Von fragmentiertem Risiko zu vernetzter Übersicht

Da Governance, Risk & Compliance (GRC)-Umgebungen zunehmend komplexer werden, stehen viele Organisationen vor einer ähnlichen Herausforderung: Sie verfügen über mehr Daten, mehr Kontrollen und mehr Berichterstattung als je zuvor, haben aber dennoch weniger Klarheit.

Heute arbeiten dezentrale Teams in den Bereichen Finance, Tax, Audit und Risiko verstärkt daran, die regulatorischen Anforderungen zu erfüllen. Vorstände erwarten eine stärkere Aufsicht. Aufsichtsbehörden verlangen zunehmend eine nachweisbare Kontrollwirksamkeit. Technologie erweitert kontinuierlich die Möglichkeiten.

Gleichzeitig schränkt die Verteilung über Systeme, Teams und Methoden hinweg die Fähigkeit ein, Informationen in Erkenntnisse umzuwandeln.

Dieser Artikel untersucht, warum Fragmentierung zu einem der größten strukturellen Risiken in modernen GRC-Umgebungen geworden ist und warum letztlich Menschen, Kultur und Verantwortlichkeit darüber entscheiden, ob Organisationen erfolgreich sind.

Warum die Fragmentierung der Risikolandschaft die Aufsicht schwächt

Fragmentierung entsteht selten absichtlich. Sie entwickelt sich im Laufe der Zeit, wenn Organisationen wachsen, sich Risiken und Regulierungen weiterentwickeln und neue Systeme eingeführt werden.

Häufige Muster sind:

• Risikoverzeichnisse, die in einem System geführt werden, während interne Kontrollen in einem anderen verwaltet werden
• Compliance-Verpflichtungen, die in Tabellenkalkulationen oder separaten Tools erfasst werden
• Unterschiedliche Taxonomien, die von Finance, Tax, IT und Compliance verwendet werden
• Mehrere Prüfungsfunktionen, die über sich überschneidende Bereiche berichten

Jede Funktion kann innerhalb ihres eigenen Bereichs effektiv arbeiten. Wenn Informationen jedoch nicht organisationsweit abgestimmt sind, hat dies verschiedene Auswirkungen.

Das Management erhält Berichte, die auf unterschiedlichen Definitionen und Methoden basieren. Die Risikopriorisierung variiert über Funktionen hinweg. Kontrollen können in risikoarmen Bereichen doppelt vorhanden sein, während wesentliche Risiken unzureichend adressiert bleiben. Die Nachweiserhebung wird zeitaufwändig, da Daten verteilt sind.

Das Ergebnis ist ein Umfeld mit erheblichem Aufwand, aber begrenzter Kohärenz.

In diesem Kontext wird Fragmentierung mehr als nur eine operative Unannehmlichkeit. Sie wird zu einem Governance-Risiko.

Die Kosten von nicht vernetzten Risiko- und Kontrolldaten

Effektives Risikomanagement erfordert eine klare Verbindung zwischen Zielen, Risiken und risikomindernden Kontrollen.

Wenn diese Elemente nicht miteinander verbunden sind:

• Strategische Ziele werden getrennt von Compliance-Anforderungen diskutiert
• Risiken werden identifiziert, ohne eine konsistente Verknüpfung mit der Kontrollleistung herzustellen
• Kontrolltests konzentrieren sich auf die Dokumentation statt auf die wesentliche Risikoexposition
• Die Zuständigkeiten verlieren sich zwischen den Verteidigungslinien
• Es fehlt an internem Verständnis dafür, warum Risiko und Kontrollen von entscheidender Bedeutung sind

Organisationen haben dann Schwierigkeiten, grundlegende Fragen zu beantworten:

• Welche Risiken stellen die größte Bedrohung für unsere Ziele dar?
• Welche Kontrollen sind kritisch, und funktionieren sie heute wirksam?
• Wo überschneiden sich regulatorische Anforderungen über Jurisdiktionen hinweg?
• Wer ist verantwortlich für die Behebung identifizierter Schwachstellen?

Ohne eine integrierte Sicht auf tatsächliche Risiken und ihre entsprechenden risikomindernden Maßnahmen basieren Führungsentscheidungen auf unvollständigen Perspektiven.

Integration wird daher unverzichtbar. Nicht nur als Technologieinitiative, sondern als Governance-Prinzip.

Ein integrierter Compliance-Ansatz als Governance-Fähigkeit

Ein integrierter Compliance-Ansatz bedeutet, eine kohärente Struktur zu etablieren, die Folgendes verbindet:

• Strategische Ziele
• Identifizierte Risiken
• Regulatorische und Compliance-Verpflichtungen
• Definierte interne Kontrollen
• Verantwortlichkeit und Rechenschaftspflicht

Er erfordert zudem standardisierte Definitionen und konsistente Methoden über alle Funktionen hinweg. Beispielsweise sollte eine „Key-Kontrolle“ in Finance dieselbe Bedeutung haben wie in Tax oder der IT.

Technologie spielt eine wichtige Rolle bei der Ermöglichung dieses integrierten Ansatzes. Zentralisierte Plattformen, Fähigkeiten zur kontinuierlichen Überwachung und Echtzeit-Dashboards können Transparenz über Einheiten und Jurisdiktionen hinweg bieten.

