Warum GRC in vielen deutschen Unternehmen nur auf dem Papier existiert
Weil Governance, Risk und Compliance sind organisatorisch zwar häufig vorhanden, aber selten konsequent in den Prozessen verankert. Diese drei Funktionen arbeiten in eigenen Silos, Verantwortlichkeiten greifen nicht ineinander und das fällt meist erst dann auf, wenn ein Audit, eine Aufsichtsbehörde oder ein Sicherheitsvorfall ansteht. Genau das hat GRC-Experte Volker Bannasch in einem Webinar mit intellior anhand zahlreicher Praxisfälle vom Kleinbetrieb bis zum KRITIS-Konzern beschrieben.
Dieser Artikel fasst seine wichtigsten Impulse zusammen.
Was bedeutet GRC eigentlich?
GRC steht für Governance, Risk und Compliance und beschreibt einen integrativen Ansatz zur Unternehmenssteuerung. Governance gibt den Rahmen vor, Risikomanagement identifiziert und bewertet Risiken, und Compliance stellt sicher, dass interne und externe Vorgaben eingehalten werden.
Wichtig für den Mittelstand: GRC ist kein gesetzlicher Selbstzweck. Eine eigenständige GRC-Organisation ist nicht für jedes Unternehmen in gleicher Form verpflichtend. Umfang und Ausgestaltung hängen stark von Unternehmensgröße, Branche, Risikoprofil und regulatorischem Umfeld ab. Kleinere Unternehmen vereinen die Rolle oft in der Geschäftsführung. Der eigentliche Sinn liegt im Selbstschutz: sich abzusichern und gleichzeitig effizienter zu arbeiten.
Die Ausgangslage: vorhanden, aber nicht gelebt
Eine Live-Umfrage in unserem Webinar zeigte ein typisches Bild: 54 % der Teilnehmenden sind im GRC-Bereich tätig oder bauen ihn aus, 62 % arbeiten bereits prozessorientiert und 69 % verfügen über ein BPM-Team. Trotzdem bleibt GRC häufig Theorie.
Die Folgen sind immer ähnlich:
- Unklare Zuständigkeit: Wenn ein externes Audit ansteht, wird niemand so recht nervös, bis die Frage „Wer ist eigentlich verantwortlich?" unbeantwortet bleibt.
- Dokumentation ohne Wirkung: Es entsteht viel Papier, das in der Praxis kaum jemand liest oder lebt.
- Tool-Trugschluss: „Wir haben ein Tool, also sind wir sicher“ – ein Irrglaube, der echte Lücken verdeckt.
Drei Praxisbeispiele aus Sicht von GRC, BPM und IT-Sicherheit
Aus GRC-Sicht agiert Governance oft als Stand-alone-Funktion, die niemand richtig versteht. Statt eines eigenen Regelkreises braucht es koordinierte Kommunikation in Richtung Fachabteilung und Vorstand, idealerweise automatisiert über Prozesse.
Aus BPM-Sicht dokumentiert das Prozessmanagement zwar Abläufe, doch ob diese gelebt werden, ist eine andere Frage. Risiken und Kontrollen gehören direkt in den Prozess, genau dort, wo ein Risiko entstehen könnte.
Beim Informationssicherheitsvorfall zeigt sich die Lücke am deutlichsten: Eine Cyberversicherung kann finanzielle Folgen abfedern, ersetzt aber keine funktionierenden Notfallprozesse und keine operative Handlungsfähigkeit im Ernstfall.
Erfolgsfaktor: BPM als Bindeglied zu GRC
Damit GRC wirkt, müssen Prozessmanagement und Compliance zusammenspielen. Konkret heißt das: Risiken und Kontrollen werden auf Aufgabenebene zugeordnet, Methoden und Richtlinien werden mit GRC abgestimmt, und das Management gibt dem Thema Aufmerksamkeit und Budget. Eine Business Impact Analyse (BIA) identifiziert die unternehmenskritischen Prozesse. Das ist die Grundlage für ein funktionierendes Business Continuity Management (BCM), das mittlerweile auch von Vorgaben wie NIS-2 und dem BSI eingefordert wird.
