»Compliance wird mit Software einfacher«

von petra.adamik@informationweek.de

Share
22.04.2009

GRC steht für Governance, Risk, Compliance und geht im professionellen Umfeld inzwischen alle an. Kein Unternehmen kann sich davor drücken, seine Geschäftsprozesse an Compliance-Anforderungen anzupassen. Mit einer entsprechenden Software geht das sogar vergleichsweise einfach, meint Narina Sippy, bei SAP Senior Vice President GRC-Software. Mit ihr sprach Petra Adamik für Informationweek über das Thema und seine Auswirkungen auf Unternehmen.

Narina Sippy, Senior Vice President, Governance-, Risk- und Compliance-Management, SAP

Informationweek: Für welche Firmen oder Organisationen ist Compliance-Software notwendig?

Narina Sippy: Alle Unternehmen, unabhängig von Rechtsform, Größe, Branche oder Standort, unterliegen in der einen oder anderen Weise Compliance-Anforderungen. Bei Organisationen in stark regulierten Branchen kann Compliance die Erfüllung bestimmter Rechnungslegungsanforderungen bedeuten. Bei anderen wird Compliance vielleicht eher durch die Anwendung interner Prozesse oder Vorgehensweisen erreicht, die eine umfassende Lenkung sowie die Aufsicht über die Unternehmensabläufe ermöglichen. Für viele andere Organisationen ist Compliance jedoch eine Kombination aus beidem. Governance, Risk und Compliance-Technologien unterstützen Unternehmen beliebiger Größe bei der Automatisierung und Steuerung der Compliance gemäß der für sie geltenden gesetzlichen Vorschriften und unternehmensinternen Richtlinien.

Informationweek: Welche Bereiche muss eine professionelle Compliance-Software abdecken?

Narina Sippy: Zunächst einmal muss eine umfassende Governance, Risk and Compliance- (GRC-) Lösung die zentralen Geschäftsprozesse und Steuermechanismen vollständig abdecken, die innerhalb eines Geschäftsbereichs eingesetzt werden. Hierbei sollte sie umfassende Funktionen für die Automatisierung der Verwaltung, des Testens und der Dokumentation dieser zentralen Steuermechanismen Bieten. Das gilt für jeden Geschäftsprozess in jedem IT-System, das in einem Unternehmen produktiv genutzt wird. Darüber hinaus muss eine GRC-Lösung natürlich auch an der Unternehmensstrategie ausgerichtet sein. Dazu gehört, dass sie eine Gesamtsicht der strategischen Initiativen des Unternehmens sowie der damit verbundenen Risiken und des Grades ihrer Umsetzung auf jeder Ebene der Unternehmensabläufe ermöglicht. Und schließlich muss eine GRC-Lösung umfassende Funktionen für die proaktive Überwachung aller Geschäftsprozesse und der gesamten IT-Infrastruktur liefern. Auf diese Weise kann eine Organisation sicherstellen, dass die Compliance erhalten bleibt und etwaige Risiken entschärft werden, bevor die Unternehmensleistung oder der Compliance-Status in Gefahr geraten.

Arbeitsbereich innerhalb der GRC-Software von SAP

Informationweek: Welche Abläufe lassen sich mit einer Compliance-Software automatisieren?

Narina Sippy: GRC-Technologie kann die Automatisierung des Managements, des Testens und der Berichterstattung innerhalb jedes zentralen Geschäfts- oder IT-Prozesses unterstützen. Manuelle Steuermechanismen sind eine direkte Ursache dafür, dass heute in vielen Unternehmen so hohe Kosten für die Erreichung von Compliance entstehen. Insofern können Unternehmen durch das Automatisieren dieser Prozesse erhebliche Kosteneinsparungen erzielen und gleichzeitig die Gesamtleistung bei der Durchführung ihres Compliance-Programms verbessern. Eine Automatisierung in dieser Form bietet auch zentralisierte Funktionen für die Verwaltung aller Steuermechanismen, die für die Einhaltung von gesetzlichen und unternehmensinternen Vorschriften benötigt werden. Mit einer entsprechenden Softwarelösung können Unternehmen zudem die Steuerung jener zentralen Prozesse in den Bereichen Finanzwesen, IT, Personalwesen und im operativen Betrieb standardisieren, die für die Steuerung der Compliance auf Unternehmensebene entscheidend sind.

