Zum Hauptinhalt springen

Integrated Governance, Risk & Compliance (GRC)

Die Vorteile intergerierter GRC-Teilsysteme

Wenn von Governance Risk & Compliance (GRC oder auch GRC-Systeme) die Rede ist, so werden damit im klassischen Sinne das Compliance Management System (CMS), das Risikomanagementsystem (RMS), das internes Kontrollsystem (IKS) sowie das interne Revisionssystem (IRS) angesprochen. Eine auf das Unternehmen maßgeschneiderte Integration dieser GRC-Teilsysteme gewährleistet nicht nur die frühestmögliche Identifikation und Steuerung von Top-Risiken (Effektivität), sondern führt auch zu einer Steigerung der Effizienz durch Auflösung von Silo-Effekten der einzelnen Teilsysteme.

Die Teilsysteme des GRC und ihre Verzahnung

Die GRC-Teilsysteme IRS, CMS, RMS und IKS hängen funktional eng zusammen, überschneiden sich teilweise, ergänzen sich und sind in ihrer Wirksamkeit voneinander abhängig. Für die Wirksamkeit und vor allem Wirtschaftlichkeit dieser Systeme ist daher entscheidend, dass ihre Elemente, Instrumente und Prozesse sorgfältig aufeinander abgestimmt sind. Das Erkennen und gezielte Nutzen von Synergien durch gemeinsame, integrierte Prozesse dient der Vermeidung von 

  • Lücken der Risikoidentifikation, -bewertung und -steuerung 
  • Redundanzen, 
  • Insellösungen, 
  • Überlappungen, 
  • Doppelarbeit und 
  • Bürokratisierung. 

Ziele eines Integrated GRC

Das Ziel sollte es daher sein, die GRC-Systeme so zu konzipieren, dass IRS, CMS, RMS und IKS effizient und wirksam zusammenarbeiten. So gelangt man von siloartigen Teilsystemen zu einer integrierten Management-Lösung: Integrated GRC. 

Insbesondere für börsennotierte Unternehmen sind auch Nachhaltigkeitsaspekte bei der Konzeption eines Integrated GRC zu beachten: Gemäß Empf. A.1 DCGK 2022 soll der Vorstand die mit den Sozial- und Umweltfaktoren verbundenen Risiken und Chancen für das Unternehmen sowie die ökologischen und sozialen Auswirkungen der Unternehmenstätigkeit systematisch identifizieren und bewerten. Flankierend dazu soll gemäß Empf. A.3 DCGK 2022 das IKS und das RMS auch nachhaltigkeitsbezogene Ziele abdecken.

Für die Etablierung integrierter GRC-Teilsystem haben sich in der Praxis zwar punktuell bestimmte Good-Practice-Ansätze herausgebildet. Beispiele sind etwa die gemeinsame Berichterstattung der Governance-Funktionen oder die Bildung eines übergeordneten GRC-Committee, um die zwingend notwendige Kommunikation zwischen den Governance-Funktionen sicherzustellen. Im Übrigen belegen Unternehmens-Fallbeispiele jedoch, dass beim organisatorischen Design bzw. der konkreten Umsetzung eines integrierten GRC eine große Varianz besteht. Letztlich muss in jedem Unternehmen individuell analysiert und definiert werden, welcher Grad der Integration der Governance-Systeme pragmatisch und sinnvoll umgesetzt und gelebt werden kann. Dies kann auf der Grundlage folgender Faktoren geschehen: 

  • Risikodisposition
  • vorhandene (personellen und finanziellen) Ressourcen
  • Reifegrad vorhandener Teilsysteme 
  • Ggf. regulatorische Spezialvorgaben (z.B. im Banken- und Versicherungssektor)

Integrated GRC als Grundlage für das Three Lines of Defense Models

Das Zusammenwirken der GRC-Teilsysteme innerhalb der Governance Struktur ist der Grundgedanke des international anerkannten Modells der drei Abwehrlinien (sog. Three Lines of Defense Model). Dieses wurde im Jahr 2020 durch das Institute of Internal Auditors (IIA )) überarbeitet und seitdem unter dem Begriff „Three Lines Model“ fortgeführt. Das Three Lines Model beschreibt die drei internen Verteidigungslinien eines Unternehmens gegen Regelverstöße: 

  • Die operativen Einheiten bilden die First Line, welche die zentrale Verantwortung für die Identifizierung, Beurteilung, Kontrolle sowie entsprechende Minimierung der Risiken im Rahmen des Tagesgeschäfts trägt. 
  • Die Second Line bilden die Zentralfunktionen CMS, RMS und IKS, welche die in der First Line konzipierten Kontrollen überwachen und bei Bedarf optimieren sollen. Die Verantwortung für die Einrichtung dieser Funktionen liegt beim Vorstand, der wiederum vom Aufsichtsrat überwacht wird. 
  • Die Interne Revision als unabhängige Überwachungsinstanz im Auftrag des Vorstands bildet die Third Line. Sie prüft die Wirksamkeit der ersten beiden Linien.

Mit einem integrierten Governance-System lässt sich die Effektivität und Effizienz der Governance erhöhen und gleichzeitig signifikante Kosteneinsparungen durch die Hebung von Synergien und den Abbau redundanter Prozesse realisieren.

In einer Kurz-Präsentation haben wir die wichtigsten Eckdaten für eine integrierte Governance für Sie zusammengefasst. 

Fanden Sie dies hilfreich?

Vielen Dank für Ihr Feedback

Wenn Sie helfen möchten, Deloitte.com weiter zu verbessern, füllen Sie bitte folgendes aus: 3-min-Umfrage