Mit ganzheitlichem, aber pragmatischen Ansatz zum erfolgreichen Risikomanagement

Jedes Unternehmen operiert am Markt zwischen Chancen und Risiken. Strategische Paradigmenwechsel im Markt (Digitalisierung, Ende der fossilen Energie) erzeugen Unsicherheiten und öffnen damit riesige Chancen und ebenso grosse Risiken. Manche sind versucht, das Glück auf Ihre Seite zu zwingen (Uber mit illegaler Software, Autokartell in Deutschland), was dann die Regulatoren zum Handeln zwingt. Neue Gesetze schaffen dann wiederum neue Risiken. Ein Beispiel dafür ist das neue Personendatenschutzgesetz der EU (GDPR), das hohe Bussen bei Nichteinhaltung androht.

Ich habe in diesem Blog schon ein paar Mal zum Thema GRC (Governance, Risk und Compliance) geschrieben. Nur war das mehrheitlich zu ‹G› und ‹C›. Ohne das ‹R› funktionieren aber beide nicht!

In einem sich rasch ändernden Marktumfeld und bei gleichzeitig zunehmender Regulierung droht die Explosion der Governance-Kosten. Ein effizientes und integriertes Risikomanagement ist deshalb dringlich. Nur damit können Risiken systematisch entdeckt und der Umgang mit dem eigenen Risikoappetit abgestimmt werden. Daraus können dann geeignete Massnahmen zur Vermeidung, Verminderung, Verlagerung oder Akzeptanz von Risiken bestimmt werden.

In vielen Unternehmen fehlt jedoch eine unternehmensweite, einheitliche Sicht auf Risiken – insbesondere zwischen Business und IT klafft oft eine Lücke im gegenseitigem Verständnis.

Da heute viele – und in Zukunft immer mehr – Geschäftsaktivitäten IT-gestützt sind, ist die IT ein bedeutender Risikofaktor.

Die zunehmende Durchdringung aller Geschäftsaktivitäten macht die IT aber auch zu einem wichtigen Enabler eines effizienten Risikomanagements. Automatisierung bietet Chancen zum direkten Einbau von präventiven Risiko- und Compliance-Regeln. Der Abgas-Skandal bei Dieselfahrzeugen hat jedoch leider auch gezeigt, dass Missbrauch ebenso einfach automatisiert werden kann!

Zwei Komponenten für den richtigen Umgang mit Risiken

Für den richtigen Umgang mit Risiken im Spannungsfeld Business–IT braucht es deshalb zwei Komponenten:

• Eine durchgehende Methodik
• Eine IT-Lösung, die GRC ganzheitlich adressiert

Zahlreiche Hersteller bieten heute Lösungen für das Themenfeld GRC an; interessant ist z.B. ServiceNow, dessen GRC-Modul man einfach in die Enterprise-Service-Management-Lösung einklinken kann. Folgende Grafik zeigt einen Überblick über das Modul:

Das weitaus wichtigste Element für erfolgreiches Risikomanagement ist eine robuste Methodik. Da gibt es die ganz grossen Frameworks wie z.B. Enterprise Risk Management von COSO (Committee of the Sponsoring Organizations ), das eher für grosse Unternehmen geeignet ist und fast ausschliesslich von den grossen Revisionsfirmen benützt wird. ISASCAs RiskIT ist auf die IT ausgerichtet und integriert sich sehr gut mit den anderen ISACA-Frameworks COBIT und ValIT.

Die 8 Principles der «Management of Risks»-Methode

Dazwischen lässt sich M_o_R (Management of Risks) ansiedeln. Es ist eine durchgehende Methodik, die auf verschiedenen Ebenen eingesetzt werden kann: von strategischen Risiken, über Programm- und Projektrisiken bis hin zu operativen Risiken. Es führt einen Prozesslebenszyklus für Risikomanagement (Identify, Asses, Plan, Implement, Communicate) ein und hilft einem, es mittels eines strukturierten Approachs (Strategy, Policy, Registers) richtig in einem Unternehmen einzuführen. Die 8 Principles stellen sicher, dass die Methodik pragmatisch und relevant gelebt wird:

• Aligns with objectives
• Fits the context
• Engages stakeholders
• Provides clear guidance
• Informs decision making
• Facislitates continual improvement
• Creates a supportive culture
• Achieves measurable value

M_o_R ist eine Methode aus dem Hause Axelos, das ja auch für ITIL® verantwortlich ist. Genauso wie ITIL®, ist auch M_o_R von Praktikern für Praktiker geschrieben. Die Anwendung ist einfach und kann sowohl für eine spezifische Herausforderung angewendet werden als auch umfassend als Risk Management Framework eingesetzt werden. M_o_R ist vor allem in Europa eine Standard-Methodik, die jetzt neu auch bei Digicomp angeboten wird.