10 GRC-Experten sagen voraus, was 2019 auf uns zukommt

Die Risiko- und Compliance-Landschaft? Sie verändert sich unter den Füßen der GRC-Experten mit enormer Geschwindigkeit - und macht es schwieriger denn je, die potenziellen Folgen für Unternehmen vorherzusehen.

Hier können sachkundige Prognosen über Technologien, rechtliche Rahmenbedingungen, Sicherheitsbedrohungen und andere Sorgen, die GRC-Manager nachts wach halten, nützlich sein. Deshalb haben wir zehn führende GRC-Experten gebeten, uns ihre Prognosen für 2019 mitzuteilen.

Michael Rasmussen, GRC-Ökonom & Experte, GRC 20/20 Research, LLC

Im Jahr 2019 stehen einige große Trends für GRC an:

• Datenschutz - die GDPR geht weiter, aber jetzt gibt es den kalifornischen CCPA und die drohende US-Bundesregelung.
• Wachsende Rechenschaftspflicht - aufgrund der britischen SMR, der australischen BEAR und der Vorschriften in Singapur, Hongkong, Japan, Irland und Spanien.
• Operational Resiliency - Integration von operationellen Risiken, Geschäftskontinuität, Drittparteien und mehr (z. B. Bank of England Operational Resiliency Focus).
• Rechtsstreitigkeiten und rechtliche Fragen im Zusammenhang mit dem Verstoß gegen Marriott/Starwood und anderen.
• Zunehmende Durchsetzung der Vorschriften zur Bekämpfung von Bestechung und Korruption weltweit, insbesondere aber in Europa.
• Veränderungen in der GRC-Technologie mit ausgereifteren KI-Angeboten.
• Management von Drittanbietern - eine der größten Herausforderungen, die aus vielen Blickwinkeln kommt, da Unternehmen für Aktivitäten von Anbietern oder der Lieferkette haftbar gemacht werden können, insbesondere im Bereich der Datensicherheit.
• In diesem Zusammenhang erwägt der Gesetzgeber Regelungen zur modernen Sklaverei in der Wirtschaft - das Vereinigte Königreich prüft einen neuen Vorstoß zur Durchsetzung des britischen Gesetzes zur modernen Sklaverei, und Australien hat gerade sein eigenes Gesetz zur modernen Sklaverei (Modern Slavery Bill 2018) verabschiedet, das "Sklaverei, Leibeigenschaft, die schlimmsten Formen der Kinderarbeit, Zwangsarbeit, Menschenhandel, Schuldknechtschaft, sklavereiähnliche Praktiken, Zwangsheirat und betrügerische Anwerbung von Arbeitskräften oder Dienstleistungen" einschließt.

Carole Switzer, Mitbegründer und Präsident von OCEG

Eine der bedeutendsten Entwicklungen im Bereich GRC, die wir derzeit beobachten und von der ich erwarte, dass sie 2019 stark zunehmen wird, ist die Einrichtung von Ausschüssen auf Unternehmensebene, die sich speziell mit Plänen für eine bessere Integration von GRC im gesamten Unternehmen befassen. In vielen Unternehmen liegt der Schwerpunkt auf dem Einsatz von Technologie zur Unterstützung von Governance, Risikomanagement, Compliance und Audit, aber auch Änderungen bei der Strukturierung der organisatorischen und personellen Zuständigkeiten und der Standardisierung von Prozessen sind geplant.

Diese Veränderungen sind notwendig, um die Entwicklung einer Technologiearchitektur und eines Ökosystems zu unterstützen, in dem alle relevanten Daten gemeinsam genutzt und Berichte für unterschiedliche Anforderungen entwickelt werden können. Eine zweite Entwicklung ist die Verfügbarkeit von Technologien, die nun besser in der Lage sind, Daten aus einer Vielzahl von internen und externen Quellen zu ziehen und zu integrieren. Dies ermöglicht es Unternehmen, "Best-of-Breed"-Komponenten zu verwenden, die notwendig oder gewünscht sind und die als eigenständige Lösungen angeboten werden können, und dennoch die Daten aus diesen Systemen für eine breitere integrierte Ansicht der GRC-Informationen zur Verfügung zu haben. Das bedeutet auch, dass Daten aus ERP- und anderen Geschäftssystemen abgerufen werden können, was für die Zuordnung von Risiken zu Zielen und Kontrollen unerlässlich ist.

Mit der zunehmenden Verbreitung von KI oder kognitivem Computing in GRC-Systemen sind nun tiefere und zeitnahere Einblicke in Informationen möglich.

Peter Johnson, Geschäftsführer, Tempest Security Intelligence

2018 war ein wichtiges Jahr für Governance, Risiko und Compliance. Die lang erwartete Allgemeine Datenschutzverordnung (GDPR) trat im Mai 2018 in Kraft, und für 2019 wird eine weitere Regulierung in Form der EU-Datenschutzverordnung (ePrivacy Regulation,ePR) erwartet. Die britischen Industriestandards machen in ihren jeweiligen Sektoren mit strengeren Richtlinien Fortschritte; zum Beispiel im Finanzsektor mit neuen Vorschriften wie der Payments Services Directive 2 und PCI DSS 3.2.1.

Dennoch bleiben viele Bereiche in Bezug auf GRC unangetastet. Ein Beispiel dafür ist der IoT-Verbrauchermarkt im Vereinigten Königreich. Trotz der Bemühungen der Branche, einen Verhaltenskodex einzuführen, wurden keine festen Vorschriften erlassen. Folglich gibt es keine wirklichen Sicherheitsstandards zum Schutz der Verbraucher in ihren eigenen vier Wänden.

Man kann mit Fug und Recht behaupten, dass die Industrie in die richtige Richtung drängt, aber die Regulierungsbehörden haben immer noch die wichtige Aufgabe, die Verbraucher und damit auch die Unternehmen in der sich verändernden technologischen Landschaft zu schützen. Wir gehen davon aus, dass dies im nächsten Jahr ein wichtiger Trend und ein wichtiges Thema sein wird, da die Regulierungs- und Compliance-Behörden versuchen werden, mit der sich schnell und ständig verändernden Landschaft Schritt zu halten.

Adam TurteltaubVizepräsidentin für strategische Initiativen und internationale Programme, SCCE und HCCA

Für 2019 erwarte ich sowohl eine Ausweitung als auch eine Vertiefung der Compliance-Programme auf globaler Ebene. Was die Ausweitung angeht, so werden wir wahrscheinlich Compliance-Programme in immer mehr Ländern und einer immer größeren Anzahl von Unternehmen sehen. Ein Beweis dafür ist eine Compliance-Konferenz mit über 150 Teilnehmern, die ich in der Mongolei im November sprach.

Was die Ausweitung betrifft, so werden wir wahrscheinlich erleben, dass die Compliance-Programme über die Korruptionsbekämpfung hinaus erweitert werden, da die Unternehmen den Wert von Compliance-Programmen für ein breites Spektrum von rechtlichen und regulatorischen Risiken erkennen.

Robert Bond, Partner und Notar bei Bristows LLP, 2. Vizepräsident und Vorstandsmitglied, SCCE

2019 wird es mehr Durchsetzungsmaßnahmen und Bußgelder im Zusammenhang mit Datenschutzverstößen und Nichteinhaltung geben. Das Risiko von Sammelklagen von Verbrauchern wegen Verstößen gegen den Datenschutz wird die Einhaltung der Vorschriften weiter in den Vordergrund rücken und dazu führen, dass der Einhaltung der Datenschutzvorschriften und der Governance sowie der Notwendigkeit, sich nicht nur an das Gesetz zu halten, sondern auch einen ethischen Ansatz bei der Datenanalyse und der Profilerstellung zu verfolgen, mehr Aufmerksamkeit geschenkt wird.

Kristy Grant-HartGründer & Geschäftsführer, Spark Compliance Consulting

Im Jahr 2019 geht das GRC-Risiko in Bezug auf Dritte über die grundlegenden Sanktionsprüfungen und die Due-Diligence-Prüfung zur Korruptionsbekämpfung hinaus. Die Überprüfung von Drittparteien mit höherem Risiko sollte nun auch die moderne Sklaverei/Überprüfung der Lieferkette, Überlegungen zum Datenschutz, Cybersicherheitsrisiken und sogar Reputationsrisiken aufgrund von politischen Äußerungen oder Skandalen umfassen.  

Es ist von entscheidender Bedeutung, dass Sie Ihren Due-Diligence-Fragebogen in Ordnung bringen. Arbeiten Sie mit den anderen Beteiligten im Unternehmen zusammen, um einen Due-Diligence-Fragebogen und ein Onboarding-Verfahren für Dritte zusammenzustellen. Wenn Sie jetzt ein wenig Zeit und Geld investieren, wird das Leben für Ihre Dritten einfacher, und das Unternehmen wird vor den zahlreichen Gefahren geschützt, die sich aus der Nutzung von Dritten ergeben können.

Connor BlakeGlobal Head of Alliances & Partnerschaften. Mitratech

Ich rechne damit, dass 2019 noch mehr öffentlichkeitswirksame Fälle von Social-Media-Aktivismus auftreten werden, die Unternehmen zum Reagieren zwingen. Wenn es den Anschein hat, dass sich Ihre Kunden mehr um das ethische Verhalten Ihres Unternehmens kümmern als Sie selbst, ist das eine Katastrophe, die nur darauf wartet, zu passieren.

