GRC Glossar
Hier finden Sie die wichtigsten GRC-Begriffe.
BIC GRC
BIC GRC ist die GRC Software von GBTEC. Die zentrale Zielsetzung ist die Vernetzung von einzelnen GRC Informationen in ein einheitliches, risiko- und wertorientiertes Management System um damit Silos, die zu einer Vielzahl von Nachteilen im Kontext Kosten, Transparenz, Mehraufwand, etc. führen, zu vermeiden bzw. zu eliminieren. Die Software BIC GRC deckt eine Vielzahl von GRC Anwendungsbereichen, wie Enterprise Risk Management, Internes Kontrollsystem, Compliance Management, Audit Management, Informationssicherheitsmanagement und viele mehr, ab. BIC GRC ist kein reines Dokumentations- oder Compliance Überprüfungstool, sondern ein aktives Management System. Es unterstützt den Prozess der Weiterentwicklung und ständigen Verbesserung, um Operational Excellence und nachhaltige Zielerreichung bei Unsicherheit zu gewährleisten.
Compliance Management
Unter Compliance ist die Einhaltung von Regeln zu verstehen – sowohl gesetzlicher Vorgaben wie auch unternehmensinterner Vorgaben. Compliance Management beschäftigt sich mit der Definition, Umsetzung und Einhaltung von Unternehmensrichtlinien.
Corporate Governance
Unter Corporate Governance ist die Steuerungsstruktur zur Abwicklung wirtschaftlicher Transaktionen oder Austauschbeziehungen in, zwischen und mittels Unternehmen zu verstehen. Eine solche Steuerungsmatrix setzt sich zusammen aus Regeln und organisatorischen Einrichtungen zur Führung und Kontrolle eines Unternehmens. Die Regeln können dabei sowohl formaler als auch informaler Natur sein. Gesetzliche Rahmenbedingungen und unternehmensspezifische Anweisungen, Leitlinien und Verfahren gehören in die erste, Unternehmenskultur und Unternehmenswerte in die zweite Kategorie.
Datenschutzmanagement-Software (DSMS oder DPMS)
Eine Datenschutzmanagement-Software (DSMS) unterstützt Unternehmen und externe Datenschutzberater unabhängig von Größe oder Struktur der Organisation. Im Mittelpunkt stehen dabei die Analyse und Optimierung der Arbeitsabläufe unter Datenschutzaspekten. Durch integrierte Checklisten werden Unternehmensprozesse beleuchtet und bewertet. Daraus werden Optimierungspotentiale für den Datenschutz und die Datensicherheit abgeleitet.
EU-DSGVO
Die EU-Datenschutz-Grundverordnung oder auch kurz EU-DSGVO beziehungsweise GDPR (General Data Protection Regulation) ist eine Modernisierung und Anpassung der bestehenden Datenschutzregelungen in den EU-Mitgliedsstaaten. Mit der EU-DSGVO sollen insbesondere die Rechte der EU-Bürger in Hinblick auf ihre Daten gestärkt werden. Dabei geht es um die so genannten Betroffenenrechte.
Governance, Risk and Compliance (GRC)
GRC ist eine integrierte Sammlung von Fähigkeiten, um gesteckte Ziele verlässlich zu erreichen, mit Unsicherheit umzugehen und integer zu handeln. Steigender regulatorischer Druck, verschärfte Transparenz-Anforderungen der Eigentümer an das Management, die Digitalisierung der Geschäftsmodelle, wechselnde Trends und zunehmende Marktschwankungen, die intrinsische Motivation für Nachvollziehbarkeit und Transparenz von Entscheidungen – all diese Anforderungen an moderne Unternehmensführung machen das unternehmerische Handeln komplexer und stehen der Erwartung nach steigender Effizienz oftmals gegenüber. Mit der Etablierung einer umfassenden Governance, Risk und Compliance Strategie können sich Unternehmen diesen Herausforderungen effektiv und effizient stellen.
Integriertes GRC
Um Operational Excellence zu erreichen, braucht es eine enge Verzahnung von Governance, Risk und Compliance. Auf Basis der Corporate Governance wird das Regelwerk für das unternehmerische Risiko- und Compliance Management definiert. Das Ziel sind einheitliche und verbindliche Verfahren und Richtlinien für alle Mitarbeiter. Das Risikomanagement umfasst sämtliche Maßnahmen zur systematischen Erkennung, Analyse, Bewertung, Vermeidung, Überwachung und Kontrolle von Risiken. Im Fokus steht das kontinuierliche Erheben, Dokumentieren, Berichten, Analysieren von sowie das Steuern der Risiken. Compliance Risiken sind in das Compliance Management integriert. Dort werden sie mit Regeln, Prozessen und Maßnahmen (etwa in Form eines Internen Kontrollsystems) unterlegt. Dieses Verfahren stellt sicher, dass alle internen und externen Anforderungen erfüllt werden. Nur in diesem Dreiklang lässt sich zukunftsweisendes GRC über die gesamte Organisation aufbauen.
Integrität
Mit diesem Begriff soll in der Regel zum Ausdruck kommen, dass Unternehmen ihrem Geschäft auf moralisch vertretbare Weise nachgehen. Das tatsächliche Handeln muss demnach in Einklang mit dem definierten Wertesystem stehen. Integrität soll die Unternehmen dabei unterstützen, der durch ihre Stakeholder zugeschriebenen Verantwortung angemessen nachzukommen und ihre Kooperationsfähigkeit zu bewahren bzw. zu verbessern.