Entscheidend ist dabei, Risiken nicht losgelöst in separaten Risikoregistern zu führen, sondern dort sichtbar zu machen, wo sie entstehen: direkt im Prozess. Denn Risiken existieren nicht losgelöst von Abläufen, sie entstehen innerhalb von ihnen. Wer sie nur getrennt verwaltet, verliert den Bezug zur operativen Realität: Mitarbeitende kennen dann zwar die Prozessschritte, sehen aber nicht die damit verbundenen Risiken, und Risikomanager kennen die Risiken, aber nicht immer deren konkrete Auswirkung auf den Ablauf. Erst die direkte Verknüpfung schafft Transparenz darüber, an welcher Stelle Fehler, Verstöße oder Sicherheitsvorfälle entstehen können und welche Kontrollen sie verhindern oder reduzieren. So wird Risikomanagement von einer reinen Dokumentationsaufgabe zu einem aktiven Bestandteil der Prozesssteuerung. Ein Zusammenhang, den regulatorische Vorgaben in Informationssicherheit, Datenschutz und BCM zunehmend als nachvollziehbaren Wirksamkeitsnachweis einfordern.
Das Orchester: ein Bild für gelebtes GRC
Bannaschs zentrale Metapher: Ein Unternehmen ist wie ein Orchester. Jeder Bereich spielt sein Instrument, doch erst der Dirigent mit Blick auf das Ganze erzeugt Harmonie.
„Ich kann nicht die erste Geige spielen, wenn die anderen Geigen nicht mit mir harmonieren." - Volker Bannasch, BPM-Berater, GRC-Praktiker und Geschäftsführer der ViaConsilium GmbH, LinkedIn

Wer im Orchester nur sein eigenes Stück beherrscht, sorgt noch nicht für ein stimmiges Ergebnis – Abstimmung ist alles.
Risikomanagement vs. internes Kontrollsystem (IKS)
Beide ergänzen sich, wirken aber auf unterschiedlichen Ebenen:
- Risikomanagement ist strategisch und langfristig ausgerichtet. Es schützt die Unternehmensziele.
- Das IKS ist operativ ausgerichtet und bringt Kontrollen bis auf die Aufgabenebene in die Prozesse. Es hängt in der Regel an Governance und bildet die Schnittstelle zwischen GRC, BPM und Fachabteilung.
GRC in der Praxis abbilden
Reine Stand-alone-GRC-Software bringt laut Bannasch wenig, solange sie nicht mit den Prozessen verknüpft ist. Einen Vorteil sieht er nur dann, wenn ein eigenständiges Tool fachliche Spezifika abbildet, die andere Systeme nicht liefern. Selbst dann kommt es aber entscheidend auf die Schnittstellen an und darauf, dass diese nicht mehr Probleme schaffen, als sie lösen.
Aus der Praxis kennt Bannasch den typischen Fall: Der Import aus einer Prozess-Suite in ein separates GRC-Tool funktioniert nicht sauber. Die Folge ist Mehraufwand, der sich durch die gesamte Organisation zieht. Das BPM-Team muss Daten zusätzlich auslesbar machen, und am Ende soll die Fachabteilung Inhalte doppelt und anders dokumentieren. Das erzeugt Reibung und Unmut, die niemand braucht.
Sinnvoller ist ein Ansatz, der Risiken, Kontrollen, Prozesse und Verantwortliche an einer Stelle zusammenführt. Genau hier setzt Aeneis von intellior an: Mit der App IKS / Risikomanagement lassen sich Risiken dokumentieren, bewerten und mit Prozessen, Systemen, Kontrollen und Aufgaben verknüpfen. So entsteht ein integrierter Überblick darüber, wo Risiken auftreten, welche Kontrollen greifen und welche Maßnahmen daraus folgen.
Zusätzlich unterstützt Aeneis den Aufbau eines prozessorientierten integrierten Managementsystems. Managementsysteme wie Qualitätsmanagement, Compliance, Informationssicherheit, Krisen- oder Notfallmanagement und Risikomanagement können in einem einheitlichen System zusammengeführt werden. So wird aus verstreuter Dokumentation ein nachvollziehbares Managementsystem, das direkt mit den relevanten Prozessen verbunden ist.
Fazit
GRC scheitert selten am guten Willen. Es scheitert daran, dass Governance, Risk, Compliance und Prozessmanagement in vielen Unternehmen nebeneinander arbeiten, statt gemeinsam auf dieselben Prozesse zu blicken. Besonders bei Mission-Critical-Prozessen kann das zum Problem werden: Wenn Verantwortlichkeiten unklar sind, Risiken nicht im Ablauf sichtbar werden und Kontrollen nicht dort greifen, wo sie gebraucht werden, bleibt GRC reine Dokumentation.
Entscheidend ist deshalb nicht, noch mehr Regelwerke, Listen oder einzelne Tools einzuführen. Entscheidend ist, GRC dort wirksam zu machen, wo Arbeit tatsächlich passiert: in den Prozessen. Erst wenn Risiken, Kontrollen, Verantwortlichkeiten und Maßnahmen im Prozesskontext sichtbar werden, entsteht die Transparenz, die Unternehmen für Audits, regulatorische Anforderungen und sichere Entscheidungen benötigen.
