Wenn sich Alles verändert, hilft professionelles Riskmanagement mit dem Unvorhersehbaren umzugehen. Samuel Brandstätter, CEO von avedos, zeigt bei seinem Vortrag auf dem 9. Confare CIO SUMMIT gemeinsam mit Franz Hoheiser Pförtner, dem CISO des Wiener KAV, wie moderne Tools für Compliance und Risikomanagement in der Praxis funktionieren.
Was bedeutet Risiko in Zeiten des Digitalen Wandels? Wie kann man Risiko überhaupt managen, wenn kein Stein auf dem anderen bleibt?
Die Bedeutung von Risiken in der digitalen Welt hat sich gegenüber der Bedeutung in der analogen Welt nicht geändert. Es geht im Kern des Risikomanagements nach wie vor darum, sicher zu stellen, dass organisationale oder individuelle Ziele erreicht werden. Dabei bildet Risikomanagement den Rahmen um mit unvorhergesehenen Ereignissen oder Entwicklungen umzugehen und aktive Steuerungsmaßnahmen zu setzen.
Spezifische Domänen des Risikomanagements – wie beispielsweise das Informationsrisikomanagement – gewinnen durch den digitalen Wandel stark an Bedeutung. Informationen, die bis vor einigen Jahren ausschließlich in physischer Form vorlagen, existieren heute digital – und sind damit überall und zu jeder Zeit abrufbar. War es vor einigen Jahren noch ausreichend, wertvolle Informationen mit einem guten Perimeterschutz gegenüber außen zu schützen, so bringen die viel intensivere unternehmensübergreifende Vernetzung, der Trend Daten in der Cloud abzulegen und die viel einfachere Zugänglichkeit zu Informationen über mobile Devices die Notwendigkeit mit sich, den Informationsschutz neu zu überdenken und zu gestalten. Die zunehmende Vernetzung aller Bereiche des Lebens und die damit verbundene Generierung von Daten (herfür gibt es zahllose Beispiele – vom Fitness-Tracker bis zum Connected Car, vom intelligenten Kühlschrank bis zur digitalen Patientenakte) bringt darüber hinaus auch noch völlig neue Angriffsszenarien mit sich.
Mit diesen Entwicklungen Schritt zu halten ist eine der wesentlichen Herausforderungen um im digitalen Wandel das Sicherheitsniveau aufrecht zu erhalten.
Welche Anforderungen stellt das Risikomanagement an die Prozesse und Organisation des Kunden?
Risikomanagement hat heute oft den Ruf des „Verhinderers“ – vor allem wenn es nur von wenigen Risikomanagern betrieben wird, die involviert werden müssen um bei kritischen Entscheidungen von einem Veto-Recht Gebrauch zu machen. Tatsächlich ist Risikomanagement aber eine Management-Disziplin, die von den operativen Management-Strukturen einer Organisation nicht zu trennen ist. Jeder Entscheidungsträger wägt Risiken in jedem Aspekt seines Handelns ab – ob mittels Bauchgefühl oder mit formalisierten Methoden. Das unternehmensweite Risikomanagement hat die klare Aufgabe einheitliche Methoden und Werkzeuge bereit zu stellen, die dem operativen Management dabei helfen, bessere Entscheidungen zu fällen. Interessanterweise ist zu beobachten, dass Organisationen mit einer starken Zielfokussierung Risikomanagement nicht als Hemmschuh, sondern als aktives Steuerungselement der Zielerreichung anerkennen – die operativen Manager sehen dabei die in das Risikomanagement investierte Zeit als Hilfestellung, ihre Ziele zu erreichen.
Welche Bedeutung hat dabei der „menschliche Faktor“?
Wie sich in diversen Wirtschaftskrisen gezeigt hat, kann man auch mit den besten Algorithmen nicht aus der Vergangenheit valide auf die Zukunft schließen. Risikoeinschätzungen – und die daraus resultierenden Einschätzungen der künftigen Entwicklung – basieren im Wesentlichen immer auf drei Quellen: Daten aus der Vergangenheit, Parameter der Gegenwart in Verbindung zu den Daten der Vergangenheit und menschlichen Einschätzungen, Schlussfolgerungen, Ableitungen – also „Experts Judgement“. Ich bin der Überzeugung, dass auch in Zeiten von Big Data und mit Unmengen an verfügbaren historischen Daten der Mensch die entsprechende Schlussfolgerung ziehen wird und dabei auch immer seine subjektiven Erfahrungen und Eigenschaften eine Rolle spielen werden.
Welche Möglichkeiten bieten dazu GRC Tools? Wie sieht Ihr Einsatz in der Praxis aus?
