Der Einsatz von Business Analytics zur Unterstützung von Governance, Risk & Compliance-Systemen

PrintMailRate-it

veröffentlicht am 30. April 2020 | Lesedauer ca. 3 Minuten


Die Digitalisierung von Geschäftsprozessen birgt nicht nur neue Herausforderungen und Handlungsfelder für Unternehmen, sondern v.a. auch Chancen für die Ausge­staltung, Steuerung und Überwachung der Governance, Risk & Compliance-Systeme (GRC-Systeme). Die Möglichkeiten des Einsatzes digitaler Instrumente haben einen ähnlichen Effekt auf die Operationalisierung der GRC-Systeme wie der Online-Handel auf den klassischen Einzel- oder Versandhandel.

   


Governance, Risk & Compliance

Mit Governance, Risk & Compliance werden die drei wichtigsten Handlungsfelder von Unternehmen zur Gestaltung und Überwachung einer guten und nachhaltigen Unternehmensführung zusammengefasst. Eine bewährte Darstellung der Handlungsfelder sowie der unternehmensinternen Zuständigkeiten und Verantwortlichkeiten bietet das sog. „Three Lines of Defense” Modell:



Die Verpflichtung zu einer guten und nachhaltigen Unternehmensführung – mithin die grundsätzliche Einrichtung und effektive Ausgestaltung der GRC-Systeme – ist für Unternehmen jeder Art und Größe schon seit den 90er Jahren (KonTraG) allgemein gefestigter Konsens. Aufgrund der fehlenden gesetzlichen Normierung bei mittelständischen aber auch kleinen kapitalmarktorientierten Unternehmen besteht häufig Unsicherheit beim Umfang der Maßnahmen, die das Management einzurichten hat.

Insbesonders aufgrund der International­isierung und damit einhergehenden Diversifizierung der unterneh­menseigenen Organisationstrukturen sowie der Zunahme exogener Risiken und regulatorischer Anforderungen auf den verschiedenen Märkten, geraten die GRC-Systeme in den Fokus der Gesellschafter, Aktionäre, Aufsichtsräte und Beiräte mittelständischer familiengeführter Unternehmen.

In der Praxis erfährt die Umsetzung der Anforderungen an GRC-Systeme bei mittelständischen Unternehmen Unterstützung durch die Benennung eines Compliance-Beauftragten bzw. Risikomanagers oder durch die Übertragung von Maßnahmen auf das Controlling bzw. Beteiligungscontrolling. Die Einrichtung einer Abteilung für Interne Revision ist dagegen selten.

Ressourcen sind oft knapp oder nicht ausreichend vorhanden, um die GRC-Systeme effektiv auszugestalten und zu überwachen. Insbesondere trifft das zu, wenn Unternehmen schnell international expandiert sind und Maßnahmen des Risiko- und Compliance-Managements nicht in gleicher Geschwindigkeit Schritt halten und damit angemessen implementiert werden konnten. Fehlende interne Kontrollen und Sicherungsmaßnahmen im internen Kontrollsystem, nicht rechtzeitig erkannte Risiken oder Compliance-Vorfälle sind die Konsequenz. Fehlende Transparenz über den Zustand der GRC-Systeme jeder Organisationseinheit in diversifizierten Unternehmen rund um Welt sind die ersten Anzeichen, die Handlungsfelder dem Management, Beirat oder Aufsichtsrat zu erkennen geben.


Unterstützung und Verbesserung der GRC-Systeme durch Business Analytics

Um Transparenz herzustellen oder zu erhöhen, ist die zielgerichtete Versorgung des Managements mit relevanten Informationen über den Zustand der GRC-Systeme der erste Schritt des Verbesserungsprozesses. Datenanalysen sind dabei eine besonders effiziente Methode, diesen Schritt operativ zu unterstützen. Sie eignen sich insbesondere, wenn hoch-integrierte Enterprise Risk Planning-Systeme (sog. „ERP-Systeme”) innerhalb des Unternehmens genutzt werden. Das ist bei international aufgestellten Unternehmen zunehmend der Fall.

In der Praxis stellen sich dabei folgende Fragen:

  • Wie können Daten für Analyseprozesse genutzt werden, um Unternehmensprozesse möglichst effizient, flexibel und rechtskonform („compliant”) zu gestalten?
  • Welche Daten müssen in der Analyse berücksichtigt werden, um die passenden Antworten auf die Fragestellung zu erhalten?
  • Ist es möglich, die Daten schnell und ohne manuellen Aufwand in einer immer gleichbleibenden Qualität zu analysieren?
  • Wie wird die Konsistenz und Vergleichbarkeit der Analyseergebnisse sichergestellt?
  • Wie können die Ergebnisse so aufbereitet werden, dass Sie die Kontrollfunktionen entlang der „Three Lines of Defense” optimal unterstützen?


Die interdisziplinäre Zusammenarbeit von GRC-Spezialisten – die Best Practices zu Geschäftsprozessen kennen – und IT-Spezialisten für Datenanalysen führt dazu, dass maßgeschneiderte Antworten auf Fragen im GRC-Umfeld geliefert werden können.


Analytics4Audit

Unsere Plattform „Analytics4Audit” bildet die Grundlage für Business Analytics-Aktivitäten. Damit können wir Daten aus unterschiedlichen Quellsystemen  (zum Teil)  vollautomatisch importieren, aufbereiten und in eine sachlogische Reihenfolge bringen. Dazu werden relevante Daten aus den Geschäftsprozessen in sog. „Base Tables” aufbereitet. Auf dieser Datenbasis beginnen unsere Analysen. Wir haben so die Möglichkeit, insbe­sondere Fragen aus dem Bereich der operativen Kontrollen („Erste Verteidigungslinie”) schnell und effizient zu beantworten, z.B.:

  • Gab es im Einkaufsprozess zu jeder Rechnung einen Bestellbezug und einen Wareneingang?
  • Welcher Mitarbeiter hat den Zahlungsausgang gebucht?
  • Wurden Freigabegrenzen eingehalten?
  • Gab es Zahlungen an Länder, die als Steueroasen gelten?


Auch Fragestellungen aus dem besonders kritischen Bereich der Umsatzsteuer können durch Analysen unterstützt werden („Tax-CMS”).



Process Mining

Auf Basis von sog. Ereignisdaten werden die IT-gestützten Geschäftsprozesse in Form von End-to-End-Prozessen visualisiert. Dazu werden Transaktions- und Logdaten aus dem ERP-System ausgewertet und der Anwender erhält einen unverfälschten Blick auf den IST-Prozess.

Mit modernsten Analysemethoden sind wir in der Lage, jede einzelne Abweichung von Soll-Prozessen schnell zu identifizieren und bis auf Einzelfallebene zu verfolgen. Anders als bei Berechtigungsanalysen („Wer könnte…”), können mit Process Mining tatsächlich eingetretene SOD-Konflikte („Wer hat…”) identifiziert werden. Diese Art des „Process Discovery” kann unabhängig von der Unternehmensgröße oder der Branche bei IT-basierten Geschäftsprozessen eingesetzt werden.

Mit unserem Process Mining-Tool können Soll-Prozesse definiert und Abweichungen davon visualisiert werden. Die Kunst ist es, Abweichungen vom Soll-Prozess zu bewerten. Bei der Bewertung kann auf die Erfahrung unserer GRC-Spezialisten gesetzt werden.



V.a. durch Business Analytics können GRC-Systeme effizienter und sicherer werden.

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu