Governance, Risk & Compliance
Einleitung
Sind Sie im Compliance-Management, Prozessmanagement, Qualitätsmanagement, Nachhaltigkeitsmanagement, Sicherheitsmanagement oder im Datenschutz tätig? Oder haben Sie vielleicht eine der zahlreichen anderen wichtigen Managementfunktionen innerhalb Ihres Unternehmens inne?
Ja, Sie sehen schon, in einem Unternehmen treffen viele verschiedene Fachleute aufeinander! Und je nach Managementfunktion verfügen Sie über wertvolle Fähigkeiten und fachspezifische Expertise. Trotz unterschiedlicher Aufgabenbereiche und Perspektiven, verfolgen Sie aber alle ein gemeinsames Ziel – die Schaffung eines effektiven und effizienten GRC-Systems.
Wenn Sie jetzt allerdings das Gefühl haben, dass Sie und andere Managementfunktionen nicht am selben Strang ziehen, dann könnte das daran liegen, dass in Ihrem Unternehmen der Ansatz der isolierten Systeme verfolgt wird. Was das genau bedeutet und wie Sie es schaffen können eine gemeinsame Kommunikationsbasis für eine effiziente Aufgabenerfüllung zu schaffen, erfahren Sie in diesem Blog-Beitrag!
Die Vorteile eines integrierten GRC-Ansatzes beim Aufbau
Das Governance, Risk & Compliance (GRC) System eines Unternehmens oder einer Organisation stellt unbestritten einen wesentlichen Bestandteil der Unternehmensführung („Corporate Governance“) dar. Verschiedene Managementfunktionen wie Risikomanagement, Compliance-Management, Internes Kontrollsystem, Sicherheitsmanagement, Datenschutz oder Notfall- und Krisenmanagement dienen dazu, das Unternehmen vor Gefahren und Risiken zu bewahren, Chancen zu erkennen und so insgesamt den Fortbestand der Institution zu sichern. Damit diese Aufgaben effizient und effektiv erfüllt werden können, spielt die technische und organisatorische Ausgestaltung dieser Managementfunktionen eine entscheidende Rolle.
Beim Aufbau eines GRC-Systems können Unternehmen grundsätzlich zwei Strategien verfolgen – den Ansatz der isolierten Systeme, der sogenannten Management-Inseln, oder aber den integrierten Ansatz.
Im Zuge des isolierten Ansatzes, definiert jede GRC-Funktion für sich ein Managementsystem, sprich ohne Abhängigkeiten mit anderen GRC-Funktion zu berücksichtigen und ohne die Auswirkungen auf die operativen Einheiten zu bedenken. Vielversprechender im Vergleich dazu ist es, das GRC-System mit den verschiedenen Managementfunktionen integriert aufzusetzen und Synergien zu schaffen.
Gegenüberstellung isolierter Ansatz und integrierter Ansatz
Die Gegenüberstellung in der obigen Grafik macht deutlich, dass Unternehmen beim Aufbau ihres GRC-Systems auf einen integrierten Ansatz setzen sollten. Das bedingt zwar einerseits eine verstärkte Abstimmung zwischen den einzelnen Themenbereichen, die Vorteile eines integrierten GRC-Systems sprechen allerdings für sich.
Sehen Sie sich unser Webinar zum Thema integrierte Managementsysteme an und lernen Sie mehr darüber, wie Risikomanagement, IKS und GPM voneinander profitieren.
Das Three-Lines-Modell als Basis für Ihr GRC-System
Als Basis für den Aufbau und Betrieb des integrierten GRC-Systems hat sich das Three-Lines-Modell (kurz: 3LM; auch Modell der drei Linien) der European Confederation of Institutes of Internal Auditing (ECIIA) & der Federation of European Risk Management Associations (FERMA) bewährt.
Es stellt einen einfachen aber sehr effektiven Ansatz dar, um die Interaktionen und Kommunikationen der verschiedenen Managementfunktionen zu verbessern sowie essentielle Rollen und Pflichten zu beschreiben und zu klären.
