Die meisten großen Unternehmen haben ein oder mehrere GRC-Systeme implementiert, um in Bereichen wie Betriebsrisiko, IT-Risiko und Modellrisikogovernance für Transparenz zu sorgen und so die Richtlinien und Risikoprofile des Unternehmens zu unterstützen.
GRC-Lösungen sollen sicherstellen, dass Unternehmen in der Lage sind, ihre zugrundeliegenden Geschäftsprozesse effektiv zu überwachen und zu steuern, um zu gewährleisten, dass das Geschäft mit dem gewünschten Risikoprofil des Unternehmens in Einklang gebracht wird.
Tabellenkalkulationen sind heute ein fester Bestandteil der Geschäftsprozesse eines jeden Unternehmens. Diese Excel-Dateien sind für einige der GRC-Kontrollen von entscheidender Bedeutung - entweder als Nachweis zur Unterstützung der Kontrollen oder als die Kontrollen selbst. Daher müssen die Tabellenkalkulationen im Hinblick auf Änderungen überwacht und verwaltet werden. In der Vergangenheit lautete eine der Kontrollfragen vielleicht einfach: "Stellen Sie sicher, dass alle Änderungen an der Kalkulationstabelle überprüft und genehmigt werden?" Die Antwort könnte "ja" lauten, aber nicht unbedingt durch einen Nachweis oder einen Prüfpfad belegt sein.
Tabellenkalkulationen sind bekanntermaßen schwer zu verwalten, wenn es um Änderungen geht. Excel verfügt nicht über eine Redline-Funktion wie Word. Um also den Nachweis zu erbringen, dass die Kalkulationstabellen bei Änderungen überprüft und genehmigt wurden, ist die Kalkulationstabelle entweder so konzipiert, dass Änderungen nur innerhalb enger Parameter zulässig sind, oder es werden erhebliche personelle Ressourcen eingesetzt, um alle vorgenommenen Änderungen zu überprüfen. Bei einer komplexen mehrzeiligen Datei mit mehreren Arbeitsblättern ist diese Aufgabe sehr arbeitsintensiv; da Unternehmen in der Regel Dutzende, wenn nicht gar Hunderte oder Tausende solcher geschäftskritischen Arbeitsblätter haben, sollte dieser Arbeitsaufwand nicht unterschätzt werden, wenn die Überprüfungen effektiv durchgeführt werden sollen.
Automatisierung des Risikomanagements mit Tabellenkalkulationen
Angesichts der Rolle, die Tabellenkalkulationen bei GRC-Initiativen spielen, sind die Aufsichtsbehörden aus der oben beschriebenen einfachen "Ja"-Antwort klug geworden. Sie verlangen nun, dass Unternehmen detailliertere Nachweise für das Risikomanagement und die Kontrolle von Kalkulationstabellen erbringen. So fordert das Public Company Accounting Oversight Board (PCAOB) im Rahmen der Sarbanes-Oxley-Compliance von den Wirtschaftsprüfern, dass sie sicherstellen, dass Unternehmen ihre kritischen Tabellenkalkulationen angemessen überwachen und kontrollieren, um nachzuweisen, dass ihr Tabellenkalkulationsmanagement genau, transparent und unmittelbar ist.
Das Konzept ist auch auf andere Vorschriften wie CCAR, DFAST, Solvency II, BCBS 239, IFRS9 anwendbar, GDPRIFRS9, SR 11-7 usw., bei denen die Aufsichtsbehörden angemessene Kontrollen fordern, da sie erkennen, dass ein schlechtes Spreadsheet-Management zu Kontrollbrüchen führen könnte.
Aber keine Sorge - es gibt Technologien, die Unternehmen dabei helfen, Kontrollen auf kosteneffiziente, transparente und zeitnahe Weise durchzuführen. Mit einer Lösung für das Risikomanagement von Kalkulationstabellen können Unternehmen jede Änderung an einer geschäftskritischen Kalkulationstabelle messen, überwachen und verwalten. Dabei kann es sich beispielsweise um eine einfache Überschreitung eines Schwellenwerts, eine Änderung im Code eines Makros oder einen nicht funktionierenden externen Datenfeed in die Excel-Datei handeln. Der GRC-Prozessmanager wird auf diese Kontrollunterbrechung aufmerksam gemacht und kann einen Behebungsprozess einleiten, der vom Excel-Eigentümer durchgeführt wird. Dieses Behebungsverfahren ist ein geschlossener und überprüfbarer Prozess, der dem GRC-Kontrolleur zurückmeldet, dass der Excel-Eigentümer alle Aktualisierungen und Änderungen im Detail überprüft und genehmigt hat.
Eine solche Spreadsheet-Risikomanagement-Lösung ergänzt herkömmliche GRC-Systeme durch Nachweise und Funktionen, die genau, transparent, überprüfbar und kostengünstig sind. Wenn Spreadsheet Management für GRC ein Bereich ist, den Sie erforschen möchten, nehmen Sie bitte Kontakt mit uns auf.
Verwalten Sie Ihre Schatten-IT-Tabellenkalkulationen
Mit ClusterSeven übernehmen Sie die Kontrolle über die in Ihrem Unternehmen versteckten End User Computing-Assets, die ein verstecktes Risiko darstellen können.