Besprechung und Planung im Team

Ganzheitliches Risikomanagement nach Corona

Vorbereiten auf den nächsten Black Swan

19. April 2021

Heidelinde Rameder von T-Systems Austria ist eine der führenden Expertinnen, wenn es um GRC Management geht und hat bereits zahlreiche erfolgreiche Projekte begleitet, unter anderem bei Otto Group und Wienerberger. Ziel dabei ist es, die Bereiche Governance, Risk und Compliance ganzheitlich zu betrachten.

Hohe Erwartungen an GRC Verantwortliche

Zusammenarbeit am Laptop

Gesellschaft, Gesetzgeber und Kunden haben steigende Erwartungen an die Umsetzung von Datenschutz und Datensicherheit in Unternehmen. Gleichzeitig halten datengetriebene Geschäftsmodelle, Homeoffice und künstliche Intelligenz Einzug. Die Anforderungen von Seiten des Arbeitsrechts und im Bereich Cyber Security steigen, während immer mehr Arbeitnehmende remote Arbeitsplätze nutzen.

GRC Verantwortliche sollen einen Überblick über die Unternehmensrisiken und die Rechtslage haben, während gleichzeitig in größeren Eco-Systeme die Zusammenarbeit unvermeidbar ist und Abhängigkeiten bestehen, IT-Verantwortung zu Outsourcing- und Cloud Anbietern abwandert und die Risiken daher oft nicht bekannt sind bzw. ausreichend behandelt werden.

Heidelinde Rameder fordert daher: Raus aus den Silos!

Es ist Zeit für eine gesamtheitliche Betrachtung über Abteilungsgrenzen hinweg. Inwieweit gehört eine Pandemie in der Risikoplanung eines Unternehmens berücksichtigt?

Die Corona Pandemie kann als klassisches „Black Swan“ Ereignis betrachtet werden. Das bedeutet, dass die Eintrittswahrscheinlichkeit sehr gering eingeschätzt wird oder das Risiko überhaupt nicht bekannt ist. Somit identifizierten die wenigsten Unternehmen eine Pandemie als realistisches Risiko. Es ist aber auch nicht sinnvoll, alle möglichen, relativ unwahrscheinlichen Szenarien individuell zu betrachten.

Die Wahrscheinlichkeit, dass eines der vielen potenziellen „Black Swan“ Ereignisse eintritt, ist wiederum relativ hoch. Die Frage für Unternehmen ist damit, wie sie sich vor allen unvorhersehbaren Ereignissen, die oft existenzbedrohend sind, gesamtheitlich wappnen können. Der Schlüssel ist Resilienz.

Stärkung der Resilienz

Vorstandsbesprechung

Die Stärkung der Resilienz erfordert ein besseres, ganzheitliches GRC Management für die Organisation. Da Risiken stärker miteinander verbunden und schnelllebiger sind als je zuvor, müssen sich die Geschäftsleitung und die Vorstände intensiver mit dem Thema GRC beschäftigen. Dies geht auch aus einer Umfrage von Gartner unter CEOs hervor: Risikomanagement war das Thema, das zwischen 2019 und 2020 mit Abstand am meisten an Bedeutung gewonnen hat (39 Prozent).

Während Unternehmen die Corona Schocks des Jahres 2020 verarbeiten, wird deutlich, dass viele Organisationen ihre Resilienz stärken müssen, bevor das nächste „Black Swan“ Ereignis eintritt. Hier setzt auch Business Continuity Management (BCM) an. Als Überbegriff umfasst BCM einen Mix aus verschiedenen Elementen. Das Ziel: die Resilienz der Organisation aufzubauen.

BCM spannt ein Netz über das gesamte Unternehmen. Es richtet sich an Prozessen, Prioritäten und Plänen aus. Auf diese Weise sollte es nicht nur die spezifischen Bedürfnisse des Unternehmens, sondern auch regulatorische Richtlinien und Branchenstandards berücksichtigen. Damit kann BCM als Teil eines integrierten GRC Managements verstanden werden.

Kernkomponenten und Aktivitäten des BCM sind:

  • Identifikation und Priorisierung der Unternehmensassets und Geschäftsprozesse mithilfe von Schutzbedarfsanalyse und Business Impact Analyse (BIA)
  • Business Continuity ─ Wiederherstellung und Wiederaufnahme von Geschäftsprozessen
  • Disaster Recovery ─ Wiedererlangung von Infrastruktur und Technologien
  • Notfallmanagement ─ Ermöglichung von Leben und Sicherheit
  • Krisenmanagement ─ Playbook zur Mobilisierung und Kommunikation während einer Katastrophe
  • Governance ─ strategische Aufsicht und Verwaltung des Programms

Das GRC Cloud Service von T-Systems

Erfahren Sie in unserem Whitepaper mehr über die GRC Cloud und die Möglichkeiten und Vorteile, die diese Lösung mit sich bringt.

Welche Bedeutung hat dabei der „menschliche Faktor“?

