Auf GRC folgt IRM: Aufbau eines integrierten Risikomanagements

Auf GRC folgt IRM: Aufbau eines integrierten Risikomanagements

Die Entwicklung des Risikomanagements in den letzten Jahrzehnten war geprägt von gesetzlichen und aufsichtsrechtlichen Regelungen, Standards, Rahmenwerken und Best-Practice-Ansätzen. Ein Auszug dazu ist in nachfolgender Abbildung dargestellt.

Die Grafik stellt einen Auszug an relevanten gesetzlichen und aufsichtsrechtlichen Regelungen und Standards in den letzten Jahren dar.

Die Anforderungen an ein modernes Risikomanagement sind in dieser Zeit stetig gestiegen. Geänderte Rahmenbedingungen, wie neue Rechtsgrundlagen, aber auch die Globalisierung und Digitalisierung, sowie veränderte betriebswirtschaftliche Aspekte, wie kürze Produktlebenszyklen und komplexere Geschäftsprozesse, verlangen nach einem holistischen Risikomanagementansatz, um kontinuierlich einen soliden und sicheren Geschäftsbetreib sowie eine verantwortungsvolle Unternehmensführung zu gewährleisten.

Um dem Bestreben nach einem holistischen Ansatz Rechnung zu tragen, hat sich vor gut einem Jahrzehnt der sog. GRC-Ansatz entwickelt. Der GRC-Ansatz beinhaltet die holistische Betrachtung der Disziplinen Governance, Risikomanagement und Compliance (GRC) und zielt dabei insbesondere auf die Einhaltung interner und externer Vorgaben sowie die Kontrolle von Geschäftsprozessen.

Der Trend der letzten Jahre sowie die aktuellen Anforderungen an ein holistisches und ganzheitliches Risikomanagement gehen allerdings über den bisherigen GRC-Ansatz hinaus. Der stark compliance-orientierte GRC-Ansatz hat den Nachteil, dass sich dieser auf die GRC-Disziplinen beschränkt und sich überwiegend auf die internen Gegebenheiten der involvierten Abteilungen bezieht.

Andere wichtige Disziplinen mit Bezug zum Risikomanagement sind zwar häufig im Unternehmen etabliert, gehen aber methodisch oft eigene Wege und sind im Ablauf, z. B. in Form von durchzuführenden Risiko- und Kontroll-Assessments, wenig verzahnt. Da aber diese Disziplinen, wie z. B. Business Continuity Management (BCM), IT-Sicherheit und Lieferantenmanagement, eine immer wichtigere Rolle für Unternehmen spielen, sollten auch diese Disziplinen in einen ganzheitlichen und integrierten Risikomanagementansatz eingebunden werden.

Letztlich sollten alle Disziplinen mit Bezug zum Risikomanagement das Ziel haben, die Chancen und Risiken des Unternehmens mit konsistenten Methoden zu identifizieren und zu steuern, um damit einen effektiven, effizienten und ordnungsgemäßen Geschäftsbetrieb sowie eine übergreifende und ganzheitliche Risikobetrachtung sicherzustellen. Mit einem risikoorientierten und integrierten Ansatz, dem sog. IRM-Ansatz (Integrated Risk Management), können Synergien zwischen den unterschiedlichen Disziplinen gehoben sowie Insellösungen und Risiko-Doppelabfragen vermieden werden. Die nachfolgende Abbildung zeigt die wesentlichen Unterschiede zwischen dem GRC-Ansatz und dem IRM-Ansatz.

Die Grafik stellt den Unterschied zwischen GRC und IRM dar.

IRM-Ansatz

Der IRM-Ansatz beinhaltet die risikoorientierte Zusammenführung und Verzahnung unterschiedlicher Disziplinen, Assessments und Komponenten im Unternehmen, um Synergien zu heben, Transparenz zu schaffen, Aufwände zu reduzieren und eine ganzheitliche Risikobetrachtung sicherzustellen. Je nach Risikoart und Disziplin sorgen geeignete quantitative und/oder qualitative Risikomanagementinstrumente für einen konsistenten und stringenten Risikomanagementprozess im Unternehmen. Nachfolgend dargestellt sind mögliche Bestandteile des IRM-Ansatzes. Die Bestandteile Risiken, Disziplinen, Assessments und Komponenten werden im Folgenden näher erläutert.

