortlichen Stellen klarer Verbesserungsbedarf hinsichtlich Verankerung und Kommunikation des Themas im Unternehmen.

Deutlich positiver stellt sich das Vertrauen zu den unmittelbar mit GRC befassten Personen und Stellen dar. Gut die Hälfte der befragten Unternehmen gibt an, dass das Bild von GRC-Institutionen in der eigenen Belegschaft gute bis sehr gute Integrität besitzt. Eine solche Wahrnehmung ist grundlegend für die weitere Umsetzung und Weiterentwicklung von GRC.

Im Aspekt Weiterentwicklung liegt ein zusätzlicher weitreichender Qualitätstreiber. Mehr als die Hälfte der Unternehmen geben an, erforderliche Verände-rungen negativ gegenüber zu stehen (13 Prozent, siehe Abb. 7) oder diese rein reaktiv zu behandeln (43 Prozent, siehe Abb. 7). Jedoch wollen die restlichen Studienteilnehmer die Gefahr eines veralteten oder

Abbildung 8: Gesamtreifegrad ‚Integration‘

0 % 10 % 20 % 30 % 40 % 50 %

Beginner

Intermediate

Improver

Champion 25 %

24 %

34 %

17 %

Abbildung 9: Einzelaspekte ‚Integration‘

0 % 20 % 40 % 60 % 80 % 100 %

Integration von GRC in Prozessschritte

Intergration der GRC-Perspektivein die Unternehmensentscheidungen

Verankerung der GRC-Prozesse im Unternehmen

Integration von Governance, Risk Managementund Compliance zu Gesamtkomplex


23 % 40 % 10 %27 %

13 % 32 % 10 % 45 %

13 % 30 % 24 % 33 %

23 % 27 % 37 % 13 %

17

. Ergebnisse der Studie

funktionierende GRC-Umsetzung. Tragende Säulen sind daher die Qualität des Austauschs zwischen Fachabteilungen, die Wahrnehmbarkeit von GRC im Unternehmen (unter anderem hinsichtlich erbrachter Leistung und entstandener Kosten) und die Qualität des Informationsfl usses zwischen Fachabteilung und Adressat.

Wie bereits bei der Integration zeigt sich hinsichtlich Kommunikation und Transparenz eine vergleichsweise ausgewogene Verteilung der Reifegrade in den teil-nehmenden Unternehmen. Bemerkenswert ist, dass nahezu jedes zweite Unternehmen keine (Champion) oder tolerierbare Mängel (Improver) in den Informa-tionsfl üssen aufweist. Weit verbreitet ist in dieser Gruppe auch der Einsatz automatisierter Datenverar-beitung zu GRC-Zwecken.

beurteilen die Berücksichtigung von GRC-Aspekten etwa in Prozessen oder Unternehmensentscheidungen als gut bis sehr gut. Auffällig ist der vergleichsweise hohe Einzelwert an Unternehmen (gut ein Drittel), die dieses Niveau bislang nicht erreicht haben, jedoch unmittelbar an der Schwelle zu einer ausschlagge-benden Verbesserung stehen.

Die überwiegende Gruppe der Teilnehmer (55 Prozent, siehe Abb. 9) hat Prozesse im Bereich GRC bereits fl ächendeckend implementiert. Allerdings handelt es sich nur bei einem sehr kleinen Teil (10 Prozent) tatsächlich um eine integrierte Behandlung als Gesamtkomplex, während beinahe jedes dritte Unter-nehmen separate Initiativen je GRC-Teilaspekt durch-führt. Insgesamt entsteht daher erhöhter Aufwand in der jeweils verantwortlichen Organisationseinheit. Die Mitarbeiter werden auf parallelen Wegen von unterschiedlichen Abteilungen mehrfach mit Anliegen (Informationen, Kontrolldurchführung, Reminder, Schulungen etc.) ähnlichen Charakters beansprucht.

Die Integration auf dem Prozesslevel schneidet eher mittelmäßig ab: Besonders in Innovate-, Manage- und Source-Prozessen ist die Etablierung von GRC-Aspekten weniger stark ausgeprägt und behindert den Weg zu einem gleichförmig in der Prozesslandschaft integ-rierten GRC-Ansatz (Abbildung 10).

4.1.3. Kommunikation und Transparenz

Komplementär zur Integration haben Kommunikation und Transparenz wesentliche Bedeutung für eine

Abbildung 11: Gesamtreifegrad ‚Kommunikation und Transparenz‘

0 % 10 % 20 % 30 % 40 % 50 %

Beginner

Intermediate

Improver

Champion 14 %

34 %

23 %

29 %

Abbildung 10: Prozesssicht ‚Integration‘

0 % 20 % 40 % 60 % 80 % 100 %

Return

Deliver

Innovate

Make

Source

Manage 25 % 25 % 38 % 12 %

17 % 35 % 39 % 9 %

23 % 18 % 41 % 18 %

27 % 36 % 23 % 14 %

18 % 23 % 41 % 18 %

25 % 25 % 40 % 10 %



18

Auffällig in der Prozessperspektive ist die geringe Transparenz bei Manage-Prozessen; hier gibt es keine Champion-Einstufung. Bessere Ergebnisse liefern auf dieser Ebene die Basis-Wertschöpfungsprozesse Source, Make und Deliver, die aufgrund besser struk-turierter Prozesse auch eine bessere Transparenz aus GRC-Sicht erreichen (Abbildung 13).

4.1.4. Organisation

Die Organisation, erstes Element auf der operatio-nalen GRC-Ebene, besitzt als Gerüst für sämtliche Vorgänge und Instrumente einen eigenen Stellenwert. Ein geeignetes Design defi niert Verantwortungspakete

Die Betrachtung der Einzelaspekte zeigt, dass ein Groß-teil der Befragten (65 Prozent) die Kommunikation zwischen den an der GRC-Umsetzung beteiligten Fach-bereichen, unter anderem Risk Management, Legal oder HR, als durchaus positiv bewertet. Hingegen zeigt die Qualität der Informationsweitergabe ein gänzlich anderes Bild. Mehr als drei Viertel aller Unter-nehmen sehen Verbesserungsbedarf bei der Informa-tionsweitergabe. Hier gilt es, positive Erfahrungen bei der Kommunikation im engeren GRC-Kreis (vgl. Abbildung 12, mittleres Kriterium) über rein fachliche Grenzen hinweg in das Unternehmen zu adaptieren und mit adäquaten Prozessen sowie Workfl ows zu unterlegen.