Integration wird jedoch nicht einfach durch die Konsolidierung von Daten erreicht. Sie erfordert eine Abstimmung darüber, wie Risiken definiert, Kontrollen gestaltet und Verantwortlichkeiten zugewiesen werden.

Ohne diese Abstimmung wird Fragmentierung selbst innerhalb eines einzelnen Systems erneut auftreten.

Menschen, Kultur und Verantwortlichkeit als Differenzierungsmerkmale

Während Technologie Skalierung ermöglicht, bestimmen Menschen die Wirksamkeit.

Klare Verantwortlichkeiten ist einer der kritischsten Faktoren bei der Reduzierung von Fragmentierung. Jedes wesentliche Risiko sollte einen definierten Verantwortlichen haben. Jede Key-Kontrolle sollte eine verantwortliche Partei haben, die für ihren Betrieb und ihre Leistung zuständig ist. Eskalationswege sollten transparent sein.

In vielen Organisationen liegt die Risikoverantwortung im operativen Geschäft, während Governance und Berichterstattung bei den Prüfungsfunktionen angesiedelt sind. Wenn diese Perspektiven nicht aufeinander abgestimmt sind, können Kontrollen als Compliance-Aufgaben statt als operative Werkzeuge wahrgenommen werden.

Eine risikobewusste Kultur hilft, diese Lücke zu schließen.

In einer solchen Kultur:

• Erwarten Führungskräfte Erkenntnisse, die die Entscheidungsfindung unterstützen, und nicht nur formale Prüfsicherheit
• Sind Risikodiskussionen an Zielen und wesentlicher Risikoexposition verankert
• Werden Compliance-Anforderungen in das Prozessdesign eingebettet
• Wird die Kontrollleistung als Teil des operativen Managements betrachtet

Diese kulturelle Dimension stellt sicher, dass integrierte Daten in sinnvolle Maßnahmen umgesetzt werden.

Praktische Schritte zur Reduzierung von Fragmentierung

Organisationen, die Fragmentierung reduzieren und Erkenntnisse stärken wollen, können mehrere praktische Maßnahmen in Betracht ziehen:

1. Ziele, Risiken und Kontrollen end-to-end abbilden

Explizite Verknüpfungen zwischen strategischen Zielen, identifizierten Risiken und risikomindernden Kontrollen herstellen. Dies schafft Transparenz und unterstützt die Priorisierung.

2. Definitionen und Taxonomien standardisieren

Terminologie über Finance, Tax, IT und Compliance hinweg angleichen. Konsistente Definitionen reduzieren Mehrdeutigkeit und unterstützen die Automatisierung.

3. Verantwortlichkeiten über die Verteidigungslinien hinweg klären

Definieren, wer für jedes wesentliche Risiko und jede Key-Kontrolle verantwortlich ist. Eskalationsprozesse und Berichtsstrukturen dokumentieren.

4. Risiko- und Kontrolldaten zentralisieren

Informationen in einer kohärenten Plattform oder integrierten Umgebung konsolidieren, die Echtzeittransparenz und auditfähige Dokumentation bietet.

5. Auf das Wesentliche fokussieren

Kontrollen priorisieren, die die bedeutendsten Risiken adressieren. Überkontrolle in risikoarmen Bereichen vermeiden und gleichzeitig nicht zu wenig in kritische Risikoexpositionen investieren.

Diese Schritte erfordern sowohl strukturelle Anpassungen als auch das Engagement des Management.

Ein vernetztes Kontrollumfeld als strategischer Vorteil

Da regulatorische Anforderungen in den Bereichen Finanzberichterstattung, ESG, Datenschutz, Tax Transparency und operationelle Resilienz konvergieren, wird Fragmentierung zunehmend unhaltbar.

Organisationen, die integrierte, zielorientierte GRC-Umgebungen etablieren, sind besser positioniert, um:

• Koordinierte Prüfsicherheit für Vorstände und Aufsichtsbehörden bereitzustellen
• Kontrollwirksamkeit mit Echtzeitnachweisen zu belegen
• Schnell auf aufkommende Risiken zu reagieren
• Ressourcen in Bereiche mit der höchsten Wirkung zu zuweisen

In diesem Kontext entwickeln sich interne Kontrollen von Dokumentationspflichten zu Managementinstrumenten, die Resilienz und Leistung unterstützen.

Fazit

Risikofragmentierung über Systeme, Taxonomien und Verantwortungsstrukturen hinweg schränkt die Fähigkeit ein, aus Risiko- und Kontrolldaten aussagekräftige Erkenntnisse zu gewinnen.

Ein integrierter Risiko- und Compliance-Ansatz stärkt die Aufsicht, allerdings nur wenn er durch klare Verantwortlichkeit und eine risikobewusste Kultur getragen wird.

Während Organisationen sich in Richtung kontinuierlicher Überwachung, zunehmender Automatisierung und höherer regulatorischer Erwartungen bewegen, wird die Kombination aus kohärenten Datenstrukturen und verantwortlicher Führung den Erfolg bestimmen.

Und obwohl Technologie Informationen vernetzen kann, sind es Menschen und Kultur, die darüber entscheiden, ob diese Vernetzung zu besseren Entscheidungen führt.

‍