Integriertes Kontrollsystem (IKS)
Ein internes Kontrollsystem gewährleistet die Ordnungsmäßigkeit, Sicherheit und Wirtschaftlichkeit der internen Abläufe eines Unternehmens und bietet dem Management eine verlässliche Grundlage für dessen Entscheidungen. Es umfasst organisatorische Maßnahmen, Kontrollen durch das Management und organisatorische Hilfsmittel.
Informationssicherheitsmanagement-System (ISMS)
Ein ISMS ist als Teil des gesamten Management Systems zu verstehen, der auf Basis eines Geschäftsrisikoansatzes die Entwicklung, Implementierung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung der Informationssicherheit abdeckt.
Monte Carlo Simulation
Die Monte Carlo Simulation ist eine computergestützte, mathematische Technik, die ermöglicht, das Risiko in quantitativer Analyse und Entscheidungsfindung nachzuweisen. Diese Technik wird von Fachleuten in vielen verschiedenen Branchen verwendet, wie z. B. in Finanz, Projektmanagement, Energie, Fertigung, Planung, Forschung und Entwicklung, Versicherung, Öl und Gas, Transport und Umwelttechnik. Durch die Monte Carlo Simulation kann der Entscheidungsträger erkennen, welche Ergebnisse eine gewisse Handlungsweise mit sich bringen könnte und was die Eintrittswahrscheinlichkeit solcher Ergebnisse ist. Monte Carlo zeigt die extremen Möglichkeiten – d. h. was passieren könnte, wenn eine sehr riskante bzw. sehr konservative Entscheidung getroffen wird – und auch die möglichen Konsequenzen von moderaten Entscheidungen.
Risikoanalyse
Die Risikoanalyse ist ein bedeutender Teil des Risikomanagement Prozesses und dient dazu, bestehende sowie potenzielle Risiken zu identifizieren und zu bewerten.
Risikomanagement
Risikomanagement ist darauf ausgerichtet, Organisationen hinsichtlich von Risiken zu steuern. Es umfasst einerseits Prozesse und andererseits Verhaltensweisen. Risikomanagement erhebt, analysiert und bewertet potenzielle Risiken, die die Vermögens-, Finanz- und Ertragslage eines Unternehmens mittel- und langfristig gefährden könnten. Die Ziele umfassen die Sicherung des Fortbestandes eines Unternehmens, die Absicherung der Unternehmensziele gegen störende Ereignisse und die Steigerung des Unternehmenswertes.
Resilienz
Unter Resilienz wird die systemische Widerstandsfähigkeit gegenüber Störungen und Veränderungen verstanden. Hierbei wird zwischen einer proaktiven Form (Agilität) und einer reaktiven Form (Robustheit) unterschieden. Resilienz Management umfasst alle Maßnahmen mit dem Ziel, die Belastbarkeit eines organisatorischen oder betriebswirtschaftlichen Systems, z. B. eines Unternehmens, gegenüber äußeren Einflüssen zu stärken.
Risikoaggregation
Risikoaggregation beinhaltet die Zusammenfassung mehrerer Einzelgrößen (etwa Einzelrisiken) hinsichtlich eines gleichartigen Merkmals. Zielsetzung der Risikoaggregation im Kontext Risikomanagement ist die Bestimmung des Gesamtrisikoumfangs des Unternehmens bzw. der einzelnen strategischen Geschäftseinheiten sowie der relativen Bedeutung der Einzelrisiken. In der Praxis werden hierzu die Wirkungen von Einzelrisiken im Kontext der im Unternehmen genutzten Planungsmodelle (beispielsweise Plan-GuV) bewertet, eine Vorgehensweise, die die Verbindung zwischen Risikomanagement und “traditioneller” Unternehmensplanung ermöglicht.
Risikoappetit
Unter Risikoappetit versteht man das bewusste Eingehen und den Umgang mit Risiken innerhalb der Risk Capacity (Risikokapazität – im weitesten Sinne Risikotragfähigkeit) zur Erreichung der strategischen Ziele sowie dessen regelmäßige (Limit-) Überwachung. Die Festlegung des Risikoappetits als Teil der Risikostrategie berücksichtigt sowohl alle wesentlichen Einzelrisiken auf Einzelinstituts- als auch aggregiert auf Gruppenebene (Gesamt-Risiko-Appetit).
Three Lines of Defense
Das Three Lines of Defense-Modell kann als Ordnungsrahmen für ein ganzheitliches Governance, Risk und Compliance Management System (GRC System) zur Steuerung der Unternehmensrisiken dienen. Im Modell werden die Rollen und Verantwortlichkeiten des Internen Kontrollsystems des Unternehmens in ein ganzheitliches GRC System eingebettet, indem die den jeweiligen Verteidigungslinien zugeordneten Funktionen mit den Aufgaben des Risikomanagements verknüpft werden, die regelmäßig mit einem klassischen Managementregelkreis beschrieben werden.
GBTEC Software AG
Gesundheitscampus-Süd 23
44801 Bochum
Deutschland
Weitere Informationen
Karriere
Webinars & Events
Videos
Podcast
Newsletter