GRC aus einer Hand IT gestütztes integriertes Risiko- und Compliance Management bei Volkswagen

Größe: px

Ab Seite anzeigen:

Download "GRC aus einer Hand IT gestütztes integriertes Risiko- und Compliance Management bei Volkswagen"

Philipp Berger
vor 8 Jahren
Abrufe

1 GRC aus einer Hand IT gestütztes integriertes Risiko- und Compliance Management bei Volkswagen Detlef Lampe Corporate Risk Minds 2015, Berlin

2 Agenda Living GRC Integrierter GRC-Ansatz bei Volkswagen RICORS Unsere integrierte IT-Lösung für GRC Future RICORS Zielbild einer GRC-Plattform Fragen & Antworten 2

3 In 2014 hat der Konzern über 10 Mio. Fahrzeuge weltweit verkauft Finanzen Produktion Produktion pro Arbeitstag Umsatz: 202,5 Mrd. Ergebnis nach Steuern: 11,1 Mrd. 10,213 Millionen Fahrzeuge Ø Fahrzeuge 3

4 Mehr als Beschäftigte produzieren an jedem Arbeitstag rund um den Globus nahezu Fahrzeuge Produktionsstandorte Beschäftigte Modelle 118 weltweit ca. 335 Stand: 31. März

5 Die drei Verteidigungslinien ( Three Lines of Defence ) bilden die Basis für ein wirksames RMS/IKS unter Berücksichtigung von Compliance Aufsichtsrat berichtet Vorstand berichtet First Line of Defence (Gesellschaften & Bereiche) berichtet Second Line of Defence (Konzern-GRC) berichtet Third Line of Defence (Konzernrevision) Verantwortung für RMS/IKS und Compliance in den Organisationseinheiten GRC-Regelprozess RFS, RMS/IKS Compliance- Management- System Verantwortung für GRC-Regelprozess, Regelwerke RMS/IKS und Compliance- Management-System Prüfungen der Konzernrevision Regelmäßige Berichte und Ad-Hoc- Berichte im Rahmen der operativen Geschäftstätigkeit GRC-Jahresbericht auf Konzernebene mit Fokus systemische Risiken Abschnitte RMS/IKS in Prüfungsberichten der Konzernrevision bzw. Berichte zu spezifischen RMS/IKS und Compliance Prüfungen Risiken 5

Organisationseinheiten GRC-Regelprozess RFS, RMS/IKS Compliance- Management- System Verantwortung für GRC-Regelprozess, Regelwerke RMS/IKS und Compliance- Management-System Prüfungen der

6 Volkswagen verfolgt mit seinem integrierter GRC-Ansatz einen innovativen Ansatz in Sachen Risikomanagement, Interne Kontrollen und Compliance Separates RMS, IKS und CMS Drei verschiedene Managementsysteme Bis zu drei unterschiedliche Erfassungsprozesse Bis zu drei unterschiedliche IT-Systeme Bis zu drei separate Berichte RMS ICS CMS Integrierter Governance, Risk & Compliance-Ansatz Ein Managementsystem Ein Erfassungs- und Testprozess Ein integriertes IT-system Ein integrierter Bericht 6

Erfassungsprozesse Bis zu drei unterschiedliche IT-Systeme Bis zu drei separate Berichte RMS ICS CMS Integrierter

7 Agenda Living GRC Integrierter GRC-Ansatz bei Volkswagen RICORS Unsere integrierte IT-Lösung für GRC Future RICORS Zielbild einer GRC-Plattform Fragen & Antworten 7

8 Die Dokumentation der Risikoerfassung/-bewertung und der Wirksamkeitsprüfung war zeitintensiv und mit hohem manuellem Aufwand versehen Vor der Einführung von RICORS wurden die Risiko-Assessments der eingebundenen Einheiten in 653 Excel Dateien dokumentiert Hoher organisationaler Aufwand Niedriger (Mostly) Automatisierungsgrad consolidation bei der Konsolidierung work for manual von risk Informationen reporting purposes für das Reporting... Die auf Excel basierende IT-Lösung für den GRC- Regelprozess von VW war in der Vorbereitung, Durchführung and Nachbearbeitung zeitintensiv und aufwändig Niedriger Automatisierungsgrad bei der Validierung und Plausibilisierung Geringer Standardisierungsgrad sowie fehlerhafte Eingaben bei Risikoinformationen 8

work for manual von risk Informationen reporting purposes für das Reporting.