Abbildung 12: Einzelaspekte ‚Kommunikation und Transparenz‘

0 % 20 % 40 % 60 % 80 % 100 %

Transparenz der Kosten fürCompliance/Non-Compliance/Risikoprävention

Kommunikation derGRC-internen Abteilungen untereinander

Informationsweitergabe anden fachlichen Prozessschnittstellen


54 % 23 % 11 %12 %

13 % 23 % 42 % 22 %

29 % 22 % 39 % 10 %

Abbildung 13: Prozesssicht ‚Kommunikation und Transparenz‘

0 % 20 % 40 % 60 % 80 % 100 %

Return

Deliver

Innovate

Make

Source

Manage 38 % 29 % 33 %

25 % 25 % 35 % 15 %

25 % 20 % 40 % 15 %

26 % 26 % 32 % 16 %

25 % 15 % 50 % 10 %

35 % 18 % 41 % 6 %


19


unter Beachtung des Gesamtkonstrukts, deckt alle Bereiche lückenlos ab und vermeidet Überschnei-dungskonfl ikte. Der Umfang der Verantwortlichkeit ist jeweils präzise zu beschreiben und zu weiteren Positionen abzugrenzen.

Drei Viertel der Teilnehmer liegen hier knapp über oder knapp unter dem durchschnittlichen Niveau: Bei der Organisation wurde in den meisten Unternehmen bereits eine solide Grundlagenarbeit geleistet. Die Bearbeitung und Behebung identifi zierter Schwach-stellen innerhalb dieser hohen Dichte ist daher eine

Abbildung 15: Einzelaspekte ‚Organisation‘

0 % 20 % 40 % 60 % 80 % 100 %

Transparente Berichtswege

Verantwortlichkeiten und Zuständigkeiten

Reporting von GRC-Sachverhalten


7 % 32 % 16 %45 %

13 % 55 % 22 % 10 %

18 % 36 % 25 % 21 %

Abbildung 14: Gesamtreifegrad ‚Organisation‘

0 % 10 % 20 % 30 % 40 % 50 %

Beginner

Intermediate

Improver

Champion 14 %

35 %

40 %

11 %

Abbildung 16: Prozesssicht ‚Organisation‘

0 % 20 % 40 % 60 % 80 % 100 %

Return

Deliver

Innovate

Make

Source

Manage 14 % 43 % 19 %24 %

15 % 45 % 25 % 15 %

16 % 32 % 31 % 21 %

25 % 40 % 20 % 15 %

15 % 25 % 30 % 30 %

22 % 28 % 22 % 28 %



20

Technology)2 bieten eine verlässliche, bewährte Orientierung. Aus GRC-Perspektive ist es unerlässlich, mit dem Einsatz dieser oder ähnlicher Best-Practice-Lösungen die fachlichen und unternehmensspezifi -schen Erfordernissen im individuellen Prozessdesign zu berücksichtigen.

Bei der Betrachtung der Prozesse fällt auf, dass eine große Zahl von Unternehmen im Intermediate-Level angesiedelt ist. Bezeichnend für diese Einstufung ist ein Prozessdesign, das sich durch solide Ansätze – beispielsweise Verwendung von Standards oder Etablierung von Kontrollen – auszeichnet. Erhebliches Manko ist jedoch, dass diese Attribute nicht konse-quent fl ächendeckend eingesetzt werden. Prozessuale Schwachstellen liegen also in erster Linie in Berei-chen, in denen die im Unternehmen verwendeten Methoden und Instrumente nicht vorgesehen oder nicht nachhaltig umgesetzt sind. Dies ist jedoch nicht der Maßstab der Vergleichsgruppe, wie der Teilneh-merblock in den Leveln Improver oder Champion zeigt. Jedes zweite Unternehmen weist bereits einen in Grundanforderungen angemessenen Grad der Prozess-gestaltung auf.

Das zweigeteilte Bild ist auch im Hinblick auf die Einzelkriterien erkennbar. Hervorzuheben ist, dass mehr als zwei Drittel der Befragten für den Umgang mit Regularien ausgereifte Prozesse einsetzen, die zumindest teilweise evaluiert werden. Ein Teil dieser Gruppe vernachlässigt jedoch die Potenziale aus der Orientierung an Standards und Rahmenwerken.

Die tiefere Analyse zeigt, dass insbesondere umsatz-schwächere Unternehmen Standards als Guidelines nur gelegentlich, inkonsequent oder überhaupt nicht nutzen. Folgeerscheinung ist eine hohe Ressourcen-bindung, die zur ineffi zienten Ausführung und zu niedrigerer GRC-Qualität führt.

Bei Prozesskontrollen fällt auf, dass jedes zweite Unternehmen eine Inkongruenz zwischen Kontroll-zielen und Kontrollbedarf feststellt. Während vorhan-dene Kontrollen die gegebenen Kontrollziele zwar weitgehend bis ganz erfüllen, besteht außerhalb der defi nierten Ziele zusätzlicher, nicht abgedeckter Kontrollbedarf. Bedenklich ist, dass dieser Umstand von den betroffenen Unternehmen nicht in einem entsprechenden Systemdesign berücksichtigt wird und sich der negative Effekt ohne regelmäßige, systemati-sche Evaluierung weiter verstärkt.

attraktive Option zur Generierung effektiver Vorteile für das Unternehmen mittels Diversifi kation.

Auffallend bei der Einstufung der Einzelaspekte sind mehr als 60 Prozent der Unternehmen, die nach eigenen Angaben über eine umfangreiche, kontinuier-liche Aufbereitung der GRC-Daten verfügen. Die Unter-scheidung zwischen manueller bzw. automatischer Datenbearbeitung erklärt in dieser Gesamtheit die Level-Abgrenzung zwischen Improver und Champion.

Deutlich größeren Steigerungsbedarf weist allerdings ein weiterer Kernpunkt (Verantwortlichkeiten und Zuständigkeiten) der Organisation auf. Hier zeigt sich bei mehr als zwei Dritteln der Teilnehmer eine unange-messene Organisationsgestaltung, die mit Verantwor-tungslücken und -überschneidungen die mangelhafte GRC-Ausführung und Ineffi zienz zulässt. Von Synergie-effekten im Organisationsdesign profi tieren zurzeit lediglich zehn Prozent der Unternehmen.

Transparente Berichtswege in den Organisationen wurden auf der Prozessebene untersucht. Der posi-tivste Wert wird am Ende der Wertschöpfungskette erreicht (Return und Deliver) im Gegensatz zum Inno-vate-Prozess, dem über zwei Drittel der Teilnehmer eine schlechte organisatorische GRC-Ausgestaltung bescheinigen (Abbildung 16).

