Enterprise GRC - raus aus dem Konzept, rein in die Umsetzung

0

Informationstechnologie bietet im Rahmen von GRC mehr als nur ein installiertes System. Sie kann unsere Fantasie beflügeln, wir können uns von ihr Denkanstöße holen, können (neuen) Herausforderungen meistern, scheinbar Unmögliches wird möglich und sie bringt uns eine ganzheitliche Sicht auf viele Dinge in Banken. Doch manchmal hat man den Eindruck, sie sei wie die Telefontechnologie. Man bemerkt ihre Vorteile schon gar nicht mehr, weil sie einfach da ist. Was in der 80ern als bombastisch neu galt und uns fantastische Möglichkeiten zu bieten schien, ist heute längst Standard und scheint der Erwähnung nicht mehr Wert. Wir glauben, alle Möglichkeiten und jedes Konzept ausgeschöpft zu haben, verlieren uns stattdessen in Kleinstdetails, wenn es um IT Innovationen geht, und vergessen das Vorhandene auszuschöpfen.

---- Chartis RiskTech Studie hier zum Download ------

Doch wir müssen lernen, dass die IT in Bezug auf GRC Anforderungen von den Banken noch lange nicht voll ausgeschöpft ist. Gerade wenn wir an die Infrastrukturen denken kann sie Großes leisten. Stichwort Integrierte Sicht auf alle an einem Prozess beteiligten Komponenten - das Zeug dazu hat sie ja!

Was früher nur konzeptuell gedacht werden konnte, kann heute durch die Technologie ganz real und konkret werden.

Peyman Mestchian, Managing Partner bei Chartis sagt in der RiskTEch100 Studie 2015 dazu: "Enhanced data aggregation, integrated analytics, workflow and reporting have created the opportunity to move from concept to reality."

Was passiert denn gerade in der Finanzwirtschaft? Sie wird heimgesucht von regulatorischem Druck und Governance, von Anforderungen an die Compliance, von integriertem / kollaborierendem OpRisk wie Harmonisierung der Risikokataloge. Die Diskussion um Big Data tut ihren Teil dazu. Wir sind mitten drin und nicht erst kurz davor. Und hier ist eben auch diese prozessuale Transparenz wichtig, die sich vom Silodenken verabschieden muss. Das geht nur mit moderner IT. Wer das Gegenteil behauptet, redet sich raus. Und die Banken müssen das erkennen und nutzen.

Nur Stückwerk – leider nichts Halbes und nichts Ganzes
In der Chartis RiskTech100 Studie von 2015 wird die integrative Sicht auf Risk und Compliance als eines des meist beachtetsten Themen gesehen. Warum? Aufgrund der Vielzahl von regulatorischen Änderungen und der damit verbundenen Komplexität soll durch eine Vereinfachung der Risko- und Compliance-Themen eine Effizienzsteigerung, aber auch ein besseres Risikomanagement erreicht werden. Ich erzähle Ihnen nichts neues, Sie kennen das!

Und genau deshalb, wegen dieser Regulatorik, werden die technischen Infrastrukturen für Finanzdienstleister immer wichtiger und rücken ins Visier der CIOs. Zum Beispiel setzen sich viele Banken mit dem Thema Internes Kontrollsystem für die Rechnungslegung zur Wahrung der Governance und Compliance im Rechnungswesen auseinander und haben selbstverständlich - neben organisatorischen und prozessualen Veränderungen - technische Lösungen parat. Doch das Dilemma ist offensichtlich, denn oftmals sind das IDV Lösungen und stellen sich als IT-Stückwerk heraus! Und es geht weiter: Neue Anforderungen und Themen zwingen Unternehmen dazu, sich mit Governance, Risk & Compliance (GRC) auseinanderzusetzen. Das sind die Treiber: BCBS239, SREP oder CCAR (z.B. ModelRiskManagement), CyberCrime, Fraud (intern / extern), Conduct Risk, Solvency II. Also über die Rechnungslegung hinausgehend, z.B. innerhalb des Risikomanagements werden echte Regelung gefordert, was zur Folge hat, dass wir uns unternehmensweit mit Enterprise GRC auseinander setzen müssen. Und hier tritt die Technologie als bindendes Element auf. Sie bringt eine ganzheitliche Sicht.