9 Um den Aufwand bei der Durchführung des GRC-Regelprozesses zu verringern, haben wir nach alternativen IT-Lösungen gesucht Identifizierung entscheidender Funktionalitäten & Schnittstellen Durchführung der Anbieterpräsentationen Design / Pflichtenheft Identifizierung wichtiger User-Rollen, Workflows, Reports Durchführung einer Gap-Analyse Erstellung und Test Analyse technischer Rahmenbedingungen Make-or-buy Entscheidung (Buy!) Go live und Training Erstellung des Lastenhefts Vorbereitung RFP Betrieb und Optimierung Auswahlentscheidung Planung des Auswahlprozesses Zusammenstellung der Anforderungen / Lastenheft Anbieter- Screening Vorgeschalteter Beauty Contest Ausschreibung & Vergabe Realisierung Ermittlung einer Long List Angebotsvergleich und -beurteilung (4 Angebote) Entwicklung der Bewertungskriterien und ihrer Gewichtung Ableitung der Short List Vorbereitung der Anbieterpräsentationen Entscheidungsfindung Rückmeldungen an die Softwareanbieter Preisverhandlungen Vertragserstellung November / Dezember Dezember / Januar Februar / März 9

10 Auf Basis der vordefinierten Kriterien wurde die Standardlösung risk2value von dem GRC-Softwareanbieter avedos ausgewählt Funktionale Fachkriterien Anbieter 1 Anbieter 2 Anbieter 3 Anbieter 4 Avedos risk2value Anbieter 6 Setup und Administration Risikothemenkatalog Risikoerfassung und Bewertung Maßnahmenerfassung und -bewertung - Testplan und Wirksamkeitsnachweis Follow-Up-Maßnahmen Reporting & Tracking Workflows (Approvals, Benachrichtigungen) Technische Anforderungen - Kosten & Implementierung : relative Stärke des Anbieters bzw. der Lösung - : relative Schwäche des Anbieters bzw. der Lösung 10

Maßnahmenerfassung und -bewertung - Testplan und Wirksamkeitsnachweis - + + Follow-Up-Maßnahmen Reporting & Tracking + - + + + Workflows (Approvals,

11 RICORS (= adaptierte Version von risk2value) erlaubt die effiziente Durchführung des GRC-Regelprozesses und ist Basis für die Berichterstattung Scoping Folgeaktivitäten zu Schwachstellen Erfassung und Bewertung in den Einheiten Berichterstattung Nachweis Wirksamkeit in den Einheiten 11

Berichterstattung Scoping Folgeaktivitäten zu Schwachstellen Erfassung

12 Mit RICORS werden die Anwender sicher durch den GRC-Regelprozess durchgeführt Automatisierte Workflows reduzieren manuellen Arbeitsaufwand Formale Plausibilisierungsschritte werden automatisch unterstützt Durchgängige Systemunterstützung erleichtert die Auswertung der Daten und Berichterstattung (z. B. RMS-Bericht) Zentrale Web-Applikation ermöglicht konzernweite konsistente Datenbasis RICORS erfüllt Sicherheitsvorgaben des Volkswagen Konzerns Berechtigungskonzept bietet sicheren Datenzugriff Die Ergebnisse des GRC-Regelprozesses werden in RICORS nachhaltig dokumentiert Permanente Absicherung der Datenintegrität 12

13 Vor dem internationalen Rollout über mehrere Marken und Standorte hinweg, wurde RICORS zunächst bei VW do Brasil erprobt Weltweit (2012) Brasilien (2012) Weltweit (2013) Bis zur Einführung von RICORS wurde Excel als GRC-Lösung verwendet. Implementierung und Umsetzung von RICORS in der Pilotgesellschaft VW do Brasil Beginn der weltweiten Erfassungsphase mit einheitlicher Systemunterstützung durch RICORS 13

