Was bedeutet Risiko in Zeiten des Digitalen Wandels? Wie
kann man Risiko überhaupt managen, wenn kein Stein auf dem anderen bleibt?
Die Bedeutung von Risiken in der digitalen Welt hat sich
gegenüber der Bedeutung in der analogen Welt nicht geändert. Es geht im Kern
des Risikomanagements nach wie vor darum, sicher zu stellen, dass
organisationale oder individuelle Ziele erreicht werden. Dabei bildet
Risikomanagement den Rahmen um mit unvorhergesehenen Ereignissen oder
Entwicklungen umzugehen und aktive Steuerungsmaßnahmen zu setzen.
Spezifische Domänen des Risikomanagements – wie
beispielsweise das Informationsrisikomanagement – gewinnen durch den digitalen
Wandel stark an Bedeutung. Informationen, die bis vor einigen Jahren
ausschließlich in physischer Form vorlagen, existieren heute digital – und sind
damit überall und zu jeder Zeit abrufbar. War es vor einigen Jahren noch
ausreichend, wertvolle Informationen mit einem guten Perimeterschutz gegenüber
außen zu schützen, so bringen die viel intensivere unternehmensübergreifende
Vernetzung, der Trend Daten in der Cloud abzulegen und die viel einfachere
Zugänglichkeit zu Informationen über mobile Devices die Notwendigkeit mit sich,
den Informationsschutz neu zu überdenken und zu gestalten. Die zunehmende
Vernetzung aller Bereiche des Lebens und die damit verbundene Generierung von
Daten (herfür gibt es zahllose Beispiele – vom Fitness-Tracker bis zum
Connected Car, vom intelligenten Kühlschrank bis zur digitalen Patientenakte)
bringt darüber hinaus auch noch völlig neue Angriffsszenarien mit sich.
Mit diesen Entwicklungen Schritt zu halten ist eine der
wesentlichen Herausforderungen um im digitalen Wandel das Sicherheitsniveau
aufrecht zu erhalten.
Welche Anforderungen stellt das Risikomanagement an die
Prozesse und Organisation des Kunden?
Risikomanagement hat heute oft den Ruf des „Verhinderers“ –
vor allem wenn es nur von wenigen Risikomanagern betrieben wird, die involviert
werden müssen um bei kritischen Entscheidungen von einem Veto-Recht Gebrauch zu
machen. Tatsächlich ist Risikomanagement aber eine Management-Disziplin, die
von den operativen Management-Strukturen einer Organisation nicht zu trennen
ist. Jeder Entscheidungsträger wägt Risiken in jedem Aspekt seines Handelns ab
– ob mittels Bauchgefühl oder mit formalisierten Methoden. Das
unternehmensweite Risikomanagement hat die klare Aufgabe einheitliche Methoden
und Werkzeuge bereit zu stellen, die dem operativen Management dabei helfen,
bessere Entscheidungen zu fällen. Interessanterweise ist zu beobachten, dass
Organisationen mit einer starken Zielfokussierung Risikomanagement nicht als
Hemmschuh, sondern als aktives Steuerungselement der Zielerreichung anerkennen
– die operativen Manager sehen dabei die in das Risikomanagement investierte
Zeit als Hilfestellung, ihre Ziele zu erreichen.
Welche Bedeutung hat dabei der „menschliche Faktor“?
Wie sich in diversen Wirtschaftskrisen gezeigt hat, kann man
auch mit den besten Algorithmen nicht aus der Vergangenheit valide auf die
Zukunft schließen. Risikoeinschätzungen – und die daraus resultierenden
Einschätzungen der künftigen Entwicklung -
basieren im Wesentlichen immer auf drei Quellen: Daten aus der
Vergangenheit, Parameter der Gegenwart in Verbindung zu den Daten der
Vergangenheit und menschlichen Einschätzungen, Schlussfolgerungen, Ableitungen
– also „Experts Judgement“. Ich bin der Überzeugung, dass auch in Zeiten von
Big Data und mit Unmengen an verfügbaren historischen Daten der Mensch die
entsprechende Schlussfolgerung ziehen wird und dabei auch immer seine subjektiven
Erfahrungen und Eigenschaften eine Rolle spielen werden.
Welche Möglichkeiten bieten dazu GRC Tools? Wie sieht Ihr
Einsatz in der Praxis aus?
Aus meiner Wahrnehmung gibt es zwei Arten von
Softwarewerkzeugen im GRC-Umfeld. Es gibt Experten-Tools, die einen meist sehr
kleinen Kreis von Experten dabei unterstützen, Daten aufzubereiten, mit
speziellen Analyse- und Simulationsverfahren zu bearbeiten und auf sehr
konkrete Fragestellungen statistisch nachvollziehbare
Ergebniswahrscheinlichkeiten aufzuzeigen.
