Enterprise Risk Management
Toolgestütztes Management unternehmenweiter Risiken und Chancen liefert eine aggregierte Sicht über die Bestandssicherheit und Risikotragfähigeit moderner Unternehmen.

Methodische und technische Herausforderungen

Ein modernes unternehmensweites Risikomanagement System adressiert den gesamten Risikomanagement-Prozess. Aus diesem Prozess lassen sich die methodischen Anforderungsbereiche ableiten, die von einem GRC-System zur Umseztung des Enteprise Risk Management als integrierte Funktionen erwartet werden. 

Risikoidentifikation -- kundenspezifische Prozesse
Gerade in der Risikoidentifikation gehen Unternehmen im Risikomanagement sehr unterschiedliche Wege. Ein GRC-Tool für ERM muss demnach sowohl Workshop-gestütze Identifikationsprozesse wie auch Katalog-basierte Vorgehensweisen abbilden und das zentrale Risikomanagement bei der Durchführung der jeweiligen Prozesse optimal unterstützen.

Risikobewertung -- Konfigurierbare Bewertungsmethoden
Je nach Branche, Unternehmensgröße und Zielsetzung des Risikomanagements kommen im ERM sehr unterschiedliche Methoden zur Risikobewertung zum Einsatz. Manche Unternehmen bleiben zur Bewertung der Risiken auf qualitativer Ebene und stützen sich stark auf verbale Beschreibung von Risiken, andere Unternehmen erfordern eine genaue quanitifizierung der Risikoszenarien. Ein Kunde muss demnach die für ihn relevante Mathematik zur Risikobewertung und -aggregation einfach in einem GRC-Tool konfigurieren können - das User-Interface und Reporting muss sich automatisiert darauf hin anpassen.

Risikomitigation -- workflowgestütztes Maßnahmenmanagement
Die Integration des Maßnahmenmanagement direkt in das Risikomanagement Tool ist heute bereits fester Bestandteil von Standard-Anforderungen. Die Verwaltung und das Tracking von Maßnahmen muss für einen effizienten Prozess workflowgestützt erfolgen, Änderungen müssen zentral protokolliert und jederzeit ausgewertet werden können. Alle Maßnahmeninformationen sollten auch nahtlos in das Risiko-Reporting integriert sein um dem Management ein vollständiges Bild vermitteln zu können.

Risikomonitoring -- autmatisiertes sowie flexibles Reporting
Im unternehmensweiten Risikomanagement sind sowohl standardisierte Reports die immer nach gleichem Muster aufgebaut sind ebenso erforderlich wie die flexible Möglichkeit alle Risikomanagement Informationen adhoc nach unterschiedlichen Dimensionen auswerten zu können bzw. diese Daten in Management-Dashboards zur Verfügung zu stellen.

Lösungsbeschreibung

Die GRC-Suite risk2value® bietet speziell im Enterprise Risk Management aufgrund seiner hohen Flexibilität und Konfigurierbarkeit die Möglichkeit, die meist bereits im Unternehmen etablierten Prozesse und Methoden nicht abändern zu müssen.

Die risk2value® Scorecard für das Enterprise Risk Management beinhaltet üblicherweise folgende Strukturen (siehe Grafik):

• Organisations-Strukturen - sie beinhalten üblicherweise den Konzern, Gesellschaften, Bereiche oder Business Units sowie Abteilungen oder Divisionen
• Geschäftsprozesse - sie ermöglichen es Risiken nicht nur der Verantwortlichkeit von Risiko-Ownern zuordnen zu können sondern auch den betroffenen Geschäftsprozessen
• Risikokataloge - sie dienen als Basis für die Identifikation und Bewertung von Risiken durch die Risiko-Owner und können hierarchisch (nach Kategorien, Subkategorien, etc.) aufgebaut sein. Durch die Verwendung von Risikokatalogen kann auch identifiziert werden, welche Risiken an mehreren Stellen in der Organisation zu Schäden führen können um bei in der gesamten Organisation oft auftretenden Risiken beispielsweise zentrale Mitigations-Strategien zu entwickeln
• Mitigations-Aktivitäten - Aktivitäts-Elemente wie Mitigations-Maßnahmen, Kontroll-Maßnahmen oder auch Audit-Feststellungen können ebenfalls in der Scorecard hinterlegt und zu konkreten Risiken und Organisationsbereichen zugeordnet werden. Diese Aktivitäten werden dann vom zentralen, workflowgesteuerten Maßnahmenmanagement und -tracking verwaltet. Dies ermöglicht beispielsweise auch Auswertungen über die Anzahl an offenen Aktivitätselemente geordnet nach Kritikalität in den unterschiedlichen Gesellschaften, Business Units oder Abteilungen.
• Internes Kontroll-System - Risiken können prinzipiell mit Maßnahmen mitigiert oder mit Internen Kontrollen überwacht werden. Das trifft speziell auf Risiken zu, die immanent Teil des Geschäftes sind und daher nicht versichert oder transferiert werden können. Das Risikomanagement kann demnach auch mit der GRC-Lösung "Internes Kontrollsystem" integriert werden, die hier näher beschrieben wird.

Die bei Kunden bereits bestehenden Methoden und Prozesse werden im Rahmen der Implementierung in risk2value® modelliert. risk2value® ermöglicht es die bei einem Kunden bereits implementierten Prozesse und Risikomanagement Methoden weiter zu führen und in einem professionellen Werkzeug abzubilden. Hierzu wird die bestehende Methode (die beispielsweise in Excel oder einem anderen Tool abgebildet ist) analysiert und daraus die risk2value® Modellierung abgeleitet. Der Kunde muss also keine bereits etablierten Methoden anpassen sondern implementiert sie lediglich in risk2value®.

Die strukturierte Modellierung der Risikomanagement-Informationen in der risk2value® Scorecard ermöglicht einen einfachen Überblick zu Zusammenhängen zwischen Organisationseinheiten, deren Risikoeignern, Prozessen, Risiken, Bewertungen und Maßnahmen. Zur Abbildung dieser strukturierten Vorgehensweise beinhaltet risk2value® im Kontext von unternehmensweitem Risikomanagement zahlreiche Module.

Key Points

• Abbildung kundenspezifischer Prozesse, Inhalte und Bewertungsmethoden
• Workflowgestütztes Maßnahmenmanagement
• Zentrale Steuerung von Risiko-Assessments
• Dezentrale Risiko-Assessments über den Webbrowser (kein Rollout)
• Automatiche Historisierung von Informationen / Bewertungen
• Nachvollziehbarkeit aller Änderungen
• Einfaches und hochqualitatives Risiko-Reportig mittel OLAP Technologie

Zurück zur Übersicht der GRC-Lösungen