Prozessorientiertes GRC –
Prozesslandkarten als Basis zur Integration wichtiger Managementsysteme

Im Three-Lines-of-Defence-Modell nimmt das operative Management eine bedeutende Stellung ein. Seine grundlegende Aufgabe ist die Erstellung einer gemeinsamen Datenbasis für die Integration der GRC-Funktionen in die betrieblichen Abläufe. In der Praxis hat sich hierfür die Verwendung einer Prozesslandkarte bewährt, deren Erstellung bzw. Pflege in der Verantwortung des operativen Managements liegt.

Die Prozesslandkarte, mit der Möglichkeit der Hierarchisierung und der damit verbundenen Detailstufen der Prozessdokumentation, stellt eine ideale Plattform für die Integration der GRC-Funktionen dar. Prozesslandkarten dienen zur Strukturierung der einzelnen betrieblichen Abläufe in den Abteilungen, ohne dabei zu tief ins Detail zu gehen. Darüber hinaus geben sie einen idealen Überblick über die Prozesse aus der Vogelperspektive und sind in der Regel mehr als nur ein Strukturierungselement. Sie zeigen außerdem, wie mit Prozessen in einer Organisation gedacht wird.

Abbildung 1: Eine beispielhafte Darstellung einer Prozesslandkarte

Genau diese Detailtiefe ist es, die die Verantwortlichen von Risikomanagement, IKS, Compliance-Management, usw. benötigen, um ein prozessorientiertes und integriertes GRC aufzusetzen.

Basierend auf den Prozesslandkarten können die verschiedenen themenspezifischen Aufgaben des operativen Managements durchgeführt werden. Dies betrifft zum Beispiel die Risikoanalyse und die Zuweisung relevanter Kontrollen zu den wesentlichen Prozessschritten. Auch können Prozesse bzw. Prozesslandkarten eingesetzt werden, um rechtliche Anforderungen an einen Zuständigkeitsbereich zuzuweisen oder Verarbeitungstätigkeiten personenbezogener Daten entsprechend der Anforderungen der DSGVO genau zu dokumentieren.

Die typische Abbildung einer Prozesslandkarte erfolgt in 2 bis 3 Ebenen, wobei die oberste Ebene der Landkarte oft End-To-End-Prozesse darstellt und diese in die Kategorien Management-, Kern- und Supportprozesse gliedert. Auf ein bzw. zwei Ebenen darunter findet sich die Darstellung der Wertschöpfungskette (typischerweise anhand der Dimensionen für Produkt bzw. Dienstleistung und Lebenszyklus gegliedert). Auf dieser Ebene werden die einzelnen (Teil-)Prozesse mit ihren wichtigsten Informationen gepflegt, ohne eine detaillierte Ablaufdarstellung vorzunehmen. Zu diesen grundlegenden Informationen eines Prozesses zählen:

Diese Informationen werden einmalig erfasst und dienen als Ausgangsbasis für die verschiedenen operativen Aufgaben für die GRC-Systeme. Beispielhaft sind hier einige dieser Aufgaben angeführt:

Die Prozesse der Landkarte zweiter Ebene werden einer Risikoanalyse unterzogen, um jene Gefahren zu identifizieren und zu bewerten die im Rahmen der Prozessausführung auftreten können und die Erreichung der Prozessziele erschweren oder unmöglich machen.

Abbildung 2: Das Risikoportfolio einer Prozesslandkarte

Die Prozesse der Landkarte dienen als Kontext, in dem manuelle oder semiautomatische Kontrollen der Mitarbeiter festgemacht werden können. Mithilfe einer Matrix-Darstellung lässt sich sehr schnell erkennen, welche Kontrolltätigkeiten im Rahmen welcher Prozesse ausgeführt werden. Zudem kann die Wirksamkeit des IKS für die betrachteten Prozesse durch eine automatische Einschätzung der Kontrollqualität festgestellt werden.

Abbildung 3: Die Verankerung der Kontrollen in einer Prozesslandkarte

Im Rahmen des Compliance-Managements dient die Prozesslandkarte dazu, den Prozessen auf hoher Aggregationsebene regulatorische Anforderungen zuzuweisen, um nicht zuletzt auch die Verantwortung des Prozesseigners klarer hervorzuheben.

Abbildung 4: Die Reifegradbewertung der Compliance einer Prozesslandkarte

Die Prozesse der Landkarte sind der Ausgangspunkt für die Abhängigkeitsanalyse im Rahmen des Security-Managements, die es gilt für die Informationssicherheit sowie auch für die physische Sicherheit anzustellen, um die Bedeutung von Unternehmensassets und deren Schutzbedarf zu erheben.

Abbildung 5: Die Analyse von kritischen Assets anhand einer Prozesslandkarte

Im Rahmen der Verarbeitungstätigkeiten bilden Prozesse den Zweck der Verarbeitungstätigkeiten ab.

Abbildung 6: Verankerung der Verarbeitungstätigkeiten in der Prozesslandkarte

Diese Beispiele sollen zeigen, welche Möglichkeiten bestehen, um die unterschiedlichen Aufgaben des operativen Managements mit einer zentralen Datengrundlage, der Prozesslandkarte, zu erfüllen und dadurch ein möglichst effizientes Vorgehen sicherzustellen.

Die Vorteile des Aufbaus eines integrierten GRC-Systems liegen auf der Hand. In der Praxis hat sich die Nutzung der Prozesslandkarte als Basis eines solchen Systems vielfach bewährt. Das operative Management wird entlastet und Querschnittsbetrachtungen ermöglicht. Der prozessorientierte Ansatz schafft zudem eine stabile Basis, um weitere, vielleicht noch isoliert agierende GRC-Funktionen, ohne hohen Initialaufwand eingliedern zu können.

Die Erfolgsfaktoren eines prozessorientierten und integrierten GRC-Systems sind:

BOC Group verfügt über langjährige Erfahrung in der Beratung und der Einführung eines integrierten GRC-Systems. Wir bieten Fachberatung, umfassende Toolunterstützung und Trainings für die erfolgreiche Umsetzung und den weiterführenden Betrieb. Gerne meistern wir – gemeinsam mit Ihnen – den Aufbau eines prozessorientierten, integrierten GRC-Systems!