Markus Müller ist Corporate IS – Global Governance, Risk & Compliance Experience Lead bei ABB. Im Bloginterview gibt er uns einen Überblick über die aktuellen IT-Compliance und GRC Herausforderungen, und erzählt praxisnah, worauf GRC Verantwortliche bei Digitalisierung und Digitaler Transformation achten müssen.
Was sind 2021 die größten Herausforderungen bei der IT-Compliance?
Die größten Herausforderungen sind nach wie vor im Bereich SOX Compliance zu finden. Daneben werden EU-Richtlinien zur Data Privacy und aufgrund der geopolitischen Situation auch gesetzliche Vorgaben zur Exportkontrolle im Fokus sein. Es wird zunehmend wichtig, die kontinuierliche Identifikation von Compliance Anforderungen im Blick zu haben.
Was braucht es, um eine ganzheitlichen Governance, Risk & Compliance Betrachtung zu erhalten?
Es geht darum, zielgruppengerecht zu kommunizieren. Kommunikation ist das A und O in GRC. Wir versuchen anhand von praktischen Beispielen in unserer Kommunikation etwas wortreicher zu sein und jeden anzusprechen, so dass GRC nicht als eine Stabsfunktion in ihrem Elfenbeinturm wahrgenommen wird. Dabei wird Governance als wichtiges Element positioniert, um die Mandate und den Entscheidungsrahmen bereitzustellen. Risikomanagement ist essenziell zur proaktiven Vorbeugung und wenn es im Riskmanagement nicht gut läuft, dann bekommt compliance management alle Hände voll zu tun.
Einerseits kommunizieren wir diese und ähnliche Zusammenhänge eines ganzheitlichen GRC, andererseits müssen wir auch erklären, warum GRC benötigt wird und was die realen Probleme sind, die wir mit GRC zu lösen versuchen. Eines der wichtigsten Dinge für mich ist, dass wir erkennen, was die tatsächlichen Ursachen der Probleme sind, die wir mittels GRC zu lösen versuchen. Dabei setzen wir Datenanalyse ein, um aus Daten Informationen zu gewinnen, die uns faktenbasierte Diskussionen erlauben.
GRC wird oft mit der Einstellung “es muss einfach getan werden” durchgeführt, was direkt zu einer Diskussion darüber führt, wie wir die Dinge tun. Was oft versäumt wird, ist, nach gründlicher Überlegung das Bewusstsein dafür zu schaffen, warum wir etwas tun. Es ist sehr wichtig, dass wir uns darauf konzentrieren, die Vorteile zu realisieren, die durch eine ganzheitliche Betrachtung von GRC ermöglicht werden.
Wie beeinflusst die Transformationen in Richtung digitales Unternehmen die Governance, das Risiko- und das Compliance-Management?
Wenn wir uns digitale Programme anschauen, sehen wir oft das, was ich als „auf den fahrenden Zug aufspringen“ nenne: Jeder springt darauf auf, um noch mitzukommen, aber nicht viele Fragen danach, wo das Ziel der Reise ist.
Die Effektivität von GRC hängt unter anderem von der Fähigkeit ab, Geschäftsziele zu definieren. Digitalisierung der Digitalisierung halber ist dabei kein ideales Geschäftsziel. Oft haben wir eine Technologielösung und finden dann potenzielle Probleme, zu denen diese passen könnte. Wenn Sie anfangen zu digitalisieren, was heute nicht funktioniert, werden Sie später nicht unbedingt besser dastehen. Die digitale Transformation kann sehr teuer werden, wenn man nicht vorher klar definiert hat, was die Organisation wann erreichen will. Genau hier ist GRC essenziell, um den Strategieprozess mit den bestehenden und durch eine Digitalisierung entstehenden Risiken in Einklang zu bringen.
Was verändert sich in Hinblick auf GRC durch eine Digitalisierung, insbesondere was die Organisationskultur betrifft?
Man sollte zunächst unterscheiden, ob man versucht, ein ursprünglich analoges Geschäft zu digitalisieren (oft als “Digitalisierung” bezeichnet) oder ob man zu einem völlig neuen digitalen Modell übergeht, das die Art und Weise, wie die Organisation funktioniert, komplett verändert. Oftmals wird dies verwechselt, es handelt sich allerdings um zwei grundverschiedene Änderungsvorhaben.
Im letzteren Fall funktionieren traditionelle Governance-Ansätze, die sich auf das Management von Risiken konzentrieren, nicht mehr so wie früher. Wenn wir GRC nicht als integralen Bestandteil der Gestaltung des Betriebsmodells betrachten, landen wir in einer Situation, in der die Organisation am Markt nicht führend ist, sondern versucht entstandene Nachteile zu kompensieren, um wieder aufzuholen. Damit wird die Hauptintention von GRC behindert, nämlich die Richtung vorzugeben und den Führungskräften einen Leitfaden zu bieten, die Organisation an einen Ort zu führen, an dem ihre Marke und ihre Zukunft geschützt und gesichert ist.
Im ersten Fall („Digitalisierung“) besteht eine große Herausforderung darin, Altsysteme in neue digitale Umgebungen zu integrieren. Oft sucht man nach einer Lösung, die die aktuellen Systeme und Arbeitsweisen unterstützt und die Meinung darüber stützt, wem was bereits gehört, statt aus Sicht der Gesamtunternehmung neu zu denken und zu handeln. Hier kann GRC eine wichtige Rolle spielen das zu verhindern.
Wir müssen auch erkennen, wie sehr sich die Organisationskultur auf die Art und Weise auswirkt, wie GRC wahrgenommen wird. Eine Organisation, die hierarchisch und politisch geprägt ist, wird andere Anforderungen an ihren Steuerungsrahmen haben als eine neue Arbeitsorganisation mit flachen Hierarchien und agilen Arbeitsweisen, was im Digitalen Umfeld oft anzutreffen ist. Im ersten Fall sind Richtlinien vorherrschend und im zweiten Fall funktioniert GRC oft über Prinzipien, die von der Geschäftsleitung aufgestellt werden und die quasi Leitplanken bilden, innerhalb derer sich die Mitarbeiter (möglichst kreativ) bewegen und im Interesse der Organisation handeln können.
Das Prinzipal-Agent-Problem, das die Grundlage dafür ist, warum GRC benötigt wird, verschärft sich, wenn Organisationen wachsen, und daher beobachte ich derzeit viele Konzerne, die in kleinere, agilere und föderale Organisationen umstrukturiert werden, die lose unter einer einzigen Marke agieren.
Wenn Sie keines unserer Factsheets verpassen wollen, abonnieren Sie unseren Confare Newsletter. Wollen Sie an unseren Publikationen oder bei den Digital Confare CIO ThinkTanks mitwirken, melden Sie sich gerne bei melanie.vacha@confare.at
