Wenn sich alles verändert, hilft professionelles Riskmanagement mit dem Unvorhersehbaren umzugehen. Samuel Brandstätter, CEO von avedos, spricht über GRC im digitalen Zeitalter.

 

Was bedeutet Risiko in Zeiten des Digitalen Wandels? Wie kann man Risiko überhaupt managen, wenn kein Stein auf dem anderen bleibt?

Die Bedeutung von Risiken in der digitalen Welt hat sich gegenüber der Bedeutung in der analogen Welt nicht geändert. Es geht im Kern des Risikomanagements nach wie vor darum, sicher zu stellen, dass organisationale oder individuelle Ziele erreicht werden. Dabei bildet Risikomanagement den Rahmen um mit unvorhergesehenen Ereignissen oder Entwicklungen umzugehen und aktive Steuerungsmaßnahmen zu setzen. 

Spezifische Domänen des Risikomanagements – wie beispielsweise das Informationsrisikomanagement – gewinnen durch den digitalen Wandel stark an Bedeutung. Informationen, die bis vor einigen Jahren ausschließlich in physischer Form vorlagen, existieren heute digital – und sind damit überall und zu jeder Zeit abrufbar. War es vor einigen Jahren noch ausreichend, wertvolle Informationen mit einem guten Perimeterschutz gegenüber außen zu schützen, so bringen die viel intensivere unternehmensübergreifende Vernetzung, der Trend Daten in der Cloud abzulegen und die viel einfachere Zugänglichkeit zu Informationen über mobile Devices die Notwendigkeit mit sich, den Informationsschutz neu zu überdenken und zu gestalten. Die zunehmende Vernetzung aller Bereiche des Lebens und die damit verbundene Generierung von Daten (herfür gibt es zahllose Beispiele – vom Fitness-Tracker bis zum Connected Car, vom intelligenten Kühlschrank bis zur digitalen Patientenakte) bringt darüber hinaus auch noch völlig neue Angriffsszenarien mit sich.

Mit diesen Entwicklungen Schritt zu halten ist eine der wesentlichen Herausforderungen um im digitalen Wandel das Sicherheitsniveau aufrecht zu erhalten.

 

Welche Anforderungen stellt das Risikomanagement an die Prozesse und Organisation des Kunden?                                                                                            

Risikomanagement hat heute oft den Ruf des „Verhinderers“ – vor allem wenn es nur von wenigen Risikomanagern betrieben wird, die involviert werden müssen um bei kritischen Entscheidungen von einem Veto-Recht Gebrauch zu machen. Tatsächlich ist Risikomanagement aber eine Management-Disziplin, die von den operativen Management-Strukturen einer Organisation nicht zu trennen ist. Jeder Entscheidungsträger wägt Risiken in jedem Aspekt seines Handelns ab – ob mittels Bauchgefühl oder mit formalisierten Methoden. Das unternehmensweite Risikomanagement hat die klare Aufgabe einheitliche Methoden und Werkzeuge bereit zu stellen, die dem operativen Management dabei helfen, bessere Entscheidungen zu fällen. Interessanterweise ist zu beobachten, dass Organisationen mit einer starken Zielfokussierung Risikomanagement nicht als Hemmschuh, sondern als aktives Steuerungselement der Zielerreichung anerkennen – die operativen Manager sehen dabei die in das Risikomanagement investierte Zeit als Hilfestellung, ihre Ziele zu erreichen.

 

Welche Bedeutung hat dabei der „menschliche Faktor“?

Wie sich in diversen Wirtschaftskrisen gezeigt hat, kann man auch mit den besten Algorithmen nicht aus der Vergangenheit valide auf die Zukunft schließen. Risikoeinschätzungen – und die daraus resultierenden Einschätzungen der künftigen Entwicklung -  basieren im Wesentlichen immer auf drei Quellen: Daten aus der Vergangenheit, Parameter der Gegenwart in Verbindung zu den Daten der Vergangenheit und menschlichen Einschätzungen, Schlussfolgerungen, Ableitungen – also „Experts Judgement“. Ich bin der Überzeugung, dass auch in Zeiten von Big Data und mit Unmengen an verfügbaren historischen Daten der Mensch die entsprechende Schlussfolgerung ziehen wird und dabei auch immer seine subjektiven Erfahrungen und Eigenschaften eine Rolle spielen werden.