Aus meiner Wahrnehmung gibt es zwei Arten von Softwarewerkzeugen im GRC-Umfeld. Es gibt Experten-Tools, die einen meist sehr kleinen Kreis von Experten dabei unterstützen, Daten aufzubereiten, mit speziellen Analyse- und Simulationsverfahren zu bearbeiten und auf sehr konkrete Fragestellungen statistisch nachvollziehbare Ergebniswahrscheinlichkeiten aufzuzeigen.
Die zweite Art von Werkzeugen sind Management-Systeme – also Werkzeuge, die das zentrale Risikomanagement enablen seine Governance-Funktion auszuüben. Dabei werden Prozesse und Methoden aufgebaut, die dabei helfen, eine homogene Risikomanagement-Vorgehensweise in die gesamte Management-Organisation zu tragen um damit die Zielfokussierung sowie die Resilienz gegenüber unvorhergesehenen Entwicklungen im Gesamtunternehmen zu stärken. Der größte Nutzen für Unternehmen entsteht genau dann, wenn begonnen wird, mehrere solche Management-Systeme zu integrieren um Synergien zwischen ERM, IKS, Audit Management, Compliance Management, Security Management und anderen GRC-Prozessen zu ziehen. Durch diese Integration entwickelt GRC seinen eigentlichen Mehrwert.
Was sind die 3 wichtigsten Erfolgsfaktoren für GRC im Digitalen Zeitalter?
Die Vision von avedos für GRC umfasst wesentliche Themenbereiche, die wir als kritische Erfolgsfaktoren von GRC-Initiativen – und damit auch des Erfolges des jeweiligen Unternehmens – sehen:
1. Integration – GRC-Verantwortliche sind mehr und mehr gefordert ihre GRC-Prozess Silos aufzubrechen und zu integrieren. Vorstände können es in einer so bewegten Zeit nicht mehr akzeptieren, dass SIE in der Pflicht sind, sich aus unzähligen, nicht integrierten Berichten, das Gesamtbild aufzubauen um entscheidungsfähig zu sein. Auch ein einheitliches GRC-Tool zu implementieren, das dann erst wieder hermetisch separierte GRC-Silos in sich trägt, wird hier das Problem nicht lösen. Der Erfolg von GRC-Initiativen – vor allem aus Sicht der Vorstände und Aufsichtsräte – wird also maßgeblich davon abhängen ob GRC-Initiativen holistisch gedacht sind oder nur „alter Wein in neuen Schläuchen“.
2. Agilität – Je schneller sich die Umwelt weiterentwickelt, desto schneller müssen sich auch Risikomanagement- und GRC-Prozesse entwickeln können. Dies verlangt höchste Flexibilität und Anpassbarkeit der eingesetzten GRC-Systeme. Es ist erforderlich alle Aspekte einer GRC-Initiative anhand des Reifegrades des Unternehmens weiterentwickeln zu können. Methoden, Prozesse, Standards- und Normen, Integrations-Szenarien, Schnittstellen – all diese Elemente müssen sich den jeweiligen Gegebenheiten anpassen können um Sackgassen in der IT-Umsetzung von GRC zu vermeiden.
3. Collaboration – je größer die Zielgruppe der in einen GRC-Prozess involvierten Personen ist, desto mehr ist die möglichst einfache, schnelle und transparent dokumentierte Zusammenarbeit zu GRC-Inhalten erforderlich. Dies umfasst sowohl Möglichkeiten der Personen- / Abteilungs- / Standort-übergreifenden Interaktion zu Risiken, Maßnahmen oder anderen GRC-Inhalten, als auch die Vereinfachung der Kommunikation über die unterschiedlichen Organisationsebenen.
Das Confare CIO SUMMIT ist Österreichs größter CIO Treffpunkt mit mehr als 300 IT-Entscheidern und der Verleihung des CIO AWARD an die besten IT-Manager Österreichs. Anmeldungen und Details auf www.ciosummit.at
Die avedos business solutions gmbh ist ein Softwareunternehmen mit Sitz in Wien, das sich auf Governance, Risk und Compliance (GRC) spezialisiert hat. Das Unternehmen bietet seit 2005 flexible Softwarelösungen, mit denen GRC-Prozesse dargestellt und verwaltet werden um Risiken frühzeitig zu erkennen und Chancen optimal zu nutzen. Die Softwareplattform risk2value deckt eine Vielzahl von Anwendungsbereichen im Umfeld Enterprise Risk Management, Internes Kontrollsystem, Compliance Management, Audit Management und Informationssicherheitsmanagement ab. Zu den Kunden zählen die weltweit größten und erfolgreichsten Automobilhersteller, Versicherungen, Telekommunikations- und Handelsunternehmen.
www.avedos.com
www.avedos.com