4.1.5. Prozesse

Grundsätzliches Bindeglied zwischen den Stellen der Aufbauorganisation ist die Ablauforganisation. Die Qualität der hier festgelegten Prozesse wird insbeson-dere durch das Maß der Standardisierung bestimmt. Etablierte Standards und Rahmenwerke wie COBIT (Control Objectives for Information and Related

Abbildung 17: Gesamtreifegrad ‚Prozesse‘

0 % 10 % 20 % 30 % 40 % 50 %

Beginner

Intermediate

Improver

Champion 21 %

28 %

40 %

11 %

2 Vgl. www.isaca.org

21


Auffällig ist in den Unternehmensprozessen die gene-rell schlechtere Bewertung der Bereiche Manage und Innovate. Zwar sind diese Bereiche inhärent komplex und in geringerem Maße strukturiert, die Champion-Bewertung einiger Unternehmen zeigt jedoch, dass ein Erreichen dieses Levels durchaus möglich ist (Abbildung 19).

4.1.6. IT-Unterstützung und Automatisierung

Die zunehmend intensivere Unterstützung von Geschäftsprozessen durch die Informationstechnologie leistet einen konkreten Beitrag zur effi zienten Errei-chung der Prozessziele. Vernetzte Anwendungen und

Abbildung 18: Einzelaspekte ‚Prozesse‘

0 % 20 % 40 % 60 % 80 % 100 %

Standardisierung von GRC-Prozessen

Güte und Umfang von Kontrollen

Berücksichtigung von Standards

Prozesse für den Umgang mitRisiken/Gesetzen/Regelungen


10 % 29 % 32 %29 %

14 % 36 % 29 % 21 %

4 % 48 % 31 % 17 %

23 % 36 % 27 % 14 %

Abbildung 20: Gesamtreifegrad ‚IT-Unterstützung und Automatisierung‘

0 % 10 % 20 % 30 % 40 % 50 %

Beginner

Intermediate

Improver

Champion 14 %

27 %

35 %

24 %

Abbildung 19: Prozesssicht ‚Prozesse‘

0 % 20 % 40 % 60 % 80 % 100 %

Return

Deliver

Innovate

Make

Source

Manage 21 % 42 % 16 %21 %

22 % 39 % 26 % 13 %

23 % 32 % 36 % 9 %

32 % 36 % 23 % 9 %

22 % 30 % 26 % 22 %

20 % 35 % 30 % 15 %



22

konzipierten IT-Tools zielgerichtet unterstützen: Der realisierte Wertbeitrag ist hier die standardisierungs-bedingt hohe Präzision und die beträchtliche Automa-tisierungsquote bei Workfl ows, Kontrolldurchführung und Monitoring.

Deutlich wird die unterschiedliche Verwendung von Software im Bereich GRC auch an der Betrachtung der Einzelaspekte. Dass nicht alle Unternehmen ihre GRC-Aktivitäten gleichermaßen durch Software unterstützen, ist zweckmäßig. Mit über 70 Prozent fällt jedoch der Anteil der Unternehmen auf, deren Technologie nicht oder nur vereinzelt die Darstellung relevanter Informationen zum GRC-Status ermöglicht.

Datenbestände, automatisierte einheitsübergreifende Workfl ows und die fast unbegrenzte Nachvollziehbar-keit und Dokumentation sind nur einige der Eigen-schaften, die die IT-Unterstützung zu einem zentralen Werttreiber und qualitativen Abgrenzungsmerkmal in Organisationen befördern.

Nahezu zwei von drei Befragten (Beginner sowie Intermediate) verwenden Software-Unterstützung im GRC-Bereich bislang lediglich partiell oder nutzen universell einsetzbare Instrumente wie manuellen E-Mail-Versand oder MS Excel Data Sheets. Dem gegenüber steht die wachsende Anzahl von Unter-nehmen, die die GRC-Aufgaben mit ganzheitlich

Abbildung 21: Einzelaspekte ‚IT-Unterstützung und Automatisierung‘

0 % 20 % 40 % 60 % 80 % 100 %

Automatisierungsgrad von Kontrollen

Abbildung GRC-relevanterInformationen im IT-System

Softwareunterstützung der GRC-Aktivitäten


21 % 31 % 17 %31 %

25 % 47 % 21 % 7 %

32 % 32 % 9 % 27 %

Abbildung 22: Prozesssicht ‚IT-Unterstützung und Automatisierung‘

0 % 20 % 40 % 60 % 80 % 100 %

Return

Deliver

Innovate

Make

Source

Manage 29 % 46 % 21 %4 %

26 % 35 % 13 % 26 %

35 % 20 % 10 % 35 %

50 % 25 % 10 % 15 %

23 % 27 % 14 % 36 %

30 % 35 % 5 % 30 %


23


theoretischer Wert von 100 Prozent wäre, ungeachtet seiner absoluten Höhe, die optimale GRC-Aufwandsef-fektivität.

In Beziehung zu dieser auf GRC als Ganzes bezogenen Wertgröße stehen die Resultate der Reifegradbetrach-tung der einzelnen Elemente. Die Bottom-up-Konso-lidierung zeigt den GRC-Gesamtreifegrad. In dieser Klassifi zierung ist die Qualität einer konsequenten, koordinierten Umsetzung und Ausführung der GRC-Komponenten im Unternehmen ausschlaggebend.

Bei der Bewertung des GRC-Gesamtreifegrads ist der überwiegende Teil der Unternehmen als Intermediate oder Improver im Mittelfeld eingestuft (vgl. Abbil-dung 24), die grundlegenden GRC-Anforderungen sind in beinahe allen Unternehmen erfüllt. Ein gänzlich anderes Bild ergibt sich bei der reinen Betrachtung der Effektivität. Trotz der breiten Ergebnisstreuung übersteigen in den meisten Unternehmen die regel-mäßig von Schäden verursachten Kosten die für GRC eingesetzten Mittel.

Eine aussagekräftige Charakterisierung einzelner Positionen in der Matrix lässt sich allerdings nur in Kombination beider Dimensionen erstellen. Die Identi-fi zierung von Ansatzpunkten berücksichtigt zunächst das Verhältnis beider Parameter je Wert.