 

Welche Möglichkeiten bieten dazu GRC Tools? Wie sieht Ihr Einsatz in der Praxis aus?

Aus meiner Wahrnehmung gibt es zwei Arten von Softwarewerkzeugen im GRC-Umfeld. Es gibt Experten-Tools, die einen meist sehr kleinen Kreis von Experten dabei unterstützen, Daten aufzubereiten, mit speziellen Analyse- und Simulationsverfahren zu bearbeiten und auf sehr konkrete Fragestellungen statistisch nachvollziehbare Ergebniswahrscheinlichkeiten aufzuzeigen.

Die zweite Art von Werkzeugen sind Management-Systeme – also Werkzeuge, die das zentrale Risikomanagement enablen seine Governance-Funktion auszuüben. Dabei werden Prozesse und Methoden aufgebaut, die dabei helfen, eine homogene Risikomanagement-Vorgehensweise in die gesamte Management-Organisation zu tragen um damit die Zielfokussierung sowie die Resilienz gegenüber unvorhergesehenen Entwicklungen im Gesamtunternehmen zu stärken. Der größte Nutzen für Unternehmen entsteht genau dann, wenn begonnen wird, mehrere solche Management-Systeme zu integrieren um Synergien zwischen ERM, IKS, Audit Management, Compliance Management, Security Management und anderen GRC-Prozessen zu ziehen. Durch diese Integration entwickelt GRC seinen eigentlichen Mehrwert.

 

Was sind die 3 wichtigsten Erfolgsfaktoren für GRC im Digitalen Zeitalter?

Die Vision von avedos für GRC umfasst wesentliche Themenbereiche, die wir als kritische Erfolgsfaktoren von GRC-Initiativen – und damit auch des Erfolges des jeweiligen Unternehmens – sehen:

1. Integration – GRC-Verantwortliche sind mehr und mehr gefordert ihre GRC-Prozess Silos aufzubrechen und zu integrieren. Vorstände können es in einer so bewegten Zeit nicht mehr akzeptieren, dass SIE in der Pflicht sind, sich aus unzähligen, nicht integrierten Berichten, das Gesamtbild aufzubauen um entscheidungsfähig zu sein. Auch ein einheitliches GRC-Tool zu implementieren, das dann erst wieder hermetisch separierte GRC-Silos in sich trägt, wird hier das Problem nicht lösen. Der Erfolg von GRC-Initiativen – vor allem aus Sicht der Vorstände und Aufsichtsräte – wird also maßgeblich davon abhängen ob GRC-Initiativen holistisch gedacht sind oder nur „alter Wein in neuen Schläuchen“.

2. Agilität – Je schneller sich die Umwelt weiterentwickelt, desto schneller müssen sich auch Risikomanagement- und GRC-Prozesse entwickeln können. Dies verlangt höchste Flexibilität und Anpassbarkeit der eingesetzten GRC-Systeme. Es ist erforderlich alle Aspekte einer GRC-Initiative anhand des Reifegrades des Unternehmens weiterentwickeln zu können. Methoden, Prozesse, Standards- und Normen, Integrations-Szenarien, Schnittstellen  - all diese Elemente müssen sich den jeweiligen Gegebenheiten anpassen können um Sackgassen in der IT-Umsetzung von GRC zu vermeiden.

3. Collaboration – je größer die Zielgruppe der in einen GRC-Prozess involvierten Personen ist, desto mehr ist die möglichst einfache, schnelle und transparent dokumentierte Zusammenarbeit zu GRC-Inhalten erforderlich. Dies umfasst sowohl Möglichkeiten der Personen- / Abteilungs- / Standort-übergreifenden Interaktion zu Risiken, Maßnahmen oder anderen GRC-Inhalten, als auch die Vereinfachung der Kommunikation über die unterschiedlichen Organisationsebenen.