Dazu Peyman Mestchian: „Often the motivation is to reduce cost and/or complexity – risk and compliance simplification is a common term that we hear from CROs – but the ultimate benefit is better risk management.“ 

Was ist zu tun? Fokussiert starten und nicht den allumfassenden Big Bang anstreben.
Drehen Sie nicht am ganz großen Rad! Viele Dinge scheitern nämlich deshalb, weil Endlos-Projekte aufgesetzt worden sind. Vielmehr ist es wichtig, schnelle Erfolge aus dem Projekt zu generieren und damit auch Akzeptanz in der Bank zu schaffen. Dabei geht es darum, Altbewährtes miteinander zu verbinden: Integration auf allen Ebenen.

Robuste Standardsoftware kann hier als integratives Element dienen und eine Klammer zu Einzeldisziplinen bilden. Mit dem Ergebnis direkter Mehrwerte für die Bank. Setzen Sie sich aber kleine Ziele und verlieren sie das große Ganze nicht aus den Augen.

Vielleicht so? Data Governance / Data Quality können zum Anlass genommen werden, ein neues Key Risk Indicator System aufzubauen. Da können die ersten Indikatoren ruhig nur zur Datenqualität eine Aussage treffen. Diese Indikatoren können aber dann allen GRC-Verantwortlichen zur Verfügung gestellt werden, damit die Innenrevision ihre Prüfung, oder der Compliance Officer u.U. seine Richtlinien anpassen kann. Eine Verbindung zum internen Kontrollsystem (IKS) ist leicht herstellbar bzw. kann gut neu aufgebaut werden.

Es gibt nun technische Möglichkeiten Enterprise GRC zu unterstützen
Viele Themen wie Modell Risk Management, Internes Kontrollsystem oder auch Key Risk Indicators sollen die Prozesse transparent machen. Regulatorisch compliant zu sein ist dabei ein starker Treiber. Um nun nicht wieder nur Getriebener zu sein und situativ taktische Lösungen zu haben, die am Ende womöglich doch nicht reichen, sollte man sich mit dem Thema Enterprise GRC befassen.

Setzten Sie auf Standardlösungen: Starten sie mit einem einfachen Beispiel und versuchen Sie dann das Einzelthema mit anderen Disziplinen zu verknüpfen. Jetzt wird klar, dass eine Lösung Freiraum bieten muss, um einerseits zu verbinden und andererseits anpassbar zu bleiben. Es gibt probate Standardprodukte am Markt, schauen Sie sich um! Es muss nicht alles neu erfunden werden. Die fachliche Komplexität beinhaltet schon große Herausforderungen genug. Denn im Standard liegt sehr viel Potenzial, man muss ihn nur erkennen und ausschöpfen. Wie gesagt, nichts ist fataler als zu glauben, dass IT so wie sie ist, nichts mehr zu bieten hat.

In einem der nächsten Folgen werde ich auf spezielle Themen wie z.B. das Modell Risk Management eingehen und an einem konkreten Beispiel eine Umsetzung unter dem Aspekt von Enterprise GRC erörtern.

Share

About Author

Carsten Krah

Sr Industry Consultant

Ich arbeite seit 2011 als Business Expert Risk, Fraud and Compliance bei SAS. Mein Schwerpunktthema ist Enterprise GRC und ich berate die Finanzhäuser bei der Frage, wie Informationstechnologie bzw. Analytik sie bei den Herausforderungen durch die Aufsicht unterstützen kann, was sie brauchen und worauf sie gerne verzichten können. Ich betreue in dieser Rolle die Regionen Deutschland, Österreich und Schweiz. English Bio: I have been working as a Business Expert in Risk, Fraud and Compliance at SAS since 2011. My main focus is Enterprise GRC and I advise the financial institutions on how information technology and analytics can help them meet the challenges of supervision. I am responsible for the DACH region market made of Germany, Austria and Switzerland.

Leave A Reply

Back to Top