Platzierungen in Segment A zeigen ein extremes Ungleichgewicht zugunsten der GRC-Güte. Obwohl in diesen Unternehmen zumindest ein mittlerer Reifegrad gegeben ist, übersteigen die Schäden die Ausgaben für GRC-Zwecke mitunter deutlich: das System ist ineffektiv. Auffällig ist die – trotz eindeu-tiger Regelung der GRC-Verantwortung bei 85 Prozent der Teilnehmer (vgl. Abbildung 4) – große Diskrepanz zur Bewertung der Effektivität oder GRC-Qualität, die keinesfalls im oberen Matrix-Bereich liegt. Die reine Existenz von Institutionen und Maßnahmen ist also kein Garant für hochwertige Ergebnisse. Von entschei-

Angaben wie Guidelines, Kontaktdaten, regulatorische Grundlagen oder aktuelle Kennzahlen tragen mit den Workfl ows wesentlich zu reibungslosen Abläufen und zur Akzeptanz des GRC-Themenkomplexes im Unter-nehmen bei. Ebenfalls ungenutzt bleibt bei zwei von drei Unternehmen das Potenzial, den GRC-Ressourcen-aufwand über automatisierte Kontrollen signifi kant zu reduzieren.

Die eindeutig negativen Ausprägungen in den Prozessen (Abbildung 22) belegen den in der Ausgangs-situation bereits dargestellten Sachverhalt, dass eine Vielzahl der Teilnehmer einen Bedarf an substanziellen Verbesserungen im Bereich IT sieht.

4.2. GRC als Gesamtsystem

„Das Ganze ist mehr als die Summe seiner Teile.“3 Analog ist auch GRC – über die Beurteilung der einzelnen Elemente hinaus – als Gesamtkomplex zu verstehen. Die Einstufung profi lgebender Bestand-teile anhand von Reifegraden im vorangegangenen Abschnitt bietet wertvolle Erkenntnisse, in welchen Bereichen GRC-Elemente über, im oder unter dem anvisierten Level liegen. Doch wie wird die Performanz insgesamt bewertet und welcher Aufwand ist für das angestrebte Schutzniveau eines Unternehmens einzukalkulieren?

Antworten auf Effektivitäts- und Effi zienzfragen gibt die GRC-Bewertungsmatrix mit der Darstellung einer grafi schen Beziehung zwischen dem GRC-Reifegrad eines Unternehmens und der entsprechenden Aufwandseffektivität. Ausgangspunkt dieses Indika-tors ist der übergeordnete Zweck von Aufwendungen im GRC-Bereich, Schäden unterschiedlicher Art zu vermeiden oder zu begrenzen. Danach wird der Aufwand erfasst, der im Rahmen von GRC auf dieses Ziel gerichtet ist. Trotz aller Kontrollmaßnahmen aufgetretene Schäden werden als Opportunitätskosten beziffert. Als GRC-Gesamtbudget ist die Summe des originären Betriebs- und Investitionsaufwands sowie der als Opportunitätskosten bewerteten Schäden zu verstehen (vgl. Abbildung 23).

Um zu ermitteln, welchen Beitrag der originäre GRC-Aufwand zur Realisierung seiner Bestimmung – Schadensvermeidung bzw. -verminderung – leistet, wird er zum GRC-Gesamtbudget in Beziehung gesetzt.

GRC-AufwandGRC-Gesamtbudget bietet eine Indikation, zu welchem Grad es gelingt, mit den vorgesehenen Mitteln eine möglichst große Schadensbegrenzung zu erzielen. Ein

Abbildung 23: Zusammensetzung des GRC-Gesamtbudgets

GRC-Gesamtbudget

GRC-Aufwand

Aufwand eines Unter-nehmens für das eigene GRC-System

Schäden

Aufwand eines Unter-nehmens aus entstan-denen Schäden

3 Aristoteles (384 v. Chr. – 322 v. Chr.)


24

Von den ersten beiden unterscheidet sich die Situation in Segment C. Unabhängig vom absoluten Aufwand wird mit gegebenen Mitteln eine gute Effektivität bei der Relativierung von Schäden erzielt. Dennoch zeigt diese Peergroup einen eher schwach ausgeprägten GRC-Gesamtreifegrad mit einem Ungleichgewicht zugunsten der Effektivität. Der entscheidende Unter-schied zu Beginner- und Intermediate-Unternehmen mit geringer Effektivität ist der Stellenwert von GRC in Unternehmen des Segments C: Die Bedeutung des Themas ist ungleich höher. Die Erzielung einer guten Effektivität erfolgt vorrangig über die Kompensation des geringen Reifegrads durch einen, relativ zum Output, profunden Ressourceneinsatz. Bezeichnender-weise erfolgen arbeitsintensive Tätigkeiten wie Kont-rolldurchführung, Monitoring oder Reporterstellung weitgehend manuell. Statt regelmäßig anfallende Kosten weiterhin für den reinen Betrieb aufzuwenden, bietet sich für Unternehmen in dieser Matrix-Position die Analyse und Optimierung ihrer GRC-Komponenten unter dem Gesichtspunkt der Effi zienz an. Potenziale, die insbesondere in der (Teil-)Automatisierung von Komponenten wie Berechtigungsmanagement, Doku-mentenmanagement, Kontrolldurchführung, Monito-ring oder Reporting liegen, bieten effi zienzbedingte Einsparmöglichkeiten im Zuge einer Rechtsverschie-bung der eigenen Matrix-Position.

dender Bedeutung ist die adäquate Umsetzung der Vorgaben und Anwendung der Instrumente, um bei der Anpassung identifi zierter Ansatzpunkte tendenziell eine Aufwärtsbewegung in der Bewertungsmatrix zu erzielen.

Anders ist die Konstellation in Segment B. Effektivitäts- und GRC-Reife-Level halten sich ungefähr die Waage. Niedrige Effektivitäts- und Reifegradwerte verzeichnen diejenigen Unternehmen, die dem Thema GRC einen lediglich geringen Stellenwert einräumen. Gemessen an der Vergleichsgruppe fehlt es hier zur Etablierung eines ausgestalteten GRC-Systems an entsprechendem quantitativen und qualitativen Engagement. Logische Konsequenz ist ein hohes Schadenspotenzial, das von den getroffenen Basismaßnahmen zwar relativiert wird, die Effektivität der insgesamt eingesetzten Mittel zeigt jedoch eine unbefriedigende Bewertung. Typisch für diese Ausgangssituation sind fragmentierte Maßnahmen, uneinheitliche Standards, Mängel in Aufbau- bzw. Ablauforganisation oder eine inkonse-quente Umsetzung. Hier gilt es, Effektivitätsverbesse-rungen über eine Steigerung des Reifegrad-Levels im GRC-Gesamtsystem zu erreichen. Die gezielte Identifi -kation und Schließung der Lücken mit gleichzeitigem Fokus auf die effektive Anwendung ist gleichbedeu-tend mit einer Optimierung im Sinne einer diagonalen Aufwärtsbewegung.