Die zweite Art von Werkzeugen sind Management-Systeme – also
Werkzeuge, die das zentrale Risikomanagement enablen seine Governance-Funktion
auszuüben. Dabei werden Prozesse und Methoden aufgebaut, die dabei helfen, eine
homogene Risikomanagement-Vorgehensweise in die gesamte Management-Organisation
zu tragen um damit die Zielfokussierung sowie die Resilienz gegenüber
unvorhergesehenen Entwicklungen im Gesamtunternehmen zu stärken. Der größte
Nutzen für Unternehmen entsteht genau dann, wenn begonnen wird, mehrere solche
Management-Systeme zu integrieren um Synergien zwischen ERM, IKS, Audit
Management, Compliance Management, Security Management und anderen
GRC-Prozessen zu ziehen. Durch diese Integration entwickelt GRC seinen
eigentlichen Mehrwert.
Was sind die 3 wichtigsten Erfolgsfaktoren für GRC im
Digitalen Zeitalter?
Die Vision von avedos für GRC umfasst wesentliche
Themenbereiche, die wir als kritische Erfolgsfaktoren von GRC-Initiativen – und
damit auch des Erfolges des jeweiligen Unternehmens – sehen:
1.
Integration – GRC-Verantwortliche sind mehr und mehr gefordert ihre
GRC-Prozess Silos aufzubrechen und zu integrieren. Vorstände können es in einer
so bewegten Zeit nicht mehr akzeptieren, dass SIE in der Pflicht sind, sich aus
unzähligen, nicht integrierten Berichten, das Gesamtbild aufzubauen um
entscheidungsfähig zu sein. Auch ein einheitliches GRC-Tool zu implementieren,
das dann erst wieder hermetisch separierte GRC-Silos in sich trägt, wird hier
das Problem nicht lösen. Der Erfolg von GRC-Initiativen – vor allem aus Sicht
der Vorstände und Aufsichtsräte – wird also maßgeblich davon abhängen ob
GRC-Initiativen holistisch gedacht sind oder nur „alter Wein in neuen
Schläuchen“.
2. Agilität
– Je schneller sich die Umwelt weiterentwickelt, desto schneller müssen sich
auch Risikomanagement- und GRC-Prozesse entwickeln können. Dies verlangt
höchste Flexibilität und Anpassbarkeit der eingesetzten GRC-Systeme. Es ist
erforderlich alle Aspekte einer GRC-Initiative anhand des Reifegrades des
Unternehmens weiterentwickeln zu können. Methoden, Prozesse, Standards- und
Normen, Integrations-Szenarien, Schnittstellen
- all diese Elemente müssen sich den jeweiligen Gegebenheiten anpassen
können um Sackgassen in der IT-Umsetzung von GRC zu vermeiden.
3.
Collaboration – je größer die Zielgruppe der in einen GRC-Prozess
involvierten Personen ist, desto mehr ist die möglichst einfache, schnelle und
transparent dokumentierte Zusammenarbeit zu GRC-Inhalten erforderlich. Dies
umfasst sowohl Möglichkeiten der Personen- / Abteilungs- /
Standort-übergreifenden Interaktion zu Risiken, Maßnahmen oder anderen
GRC-Inhalten, als auch die Vereinfachung der Kommunikation über die unterschiedlichen
Organisationsebenen.
Das Confare CIO SUMMIT ist Österreichs größter CIO
Treffpunkt mit mehr als 300 IT-Entscheidern und der Verleihung des CIO AWARD an
die besten IT-Manager Österreichs. Anmeldungen und Details auf www.ciosummit.at
Die avedos business solutions gmbh ist ein
Softwareunternehmen mit Sitz in Wien, das sich auf Governance, Risk und
Compliance (GRC) spezialisiert hat. Das Unternehmen bietet seit 2005 flexible
Softwarelösungen, mit denen GRC-Prozesse dargestellt und verwaltet werden um
Risiken frühzeitig zu erkennen und Chancen optimal zu nutzen. Die
Softwareplattform risk2value deckt eine Vielzahl von Anwendungsbereichen im
Umfeld Enterprise Risk Management, Internes Kontrollsystem, Compliance
Management, Audit Management und Informationssicherheitsmanagement ab. Zu den
Kunden zählen die weltweit größten und erfolgreichsten Automobilhersteller,
Versicherungen, Telekommunikations- und Handelsunternehmen.
www.avedos.com
www.avedos.com
Keine Kommentare:
Kommentar veröffentlichen