Wenn Sie GRC nicht nur dokumentieren, sondern wirksam in Ihren Prozessen verankern möchten, testen Sie Aeneis oder vereinbaren Sie eine Live-Demo. Mit unserem ROI-Rechner können Sie außerdem in weniger als 60 Sekunden berechnen, wie viel Zeit, Geld und Ressourcen Sie durch effizientes BPM und GRC mit Aeneis sparen können.
Häufige Fragen:
Muss jedes Unternehmen eine eigene GRC-Organisation haben?
Nein. Nicht jedes Unternehmen benötigt eine eigene GRC-Abteilung oder ein umfangreiches GRC-System. Der Umfang sollte immer zur Unternehmensgröße, Komplexität und zum regulatorischen Umfeld passen. Ein Handwerksbetrieb mit wenigen Mitarbeitenden hat andere Anforderungen als ein international tätiger Konzern oder ein Unternehmen in einer stark regulierten Branche. Das bedeutet aber nicht, dass kleine Unternehmen keine GRC-Themen hätten: Jedes Unternehmen trifft Entscheidungen, geht Risiken ein und muss gesetzliche Vorgaben einhalten. In kleineren Organisationen übernehmen diese Aufgaben häufig die Geschäftsführung oder einzelne Führungskräfte mit. Mit zunehmender Größe, steigenden regulatorischen Anforderungen und wachsender Digitalisierung wird eine strukturierte GRC-Organisation jedoch immer wichtiger. Nicht weil sie Pflicht wäre, sondern weil Transparenz über Risiken und Verantwortlichkeiten zu einem entscheidenden Wettbewerbsfaktor wird.
Kann eine Person GRC und BPM gleichzeitig verantworten?
Mit wachsender Unternehmensgröße ist davon abzuraten. Auf den ersten Blick wirkt die Kombination logisch, weil beide Bereiche eng zusammenhängen, aber in der Praxis verfolgen sie unterschiedliche Ziele. BPM konzentriert sich auf Effizienz, Automatisierung, Standardisierung und Optimierung von Abläufen. GRC hinterfragt dieselben Prozesse kritisch nach Risiken, Compliance-Anforderungen und Kontrollbedarf. Daraus entsteht leicht ein Interessenkonflikt: Wer einen Prozess optimiert hat, soll ihn zugleich unabhängig auf Risiken und Schwachstellen prüfen. Die nötige Objektivität geht dabei oft verloren. Das entspricht dem Prinzip der Funktionstrennung, das auch in Revision, Compliance und Informationssicherheit zentral ist. In kleinen Unternehmen lässt sich eine solche Trennung organisatorisch oft nicht vollständig umsetzen. Dort ist es üblich, dass eine Person mehrere Rollen wahrnimmt. Mit wachsender Größe sollten Prozessverantwortung und Risikoüberwachung jedoch zumindest organisatorisch getrennt sein. BPM und GRC sind dabei keine Gegensätze, sondern ergänzen sich. BPM sorgt dafür, dass Prozesse effizient funktionieren, GRC stellt sicher, dass sie regelkonform, sicher und beherrschbar bleiben.
Sollte ich GRC und ISMS an einen externen Dienstleister auslagern?
Auslagern lässt sich GRC oder ein ISMS nur dann sinnvoll, wenn man es gut im Griff hat. Ein externer Dienstleister muss denselben Kontrollbereich abdecken wie eine interne Lösung und das wird tendenziell schwieriger, je größer das Unternehmen ist, weil zusätzliche Stellen wie die Dienstleistungssteuerung eingebunden werden müssen. Themen wie Datenschutz und Informationssicherheit werden dadurch anfälliger. Aus der Praxis kennt Bannasch das Muster, dass bei ausgelagerten Leistungen die linke Hand nicht weiß, was die rechte tut, der Auftraggeber kaum eingebunden ist und das Beschwerdemanagement nur selten, und dann eher hilflos, reagiert. Outsourcing ist deshalb nur zu empfehlen, wenn die vermeintlich geringeren Kosten tatsächlich niedriger sind als die interne Umsetzung und wenn die nötigen Kontrollinstanzen im Unternehmen vorhanden sind, ohne neue Kostenfaktoren zu erzeugen. Bei Konzernen kommt hinzu, dass bestimmte Aufgaben gar nicht aus der Hand gegeben werden dürfen, weil sich die Verantwortung nicht an Dritte übertragen lässt. Hier sollte man auf eine Auslagerung verzichten.