Abbildung 24: GRC-Bewertungsmatrix

GRC

-Auf

wan

dsef

fekt

ivit

ät

GRC-Gesamtreifegrad

Intermediate Improver Champion

100 %

75 %

50 %

25 %

0 %Beginner

AB

C

25



26

Obwohl die zahlreichen Ansätze der Teilnehmer variieren und je Unternehmen zu identifi zieren sind, ist ein Element besonders hervorzuheben: Die Kultur besitzt aufgrund ihrer maßgebenden Wirkung für Akzeptanz, Commitment und Motivation besonderen Stellenwert. Doch gerade hier ist bei der Mehrheit der Befragten ein verhältnismäßig schwach ausgeprägter Reifegrad vorhanden. Fehlt dieses Fundament oder ist es nur bedingt gegeben, beeinträchtigt dies alle weiteren GRC-Elemente, so gut diese auch für sich genommen ausgestaltet sein mögen.

Eine spezielle Facette im Element Kultur wird im Vergleich der Einzelaspekte GRC-Bewusstsein der Mitarbeiter und GRC-Bewusstsein der Führungskräfte deutlich. Ein Koeffi zient von knapp 0,7 zeigt hier eine klar positive Korrelation. Beide Werte entwickeln sich gleichförmig. Abbildung 25 gibt Aufschlüsse über die Relation: In der Regel liegt der Reifegrad für das GRC-Bewusstsein bei den Führungskräften über dem der

Beim Blick auf den GRC-Gesamtreifegrad, die Effek-tivität und die Ausprägung der entsprechenden Elemente wird klar: Die perfekte GRC-Umsetzung ist in den Untersuchungsergebnissen nicht beob-achtbar, genauso wenig wie extreme Ausprägungen bei der Entwicklung eines bestimmten Merkmals. Die individuelle Ausgestaltung und Intensität der GRC-Umsetzung ergibt sich primär aus unternehmens-spezifi schen Anforderungen mit unterschiedlicher Prioritätensetzung. Die Umfrageergebnisse zeigen, dass nahezu fl ächendeckend Stärken in einem Element Schwächen in einem anderen gegenüberstehen, die einen ausschließlich positiven GRC-Gesamtreifegrad verhindern. Bei der Orientierung am unternehmens-spezifi schen Gesamtreifegrad wird erkennbar, welche Detailergebnisse über- oder unterdurchschnittlich ausfallen. Die unterdurchschnittlichen Ausprägungen beeinträchtigen das Gesamtresultat markant und bieten konkrete Ansatzpunkte zur Optimierung.

27

Mitarbeiter. Doch darf diese Gruppe nicht vernachläs-sigt werden, da Mitarbeiter in wesentlichem Maß als Ausführende, Schnittstellen, Adressaten und Multipli-katoren fungieren. Der stetige, integre „tone at the top“ ist der entscheidende Ausgangspunkt für eine erfolgreiche GRC-Umsetzung.

Ein stärker integrierter Ansatz packt identifi zierte Schwachstellen an ihrer Ursache.

Weniger aus einem einzelnen Wert als aus durch-gängigen Angaben in unterschiedlichen Elementbe-urteilungen wird eine zweite wesentliche Erkenntnis gewonnen. Die offenen Integrationsmöglichkeiten von GRC zeigen beträchtliche ungenutzte Poten-ziale. Betroffen sind beide Dimensionen: sowohl die Integration von GRC-Funktionen zu einem Gesamt-system als auch die Integration von GRC-Elementen in Unternehmensorganisation und -prozessen. Vielfach

Abbildung 25: Korrelation im Aspekt ‚Bewusstsein‘

Bew

usst

sein

Mit

arbe

iter

Bewusstsein Führungskräfte


Champion

Improver

Intermediate

Beginner

Beginner

Der Durchmesser der Kreise repräsentiert den Umfang an Unternehmen in der jeweiligen Merkmalskombination.

�. Fazit und Ausblick


28

von manuellen Nachbearbeitungs- und Korrektur-tätigkeiten abgebaut werden. Unternehmen der Stufen Improver und Champion nutzen die technische Unterstützung, um über angebotene Eigenschaften wie Standardisierung von Feldern oder automatische Archivierung Nacharbeitsbedarf zu vermeiden. Analog stellt sich die Situation etwa in Bezug auf Kontroll-durchführung, Berechtigungsmanagement und Monitoring dar. Eine gezielte Analyse zur Erhebung von Automatisierungspotenzialen ist auch in diesem Kontext Voraussetzung für die gezielte Reduzierung aufwendiger manueller Tätigkeiten.

Eine Gegenüberstellung der Reifegrade von organisato-rischer Integration (sowohl im GRC-Bereich als auch im Unternehmen) und IT-Unterstützung/Automatisierung zeigt, dass diese beiden Faktoren sich gleichförmig entwickeln. Eine Korrelation von 0,7 drückt aus, dass die in einer integrierten GRC-Umsetzung bereits weit fortgeschrittenen Unternehmen ebenfalls in hohem Maße die Vorteile einer ganzheitlichen IT-Unterstüt-zung nutzen (vgl. Abbildung 26).

Die erhobenen Angaben der teilnehmenden Unter-nehmen besagen, dass keinesfalls ein einziger Faktor – ob Organisation, IT oder auch ein hoher Mitteleinsatz – alleine für das Niveau des GRC-Reifegrads maßgeb-lich ist. Unternehmen mit Werten im oberen Bereich zeichnen sich dadurch aus, dass sie nicht nur die enthaltenen Funktionen (IT-Security, Policy-Manage-

werden einzelne Komponenten wie Risikomanage-ment, Internes Kontrollsystem und Berechtigungsma-nagement separat organisiert und verantwortet. GRC wird nicht als Gesamtkomplex begriffen, und neben hohem Koordinationsaufwand kommt es zu Redun-danzen und Abdeckungslücken bei themenbezogenen Verantwortlichkeiten. Zusätzlich führt die Bearbeitung gemeinsamer Grundlagen, zum Beispiel eines Prozess-modells oder eines Risikobewertungsschemas, unter spezifi schen Gesichtspunkten eines einzelnen Bereichs mitunter zu widersprüchlichen Datenbeständen, die bei mangelhafter Kommunikation unbemerkt bleiben. Als wichtiger Grundstein für ein angemessenes GRC-Design erweist sich eine ausgewogene Gesamtkon-zeption, die den relevanten Funktionsumfang umfasst und sowohl jeweilige Belange als auch Interdepen-denzen in einem gemeinsamen Rahmen koordiniert abbildet.

