In unsicheren Zeiten wird im Umgang mit Risiken der Ruf nach Patentrezepten laut. Können Sie Ihren Kunden solche liefern?
Es gibt Anleitungen von ISO, COSO, NIST und anderen Zertifizierungsystemen, die Prinzipien, Rahmenwerke und Prozesse für den Umgang mit Risiken beschreiben, allgemeingültige Patentrezepte gibt es jedoch nicht. Wir sehen besonders in der Governance-, Risikomanagement- und Compliance-Technologie, wie wir sie unseren Kunden anbieten, die Chance, die Maturität von GRC-Aktivitäten im Unternehmen drastisch zu erhöhen.
Heisst das, die Unternehmen haben GRC verschlafen beziehungsweise beschränken sich primär auf die Umsetzung gesetzlicher Vorschriften?
Der Stand in den Unternehmen ist meines Erachtens verbesserungswürdig. Man macht vor allem das, was vom Gesetz oder vom Regulator gefordert wird. GRC ist nach wie vor eher reaktiv. Es braucht immer einen Auslöser, sonst läuft nicht viel. Zudem werden die potenziellen Vorteile der Digitalisierung im GRC-Bereich noch nicht ausreichend genutzt.
Warum soll eine Software das ändern können?
Die Zeit für eine Softwareunterstützung in diesen Bereichen ist mehr als reif. Der zunehmende Druck für effizientere und effektivere GRC-Aktivitäten, die vielen internen und externen Anforderungen, die steigende Komplexität der Risikolage, in der sich Unternehmen befinden, sind einige wesentliche Argumente für den gezielten Einsatz von GRC-Softwarelösungen. Das eröffnet neue methodische Möglichkeiten und sorgt dafür, dass Risikomanagement- und Compliance-Abteilungen systematischer und effizienter arbeiten können. Das ist wichtig, insbesondere vor dem Hintergrund, dass die personellen Ressourcen nicht gleichermassen steigen.
Governance, Risk und Compliance sind eigentlich drei unterschiedliche Bereiche. Fassen Sie diese in Ihren Lösungen bewusst zusammen?
Ich gebe Ihnen recht, die drei Bereiche werden noch immer als verschiedene Themengebiete angeschaut, die noch nicht optimal aufeinander abgestimmt sind. Doch genau diese Haltung führt zu Effizienzproblemen und auch dazu, dass man in den Unternehmen kein Gesamtbild über die Risikolage hat. Dadurch sehen die Verantwortlichen die Wechselwirkungen und Abhängigkeiten der verschiedenen Risikofelder nur beschränkt.
Deshalb versuchen wir als Technologieanbieter, eine Plattform anzubieten, die die Themen einheitlich und integriert abwickelt, die Berichterstattung vereinfacht und transparenter macht und so eine gute Entscheidungsgrundlage liefert, weil man die Risiken und Chancen ganzheitlich betrachten kann.
Ist GRC also nichts anderes als integriertes Risikomanagement?
Das ist in einem gewissen Sinne eine Frage der Philosophie. Integriertes Risikomanagement oder IRM bezieht sich auf alle Praktiken, die von einem Unternehmen eingesetzt werden, um die Risikotransparenz und die Entscheidungsfindung zu verbessern, damit das Unternehmen nicht nur Risiken mindert, sondern auch Chancen darin sehen kann. Integriertes Risikomanagement geht für mich daher weiter als GRC. Denn Letzteres ist Stand heute primär die Integration der verschiedenen Risikodisziplinen beziehungsweise deren Zusammenarbeit. IRM ist damit gewissermassen eine Haltung und hat viel mit der Unternehmenskultur zu tun.
Um diese Kultur im Unternehmen zu etablieren, hilft Software aber nur beschränkt …
Da bin ich mit Ihnen zu 100 Prozent einverstanden: automatisierte GRC- oder IRM-Softwarelösungen sind effektiv nur ein Hilfsmittel. Eine Softwarelösung kann aber der Türöffner sein, um den Change für ein «besseres» Risikomanagement anzustossen. Neben dem Aspekt Technologie müssen immer auch die Prozesse, die Methodik und der Mensch zusammenspielen. Nur so kann ein integrierter Risikomanagement-Ansatz erfolgreich gelebt werden.