Informationweek: Kann man tatsächlich alle erforderlichen Prozesse automatisieren, oder ist eine menschliche Kontrolle beziehungsweise ein menschliches Eingreifen bei einigen Abläufen nach wie vor notwendig?

Narina Sippy: GRC-Lösungen sind ein zentraler Baustein jedes Compliance-Programms. Sie helfen Organisation dabei, den notwendigen Überblick darüber zu gewinnen, wie Compliance intern realisiert wird, welche Risiken entschärft werden müssen und zu welchem Grad die übergeordneten strategischen Initiativen umgesetzt werden. Allerdings können diese Technologien keine Menschen ersetzen. Vielmehr können die Menschen, die mit der Umsetzung eines GRC-Programms betraut sind, mit der richtigen Softwarelösung an der Hand wesentlich effizienter und vorausschauender handeln. Denn dank der Möglichkeiten, die GRC-Software in punkto höherer Transparenz und tieferes Verständnis bietet, können diese Menschen in Hinblick auf die Steuerung des Unternehmens bessere und fundiertere Entscheidungen treffen.

Arbeitsbereich innerhalb der GRC-Software von SAP

Informationweek: Worauf sollte ein Unternehmen bei der Entscheidung für eine Compliance-Software achten?

Narina Sippy: Viele Organisationen machen einen entscheidenden Fehler: Sie betrachten Governance, Risk and Compliance separat, also auf einzelne Geschäftsbereiche und Vorschriften bezogen. Diese Denkweise führt aber zu mehr Komplexität, höheren Kosten und weniger Transparenz in der gesamten Organisation. Die Fragmentierung kann nur vermieden werden, wenn Governance, Risk and Compliance als unternehmensübergreifendes Programm betrachtet wird. Bei einem unternehmensübergreifenden Ansatz kann die Organisation auf Prozessebene koordiniert und standardisiert werden. Das ist die einzige Möglichkeit, die Performance eines Compliance-Programms zu steigern. Hinzu kommt, dass quasi jedes Unternehmen heute mit einer Plattform aus heterogenen IT-Systemen arbeitet. Diese umfasst eine Vielzahl uneinheitlicher ERP-, CRM-, HR-, Finanz- und operativer Systeme, vielfach sogar noch Altsysteme. Alle diese Systeme sind entscheidend für die betrieblichen Abläufe im Unternehmen. Und alle stellen wichtige Steuermechanismen für ein Compliance-Programm bereit. Wenn eine Compliance-Lösung allerdings beispielsweise nur ein CRM-System unterstützt, aber nicht die zugrunde liegenden ERP- oder Altsysteme, gefährdet dies den Status der Compliance insgesamt. Daher sollte eine solche Lösung von vornherein ausscheiden. Eine professionelle GRC-Lösung muss also alle diese zugrunde liegenden Systeme und Plattformen integrieren und unterstützen, damit alle spezifisch zutreffenden Compliance-Anforderungen vollständig abgedeckt sind. Und schließlich sollte hinter einem GRC-Anbieter ein starkes Partnernetzwerk stehen. Dieses stellt nämlich sicher, dass über die bestehende Lösung hinaus branchenspezifische Inhalte, zusätzliche Funktionen und damit mehr Flexibilität sowie Mehrwertdienste genutzt werden können. Im heutigen Marktumfeld bedeutet Compliance, dass ein Unternehmen den internen und externen Stakeholdern gegenüber eine effektive Kontroll- und Steuerungsstruktur – Governance - demonstriert und dadurch Vertrauen rechtfertigt. Unternehmen, die die richtige GRC-Lösung implementieren, können insofern einen großen Schritt in Richtung Vertrauensaufbau und Wettbewerbsvorteil machen.

Informationweek: Vielen Dank für das Gespräch.
Verwandte Artikel