Während eine unzureichende Integration bzw. Koordi-nation der GRC-Funktionen elementare Auswirkungen auf die GRC-Grundlagen hat, schlagen sich Defi zite bezüglich der GRC-Integration im Unternehmen insbe-sondere in der Umsetzung nieder. Die beobachteten Effekte sind dabei vor allem in der geringen Präzision bei der Umsetzung – meist aufgrund mangelhafter Prozessstandardisierung oder Einbindung der Mitar-beiter – sowie bei Kommunikations- oder Dokumen-tationsdefi ziten festzustellen. Häufi ge Ursachen liegen auch in der oft nur bedingten Zweckmäßigkeit verwendeter Tools. Erfolgreiche Beispiele unterneh-mensweiter GRC-Integration verfügen in erster Linie über ein durch regelmäßige Anpassungen stets aktu-elles GRC-System mit klar formulierten, etablierten Prozessen mit nutzerfreundlichen Anwendungen sowie eine begleitende barrierefreie Kommunikation als elementare Facetten.

Effi zienzgewinne – Es geht auch mit weniger.

Die Optimierung von GRC bedeutet nicht alleine die Identifi zierung und Behebung vorhandener Schwach-stellen, vielmehr bietet eine auf Integration bzw. Koordination von Funktionen zugeschnittene Evalua-tion etliche Verbesserungsoptionen unter Effi zienzge-sichtspunkten. Beispielsweise kann ein inkonsistenter Datenbestand vermieden werden, wenn Stammdaten für getrennte Funktionen nicht an unterschiedlichen Stellen in zwei abweichenden Versionen bearbeitet werden. Auch in personeller Hinsicht bedeutet das Einsparen redundanter oder vergleichbarer Tätigkeiten nach vorheriger Harmonisierung einen signifi kanten Gewinn. Des Weiteren kann der beträchtliche Aufwand

Abbildung 26: Korrelation von ‚Integration‘ und ‚IT-Unterstützung‘

Der Durchmesser der Kreise repräsentiert den Umfang an Unternehmen in der jeweiligen Merkmalskombination.

GRC

-Ges

amti

nteg

rati

on

IT/Automatisierung


Champion

Improver

Intermediate

Beginner

Beginner

29

. Fazit und Ausblick

Maßnahmen die erforderlichen Effekte bringen. Aus einer ganzheitlichen Realisierung entstehen Poten-ziale, die gleichermaßen auf die Umsetzungseffi zienz als zentralen Werttreiber sowie rückwirkend auf das GRC-Bewusstsein aller Ebenen als Kernkomponente der Kultur Einfl uss nehmen .

ment, Internes Kontrollsystem etc.) sondern auch die elementaren Bestandteile eines GRC-Systems (Kommu-nikation, Prozesse, IT etc.) interdependent betrachten und weitgehend integriert umsetzen. Der anvisierte Gesamtreifegrad determiniert, in welchen Feldern konkreter Handlungsbedarf besteht und welche


30

(A) Überblick der GRC-Elemente

Tabelle 1: GRC-Elemente inklusive der zur Bewertung herangezogenen Kriterien

GRC-Elemente Kriterien

Kultur

Wahrnehmung und Bedeutung des Themas GRC in der Führungs-ebene und bei den Mitarbeitern

• Bewusstsein der Mitarbeiter und der Führungskräfte bzgl. GRC

• Vertrauen der Mitarbeiter in GRC-Organisationselemente

• Umgang mit GRC-bezogenen Veränderungen

Transparenz &Kommunikation

Transparenz von Kosten und Informationen sowie adäquate Kommunikation bezüglich GRC im Unternehmen

• Informationsweitergabe an fachlichen Prozessschnittstellen

• Kommunikation der GRC-internen Abteilungen untereinander

• Transparenz der Kosten für (Non-)Compliance und Risikoprävention

Integration

Zusammenwirken der Einzelfunk-tionen als strategischer Wert-treiber

• Integration von Governance, Risk Management und Compliance zu einem Gesamtansatz

• Etablierung der GRC-Prozesse im Unternehmen

• Einbindung der GRC-Perspektive in Unternehmensentscheidungen

• Integration von GRC in Prozessschritte

Prozesse

Defi nierte, strukturierte Prozesse innerhalb des gesamten Unter-nehmens

• Prozesse für den Umgang mit Risiken, Gesetzen und Regelungen

• Berücksichtigung von Standards

• Güte und Umfang von Kontrollen

• Standardisierung von GRC-Prozessen

Organisation

Defi nierte Verantwortlichkeiten und adäquates GRC-Reporting

• Reporting von GRC-Sachverhalten

• Verantwortlichkeiten und Zuständigkeiten

• Transparente Berichtswege

IT/Automatisierung

Abbildung der GRC-relevanten Aspekte in der Informationstech-nologie

• Softwareunterstützung der GRC-Aktivitäten

• Abbildung GRC-relevanter Informationen im IT-System

• Automatisierungsgrad von Kontrollen

Anhang

31

(B) Elemente des SCOR-Modells im Detail

Tabelle 2: Elemente des SCOR-Modells im Detail

Prozess Erläuterung Organisationseinheiten

ManageProzessübergreifende Aktivitäten mit regulierendem und/oder administrativem Charakter

Marketing, Personal, Finance, Audit, Controlling

SourceAktivitäten von der Bedarfsermittlung über den Einkauf bis zur Lagerung der Ressourcen

Einkauf, Beschaffungslogistik, Lagerhaltung

MakeAktivitäten von der Fertigungsablaufplanung bis zur Fertig-stellung und Kontrolle des Produkts

Fertigungsplanung, Fertigung/Produktion, Qualitätssicherung

InnovateAktivitäten von der Grundlagenforschung bis zum Test des fertigen Produkts

Forschung, Entwicklung

DeliverAktivitäten von der Kundenauswahl über den Warenaus-gang bis zum Zahlungseingang

Verkauf/Vertrieb, Logistik

ReturnManagement der Retouren von Kunden an das Unter-nehmen und vom Unternehmen an die Lieferanten

Kunden-/Lieferantenbetreuung, Rückgabemanagement


32

(C) Reifegrade mit kriterienspezifi scher Erläuterung

Tabelle 3: Reifegrade mit kriterienspezifi scher Erläuterung

Kriterium Ausprägung

Beginner Intermediate Improver Champion

1. Kultur

Bewusstsein der Mitarbeiter und der Führungskräfte bzgl. GRC

Negatives Bild von GRC unter Mitarbei-tern und Führungs-kräften.

