Strategien


Risikomanagement

Wie Sie die passende GRC-Lösung finden

Olaf Riedel ist verantwortlicher Partner für die Beratungsgesellschaft EY in der DACH-Region. Als Mitglied im Fachausschuss IT des IDW arbeitet er an der Weiterentwicklung von Rechnungslegungsstandards mit Auswirkungen auf IT-spezifische Aspekte des Risikomanagements.
Die Vielfalt von Risikomanagement-Software ist ebenso groß wie die Hürden bei der Implementierung. Olaf Riedel und Christian Hoppe von Ernst & Young (EY) erläutern, wie Sie die richtige GRC-Lösung finden und erfolgreich einführen.
Christian Hoppe ist Senior Manager Advisory Services bei Ernts & Young.
Christian Hoppe ist Senior Manager Advisory Services bei Ernts & Young.
Foto: Ernst & Young

Die Anforderungen an das Risikomanagement und an das interne Kontrollsystem in Unternehmen steigen immer weiter - sowohl von außen als auch innerhalb des Unternehmens: Seit langem besteht für Unternehmen eine Reporting-Pflicht über die Existenz eines Risikomanagementsystems (RMS). Mit der 8. EU-Richtlinie und dem Gesetz zur Modernisierung des Bilanzrechts (BilMoG) als deutschem Pendant wird diese Pflicht nun um eine Einschätzung zur Wirksamkeit des RMS erweitert. Diese ist vom Aufsichtsrat zu bestätigen.

Darüber hinaus plant die EU-Kommission eine Meldepflicht für Hackerangriffe. Von dieser Meldepflicht sind zukünftig etwa 44.000 Unternehmen sämtlicher Branchen betroffen. Auch die weltwirtschaftlichen Rahmenbedingungen - gekennzeichnet durch teils hochgradig volatile Märkte - und die Furcht vor Reputationsschädigung lassen das Thema Governance, Risk & ComplianceCompliance (GRC) auf der Agenda der Unternehmenslenker nach oben rücken. Alles zu Compliance auf CIO.de

Handlungsfelder

Innerhalb der Firmen haben sich im Laufe der Jahre eine Reihe von Handlungsfeldern herauskristallisiert, die die Notwendigkeit eines ganzheitlichen GRC-Ansatzes deutlich machen:

  • Es ist zu beobachten, dass häufig eine ausreichende Management-Attention für das Thema Risikomanagement abseits der Corporate Governance Initiativen fehlt. Dieser Effekt verstärkt sich kaskadenartig über die einzelnen Mitarbeiterebenen. Aber auch das Extrem tritt häufig in Erscheinung: Aus Angst vor Non-Compliance wir das Effizienzbewusstsein unzureichend.

  • Oft fehlt es am notwendigen Risikobewusstsein: Häufig werden innergesellschaftliche Betriebsprozesse gar nicht mit dem Risikomanagement in Verbindung gebracht, wie zu Beispiel in der IT Themen wie Backup und Recovery oder das klassische Issue oder Problem Management. Auch mangelt es an geeigneten Trainings- und Kommunikationsmaßnahmen für die involvierten Mitarbeiter.

Zur Startseite