Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

08.03.2017
von: Arthur Vetter - Karlsruher Institut für Technologie (KIT)

Dank GRC: Vom Getriebenen zum Treiber von Business 4.0

Die digitale Transformation von Unternehmen im Rahmen von Business 4.0 wird eine der größten Herausforderungen in den kommenden Jahren sein. Doch wie kann diese Transformation in einem Unternehmen aktiv gesteuert und vorangetrieben werden? Governance, Risk Management und Compliance (GRC) bietet hier einen vielversprechenden Ansatz zur erfolgreichen Führung eines Unternehmens.

Der Begriff "Industrie 4.0" bezeichnet die vierte industrielle Revolution, durch die die physische Welt immer stärker mit der virtuellen Welt verknüpft wird, um gänzlich neue smarte Produkte und Produktionsprozesse zu ermöglichen. Die Bedeutung dieses Wandels wird unterstrichen durch das gleichnamige Zukunftsprojekt der deutschen Bundesregierung. Technologische Basis hierfür werden das Internet und cyber-physische Systeme sein, die im Internet der Dinge sowohl untereinander als auch mit dem Menschen kommunizieren.

Business 4.0 wiederum umfasst nicht nur die Digitalisierung der industriellen Fertigung und ihrer Prozesse, sondern ebenso betriebswirtschaftliche Prozesse über den Kontext "Industrie 4.0" hinaus, wie beispielsweise die Buchhaltung. Unter der Annahme, dass Maschinen eigenständig benötigte Güter für die Produktion bestellen und diese beispielsweise durch RFID-Chips automatisch beim Eingang im Lager erfassen, könnte man diese ebenso voll automatisiert verbuchen. So werden sich nicht nur die Abläufe der Industrie grundlegend verändern, sondern die kaufmännische Arbeitswelt im Allgemeinen. Diese wird zunehmend digitaler und verteilter mit Auswirkungen auf allen Ebenen von der strategischen Unternehmensführung bis hin zu den operativen Prozessen. Die drei für die Unternehmensführung wichtigen Handlungsfelder "Governance", "Risk Management" und "Compliance" sind unter dem Begriff "GRC" zusammengefasst.

Proaktiver Wandel im Unternehmen durch GRC
GRC hat in vielen Unternehmen oft einen faden Beigeschmack als unnötige Bürde, die Unternehmen auferlegt wird, um bestimmte Regularien einzuhalten. Diese Sicht wird jedoch der Bedeutung und den Möglichkeiten von GRC nicht gerecht. Schließlich werden unter GRC die drei wichtigsten Handlungsfelder für die erfolgreiche Führung eines Unternehmens zusammengefasst:

  • Governance
    Die Führung eines Unternehmens auf der Basis klar und verständlich formulierter Unternehmensziele und Handlungsanweisungen. Governance erstreckt sich über alle Unternehmensbereiche und -ebenen hinweg.

  • Risk Management
    Die Gesamtheit aller Maßnahmen zum Umgang mit bekannten und unbekannten unternehmensinternen und unternehmensexternen Risiken. Dazu gehört die Etablierung von Frühwarnsystemen zur Erkennung von Risiken ebenso wie Maßnahmen zur Beseitigung von Risikopotenzialen und zur Behandlung eingetretener Risiken.

  • Compliance
    Die Erfüllung, Entsprechung beziehungsweise Konformität mit staatlichen Gesetzen sowie mit Regeln und Spezifikationen, mit (ethischen und moralischen) Grundsätzen und Verfahren sowie mit Standards (wie ISO) und Konventionen, die klar definiert sind. Die Erfüllung der Compliance kann sowohl auf Zwang (etwa durch Gesetze) als auch auf Freiwilligkeit (wie Einhaltung von Standards) beruhen.

Begreift man GRC als Werkzeug zur aktiven Steuerung eines Unternehmens, wird aus der Bürde eine Chance für Unternehmen, um den Wandel im Unternehmen zum Business 4.0 voranzutreiben. Anstatt der Innovationswelle hinterherzuschwimmen oder von ihr getrieben zu werden, lässt sie sich, wie nachfolgend beschrieben, im Unternehmen steuern.

Governance am Beispiel der Führung eines digitalen Unternehmens
Durch die zunehmende Vernetzung sowohl der Maschinen untereinander als auch mit dem Menschen werden Arbeitsleben und Arbeitsumfeld verteilter. In Zukunft werden sich nicht nur die Menschen selber organisieren, sondern ebenso die Maschinen, wodurch wesentlich mehr Akteure in einem Unternehmen und auf dem Markt agieren. Die Selbstorganisation jedes Akteurs (Mensch und Maschine) wird zunehmen, um flexibel Entscheidungen im globalen Netzwerk der Akteure treffen zu können. Starre Arbeitszeiten und Arbeitsorte, wie wir sie heute kennen, werden ersetzt durch virtuelle Arbeitsplätze und flexible Arbeitszeiten, bei denen es keine Rolle mehr spielt, wo sich der Mitarbeiter physisch aufhält. Somit wird sich der Trend der Vermischung des Arbeitslebens mit dem Privatleben weiter ausdehnen mit entsprechenden Auswirkungen auf die Work-Life-Balance. Zudem wird sich das Verhältnis zwischen Führungskräften und ihren Mitarbeitern verändern.

