Risiken gehören seit jeher zum Unternehmerleben. Doch die Wucht, mit der heute Risiken aus Cyberangriffen, Lieferkettenproblemen oder persönlichem Fehlverhalten auf Konzerne und Mittelständler einprasseln, ist beängstigend. Das stellt ganz neue Anforderungen an das Risikomanagement und dessen bestmögliche Orchestrierung.
Selbst kleine Ungenauigkeiten und (Abstimmungs-)Fehler können in einem komplexen, hochentwickelten Geschäftsbetrieb erhebliche negative Folgen haben. Das IT-Unternehmen Goriscon, Teil der M71-Group, bietet mit "eGRC" eine Managementplattform für das Risikomanagement, die sowohl branchenspezifische Anforderungen erfüllt als auch individuelle Bedürfnisse berücksichtigt.
Aus kleinen Risiken werden schnell gefährliche Stürme
Aber nicht nur die Fallhöhe nimmt zu. Vor allem die Wahrscheinlichkeit, dass es aus Risiken echte Gefahren werden, steigt von Tag zu Tag. Das hat ganz unterschiedliche Gründe. Ein Beispiel Lieferketten: Ein weltweit vernetzter und global produzierender Automobilbauer bezieht seine Bauteile und Zulieferungen von Tausenden an Dienstleistern und Zulieferern auf allen Kontinenten. Doch nach dem seit Januar 2023 geltenden Lieferkettensorgfaltspflichtengesetz müssen deutsche Unternehmen jederzeit transparent über den Zustand der Lieferketten und potenzielle Gefahrenpunkte aufgeklärt sein. Eine immense Aufgabe, die Unternehmen ganz konkret mit dem Einsatz von Technologie lösen können.
Ein wirksames Internes Kontrollsystem (IKS) hilft, teure Schäden und Sanktionen zu vermeiden.
Das wirtschaftliche Umfeld für Unternehmen ist in den vergangenen Jahren von zunehmenden Unsicherheiten und Risiken geprägt. Vor diesem Hintergrund hat das IKS größte Bedeutung bekommen – für die Geschäftsführerinnen und Geschäftsführer, die CEOs, aber auch ihre Wächter im Aufsichtsrat. Sie alle haften mittlerweile nicht nur mehr persönlich mit ihrem guten Namen für die Ordnungsmäßigkeit. Im Fall einer Zuwiderhandlung drohen ihnen überdies empfindliche Geldstrafen.
Die EU-Taxonomie, das Lieferkettensorgfaltspflichtengesetz oder die Corporate Sustainability Reporting Directive – das sind nur drei Beispiele für die Flut neuer Gesetze und Regelwerke, deren Anforderungen immer mehr Unternehmen erfüllen müssen. Hinzu kommen Risiken aus ganz anderen Ecken, allen voran im Bereich IT. Die Zahl der Cyberattacken auch auf Mittelständler erreicht von Jahr zu Jahr neue bedenkliche Negativrekorde. Mittlerweile ist es keine Frage mehr, ob eine Firma Opfer einer Phishing- oder Ransomware-Attacke wird, sondern nur noch wann sie es wird. „Die IT-Sicherheitslage spitzt sich zu“, so der jüngste Jahresbericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI). (BSI-Lagebericht 2022)
Es braucht starke Strukturen und ein klares Audit
Das Risikomanagement wird damit zur Existenzfrage – und sollte Chefsache gerade im Mittelstand werden. Starke Strukturen und ein klares Audit-Vorgehen sind dabei die entscheidenden Determinanten des Erfolgs.
Nun ist es nicht so, dass mittelständische Firmen im Bereich der Risikovorsorge in den vergangenen Jahren untätig gewesen wären. Gerade etwa für Software gegen Hackerangriffe haben sie massiv investiert. Externe Beobachter stellen bei ihren Audits aber immer wieder fest: Es gibt in den wenigsten Unternehmen ein Risikomanagement aus einem Guss. Vieles wirkt wie Stückwerk. Doch in Zeiten der Stapelkrisen und damit auch der Stapelrisiken dürfen die Bereiche Governance, Risk und Compliance gerade keine Insellösungen mehr sein.
Ein effizientes und effektives Governance-, Risk- und Compliance-Managementsystem kann fraglos nicht jedes Fehlverhalten verhindern – aber dessen Eintreten doch sehr unwahrscheinlich machen. Und vor allem: Bei einer Lösung aus einem Guss wird wie bei einer guten Krisenkommunikationsstrategie von Anfang an festgelegt, was im Fall der Fälle zu tun ist.
Zentrales Dashboard erlaubt die transparente Risikosteuerung
Mit den richtigen Tools behalten CEOs, Auditoren und Fachexperten jederzeit die Risikokontrolle über die Firma. Die Risiken, um die es bei „Governance, Risk and Compliance” – kurz GRC – geht, sind sehr vielschichtig. Um den Überblick zu behalten, braucht es eine zentrale Steuerungseinheit, eine Art Dashboard, dank dessen jederzeit die Risikolage und eventuell aufziehende Stürme frühzeitig entdeckt werden können.
Unter anderem ist eine solch digitalisierte Unternehmens- und Risikosteuerung mit „embedded GRC“ des Rosenheimer IT-Unternehmens Goriscon möglich. Das Programm, das gerade in neuester Generation an den Markt kommt, ermöglicht Unternehmen jeder Größe und Branche eine zielgerichtete und effiziente Umsetzung in unterschiedlichen Bereichen. Somit sind die Anwender jederzeit in der Lage, ihre Risiken zu identifizieren und zu steuern. Goriscon unterstützt mit dem Programm darüber hinaus diverse Spezialanforderungen wie ISO 27001, DSGVO oder KRITIS. Außerdem können Kunden zusätzlich eigene Anforderungen hinzufügen.
STARTSEITE