Die Grafik stellt die einzelnen Bestandteile des IRM-Ansatzes dar.

Risiken

Eine ganzheitliche und integrierte Risikobetrachtung ist in der heutigen Zeit wichtiger denn je für viele Unternehmen geworden. Aktuelle Entwicklungen, wie z. B.

  • steigende Nutzung digitaler Technologien (Big Data, Data-Mining, Intelligent Process Automation „IPA“ künstliche Intelligenz „KI“),

  • erhöhte Wettbewertungsintensität,

  • Niedrig-/Nullzinspolitik,

  • soziodemografischer Wandel,

  • steigende Rohstoffpreise,

  • Klimawandel und Bestreben nach einer möglichst CO2-neutralen Wirtschaft,

  • zunehmende Automatisierung und Intransparenz in wichtigen Geschäftsprozessen,

  • stärkere öffentliche Wahrnehmung von Compliance-Vorfällen und Rechtsstreitigkeiten und

  • gestiegene gesetzliche und regulatorische Vorgaben

führen zu einer Vielzahl neuer finanzieller und nicht-finanzieller Risiken. Zu den finanziellen Risiken zählen u. a. Risiken im Zusammenhang mit Marktpreisänderungen, Zahlungsausfällen und sonstigen
Finanztransaktion, wie z. B. Marktrisiken (u. a. Aktienkursrisiko, Währungsrisiko und Zinsänderungsrisiko) sowie Kreditrisiken und Liquiditätsrisiken. Zu den nicht-finanziellen Risiken gehören operationelle Risiken (u. a. Compliance- und Rechtsrisiken, IT-Risiken und digitale Risiken) sowie Geschäftsrisiken, strategische Risiken, Reputationsrisiken und Nachhaltigkeitsrisiken (z. B. Klimarisiken).

Eine ganzheitliche und integrierte Risikobetrachtung setzt eine systematische Identifikation der finanziellen und nicht-finanziellen Risiken über alle relevanten Disziplinen im Unternehmen voraus. Die Identifikation der Risiken beginnt mit der kontinuierlichen Überprüfung des Geschäftsmodells und der Geschäftsstrategie unter Berücksichtigung aktueller Trends sowie interner und externer Rahmenbedingungen. Aktuelle Gegebenheiten, wie die Implementierung digitaler Technologien, eröffnen Chancen aber auch Risiken. Chancen wie auch Risiken müssen transparent gemacht und unter Berücksichtigung der Risikostrategie und des Risikoappetits bewusst gesteuert werden. Bei der Identifikation der Risiken und letztlichen Bestimmung der wesentlichen Risken für das Unternehmen sind die Fachabteilungen entsprechend miteinzubinden.

Disziplinen, Assessments und Komponenten

Verschiedene Disziplinen im Unternehmen, wie z. B.

  • Governance

  • Risikomanagement

  • Internes Kontrollsystem (IKS)

  • Compliance

  • Business Continuity Management (BCM)

  • Lieferantenmanagement

  • IT-Sicherheit

  • Information Security Management System (ISMS)

betrachten häufig die gleichen Risiken mit unterschiedlichen Methoden und fragen diese getrennt in separaten Assessments in den Fachabteilungen ab. Durch diese Insellösungen oder „Silos“ findet die Identifikation und Bewertung der Risiken in den Abteilungen häufig inkonsistent, doppelt oder unzureichend statt. Bei Siloabfragen steigt zudem die Gefahr, dass Risiken, Risikokonzentrationen oder Wechselwirkungen zwischen Risiken nicht oder nicht rechtzeitig erkannt werden. Außerdem führen Siloabfragen und inkonsistente Methoden zu Mehraufwand und Unverständnis in den Abteilungen und letztlich zu einer nicht ausreichend gelebten Risikokultur im Unternehmen.

