Zu viel Geld für zu wenig Effizienz

Viele Unternehmen nutzen das Potenzial automatisierter Kontrollprozesse noch nicht vollständig: 22 Prozent der befragten Unternehmen setzen noch gar keine IT-Lösung ein, um ihre GRC-Aktivitäten zu managen, ergab eine Untersuchung von Unishpere Research aus dem Jahr 2011. Laut dieser Studie beklagen gleichzeitig 40 Prozent der Unternehmen, dass zu viel Arbeitszeit für das Managen von IT-Risiken aufgewendet wird. Diese Befunde zeigen: Die Unternehmen geben zu viel Geld für zu wenig Effizienz aus.

Mit den folgenden fünf Fragen können Unternehmen prüfen, welches Einsparpotenzial ihr Risikomanagement bietet und wie die Effizienz gesteigert werden kann:

1. Sind alle Unternehmensbereiche und -felder im Risikomanagement berücksichtigt?

2. Decken die implementierten Maßnahmen und Kontrollen die relevanten Risikobereiche ab?

3. Wie viel echten Gewinn an Sicherheit und reelle Reduzierung der Eintrittswahrscheinlichkeit des Risikos bringen zusätzliche Maßnahmen oder Kontrollen?

4. Wie hoch sind die durchschnittlichen Kosten, z.B. je Risiko bzw. Kontrolle (cost of controls) und wie können diese reduziert werden - z.B. durch Automatisierung, was häufig zusätzlich mit einer Steigerung der Assurance/Prüfungssicherheit einhergeht?

5. Wie können durch ein effizienteres Risikomanagement auch Geschäftsprozesse optimiert werden?