Das unabhängige Marktforschungsinstitut Forrester Research hat weltweit die wichtigsten Governance, Risk und Compliance Plattformen analysiert und dabei die folgenden 14 Anbieter gefunden:
EMC/RSA, Enablon, IBM, LogicManager, MetricStream, Nasdaq BWise, Navex Global, Protiviti, Resolver, Rsam, SAI Global, SAP, Thomson Reuters und Wolters Kluwer Financial Services.
Der Bericht zeigt auf, wie gut die einzelnen Anbieter die insgesamt 30 Forrester-Kriterien erfüllen und wie die Plattformen untereinander zu bewerten sind. Er basiert auf der Produkt-Evaluierung der 14 Unternehmen sowie einer Befragung von knapp 50 Endnutzern. Berücksichtigt wurden Plattformen, die folgende Bedingungen erfüllten:
- Unterstützung von mehreren GRC-Prozessen
“standalone” Lösungen, die bspw. ausschließlich Risikomanagement, Risikoanalyse, Third-party Comliance oder Lieferantenrisiken analysieren wurden nicht berücksichtigt
- Marktpräsenz
mind. 175 Kunden und ein Umsatz > $15 Mio.
- Marktrelevanz
der Anbieter nimmt aktiv am Wettbewerb teil und wird von Forrester Kunden auch als Anbieter bei der Suche nach einer GRC-Lösung wahrgenommen
Das Wichtigste vorweg
EMC/RSA, Enablon, MetricStream, Nasdaq BWise, Rsam, SAI Global und SAP sind die führenden Anbieter auf dem Markt. Mit SAP ist also auch ein deutsches Unternehmen führend auf dem globalen GRC-Markt.
Der GRC-Markt wächst zurzeit sehr stark. Viele Risikomanager sehen GRC-Plattformen als eine gute Möglichkeit, den Risiken der Komplexität und Globalisierung zu begegnen. Zudem sehen die Risikomanager die Plattform-Anbieter auch immer mehr als strategische Partner, auch wenn diese noch sehr viel Potenzial in der Entwicklung von branchen- und bereichs-spezifischen Lösungen haben.
Insgesamt stagnieren die Produktinnovationen auf dem GRC-Markt. Etablierte Anbieter ruhen sich auf ihren vorhandenen Lösungen aus und neue Anbieter fassen nur schlecht Fuß auf dem umkämpften Markt.
Kaum Unterschied in den Grundfunktionalitäten
Alle untersuchten GRC-Plattformen stellen dieselben Grundfunktionalitäten für die Nutzer bereit, unterscheiden sich jedoch zum Teil erheblich in ihrem Fokus auf einzelne GRC-Bereiche. Bei der Anschaffung einer GRC-Plattform können daher folgende Kriterien bei der Auswahl helfen:
- Contentmanagement-Funktionalitäten
GRC-Plattformen müssen Risikomanagern das Sammeln und Managen von Risiko-Daten, Transaktionsinformationen, Kontroll-Informationen und generellen Daten ermöglichen. Dieser Content kann benutzerspezifisch sein (bspw. interne Richtlinien oder Testdatensätze) oder wird vom Anbieter bereitgestellt, wie z.B. Best Practice Ansätze oder relevante Gesetze.
- Workflowmanagement-Funktionalitäten
Workflow-Funktionalitäten erleichtern die Kommunikation und die Sammlung relevanter Daten. Sie ermöglichen, Benachrichtigungen und Eskalationsstufen innerhalb der Plattform abzubilden. Workflowmanagement ist grundlegend notwendig für die Bereiche Risiko-Assessment, Test und Beurteilung von internen Kontrollen, Incident-Management und Interne Revision. Die Möglichkeit, existierende Workflows einfach zu verändern oder neue Workflows unkompliziert einzurichten ist sozusagen das Herz einer jeden GRC-Plattform.
