Risikomanagement im digitalen Zeitalter erfordert Zusammenarbeit

Der jährlichen CIO-Befragung von Gartner zufolge führt die Digitalisierung nicht nur zu neuen und höheren Risikolevels, sondern bringt auch völlig neue Risikoarten hervor, die alle gesteuert werden müssen. Risikomanagement ist deshalb wichtiger denn je.

Gespräche mit vielen hochrangigen Mitarbeitern aus Unternehmen, mit denen wir geschäftlich verbunden sind, haben gezeigt, dass mehr und bessere Informationen zur Risikolage benötigt werden, um ein Unternehmen voranzubringen. Auch auf globalem Niveau wurden ähnliche Beobachtungen gemacht.

In einer weltweiten Umfrage hat die Risk & Insurance Management Society (RIMS) über 500 Risikoverantwortliche in Führungspositionen gefragt: „Erwarten Sie, dass es für Sie in den nächsten drei Jahren einfacher wird, wichtige Risiken vorherzusagen?“ 74 Prozent sagten nein. Das ist alarmierend!

Risikoverantwortliche stehen vor einer enormen Herausforderung. Die Anzahl der Risiken, ihre Komplexität sowie die Überschneidung von Risiken aus globaler, organisatorischer und technischer Sicht haben eine schnelle Eskalation der Risiken im Unternehmen zur Folge. Die Komplexität erschwert es ihnen, das gesamte Risikoprofil zu erfassen.

Noch wichtiger ist: Die RIMS-Studie zeigte, dass eine kontinuierliche bereichsübergreifende Zusammenarbeit fehlt. Firmen können den aktuellen Risikoursachen nicht auf den Grund gehen oder die Risiken, die sie in Zukunft betreffen werden, nicht festmachen.

Gartner Research Director John Wheeler sieht einen engen Zusammenhang zwischen dieser fehlenden bereichsübergreifenden Zusammenarbeit und der Isolation der meisten heutigen Software-Implementierungen für Governance, Risikomanagement und Compliance (GRC). Dem kann ich mich nur anschließen. Zwar besteht Übereinstimmung darüber, dass die Lösung im Aufbrechen der traditionellen Silos und der Integration der unterschiedlichen GRC-Bereiche liegt, für viele Unternehmen bleibt das jedoch eine riesige Herausforderung.

Sie versuchen die Silos aufzubrechen, indem sie typische GRC-Bereiche wie operatives Risikomanagement, IT-Risikomanagement, Audit, betriebliches Kontinuitätsmanagement usw. integrieren. Die Zusammenarbeit zwischen diesen Bereichen ist ein Schritt in die richtige Richtung, aber noch keine perfekte Lösung für den Unternehmenserfolg im digitalen Zeitalter. Dafür müssen die GRC-Bereiche untereinander zusammenarbeiten UND sie müssen mit den Bereichen kooperieren, die zuständig sind für Geschäftsprozess-Design, Prozessausführung und last but not least für Geschäftsprozess-Ergebnisse/-Performance.

Erfahrungsgemäß nutzen Führungskräfte das Risikomanagement effektiver, wenn sie die Zusammenhänge zwischen Geschäftsergebnissen, Geschäftsprozessen und den damit verbundenen Risiken verstehen. Die Informationen über die Risiken müssen ihnen vom Unternehmen zur Verfügung gestellt werden. Das Risikomanagement sollte nicht in der Hand einer eigens dafür bestimmten Organisationseinheit liegen, die für die Fachbereiche alle Aufgaben im Zusammenhang mit dem Risikomanagement übernimmt.

Die fachlich Verantwortlichen müssen verstehen, dass sie für die mit ihren Prozessen verbundenen Risiken zuständig sind und diese gemeinsam mit allen Beteiligten steuern müssen, um den Unternehmenserfolg zu gewährleisten. Es muss also ein prozessgetriebener GRC-Ansatz verfolgt werden, um ein umfassendes und unternehmensweites Risiko- und Governance-Modell zu etablieren, das eine ausgewogene Risikostrategie und eine klare Definition der Zuständigkeiten sicherstellt. Es geht darum, dass alle Verteidigungslinien zusammenarbeiten und alle Beteiligten eine gemeinsame Infrastruktur und konsistente Methoden nutzen.

GRC kann eine Schlüsseltechnologie für diese Form der Zusammenarbeit sein, aber es muss eine Zusammenarbeit unterstützen können, die über die traditionellen GRC-Silos hinausgeht und in den Geschäftsbetrieb integriert ist.