Ein direktes Führen wird sich zugunsten eines stärker indirekten Führens ändern. Die direkte, delegierende Führung der Mitarbeiter wandelt sich zu einem Coachen, wie man das aus dem Sport kennt. Die Führungskraft fungiert als Trainer, der die Taktik für die Mitarbeiter, die selbstorganisiert auf dem abgesteckten Spielfeld agieren, vorgibt, um die Unternehmensziele zu erreichen.

Für so ein "Coaching"-Konzept sind klare Richtlinien und Policies unabdingbar, die die Taktik und das Spielfeld im Unternehmen abstecken. Die Handlungsfelder Governance und Compliance entsprechen der Taktik und dem Spielfeld. Durch klar definierte, transparente Compliance-Richtlinien wissen die Mitarbeiter, was sie tun dürfen und in welchem Rahmen sie frei entscheiden und handeln dürfen. Die Governance gibt dabei die Richtung vor. Dabei sollten Richtlinien auf allen drei Ebenen – strategisch, taktisch und operativ – erstellt werden.

Für eine klare Orientierung der Mitarbeiter ist es notwendig, sowohl die Ziele als auch die Strategie zur Erreichung der Ziele festzulegen. Führungskräfte können somit das Spielfeld abstecken sowie die Taktik vorgeben und brauchen nur noch einzugreifen, wenn das Risiko besteht, dass die Ergebnisse nicht den Erwartungen entsprechen könnten. Für die Mitarbeiter ist durch die bekannten und veröffentlichten Richtlinien das Spielfeld transparent, sodass sie beispielsweise ihre privaten Belange einfacher mit den Interessen des Arbeitgebers verbinden können.

Wichtig ist, dass das abgesteckte Spielfeld in Form von Policies ernst genommen und nicht überschritten wird. Dazu ist eine gewisse Kontrolle der Einhaltung der aufgestellten Governance- und ComplianceRichtlinien erforderlich, damit GRC auch im Unternehmen gelebt wird. Die Kontrolle der Risiken ist hierbei inbegriffen, damit Führungskräfte die Taktik entsprechend ändern können, wenn ein Risiko eintritt. Ähnlich wie beim Sport, wenn man zum Beispiel beim Fußball ein Gegentor erhält, in Rückstand gerät und die Taktik daraufhin von Verteidigung auf Angriff umgestellt wird.

Ein großes Risiko für einen Trainer sind Widerstände seiner Spieler. Ein Trainer kann noch so gut sein – wenn seine Spieler ihm nicht folgen, wird er kein Spiel gewinnen. Bei großen Unternehmenstransformationen, wie es beim Business 4.0 der Fall ist, sind Widerstände von Mitarbeitern fast schon vorprogrammiert. GRC bietet hier mit dem Handlungsfeld Risk Management eine Möglichkeit, die Widerstände der Mitarbeiter zu begleiten und entsprechende Maßnahmen zur Vermeidung bzw. zum Abbau von Widerständen einzuleiten. Nachfolgend wird das Risk Management am Beispiel des Change Managements erläutert.

Risk Management am Beispiel Change Management
Um eine Business-4.0-Strategie im Unternehmen erfolgreich umzusetzen, ist die Akzeptanz der Mitarbeiter für diese Strategie erforderlich. Wird sie von den Mitarbeitern nicht mitgetragen, entwickeln sich Widerstände, die den Wandel zum digitalen Unternehmen unnötig verlangsamen beziehungsweise sogar verhindern können. Es ist daher wichtig, die Mitarbeiter während des gesamten Wandels kontinuierlich zu begleiten sowie ihre Ängste ernst zu nehmen und zu akzeptieren. Durch einen offenen und fairen Informations- und Kommunikationsaustausch können die Chancen und Risiken jedes einzelnen Mitarbeiters bewertet und Lösungswege aufgezeigt werden, wie beispielsweise sinnvolle durchzuführende Weiterbildungen. Mit der Schaffung von Transparenz, einem frühzeitigen, schrittweisen Vorgehen bei den einzelnen Veränderungen und dem aktiven Einbezug der Mitarbeiter in die Strategie und Umsetzung kann ein "Wir"-Gefühl im Unternehmen erzeugt werden, das aus einer Situation der Angst eine Atmosphäre des Aufbruchs und des Wandels schafft.

Um das Risiko des Widerstands der Mitarbeiter zu vermeiden, ist ein aktives, vorbeugendes Risk Management sinnvoll, das nicht nur die Analyse des Risikos "Widerstand der Mitarbeiter" beinhaltet, sondern auch eine aktive Steuerung und Kontrolle. Insbesondere die Kontrolle des Risikos ist ein sehr wichtiger Aspekt, um beispielsweise Anzeichen für Widerstände frühzeitig zu erkennen und entsprechende Gegenmaßnahmen durchführen zu können.