Das Modell unterteilt dabei eine Organisation in 3 Linien, die sogenannten Three-Lines, welche Aufgaben für die folgenden drei Gruppen definieren:
- Aufgaben der operativen Einheiten
- Aufgaben der GRC-Funktionen
- Aufgaben, die unabhängige Beratung und Sicherheit bieten
Wenn wir eine Organisation in drei Ebenen aufteilen, die Grenzen der einzelnen Gruppen von Verantwortlichen festlegen und ihre Position in die gesamte Risiko- und Kontrollstruktur einordnen, können wir ein effektives Risikomanagement und somit den Erfolg von GRC leichter sicherstellen. Das Three-Lines Modell bietet also eine neue Sichtweise auf die Abläufe innerhalb eines Unternehmens, unabhängig von Größe oder Komplexität und trägt dazu bei, den kontinuierlichen Erfolg von Risikomanagement-Initiativen zu gewährleisten. Werfen wir also einen genaueren Blick auf jede der drei Linien:
1st Line – Operatives Management
Die sogenannte 1st Line ist durch das operative Management gekennzeichnet und stellt das Zentrum des Three-Lines Modells dar. Dieses besteht aus Sicht der Aufbauorganisation typischerweise aus den Abteilungsleitern bzw. Bereichsleitern, die die fachliche Verantwortung aller Prozesse in diesem Bereich innehaben. Über diese Prozesse werden die Aufgaben innerhalb der Organisationseinheit strukturiert und definiert. Mit der Prozessverantwortung geht insbesondere die Verantwortung für Kennzahlen, Risiken, Kontrollen und die Einhaltung von Compliance-Vorgaben einher.
2nd Line – GRC-Funktionen oder Assurance-Services
Auf der 2nd Line befinden sich die sogenannten „Hüter der Systeme“ der verschiedenen Disziplinen. Sie definieren das Vorgehen und die Methode, um die verschiedenen Aufgaben bzw. Pflichten innerhalb der jeweiligen Funktion wahrnehmen und erfüllen zu können. Dazu zählen Funktionen wie:
- Prozessmanagement
- Risikomanagement
- Internes Kontrollsystem
- Compliance-Management
- Corporate Security Management
- Datenschutz (DSGVO)
- Qualitätsmanagement
- Umweltschutz
- Arbeitssicherheit
- etc.
3rd Line – Interne Revision
Die letzte der drei Linien besteht aus der internen Revision, welche die Aufgaben der Überwachung des GRC-Systems übernehmen und auf Effektivität und Effizienz prüfen. Mit welchen Aufgaben sich die interne Revision genau beschäftigt, können Sie hier nachlesen.
Ein integriertes GRC-System im Kontext des 3-Lines-Models
Nutzen Sie das volle Potenzial eines integrierten GRC-Systems
Unbestritten eignet sich das Modell der Three Lines hervorragend dazu, um die einzelnen Themen und Aufgaben des unternehmensweiten Risikomanagements auf verschiedene Ebenen der Unternehmensführung aufzuteilen. Dieses Modell rein dafür zu nutzen, um Begriffe zu definieren bzw. Verantwortlichkeiten festzulegen, würde einige Potenziale auf der Strecke lassen. Den vollen Nutzen entfaltet dieser Ansatz, wenn die Systemverantwortlichen entlang der 2nd Line das Potenzial der Zusammenarbeit erkennen, um Querschnittsthemen gleichermaßen zu betrachten, und um dem operativen Management die Chance zu geben, die geforderten Aufgaben effizient, umfänglich und fristgerecht abzuschließen.
Die Abbildung der Three Lines ermöglicht zudem die Line-übergreifende Zusammenarbeit, v. a. der 1st und 2nd Line of Defence. Darüber hinaus erspart der dabei entstehende integrierte, und zentrale Datenbestand der internen Revision bzw. externen Prüfern eine aufwändige Datensammlung und die sofort verfügbaren, übersichtlichen und historisch nachvollziehbaren Daten reduzieren den Aufwand für die Datenanalyse. Diese Aspekte verschaffen der Revision zusätzliche Ressourcen, die für die Ausarbeitung von Verbesserungspotenzialen sowie für Beratungstätigkeiten genutzt werden können.
Sie möchten genauere Infos zu dem Aufbau eines integrierten GRC-Systems mit dem Three-Lines Modell? Alles dazu finden Sie in unserem kostenlosen Webinar! Mit einem Klick werden Sie direkt weitergeleitet.
Erhalten Sie wöchentliche Updates.
Verpassen Sie nie wieder die neuesten Inhalte.