Beschäftigt man sich ein wenig näher mit Unternehmensführung, fallen drei Begriffe ins Auge: mit Governance, Risk und Compliance (oder der zusammengefassten Abkürzung GRC) werden gemeinhin die drei bedeutendsten Handlungsebenen eines Unternehmens beschrieben. Die englischen Begriffe haben sich im Sprachgebrauch mittlerweile so etabliert, dass es keine treffende Übersetzung ins Deutsche gibt.
Der Begriff Corporate Governance umfasst den rechtlichen und faktischen Orientierungsrahmen für die Leitung und Überwachung einer Organisation – damit sind insgesamt alle Grundsätze gemeint, an denen sich die Entscheidungsfindung eines Unternehmens im Alltag orientiert. Der Orientierungsrahmen wird durch das Management einer Organisation – die Unternehmensleitung – festgelegt und basiert auf den definierten Zielen. Wie diese Ziele erreicht werden sollen und welche Methoden und Ressourcen dafür eingesetzt werden, gehört ebenfalls in den Bereich der Corporate Governance. Die Ziele sind dabei monetärer (Erhalt der Unternehmensliquidität), legaler (Einhaltung der geltenden Regeln und Rechtsnormen) und interner Natur (Organisationsleitbild etc.).
In welchem Rahmen bewegen sich Organisationen?
Der Begriff Risk beschreibt das Risikomanagement. Als Risiko wird in der Fachliteratur ein mögliches, bestimmbares und qualifizierbares Ereignis definiert, wodurch das Erreichen der Unternehmensziele gefährdet wird. Für Unternehmen ist es daher wichtig, durch Risikoanalysen das Auftreten bekannter und unbekannter Risiken vorwegzunehmen und Strategien bereitzustellen, mit denen Risiken minimiert werden können. Dazu gehört ebenfalls der Umgang mit dem Schadensfall. Die möglichen Risiken treten dabei in Bezug auf Strategie, Prozesse und Aufgaben eines Unternehmens auf.
Mit dem Begriff Compliance wird das Streben nach regeltechnischer Konformität (gesetzliche Bestimmungen, regulatorische und interne Standards) beschrieben. Konkret sind damit Aufbau und Nutzung geeigneter Strukturen und Instrumente gemeint, um die Zielerreichung sicherzustellen und Schaden vom Unternehmen abzuwenden. Langfristig geht es darum, das Fortbestehen des Geschäftsmodells zu sichern sowie das Ansehen und Vermögen des Unternehmens zu verbessern. Dafür braucht es Regeln genauso wie interne Kontroll- und Risikomanagementsysteme. Als Eingriffstor für externe Angriffe gilt oftmals die IT-Organisation, weswegen die unternehmenseigenen Daten besonders geschützt werden müssen.