- Reporting-Funktionalitäten
Berichte zeigen den aktuellen Status auf und sind Grundlage für Unternehmensentscheidungen. Zum Teil sind bereits hunderte von Berichtsvorlagen in der Anwendung integriert oder können in Form von ad hoc Reportings individuell erstellt werden. Dabei gewinnen visualisierte und dynamische Darstellungen gegenüber einer reinen Listendarstellung immer mehr an Bedeutung.
- Relationales Datenmodell
Über eine Datenbank werden alle Informationen miteinander verknüpft und ermöglichen so den Nutzern, Beziehungen zwischen Gesetzen, Richtlinien, Kontrollen, Risiken, Vermögensgegenständen, Prozessen, Geschäftsbereichen, Mitarbeitern und weiteren Objekten zu erstellen. Hierin liegt der entscheidende Vorteil einer GRC-Plattform im Vergleich zu Standard-Geschäftsprozessen.
Quelle: The Forrester Wave™
Fazit
In den Bereichen Reporting, Visualisierung der Daten und Vereinfachung des Workflowmanagements sind die Funktionalitäten in der Vergangenheit erheblich verbessert worden. Nachholbedarf besteht noch immer in der effizienten Zusammenführung verschiedener Unternehmensprozesse, fortgeschrittener Datenanalysen und einem benutzerfreundlichen Reporting für den Durchschnittsanwender. Die in der Studie berücksichtigten Plattformen können Daten aus allen Unternehmensbereichen sammeln und verarbeiten, aber die Anbieter haben noch viel Potenzial frei, damit sie den Erfolg ihrer Kunden auf dem Markt garantieren können:
- Anbieter lassen Kundenerwartungen nach wie vor unerfüllt
Anpassungen auf individuelle Bedürfnisse im Hinblick auf Branchen- oder Geschäftsbedingungen sind eine Herausforderung. Die Möglichkeiten der Plattformen sind meist extrem vielfältig und außerordentlich speziell konfigurierbar. Der Reifegrad vieler Unternehmen und die bereits existierenden Prozesse führen jedoch meistens dazu, dass diese Profi-Werkzeuge keine Rolle spielen und stattdessen versucht wird, mit Hilfe der Basis-Funktionalitäten einen Mehrwert für das Unternehmen zu schaffen. - Anbieter müssen sich auf die individuellen Kundenbedürfnisse einstellen
GRC-Anbieter folgen der Masse, wenn es darum geht, Produktfunktionalitäten zu erweitern. Da die Kunden die Plattform benötigen, um in diesem Bereich zu reifen und besser zu werden ist für sie nicht klar, welche Funktionalitäten sie auf dem Markt noch zusätzlich nachfragen sollten. Diese fehlende Nachfrage führt dazu, dass die Anbieter viel Energie darauf verwenden, die Plattformen mit noch spezielleren Funktionalitäten auszurüsten, anstatt innovative Wege zu finden, Risiken zu erkennen, vorhandene Unternehmensdaten sinnvoll zu verarbeiten oder Kommunikationswege innerhalb der Anwendung zu verstärken. Anbieter denen es gelingt, spezielle branchen-individuelle Anforderungen zu adressieren, werden ihren Kunden eine erfolgreichere Anpassung des Risikomanagement ermöglichen. - Anbieter müssen Beratung und Software gleichwertig anbieten
Risikomanagement und Compliance-Strategien sind branchenspezifisch. Trotzdem setzen Unternehmen unterschiedlicher Branchen dieselbe GRC-Plattform ein, ohne zu wissen, wie sie diese auf ihre speziellen Bedürfnisse anpassen sollen. Eine Software-Einführung ohne Branchenkenntnisse, Verständnis oder Know-how führt dazu, dass Anwendungen eingeführt und dann schnell wieder gegen eine andere Software ausgetauscht werden, ohne Nutzen für die Anwender. Im schlimmsten Fall wird die Idee des zentralisierten Risikomanagements sogar ganz verworfen.
Die komplette Studie “The Forrester Wave™: Governance, Risk, And Compliance Platforms, Q1 2016” finden sie bei Nasdaq BWise als Download.