Wahrnehmung und Akzeptanz von GRC als erforderliche Anforderung unter Mitarbeitern und Führungskräften.

Anerkennung von (Wettbewerbs-) Vorteilen eines effi zient funktio-nierenden GRC-Managements unter Mitarbeitern und Führungskräften.

Durchwegs posi-tives Image von GRC und Erkennung von Vorteilen unter Mitarbeitern und Führungskräften.

Vertrauen der Mitarbeiter in GRC-Stellen

Kein Vertrauen in unternehmens-interne GRC-Funkti-onen durch Mitar-beiter. Kaum oder kein Informations-fl uss.

Wenig Vertrauen in GRC-Funktionen durch Mitarbeiter. Weitergabe rele-vanter Informati-onen nur im Notfall.

Grundvertrauen in die Integrität und Vertraulichkeit von GRC-Funktionen. Regelmäßige Infor-mationsweitergabe.

Starkes Vertrauen in die Integrität und Vertraulich-keit interner und externer GRC-Funk-tionen. Proaktive Weitergabe von relevanten Sachver-halten.

Umgang mit Veränderungen in GRC-Zusammen-hängen

Negative Betrach-tung von Verän-derung in GRC-Zusammenhängen und Rahmen-bedingungen. Durchführung erst durch internen oder externen Druck.

Reaktives Erkennen von Veränderungen in GRC-Zusam-menhängen und Rahmenbedin-gungen.

Aktives Erkennen von Veränderungen in GRC-Zusam-menhängen und Rahmenbedin-gungen.

Proaktives Erkennen und aktives Umsetzen von Verän-derungen in GRC-Zusammenhängen und Rahmenbedin-gungen.

2. Transparenz/Kommunikation

Informationsweiter-gabe an fachlichen Prozessschnittstellen

Keine vollständig automatisierte Weitergabe von GRC-relevanten Informationen an den Prozessschnitt-stellen.

Automatisierte Weitergabe von GRC-relevanten Informationen an den Prozessschnitt-stellen.

Automatisierte Weitergabe von GRC-relevanten Infor-mationen an den Prozessschnittstellen unter Verwendung unternehmens-weiter Standards.

Automatisierte Weitergabe von GRC-relevanten Infor-mationen an den Prozessschnittstellen unter Verwendung unternehmens-weiter Standards. Überprüfung und Dokumentation von Weitergabe und Erhalt.

33

Anhang



Kommunikation der GRC-internen Abteilungen unter-einander

Keine ausreichende Kommunikation von GRC-relevanten Abteilungen.

Ausreichende Kommunikation, aber wenig Koordi-nation von GRC-rele-vanten Abteilungen.

Adäquate Kommuni-kation und verbes-serungswürdige Koordination von GRC-relevanten Abteilungen.

Adäquate Kommu-nikation und gute Koordination von GRC-relevanten Abteilungen.

Transparenz der Kosten für (Non-) Compliance und Risikoprävention

Ausreichende Identifi kation von Kosten der (Non-) Compliance und Risikoprävention auf Prozessebene.

Befriedigende Identifi kation von Kosten der (Non-) Compliance und Risikoprävention auf Prozessebene.

Gute Identifi kation von Kosten der (Non-) Compliance und Risikopräven-tion auf Prozess-ebene.

Sehr gute Identifi ka-tion von Kosten der (Non-) Compliance und Risikopräven-tion auf Prozess-ebene.

3. Integration

Integration von Governance, Risk Management und Compliance zu Gesamtkomplex

Aufteilung von Governance, Risk Management und Compliance auf einzelne horizon-tale Funktionen. Separate Arbeit der Bereiche.

Vereinzelte Kompe-tenzdivergenzen von Governance, Risk Management und Compliance. Teilweise Zusam-menarbeit der Bereiche.

Komplementäre Aufstellung von Governance, Risk Management und Compliance. Zusammenarbeit der Bereiche. Nicht standardisierte Zusammenarbeit der Bereiche.

Komplementäre Aufstellung von Governance, Risk Management und Compliance. Standardisierte Zusammenarbeit der Bereiche.

Verankerung der GRC-Prozesse im Unternehmen

Kaum defi nierte GRC-Prozesse.

Überwiegend Insellösungen für GRC-Prozesse.

GRC-Prozesse für einzelne Abtei-lungen.

Unternehmensweite GRC-Prozesse.

Integration der GRC-Perspektive in die Unternehmens-entscheidungen

Keine Berücksichti-gung der GRC-Pers-pektive bei Entschei-dungen.

Berücksichtigung der GRC-Perspektive bei operativen Entscheidungen.

Berücksichtigung der GRC-Perspektive bei operativen und teilweise bei stra-tegischen Entschei-dungen.

Berücksichtigung der GRC-Perspektive bei operativen und strategischen Entscheidungen.

Integration von GRC in Prozessschritte

Ausreichende Inte-gration von GRC auf Prozessebene.

Befriedigende Inte-gration von GRC auf Prozessebene.

Gute Integration von GRC auf Prozess-ebene.

Sehr gute Integra-tion von GRC auf Prozessebene.

4. Prozesse

Prozesse für den Umgang mit Risiken, Gesetzen und Rege-lungen

Kaum ausgereifte Prozesse.

Unregelmäßige Überprüfung der Prozesse.

Überprüfung der Prozesse.

Komplett ausge-reifte, genau defi nierte und regel-mäßig aktualisierte Prozesse.


34



Berücksichtigung von Standards

Keine bzw. seltene Verwendung von Rahmenwerken/ Standards für die Erstellung/das Update von Prozessen und Kon trollen.

Gelegentliche, uneinheitliche Verwendung von Rahmenwerken/ Standards für die Erstellung/das Update von Prozessen und Kon trollen.

Intensiver, einheit-licher Rückgriff auf Rahmenwerke/Stan-dards für die Erstel-lung/das Update von Prozessen und Kon trollen.

Intensiver, einheit-licher Rückgriff auf Rahmenwerke/Stan-dards für die Erstel-lung/das Update von Prozessen und konsequente Anpas-sung derselben auf die Bedürfnisse des Unternehmens und Kontrollen.

Güte und Umfang von Kontrollen

Keine Abdeckung vorgegebener Kontrollziele und des Kontrollbedarfs durch Kontrollen.

Abdeckung vorgege-bener Kontrollziele durch Kontrollen und teilweise Refl ek-tion des Kontrollbe-darfs durch diese.