Zufriedene Mitarbeiter lachen im Büro

Mitarbeiterakzeptanz und Bewusstsein gehören zu den wichtigsten Faktoren für erfolgreiches GRC Management. Das gelingt durch das aktive, rechtzeitige Miteinbeziehen der betroffenen Mitarbeitenden bei der Entwicklung und Verbesserung von GRC Prozessen. Alle Beteiligten müssen entsprechend ihrer Verantwortung und Rolle im Risikomanagement unterstützt werden.

Für die Entscheidungsträger gibt es zu jeder Zeit einen konsolidierten Gesamtüberblick über den Status der Risikosituation und Maßnahmen. Das Ziel ist, Mehraufwände und Komplexität, die beispielsweise durch die vielen Compliance Vorgaben entstehen, maximal zu reduzieren, kontinuierlichen und echten Mehrwert im Rahmen der GRC Prozesse zu liefern, sowie Risikotransparenz zu schaffen. Damit wird eine hohe Akzeptanz und gute Datenqualität und Compliance bei der Befolgung und Umsetzung der jeweiligen Prozesse erreicht.

Worauf sollte man als GRC EntscheiderIn achten?

Die Pandemie hat viel Digitalisierung gebracht – worauf sollte man als GRC EntscheiderIn jetzt achten, um der schnellen Umstellung geschuldete Risiken und Schwachstellen wieder gerade zu bügeln? Die Reaktion hat oft gut und schnell funktioniert. Es mussten Rahmenbedingungen ad hoc geändert werden.

Um den Betrieb aufrecht zu erhalten und Mitarbeitenden zu ermöglichen, weiter zu arbeiten, wurden beispielsweise im Rahmen von Homeoffice Umstellungen, Netzwerke und Servicezugänge geändert oder persönliche Geräte in Unternehmensnetzwerke eingebunden.

Sehr oft gibt es dazu keine ausreichenden Regelungen oder es wird gegen bestehende Policies verstoßen. Dadurch existieren nun diverse neue Risiken, die nicht transparent sind. Es ist unbedingt notwendig, diese zeitnahe zu identifizieren, das integrierte GRC Management entsprechend anzupassen und Risiken zu behandeln.

Was bedeutet Risiko in Zeiten des Digitalen Wandels?

Wie kann man Risiko überhaupt managen, wenn kein Stein auf dem anderen bleibt? GRC und Risikomanagement im Speziellen soll immer als iterativer und dynamischer Prozess gelebt werden, der regelmäßigen Verbesserungen unterzogen wird. Damit ist es möglich, schnell auf eine sich ändernde Risikolandschaft zu reagieren und entsprechende Maßnahmen zu treffen.

Welche Möglichkeiten bieten dazu GRC Tools? Wie sieht Ihr Einsatz in der Praxis aus?

Business Abmachung

Die Digitalisierung von GRC Prozessen durch GRC Tools erlaubt einen einfach erreichbaren, zielgruppengerechten Mehrwert für alle Beteiligten. GRC Tools reduzieren z.B. durch konsolidierte Risiko und Control Frameworks und Prozessautomatisierung Mehraufwände und Komplexität. Synergieeffekte und die Zusammenarbeit mit verschiedenen Bereichen werden besser unterstützt.


Integriertes GRC bringt einen dynamischen, bereichsspezifischen oder kumulierten und aktuellen Risikoüberblick und damit eine gute Entscheidungsgrundlage für die Geschäftsführung / das Management. Auch das ist durch konkret darauf ausgerichtete GRC Tools in der Praxis möglich. Verantwortliche können mit GRC Tools Risiken tagesaktuell und ohne großen Aufwand konkret für ihren Verantwortungsbereich und zu spezifischen Themen einfach einsehen, berichten und auswerten. Sie behalten den Überblick über Behandlungs- und Maßnahmenpläne sowie deren Verantwortlichkeiten und deren Umsetzungszustand.

Dabei sollen Unternehmensprozesse nicht umständlich angepasst werden müssen – sondern bestehende Prozesse unterstützt, integriert und im Reifegrad verbessert werden. Je nach Reifegrad und Bedarf werden verschiedene GRC Bereiche, wie z.B. Datenschutzmanagement, Informationssicherheit, Risikomanagement oder Business Continuity Management integriert. Die Zusammenarbeit mit kompetenten GRC Service Partnern, die auch GRC Tools unterstützen, gewährleistet eine erfolgreiche Umsetzung, da neben der fachlichen Projekt- und Serviceerfahrung auch die technische Expertise mitgebracht wird.

Ihr Kontakt

Gern stellen wir Ihnen die Expert*innen des NIS Competence Centers zur Seite und beantworten Ihre Fragen. Sprechen Sie uns an!

Foto von Carina List

Carina List

Security Sales Manager

+4367686428163(Mobil)
Kontakt

Nähere Informationen zum Thema GRC von T-Systems

Besuchen Sie t-systems.com außerhalb von Austria? Besuchen Sie die lokale Website für weiterführende Informationen und Angebote für Ihr Land.