Definition

Enterprise Risk Management (ERM)

Was ist Enterprise Risk Management?

Externe Faktoren fördern das verstärkte Interesse an ERM (Enterprise Risk Management). Branchen- und staatliche Aufsichtsbehörden sowie Investoren nehmen die Risikomanagementstrategien und -verfahren von Unternehmen genauer unter die Lupe. In immer mehr Branchen sind die Vorstände verpflichtet, die Angemessenheit der Risikomanagementprozesse in ihren Organisationen zu überprüfen und darüber zu berichten.

Warum ist Risikomanagement in Unternehmen wichtig?

Ein ERM-Programm (Enterprise Risk Management) im Unternehmen trägt zu folgenden Aspekten bei:

  • das Bewusstsein für Geschäftsrisiken im gesamten Unternehmen zu schärfen;
  • Vertrauen in die strategischen Ziele zu schaffen;
  • die Einhaltung gesetzlicher und interner Vorschriften zu verbessern; und
  • die betriebliche Effizienz durch eine konsequentere Anwendung von Prozessen und Kontrollen zu steigern.

Unternehmen können davon profitieren, wenn sie ihre Unternehmenskultur von der Erfüllung von IT-Compliance-Verpflichtungen auf die Verringerung des Gesamtrisikos umstellen, was in hohem Maße von der Transparenz der Gesamtsicherheit des Unternehmens abhängt.

Organisationen, die ein strategisches ERM-Programm aufbauen, müssen bereits über einige gut etablierte Praktiken verfügen, wie zum Beispiel die folgenden:

  • ein Governance-Modell, das die oberste Führungsebene und organisatorische Einheiten wie Sicherheit, Risikobewertung und -management, Einhaltung von Vorschriften, IT-Betrieb, Betriebsrat, Rechtsabteilung und andere wichtige Unternehmensbereiche umfasst;
  • eine Strategie, die interne Richtlinien und Standards für alle Sicherheits- und Risikoaspekte sowie betriebliche Schwerpunktbereiche wie die Systemkonfiguration umfasst; und
  • ein Verfahren, das ein internes und externes Bedrohungs- und Schwachstellenmanagement umfasst, um Angreifer und Risikofaktoren zu überwachen, die potenziell die Risiken für das Unternehmen und seine Ressourcen beeinflussen können.

Enterprise Risk Management ist ein kontinuierlicher Prozess, der wachsen und sich weiterentwickeln muss. Es ist wichtig, alle Elemente des Programms regelmäßig zu überprüfen, zu überarbeiten und zu aktualisieren.

Welche Elemente umfasst Enterprise Risk Management?

  • Geschäfts- und IT-Ziele. Die geplanten strategischen Initiativen einer Organisation müssen in alle Risikoanalysen und Entscheidungen einbezogen werden. Eine Migration zu Cloud-Diensten beispielsweise verändert viele Kontroll- und Risikoparadigmen.
  • Risikobereitschaft. Um die Geschäftskontinuität aufrechtzuerhalten, muss ein Unternehmen seine Toleranz bei der Verfolgung strategischer Ziele bewerten.
  • Kultur und Führung. Einige Unternehmen sind generell risikoscheu, während andere eine Risikokultur fördern, um strategische Initiativen zu verfolgen. Darüber hinaus unterscheiden sich die internen Governance-Modelle und die Strukturen der Teams für die Zusammenarbeit von Unternehmen zu Unternehmen erheblich, was sich auf die Art und Weise auswirkt, wie Entscheidungen getroffen und Kontrollen durchgeführt werden.
  • Compliance- und Kontrollanforderungen. Interne Standards und externe Vorschriften und Compliance-Anforderungen müssen bei Risiko- und Kontrollentscheidungen berücksichtigt werden.
  • Bewertung und Berichterstattung. Alle ERM-Programme müssen zeitnahe und konsistente Ergebnisse für einen Querschnitt von Interessengruppen liefern, von der Unternehmensleitung bis hin zu Fachleuten. Die zur Messung des Fortschritts verwendeten Messgrößen sowie die Mechanismen und die Art der Berichterstattung sind wichtige Überlegungen.
Die Identifizierung und Klassifizierung regeln auch, wie mit den Risiken umgegangen wird.
Abbildung 1: Die Identifizierung und Klassifizierung regeln auch, wie mit den Risiken umgegangen wird.

Was sind die Vorteile des Risikomanagements in Unternehmen?

  • Die Integration der Risikobewertung in die Geschäfts- und IT-Praktiken ist eine gute Möglichkeit, das Risikomanagement insgesamt zu verbessern, indem eine stärker risikoorientierte Kultur geschaffen wird.
  • Unternehmen können eine stärker standardisierte Risikoberichterstattung einführen, die bei langfristigen Kennzahlen und Bewertungen hilft.
  • Unternehmen können sich besser fokussieren und ihre Risikoperspektive in einer Reihe von Kategorien verbessern.
  • Eine stärkere Fokussierung auf die mit den Geschäftszielen verbundenen Risiken kann zu einer effizienteren Nutzung der Ressourcen führen, zum Beispiel zur Anwendung begrenzter Lizenzen für die Endpunktsicherheit auf die am stärksten gefährdeten und kritischen Systeme.
  • Stark regulierte Unternehmen können die Koordinierung von Regulierungs- und Konformitätsfragen in einer Vielzahl von Geschäftszielen verbessern.

Was sind die Herausforderungen des Enterprise Risk Managements?

  • Die Investitions- und Betriebsausgaben steigen anfangs oft, da ERM-Programme spezielle und teure Software und Dienstleistungen erfordern können.
  • ERM-Initiativen legen mehr Gewicht auf die Unternehmensführung und erfordern von den Geschäftseinheiten einen erheblichen Zeit- und Kostenaufwand.
  • Ein Konsens über den Schweregrad und die Kennzahlen von Risiken in allen Einheiten eines Unternehmens kann schwierig und umstritten sein.

Bewährte Verfahren für die ERM-Implementierung

  • Definieren Sie den Umfang des Programms. Identifizieren und priorisieren Sie kritische Geschäftsprozesse und die damit verbundenen Risiken.
  • Entwickeln Sie eine Blaupause. Verwenden Sie Risikokarten, um festzustellen, welche Bedrohungen die Unternehmensziele und kritischen Strategien gefährden könnten, geben Sie diese Informationen weiter und legen Sie Kontrollen fest, um diese Risiken zu minimieren.
  • Erstellen Sie einen Maßnahmenplan. Entwickeln Sie einen Risikomanagementplan, um unannehmbare Risiken zu ermitteln und Risikolücken zu schließen.
  • Digitaler Wandel. Nutzen Sie KI und andere fortschrittliche Technologien, um ineffiziente und unwirksame manuelle Prozesse zu automatisieren.
  • Überwachen und bewerten. Erstellen Sie Risikoprofile und wichtige Risikoindikatoren, um Kontrollmängel zu erkennen und zu bewerten, wie das ERM-Programm voranschreitet, wie es von den Unternehmensrichtlinien abweicht und wie viele Risikovorfälle es gibt.
Diese Definition wurde zuletzt im Januar 2024 aktualisiert

Erfahren Sie mehr über IT-Sicherheits-Management