26.06.2020 – Lesezeit: 4 Minuten

Prozesse / Geschäftsführung

GRC: Was bedeuten Governance, Risikomanagement und Compliance für den Mittelstand?

Verstöße gegen unternehmenseigene Compliance-Regeln geschehen häufiger als gedacht: Seit 2018 war jedes fünfte Unternehmen in entsprechende Regelbrüche verwickelt, Tendenz steigend. Das kann der Mittelstand daraus lernen.

Vor allem Verstöße im Kontext der 2019 in Kraft getretenen Datenschutzgrundverordnung (DSGVO) stehen ganz oben auf der „Verstoß-Liste“. Allerdings bergen auch Themen wie IT-Sicherheit und Integrität von Daten und Geschäftsprozessen ein hohes Gefahrenpotenzial. Auch Behörden werden auf Compliance-Verstöße aufmerksam und verfolgen sie zunehmend. Bei Zuwiderhandlungen haftet im Übrigen die Geschäftsführung, Folge sind hohe Geldbußen und weitreichende Reputationsschäden. So weit sollten auch mittelständische Unternehmen es nicht kommen lassen. Mit diesen Tipps zur strategischen Implementierung von Governance, Risk and Compliance (GRC) beugen Sie als Entscheider Regelbrüchen vor.

Governance: Unternehmensführung in der Pflicht

IT soll Unternehmensziele optimal unterstützen, daher müssen Prozess-Strukturen und IT-Infrastruktur auf die strategische Ausrichtung abgestimmt sein. Dieser Ball liegt in erster Linie bei der Unternehmensführung, die für einen passenden Rahmen Sorge tragen muss. Nur so kann die IT-Abteilung personelle und technische Ressourcen optimal auf die strategischen Ziele ausrichten. Diese effizienten Prozessen tragen wesentlich zur Zielerreichung bei.

Risikomanagement: Gefahren erkennen und bewerten

Um die IT-Abteilung für diese hohen Ansprüche zu rüsten, sollten Unternehmen die gesamte Infrastruktur und GRC Tools permanent verfügbar machen. Dies muss zwingend auf höchstem Leistungs- und Sicherheitsniveau geschehen. Dazu gehören der Schutz sowohl vor externen als auch internen Gefahren: Zu den Risiken „von außen“ zählen Cyberattacken durch Hacker oder Schadsoftware, zu den Risiken „von innen“ zählen ein unsicheres Passwort-Management sowie die sogenannte Schatten-IT. Hierbei sind regelmäßige Penetrationstests wichtig, um die Performance der IT-GRC-Landschaft zu analysieren und um Optimierungspotenziale aufzudecken.

Compliance: Sicherheit durch Transparenz und Vernetzung

Für die IT gilt es – im Gegensatz zur oftmaligen Wahrnehmung durch interne sowie externe Beteiligte –, Geschäftsprozesse auch rechtskonform umzusetzen und Geschäftsprozesse nicht einfach „nur“ abzubilden. Konkret bedeutet dies, dass sämtliche Prozesse um Daten herum (Erfassung, Weiterleitung, Speicherung, Löschung etc.) der aktuellen Gesetzeslage entsprechen müssen. Folgende Grundlage sind auch für mittelständische Unternehmen rechtlich bindend.

  • Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)
  • Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)
  • EU-Datenschutzgrundverordung (EU-DSGVO)

Ganzheitlicher Ansatz statt Insellösung

Unabhängig von der Branche oder der Betriebsgröße verfügt fast jedes Unternehmen über einzelne Maßnahmen zur Umsetzung und Einhaltung von GRC-Leitlinien. Um sämtliche Geschäftsprozesse ins Blickfeld zu rücken und die IT-Infrastruktur im Sinne der unternehmenseigenen Compliance-Regeln zu formen, bedarf es eines ganzheitlichen Ansatzes. Denn: Datentransparenz und IT-Sicherheit enden nicht an Abteilungsgrenzen, sondern müssen bereichs- und standortübergreifend gesteuert und implementiert werden. Nur so können Unternehmen die Risikopotenziale rechtzeitig erkennen und sinnvoll analysieren. Die Ergebnisse solch einer Bewertung müssen anschließend in bestehende Abläufe einfließen und durch IT-Systeme abgebildet werden. Wichtig sind zudem Punkte wie Prozessdokumentation und kontinuierliches Monitoring.

Mittelstand mit besonderer Herausforderung

Während große Konzerne oft über eigens eingerichtete Risikoabteilungen verfügen, die sich um die genannten Belange kümmern, haben kleine und mittelständische Unternehmen (KMU) dahingehend großen Handlungsbedarf. Mögliche Bußgelder und Imageverlust in Folge von Verstößen gegen Compliance-Regeln werden in Bezug auf die DSGVO mit Strafen bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes geahndet. Für die meisten KMU ist das ein existenzbedrohendes Szenario. Unternehmen, die nicht auf einer GRC Software wie SAP GRC fahren, verpassen zudem zahlreiche Wettbewerbsvorteile. Vorteil SAP GRC: Eine ganzheitliche IT-Sicherheit Risikominimierung zahlen sich durch höhere Flexibilität, geringere Kosten und bessere Entscheidungskompetenz aus.

Ein weiterer Nebeneffekt zeichnet sich dadurch aus, dass die genannten Maßnahmen zu höherer Datentransparenz führen. Konkret bedeutet dies, dass Dokumente auf Knopfdruck besser auffindbar und sensible Daten gemäß GRC Leitlinien stets optimal geschützt sind. Vor allem Bezug auf die DSGVO sind Unternehmen damit jederzeit entsprechenden Stellen gegenüber aussagekräftig: erforderliche Nachweise zur Datennutzung (Speicherung, Löschung, etc.) lassen sich innerhalb der geforderten Fristen ohne Probleme erbringen. Ergebnis: weniger Komplexität, mehr Rechtssicherheit. Damit wirkt sich GRC direkt auf das Vertrauen von Kunden und Geschäftspartnern aus.

Jetzt im E-Book zu Governance, Risk und Compliance mehr erfahren

In der DSGVO ist grundsätzlich festgelegt, dass personenbezogene Daten auf Verlangen des Users gelöscht werden müssen. In diesem Artikel erfahren Sie, wie Sie personenbezogene Daten richtig löschen.

Quelle: Titelbild unsplash, chris barbalis