Abdeckung vorgege-bener Kontrollziele durch Kontrollen und vollumfäng-liche Refl ektion des Kon trollbedarfs durch diese.

Effektive und effi -ziente Abdeckung vorgegebener Kon trollziele durch Kontrollen und vollumfängliche Refl ektion des Kon trollbedarfs durch diese.

Standardisierung von GRC-Prozessen

Ausreichende Stan-dardisierung von GRC-Prozessen auf Prozessebene.

Befriedigende Stan-dardisierung von GRC-Prozessen auf Prozessebene.

Gute Standar-disierung von GRC-Prozessen auf Prozessebene.

Sehr gute Stan-dardisierung von GRC-Prozessen auf Prozessebene.

5. Organisation

Reporting von GRC-Sachverhalten

Keine oder geringe Aufbereitung von GRC-relevanten Daten.

Manuelle Aufbe-reitung eines Teils der GRC-relevanten Daten auf Anfrage des Verantwort-lichen.

Kontinuierliche manuelle Aufberei-tung der GRC-rele-vanten Daten.

Kontinuierliche automatisierte Aufbereitung der GRC-relevanten Daten.

Verantwortlich-keiten und Zustän-digkeiten

Teilweise defi nierte Zuständigkeiten und Verantwortlich-keiten. Überschnei-dungen für viele Themenstellungen

Größtenteils defi -nierte Zuständig-keiten und Verant-wortlichkeiten. Überschneidungen für einige Themen-stellungen.

Vollständig unter-nehmensweite defi nierte Zuständig-keiten und Verant-wortlichkeiten. Bewusste Wahl von Überschneidungen.

Vollständig unter-nehmensweite unter Nutzung von Synergieeffekten defi nierte Zuständig-keiten und Verant-wortlichkeiten. Bewusste Wahl von Überschneidungen.

Transparente Berichtswege

Ausreichende Transparenz von Berichtswegen auf Prozessebene.

Befriedigende Transparenz von Berichtswegen auf Prozessebene.

Gute Transparenz von Berichtswegen auf Prozessebene.

Sehr gute Transpa-renz von Berichts-wegen auf Prozess-ebene.

35

Anhang



6. IT/Automatisierung

Softwareunterstüt-zung der GRC-Aktivi-täten

Einsatz weniger allgemeiner Tools (z. B. Standard-software) zur GRC-Unterstützung.

Analyse, Bearbei-tung und Archi-vierung weniger GRC-Sachverhalte durch speziell zuge-schnittene Tools.

Analyse, Bearbei-tung und Archi-vierung kritischer GRC-Sachverhalte durch speziell zuge-schnittene Tools.

Analyse, Bearbei-tung und Archivie-rung eines Großteils der GRC-Sachver-halte durch speziell zugeschnittene Tools.

Abbildung GRC-relevanter Informa-tionen im IT-System

Kaum oder gar keine Informationen über Risiken/Gesetze/ Regelungen im IT-System sowie keine Abbildung von zugehörigen Workfl ows.

Fragment artige Informationen über Risiken/Gesetze/ Regelungen im IT-System sowie teilweise Abbildung von zugehörigen Workfl ows.

Ausreichende Informationen über Risiken/Gesetze/ Regelungen im IT-System sowie brauchbare Abbil-dung von zugehö-rigen Workfl ows.

Vollständige und valide Informati-onen über Risiken/ Gesetze/Regelungen im IT-System sowie vollständige Abbil-dung der zugehö-rigen Workfl ows im IT-System.

Automatisierungs-grad von Kontrollen

Geringer Prozentsatz (0–25 %) der durch-geführten Kontrollen und Prozesse ist auf Prozessebene größ-tenteils automati-siert.

Moderater Prozent-satz (25–50 %) der durchgeführten Kontrollen und Prozesse ist auf Prozessebene größ-tenteils automati-siert.

Hoher Prozentsatz (50–75 %) der durch-geführten Kontrollen und Prozesse ist auf Prozessebene größ-tenteils automati-siert.

Sehr hoher Prozent-satz (75–100 %) der durchgeführten Kontrollen und Prozesse ist auf Prozessebene größ-tenteils automati-siert.

Wir helfen unseren Kunden, messbare und nachhaltige Ergebnisse zu erzielen

BearingPoint berät Unternehmen und Organisationen aus den Bereichen Commercial Services, Financial Services und Public Services bei der Lösung ihrer dringendsten und wichtigsten Aufgaben. In enger partnerschaftlicher Zusammenarbeit mit dem Kunden definieren BearingPoint-Berater anspruchsvolle Ziele und entwickeln Lösungen, Prozesse und Systeme entlang der gesamten Wertschöpfungskette. Dies bildet die Grundlage für einen außerordentlichen Beitrag zum Geschäftserfolg – und eine außergewöhnliche Kundenzufriedenheit. Seit der Übernahme durch seine Partner im Rahmen eines Management Buy-Out ist BearingPoint eine unabhängige Unternehmensberatung, die Unternehmertum sowie Management- und Technologiekompetenz auf einzigartige Weise vereint. Das Unternehmen beschäftigt rund 3.500 Mitarbeiter in 15 Ländern. Das Unternehmen hat europäische Wurzeln, agiert aber global.

Für weitere Informationen: www.bearingpoint.com

BearingPoint. Management & Technology Consultants

© 2012 BearingPoint GmbH, Frankfurt/Main. Alle Rechte vorbehalten. Gedruckt in der EU. Der Inhalt dieses Dokuments unterliegt dem Urheber-

recht. Veränderungen, Kürzungen, Erweiterungen und Ergänzungen, jede Veröffentlichung, Übersetzung oder gewerbliche Nutzung zu Schulungs-

zwecken durch Dritte bedarf der vorherigen schriftlichen Einwilligung durch BearingPoint GmbH, Frankfurt/Main. Jede Vervielfältigung ist zum

persönlichen Gebrauch gestattet und nur unter der Bedingung, dass dieser Urheberrechtsvermerk beim Vervielfältigen auf dem Dokument selbst

erhalten bleibt. – Photo credits: Fotolia – WP 0757 DE

BearingPoint GmbHSpeicherstraße 160327 Frankfurt am Main – Deutschland

www.bearingpoint.com

To get there. Together.

KontaktAnton Weig | Partner | +49 89 54033 7088 | [email protected]

Sicher zum Ziel – Reifegrad und Potenzial in Governance ...€¦ · 3 Vorwort Governance, Risk...

Documents

Transcript of Sicher zum Ziel – Reifegrad und Potenzial in Governance ...€¦ · 3 Vorwort Governance, Risk...