Die Etablierung einer guten Risikokultur hat viel mit offener Risikokommunikation zu tun und ist ein kontinuierlicher Prozess, der mehrere Jahre dauern kann. Da reicht es auch nicht, wenn das Topmanagement sagt, wir machen etwas. Eine durchgängige Risikokultur kann man nur erreichen, wenn der Mehrwert durch die GRC-Tätigkeiten für alle Mitarbeitenden sicht- und spürbar ist. Es muss gut akzeptiert sein. GRC-Themen dürfen keine Insellösungen mehr sein, sondern müssen Hand in Hand gehen und im Unternehmen verankert sein.
Wie vermitteln Sie diesen Mehrwert in Ihrem Unternehmen?
Es ist ein Zusammenspiel von harten und weichen Faktoren. Einerseits haben wir ein formelles integriertes Managementsystem, das unter anderem Unternehmensrisikomanagement, Informationssicherheit und Datenschutz zusammenfasst. Das hilft uns dabei, klare Strukturen und Abläufe zu schaffen und die Zuständigkeiten zu regeln. Zusätzlich sensibilisieren wir unsere Mitarbeitenden dafür, dass GRC everyone’s job ist und nicht einfach an einen Risikomanager oder an eine Compliance-Verantwortliche delegiert werden kann. Das Einbinden der Leute und vor allem auch das Motivieren für das Thema ist entscheidend.
Viel Mensch also – wie klappt es denn mit der Schnittstelle zwischen Mensch und Technologie?
Das eine funktioniert nicht ohne das andere. Ziel von IRM- oder GRC-Softwarelösungen ist es, eine kollaborative und flexible Plattform zu bieten, um alle Beteiligten besser in die Abläufe einzubinden, die Zusammenarbeit zu fördern und Transparenz zu schaffen.
Und welche Rolle kommt der künstlichen Intelligenz zu?
Die GRC-Landschaft steckt, was KI anbelangt, in den Kinderschuhen. KI ist aber ganz klar eine Schlüsseltechnologie und wird GRC in Zukunft massgeblich beeinflussen. Leider laufen heute viele Prozesse noch manuell ab. So werden zwar viele relevante Daten generiert und gesammelt, doch diese werden nicht ausreichend ausgewertet; hier könnte KI zum Beispiel mit Machine Learning weiterhelfen, um automatisiert Schlussfolgerungen oder Risikoprognosen zu erstellen und damit die Entscheidungsfindung zu verbessern. Aber auch wenn KI in puncto Raffinesse immer reifer und ausgeklügelter wird und vermehrt Anwendungsfälle entstehen, kommt sie voraussichtlich nicht ohne menschliches Eingreifen aus, besonders dann, wenn es um die Interpretation der Schlussfolgerungen und deren Auswirkungen auf ein Unternehmen geht.
Die kulturellen Voraussetzungen dafür sind noch nicht geschaffen. Ich bin aber zuversichtlich, dass sich das ändern wird, doch vor KI gibt es noch ein paar andere Hausaufgaben, die wir zu lösen haben.
Welche?
Risikomanagement als Funktion, Prozess und Denkweise gezielt weiterzuentwickeln. Dabei kann der Ansatz des integrierten Risikomanagements behilflich sein, um Risikomanagement in operative und strategische Planungs- und Entscheidungsprozesse einzubinden und die verschiedenen Risikodisziplinen besser aufeinander abzustimmen. Zudem rückt die Analyse von Abhängigkeiten einzelner Risiken und die Aggregation der Risiken zunehmend in den Fokus, für die es eine quantitative Risikoanalyse braucht. Es gibt viel zu tun, aber ein Schritt nach dem anderen…