Die Unternehmen müssen viel flexibler sein, um dieser Entwicklung einen Schritt voraus zu sein, indem sie die Compliance-Risiken für ihre Mitarbeiter automatisieren und wirklich intuitive GRC-Tools bereitstellen, mit denen Ihre Mitarbeiter Ihnen auf einfache Weise mitteilen können, was los ist, bevor es Ihre Kunden tun.

Laurie Fisher, Geschäftsführer, HBR Consulting

Zwei wichtige Trends, die wir für GRC sehen, ähneln denen in den Bereichen Recht, Information Governance und Compliance im Allgemeinen. Erstens, die wachsende Bedeutung der Nutzung von Daten und Analysen in Governance-, Compliance- und Risikomanagementprozessen. Dies wird einen objektiveren Ansatz zur Risikobewertung ermöglichen. Zweitens wird die technologiegestützte Zusammenarbeit zwischen den einzelnen Mitarbeitern der GRC-Disziplinen verbessert, damit sie auf gemeinsame Ziele hinarbeiten können.

Fergus AllanLeiterin der Abteilung Regulierung & Compliance, TORI Global

In Europa verlagert sich der Schwerpunkt von der Umsetzung neuer Vorschriften auf die laufende Beaufsichtigung - in ganz Europa wurden in diesem Jahr eine Reihe neuer Vorschriften wie GDPR, MiFID II, PSD2 und Teile der SMCR umgesetzt; 2019 können wir mit einer Verlagerung vom Wandel zurück zum Betrieb rechnen . Dieser Wandel wird sowohl die Betriebsmodelle der Finanzunternehmen als auch ihre drei Verteidigungslinien auf die Probe stellen.

Auf der anderen Seite des großen Teichs ist die Regulierungslandschaft in den USA ganz anders, wo das Tempo der Regulierung unter der derzeitigen Regierung verlangsamt und in einigen Fällen wohl auch umgekehrt wurde. Diese Verlangsamung sollte nicht als Gelegenheit für Unternehmen gesehen werden, zur Tagesordnung überzugehen, denn dieser Trend könnte sich genauso schnell wieder ändern, wie er gekommen ist; die Finanzinstitute sollten weiterhin erstklassige Arbeit leisten.

Mark DelgadoGeneraldirektor, EMEA & APAC, Mitratech

2018 war ein Jahr mit scheinbar ständig zunehmenden Sicherheitsverletzungen und Datenverlusten, die im letzten Monat durch das fast unvorstellbare Ausmaß des Hacks des Marriott-Gäste-Reservierungssystems, bei dem möglicherweise private Informationen von rund 500 Millionen Gästen preisgegeben wurden, ihren Höhepunkt erreichten. 2019 könnte das Jahr sein, in dem die Macht der Verbraucher zu einem wichtigen Treiber für die Einhaltung von Vorschriften wird.

Ich bin schon seit einiger Zeit der Meinung, dass die Unternehmen bei ihrer Selbstvermarktung zu wenig auf die nachweisliche Einhaltung von Vorschriften und Bestimmungen achten und dass dies von den Unternehmen viel stärker als positives Unterscheidungsmerkmal genutzt werden sollte. Jetzt könnte jedoch der Zeitpunkt gekommen sein, an dem die Verbraucher beginnen, die Compliance eines Unternehmens als wichtiges Kriterium bei der Entscheidung darüber zu berücksichtigen, welchen Organisationen sie ihr Vertrauen schenken wollen.

Der Kauf von Waren und Dienstleistungen ist heute längst nicht mehr so transaktionsorientiert wie früher. Die Weitergabe persönlicher Daten scheint fast immer ein integraler Bestandteil des Kauferlebnisses zu sein, sei es die Angabe von Kreditkartendaten, die für die Abwicklung benötigt werden, einer Liefer- und/oder Rechnungsadresse oder einer E-Mail-Adresse, des Geburtsdatums, des Geschlechts und anderer Informationen, die im Rahmen eines Treue- oder Rabattprogramms gesammelt werden. Die Verbraucher werden sich der Tatsache bewusst, dass diese Informationen wertvoll sind und das blinde Vertrauen, das sie den Unternehmen, mit denen sie Geschäfte machen, entgegenbringen, nicht unbedingt klug ist. Inwieweit dies das Kaufverhalten signifikant verändert, bleibt abzuwarten, aber ich denke, dass das Thema 2019 für viele deutlich mehr in den Vordergrund rücken wird.

Suchen Sie nach weiteren Ressourcen zum Thema Risiko und Compliance?

• Webinar auf Abruf: Senior Management Regime - Die nächste Stufe der Reife (mit Michael Rasmussen)
• Wie Technologie beim Aufbau eines wirksamen Compliance-Programms hilft
• Globale Datenschutz-Rahmenwerke: Ein Webinar mit Robert Bond