Durch eine risikoorientierte Zusammenführung und Verzahnung der unterschiedlichen Disziplinen, Assessments, Strategien, Prozesse, Methoden und Technologien im Unternehmen in einem integrierten Ansatz mit konsistenter und einheitlicher Methodik, können beispielsweise bisher unterschiedliche Assessments gebündelt und zentral gesteuert werden.

Durch die Bündelung der Assessments und Vereinheitlichung der Methoden zu einer konsistenten IRM-Methodik werden Synergien gehoben und Aufwände der Abteilungen reduziert. Aufwandsreduktionen, Vereinfachungen im Ablauf sowie einheitliche Methoden sorgen für mehr Akzeptanz bei Mitarbeitern und Führungskräften und steigern die unternehmensweite Risikokultur.

Eine zentrale Steuerung der Assessments ist elementar für den fortwährenden IRM-Erfolg und beinhaltet u. a. zentrale Qualitätssicherungsmaßnahmen, um die unternehmensweite Einhaltung der IRM-Methodik fortlaufend sicherzustellen. Durch die unternehmensweite Einhaltung der konsistenten IRM-Methodik werden die Ergebnisse der Assessments vergleichbar und können zielgerichtet aus unterschiedlichen Perspektiven und je nach Stakeholder-Anforderung ausgewertet werden.
Ziel der IRM-Methodik und des IRM-Ansatzes im Ganzen ist es allerdings nicht, die einzelnen Disziplinen komplett neu aufzubauen. Vielmehr ist es das Ziel, die vorhandenen Disziplinen, Assessments und Komponenten zu analysieren, um Synergie- und Verzahnungspotenziale zu identifizieren und diese letztlich umzusetzen. Zu den Erfolgsfaktoren der IRM-Umsetzung zählen:

  • Auswahl geeigneter IRM-Disziplinen je nach Synergiepotential

  • Berücksichtigung aller relevanten internen und externen Vorgaben sowie Stakeholder-Interessen

  • Stringente Methodiken und effektive Definition der IRM-Elemente -> z. B. angemessene Wesentlichkeitsdefinitionen für Prozesse, Risiken und Kontrollen

  • Durchführung von IRM-Assessments auf allen Unternehmensebenen (Prozess-, Entity- und IT-Ebene)

  • Steuerung der Assessments durch zentrale Funktion(en)

  • Transparente Rollen und Verantwortlichkeiten gemäß 3-Lines of Defense Model

  • Zielgerichtete Definition und Umsetzung des IRM-Berichtswesens

  • Einsatz eines angemessenen Mix aus Risikomanagement-Instrumenten

Fazit

Die ganzheitliche und integrierte Risikobetrachtung hat in letzten Jahren stark an Bedeutung gewonnen. Mit dem IRM-Ansatz profitieren Unternehmen sowohl aus regulatorischer als auch aus strategischer und operativer Sicht.

Aus regulatorischer Sicht haben eine Vielzahl neuer Rechtsgrundlagen und Standards die Notwendigkeit für Unternehmen verstärkt, eine einheitliche, übergreifende und somit ressourcenschonende Überwachung der Einhaltung der Vorgaben im Unternehmen zu etablieren. Aus strategischer und operativer Sicht fordern die Entwicklungen der letzten Jahre und die vorherrschenden Insellösungen im Unternehmen eine perspektivische und übergreifende Lösung, um die Vielzahl an (neuer) finanzieller und nicht-finanzieller Risiken sowie deren Wechselwirkung zu begegnen.

Durch die risikoorientierte Zusammenführung und Verzahnung der unterschiedlichen Disziplinen, Assessments und Komponenten im Unternehmen können Chancen und Risiken mit konsistenten Methoden identifiziert und gesteuert werden. Gleichzeitig können Synergien zwischen den Abteilungen realisiert, Aufwände reduziert und Doppelabfragen vermieden werden.

Mehr zum Thema

Können wir Sie unterstützen? Kontaktieren Sie einen unserer Experten!

Mit Q_PERIOR steht Ihnen ein starker Partner zur Seite.
Wir freuen uns auf Ihre Herausforderung!