Beim Risk Management ist es essenziell, systematisch vorzugehen. Dadurch werden Risiken gezielt aus den Zielen und den Strategien zur Erreichung der Ziele, die in Form von Handlungsanweisungen und Richtlinien den Weg zum Business 4.0 im Unternehmen abstecken, abgeleitet, um eine vollständige Erfassung aller bedeutendsten Risiken zu erhalten. Bei der Analyse sollte ausgehend von den Zielen und den Strategien überprüft werden, welche Geschäftsprozesse und somit Mitarbeiter von der Transformation betroffen sind, um gezielt entsprechende Maßnahmen zum Abbau der möglichen Widerstände durchführen zu können. Eine alleinige Analyse der Ziele und Strategien ist nicht sinnvoll, da sonst nach dem Gießkannenprinzip Maßnahmen umgesetzt werden, die die Mitarbeiter (noch) gar nicht oder eventuell in einem ganz anderen Umfang betreffen und daher andere Maßnahmen sinnvoller wären.

Die vierte industrielle Revolution und die damit verbundene Unternehmenstransformation werden nicht innerhalb weniger Monate erfolgen, sondern Jahre oder sogar Jahrzehnte benötigen. Aus diesem Grund ist eine genaue Analyse der jeweils betroffenen Unternehmensprozesse und Mitarbeiter unabdingbar. Die Buchhaltung beispielsweise wird vom Business 4.0 anders beeinflusst werden als die IT oder produktionsnahe Abteilungen. Allein aus der zeitlichen Betrachtung heraus wird daher bereits ein dedizierter Maßnahmenkatalog erzwungen.

Aufgrund der zunehmenden Flexibilisierung und der damit einhergehenden Dezentralisierung von Organisationen und Prozessen bleibt Unternehmen jedoch nichts anderes übrig, als ihre Mitarbeiter aktiv und zielgerichtet in den Wandel miteinzubeziehen, damit diese ihn mitgestalten und auch langfristig leben.

Die Kontrolle der Risiken und Compliance
Die Kontrolle der Risiken und Compliance muss dem virtuellen und dezentralen Charakter des Unternehmens Rechnung tragen. Schwergewichtige, monolithische Lösungen sind fehl am Platz. Aufgrund der immensen Datenmengen wird eine möglichst automatisierte Kontrolle mit dezentralen Agenten notwendig sein, die die aktuelle Situation selbstständig erfassen und eigenständig analysieren.

Zum Verständnis dafür, wo solche Agenten benötigt werden, ist wiederum eine strukturierte Analyse der Ziele, der Strategien und der Risiken, die diese gefährden, sowie der Geschäftsprozesse und der Systeme, in denen diese abgebildet sind, erforderlich. Nur so können die Agenten an den korrekten Stellen installiert werden, um die relevanten Messdaten zu erfassen und auf ungewollte Muster zu analysieren. Entsprechende GRC-Tools erleichtern die Analyse der Geschäftsprozesse und des gesamten Unternehmens. Bei der Auswahl eines entsprechenden Tools sollte darauf geachtet werden, keine Insellösungen zu nutzen, sondern ein Tool, in dem das gesamte Unternehmen modelliert werden kann. So lassen sich die Zusammenhänge, wie sie in diesem Artikel aufgezeigt wurden, leicht identifizieren und analysieren.

In Anbetracht der notwendigen Transparenz für die Mitarbeiter sollte darauf geachtet werden, dass ein entsprechendes GRC-Tool auch Möglichkeiten zur direkten Veröffentlichung von Richtlinien, Handlungsanweisungen und weiteren Dokumenten ermöglicht. Damit Mitarbeiter bei der Transformation des Unternehmens aktiv mitwirken können, sollten zudem Möglichkeiten zur Kollaboration gegeben sein, um beispielsweise neue Risiken melden und entsprechende Vorbeugemaßnahmen diskutieren zu können.

Fazit
Die digitale Transformation von Unternehmen stellt neue Herausforderungen an die Unternehmensführung. Klassische bzw. analoge Führungsmethoden werden aufgrund der zunehmend virtuellen und dezentralen Arbeitsweisen an ihre Grenzen stoßen. In diesem Artikel wurde beschrieben, wie ein klares GRC-Konzept die Führung eines Unternehmens mithilfe transparenter Handlungsanweisungen und Richtlinien, die allen Mitarbeitern zugänglich sind, ermöglicht. Außerdem sollten Risiken der Transformation aktiv gesteuert werden, um beispielsweise potenzielle Widerstände von Mitarbeitern frühzeitig zu entdecken und gegensteuern zu können. Bei der Auswahl entsprechender GRC-Tools sollte darauf geachtet werden, dass sie entsprechende Kollaborationsfunktionalitäten enthalten, damit die Mitarbeiter in die Gestaltung der digitalen Transformation mit einbezogen werden können.
Lesen Sie hier den gesamten Artikel (PDF)


Security-Finder Schweiz: Newsletter