Die Vielfalt der Risiken, mit denen ein Unternehmen konfrontiert ist, macht das Enterprise Risk Management (ERM) heute zu einem unverzichtbaren Bestandteil eines Governance-, Risiko- und Compliance-Programms (GRC).
Was bedeutet ERM? Und was bedeutet GRC? ERM und herkömmliche GRC-Programme zielen zwar auf die Lösung derselben Probleme ab, nähern sich ihnen aber aus unterschiedlichen Blickwinkeln. ERM und GRC können als konkurrierende Alternativen betrachtet werden oder hypothetisch unabhängig voneinander existieren, aber sie sind am effektivsten, wenn sie durch risikozentrische und datengestützte Verfahren zusammenarbeiten.
ERM ist Wertschöpfung
Im Wesentlichen ist ERM ein risikoorientierter, umfassender Blick auf eine Organisation, der dasselbe Ziel verfolgt wie GRC: das kontinuierliche Erreichen der Ziele eines Unternehmens. ERM umfasst somit jede Funktion, einschließlich Governance und Compliance, und vereinfacht sie zu einem gemeinsamen Rahmen, der die Identifizierung und Bewertung von Zielen, Anforderungen und ursächlichen Risiken umfasst.
Einige Risiken haben funktionsübergreifende Auswirkungen, was bedeutet, dass bestimmte Maßnahmen zur Risikominderung für mehr als eine Abteilung von Nutzen sein können. Das bedeutet, dass ein effektiver ERM-Rahmen die Straffung von Kontrollen ermöglicht, Redundanzen reduziert und Kontrollen stärkt, indem er sicherstellt, dass sie funktionsübergreifend ausgereift sind.
ERM ist also Wertschöpfung. Wenn das Risikomanagement unabhängig und wertorientiert ist, kann das ERM gleichzeitig zu den GRC-Zielen und dem Endergebnis beitragen. Wenn der Schwerpunkt auf der Einhaltung von Vorschriften liegt oder man sich zu sehr mit dem Abhaken von Kästchen beschäftigt, ist es unwahrscheinlich, dass mehr erreicht wird als die Aufrechterhaltung des Status quo. Liegt der Schwerpunkt jedoch auf dem Risikomanagement, kann Ihr Unternehmen eine effektive Risikomanagementkultur und einen nachhaltigen Wettbewerbsvorteil erreichen.
GRC ist Wertsicherung
GRC wird häufig als der auf die Einhaltung von Vorschriften ausgerichtete alternative Ansatz zu ERM definiert, ein Begriff, der in der Branche meist zur Beschreibung einer Softwarelösung verwendet wird. Es ist ein übergreifender Begriff, der alle Governance-, Risiko- und Compliance-Bemühungen, einschließlich ERM, umfasst.
Der Begriff "GRC" wurde als weitreichende Klassifizierung der Bemühungen einer Organisation - über diese drei unterschiedlichen Disziplinen hinweg - verwendet, um die kontinuierliche Erfüllung kurz- und langfristiger Ziele zu gewährleisten. Der traditionelle Ansatz besteht darin, die GRC-Komponenten als eigene Prozessgruppen zu klassifizieren. Das bedeutet natürlich, dass jede Komponente - Risiko, Compliance und jede Governance-Funktion, wie z. B. Audit, IT-Sicherheit und Richtlinienmanagement - als eigenes Silo mit eigenen Fachleuten, Experten und Managern behandelt wird.
In jüngster Zeit haben GRC-Programme begonnen, von dem traditionellen siloartigen Ansatz abzuweichen. Ein unternehmensweiter Ansatz ("eGRC") hält das Gesamtprogramm mehr im Einklang mit Lösungen für das Risikomanagement in Unternehmen, die darauf abzielen, Silos aufzubrechen und Redundanzen und andere Ineffizienzen zu beseitigen.
GRC ist folglich Wertschutz. In einer GRC-orientierten Organisation wird den Zielen der Geschäftsleitung, der Unternehmensführung und der Einhaltung von Vorschriften Vorrang vor soliden risikobasierten Geschäftsinformationen eingeräumt. Aufgrund dieses Schwerpunkts ist GRC allein kaum in der Lage, eine risikozentrische Organisation effektiv und effizient voranzutreiben. Anstatt proaktiv zu sein, fungiert es oft als reaktives Programm zur Aufzeichnung von Daten.
ERM ist ohne GRC nicht möglich
ERM und GRC nähern sich immer mehr an. eGRC fördert einen ERM-ähnlichen Ansatz für GRC, und das Three Lines of Defense (3LOD)-Modell des Risikomanagements legt nahe, dass man ERM nicht mehr ohne GRC machen kann. Dieses Modell integriert die Einhaltung von Vorschriften, die Überwachung durch die Geschäftsleitung und die Rechnungsprüfung in das Risikomanagement und wird von Regulierungsbehörden, Verbänden, Konferenzen, Experten und Beratern gefördert.
Es ist in größeren Finanzinstituten bereits weit verbreitet und hält nun auch Einzug in kleinere Banken. Das 3LOD-Modell ist außerhalb der Finanzdienstleistungsbranche vielleicht nicht gerade ein heißes Thema, aber es bildet häufig die Grundlage für komplexere Modelle des Risikomanagements, die in anderen Branchen weit verbreitet sind, wie z. B. RCSA.
Das Wichtigste, was man aus dem Wesen von ERM und GRC mitnehmen kann, ist, dass das Risikomanagement eine ganzheitliche Sichtweise und eine effektive Zusammenarbeit und Koordinierung innerhalb Ihres Unternehmens erfordert. Sie brauchen eine organisierte, intelligente Methode zur konsistenten Risikobewertung, zum Compliance-Management und zur Koordinierung von Audits.
Kontakt
Verteidigen Sie sich gegen Anbieter- und Unternehmensrisiken
Erfahren Sie mehr über unsere branchenführenden VRM/ERM-Lösungen.
