Die Bedeutung von Governance, Risk und Compliance im Zeitalter der Digitalisierung
Governance, Risk & Compliance (kurz GRC) ist im unternehmerischen Kontext ein recht neues Modell. Die Anfänge finden sich in den späten 1990er und frühen 2000er Jahren. Ausgelöst unter anderem durch große Bilanzskandale bei Enron oder WorldCom wurde in den USA ein verstärkter öffentlicher und regulatorischer Fokus auf Kontrollmechanismen und die Unternehmensführung gelegt. Auch für Unternehmen im europäischen Wirtschaftsraum nehmen die Anforderungen im Bereich GRC stetig zu.
Als Reaktion auf die Bilanzskandale wurden neue Gesetze und Vorschriften eingeführt; in den USA u.a. der Sarbanes-Oxley Act von 2002. Das Gesetz zielt darauf ab, die finanzielle Berichterstattung zu verbessern und das Vertrauen in die Unternehmensführung wiederherzustellen. Seitdem spielt GRC in Unternehmen eine immer wichtigere Rolle. Spätestens nach der Finanzkrise im Jahr 2008 waren die Rufe nach robusten GRC-Frameworks nicht mehr zu überhören.
In dem Zeitalter der Digitalisierung steht GRC vor immer neuen Herausforderungen und Problemen. Durch den Einsatz von Technologien wie Cloud-Computing, Big Data, Internet of Things (IoT) und nicht zuletzt durch den enormen Sprung von Künstlicher Intelligenz (KI) wurden mögliche Chancen, aber auch Risiken geschaffen. In diesem Kontext dient GRC nicht nur der Einhaltung regulatorischer Anforderungen, sondern wird zunehmend zu einem integralen Bestandteil der strategischen Planung und des Risikomanagements in Unternehmen. Folgende Punkte wurden in der Digitalisierung immer bedeutender:
- Cybersicherheit: Mit der Zunahme digitaler Technologien steigt auch das Risiko von Cyberangriffen. Unternehmen müssen robuste Sicherheitssysteme implementieren, um sensible Daten zu schützen und die Einhaltung von Datenschutzgesetzen sicherzustellen. Seit 2022 hat sich das Konflikt- und Eskalationspotential drastisch erhöht.
- Datenschutz: Die Einhaltung von Datenschutzvorschriften wie der EU-Datenschutz-Grundverordnung (DSGVO) ist entscheidend. Unternehmen müssen sicherstellen, dass sie personenbezogene Daten rechtskonform verarbeiten.
- Neuere Technologien: Die Nutzung fortschrittlicher Technologien KI oder maschinelles Lernen kann helfen, die Effizienz von GRC-Prozessen zu steigern und zu verbessern. Wichtig ist die korrekte Implementierung und Nutzung dieser neuen Technologien, um potenzielle Unternehmensrisiken zu vermindern. So wird empfohlen, datenschutzkonformer Umgang mit KI mittels Richtlinien für die Mitarbeitenden vorzugeben.
- Schulungen und Awareness: Die Schulung von Mitarbeitenden in Bezug auf Cybersicherheit und Compliance ist entscheidend. Das Ziel ist eine Risikominimierung im Unternehmen durch Wissen über Best-Practices und Verständnis von sicherer Datenhandhabung. Dies gilt besonders bei dem Umgang mit KI im Unternehmen. Sensible Kunden- und Unternehmensinformationen sind in Verbindung mit KI besonders kritisch.
Die oben genannten Punkte führen zu einer Neugestaltung der Methoden und Ansätze des klassischen GRC-Modells, mit denen Unternehmen ihre GRC-Prozesse entwickeln und implementieren. Im Bereich der neueren Technologien spielt KI eine zunehmend zentrale Rolle im GRC-Umfeld, da Anwendungen die Automatisierung von Compliance-Überwachung und die Effizienzsteigerung von Compliance-Berichten ermöglichen. Durch die Fähigkeit, große Datenmengen zu verarbeiten und Muster zu erkennen, verbessert KI die Risikoanalyse und das Risikomanagement erheblich. Dies führt zu präziseren Risikobewertungen und ermöglicht ein proaktiveres Management. Diese Technologien können aber auch neue Sicherheitslücken mit sich bringen und die Compliance-Kosten steigern, da spezialisierte Kenntnisse zur Überwachung und Verwaltung erforderlich sind.
Parallel dazu verschärfen zunehmende Regulierung im Bereich von Daten, KI und Cybersicherheit die regulatorischen Anforderungen an Unternehmen. Neben der DSGVO sind bzw. werden u.a. der AI Act, der Cyber Resilience Act (CRA) sowie die Umsetzung der NIS2-Richtlinien für Unternehmen in diesem Kontext zentral.
Abschließend lässt sich sagen, dass die zunehmende Digitalisierung die Komplexität der Implementierung und der Durchführung von GRC-Modellen in Unternehmen erhöht hat. Ein fortlaufender Prozess, welcher stetig neu konzipiert und durchdacht werden muss. Die Nutzung von neuen Tools und Technologien kann dabei helfen, diese Komplexität zu stemmen, ist aber nicht die alleinige Lösung. Zusätzlich steigt die Anzahl der regulatorischen Anforderungen.
Sind Sie schon auf die künftigen Anforderungen durch NIS2 oder den AI Act vorbereitet? Gerne unterstützen wir Sie bei Ihren aktuellen GRC-Themen.
Autor: Roman Scholtysik