Im Vorfeld des Digitalsummit ScaleUp 360° Enterprise Risk Management hat we.CONECT Global Leaders mit Marc Michel, Pre Sales Solutions Consultant bei der SAI Global GmbH über aktuelle und zukünftige Risiken für Unternehmen gesprochen, und wie diese durch Risikosimulation früh erkannt werden können.
Marc Michel: Es gibt verschiedene Risiken und Erwartungshaltungen, die sich auf die Art und Weise auswirken, wie erfolgreich ein Team seine Arbeit erledigt. Das sind nicht nur die Erwartungen der Regulierungsbehörden, sondern auch die Erwartungen der Kunden, technologische Risiken und menschliche Fehler. Traditionell erfolgte ein Risikomanagement aus jeder Fachrichtung heraus separat: Operationelles Risikomanagement, Compliance Risikomanagement, IT-Risikomanagement usw. Wir sehen bei unseren Kunden und Geschäftspartnern aber mittlerweile den klaren Trend hin dazu, diese Herausforderung im Unternehmen abteilungsübergreifend und ganzheitlich zu betrachten – und das befürworten wir sowohl aus Beratersicht als auch als Softwareanbieter. Man erhält einen deutlich klareren und ausgewogeneren Blick auf die Unternehmensrisiken, wenn man den gesamten Bereich Governance, Risk & Compliance miteinander verbindet und auf dieselben Daten zugreift. Zudem spart dies viel Aufwand in der Risikoidentifizierung und -bewertung und erleichtert zudem die Arbeit der internen Revision.
Marc Michel: Regulatorische Risiken entfalten entgegen der oben angesprochenen miteinander verbundenen Risiken und Kundenerwartungen in der Regel einen unmittelbaren Handlungsdruck. Aus dieser Perspektive betrachtet ist insbesondere die Zusammenarbeit des Risikomanagements mit der Abteilung wesentlich, die regulatorische Änderungen überwacht – sei es nun das Regulatory Compliance Office oder die Rechtsabteilung. Als aktuelle Beispiele aus der Praxis sind hierzu die Entwicklungen in COSO, ISO31000:2018 und IDW PS 340 zu nennen. Alle genannten Normen legen seit ihrer letzten Überarbeitung einen deutlich stärkeren Fokus auf quantitative Methoden im Risikomanagement als zuvor.
Marc Michel: Durch die Analyse der eigenen historischen Daten oder auch der Daten aus vergleichbaren Organisationen kann man simulieren, mit welcher Wahrscheinlichkeit sich die Risiken eines Unternehmens in bestimmte Richtungen entwickeln. Dies soll dabei helfen, Trends frühzeitig zu erkennen und entsprechende Gegenmaßnahmen rechtzeitig zu ergreifen, bevor der eigene Risikoappetit oder gar die Risikotragfähigkeit des Unternehmens überschritten wird. Im besten Fall kann dadurch die Auswirkung des Schadenseintritts durch entsprechende Maßnahmen gemindert oder sogar der Eintritt verhindert werden.
Marc Michel: Auch wenn schon im letzten Jahr ein gesteigertes Interesse daran zu erkennen war, steht das Jahr 2020 durch die aktuelle Pandemie ganz klar im Zeichen des Risikos der Betriebsunterbrechung; sprich das Zusammenspiel zwischen Risikomanagement und dem betrieblichen Kontinuitätsmanagement (BCM).
Diese Frage der Widerstandsfähigkeit eines Unternehmens ist heute wichtiger als vielleicht jemals zuvor. Wir sehen in Umfragen, dass die Hauptbedrohungen für eine Organisation für die meisten Unternehmen bisher Cyberangriffe, Naturkatastrophen und Reputationsverlust waren. Mittlerweile hat sich diese Liste geändert; und ganz oben steht die Pandemie. Darüber sollte man jedoch die bisherigen Risiken nicht vernachlässigen, da diese durch die aktuelle Situation nicht verschwunden sind.
Marc Michel: Verstärkt in den Fokus rücken sollten Tools zur Unterstützung des Internen Kontrollsystems (IKS), zur Überwachung regulatorischer Änderungen und zur Risikoquantifizierung.
Während die beiden letzteren bereits oben angesprochen wurden, mag es für viele eventuell überraschend sein, das IKS hier zu nennen, da der klassische Risikomanagementansatz eine Bewertung des Kontrollumfelds bereits seit langem vorsieht. Die softwareseitige Integration der regelmäßigen Kontrolltests in das Risikomanagement, zur automatisierten Berechnung des residualen Risikos, erfolgt jedoch häufig noch nicht. Zudem ist eine derartige Betrachtung durch andere Risikofelder, wie beispielsweise das BCM, noch keine gelebte Praxis. Durch die Nutzung eines gemeinsamen Risiko- und Kontroll-Frameworks können dort viele Synergien entstehen.
Mit Bezug auf das Reporting sehen wir einen Trend hin zu in der GRC-Software integrierten Dashboard-Lösungen – zum Zweck der Status- und Fortschrittsüberwachung. Separate Reporting-Tools außerhalb der eigentlichen Software, um beispielsweise andere Interessengruppen innerhalb der eigenen Organisation zu informieren, sind zwar weiterhin gefragt, scheinen aber an Bedeutung zu verlieren.
Marc Michel: Anhand der neusten Vorgaben aus regulatorischer Sicht sowie durch entsprechende Branchenstandards ist zu erkennen, dass eine rein qualitative Risikobewertung – vor allem in stark regulierten Branchen – nicht mehr ausreichen wird, um den Anforderungen gerecht zu werden. Aus diesem Grund ist zu erwarten, dass viele Unternehmen ihre derzeitige Risikobewertung um einen quantitativen Ansatz erweitern werden.
Marc Michel: Wir möchten anhand eines einfachen Praxisbeispiels einen Einblick darin geben, wie das klassische Risikomanagement (basierend auf qualitativen Bewertungen) durch die Nutzung quantitativer Methoden ergänzt werden kann. Für viele Kollegen im Risikomanagement ist dies Neuland. Begrifflichkeiten wie Monte-Carlo-Simulation und Value at Risk sind zwar grundsätzlich bekannt, was genau sich dahinter verbirgt und wie es genutzt werden kann jedoch nicht. Daher möchten wir den Schleier des Unbekannten lüften und aufzeigen, wie dies für uns alle mit Hilfe entsprechender Software möglich ist – auch ohne ein Studium der Mathematik absolviert zu haben.
Für tiefere Einsichten zum Thema, nehmen Sie am ScaleUp 360° Enterprise Risk Management teil:
Der Digitalsummit für leitende Risikomanager aus DACH zu den neusten Technologien & Strategien im Bereich Corporate Risk Management.