14 Für den internationalen Rollout wurde ein Projekt mit insgesamt acht Teilprojekten aufgesetzt 14

15 Mehrere Faktoren waren entscheidend, um RICORS über den initialen Big Bang Ansatz in die Organisation zu bringen Entwicklung und Umsetzung eines zielgruppenorientierten Trainings- und Kommunikationskonzepts Ausbildung von Key Usern und GRC-Verantwortlichen (aus über 100 initialen Einheiten) in Wolfsburg auf Basis einer dedizierten RICORS Trainingssystem Weltweite Präsenztrainings bei über 3000 Nutzern Aufbau eines zentralen Support Teams für alle Anfragen bzgl. RICORS Entwicklung einer zentralen Anlaufstellte mit Informations- und Trainingsmaterial (GRC-Wiki) für den GRC-Regelprozess sowie für RICORS 15

Wolfsburg auf Basis einer dedizierten RICORS Trainingssystem Weltweite Präsenztrainings bei über 3000 Nutzern Aufbau eines zentralen Support Teams für

16 RICORS Anwender können zwischen verschiedenen Trainingstypen wählen und zielgruppenspezifische Trainingsmaterialien einsehen Interaktive Präsentationstraining Fallstudientrainings Web Based Trainings Zusatzmaterialien Checklisten Laminated Cards Clickdummies User Guide Methodik-Handbuch 16

Präsentationstraining Fallstudientrainings Web Based Trainings

17 Heute ermöglicht ein modularer Ansatz eine hohe Flexibilität und Individualisierung bei höherer Wiederverwendbarkeit für die Zukunft Modulare Anwendertrainings Ergebnisse aus Lessons Learned Modulkatalog Abfrage Feedbacks ausgewählter Einheiten Ergebnisse / Erkenntnisse der Plausibilisierung Termine und Fristen im GRC-Regelprozess Zielgruppen mit verschiedenen Rollen und individuellem Wissenstand Standardisierte Trainingspakete Anpassung der GRC-Methodik Neue Funktionen in RICORS Releasewechsel von risk2value Alle Inhalte werden in Module zusammengefasst und enthalten grundlegende und vertiefende Inhalten Das Ergebnis ist ein Modulkatalog mit der Funktion individuelle Reihenfolgen von Inhalten zu speichern Qualität der Daten der jeweiligen Einheit Individuell zusammengestellte Trainingspakete 17

Wissenstand Standardisierte Trainingspakete Anpassung der GRC-Methodik Neue Funktionen in RICORS Releasewechsel von risk2value Alle Inhalte werden in Module zusammengefasst und enthalten grundlegende

18 Das GRC-Wiki ist die zentrale Anlaufstelle für alle Trainingsunterlagen zum GRC-Regelprozess und zu RICORS 18

19 Auf Basis unserer Erfahrungen mit dem globalen Rollout von RICORS haben wir mehrere Lessons learned identifiziert Lessons Learned Durchführung des Rollout-Projekts über mehrere Phasen ist erforderlich Spezialisierte und ausreichende Ressourcen sind ein kritischer Erfolgsfaktor Erklären und Aufzeigen von Zusatznutzen an das Management unterhalb Vorstand ist wichtig Mit Hilfe von RICORS funktioniert der integrierte GRC-Ansatz bei uns in der Praxis! 19

ausreichende Ressourcen sind ein kritischer Erfolgsfaktor Erklären und Aufzeigen von Zusatznutzen an das

20 Vielen Dank für Ihre Aufmerksamkeit und bis bald. 20

Ähnliche Dokumente

MHP Audit Process Optimization Ihre Lösung für Ihr Mobile Device- Management zur Performancesteigerung!

MHP Audit Process Optimization Ihre Lösung für Ihr Mobile Device- Management zur Performancesteigerung! 2015 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbh Agenda Motivation