Blog
Sprintwinkel rechts
Risikomanagement
Sprintwinkel rechts
Enterprise Risk Management: Rahmenwerke, Implementierung, Kosten

Enterprise Risk Management: Rahmenwerke, Implementierung, Kosten

TL, DR:

Enterprise Risk Management (ERM) ist ein strukturierter Ansatz zur ganzheitlichen Steuerung von Risiken über alle Geschäftsbereiche hinweg, der die Risikotoleranz mit strategischen Zielen integriert, anstatt Risiken isoliert in einzelnen Abteilungen zu behandeln.
Zu den weit verbreiteten ERM-Rahmenwerken gehören ISO 31000 (Risikomanagementprinzipien), COBIT 2019 (Ausrichtung der IT-Governance), COSO 2017 (Integration von Risiko in Strategie und Leistung) und NIST RMF (Risikomanagement für föderale Systeme).
ERM befasst sich mit operationellen Risiken (Prozessausfällen), strategischen Risiken (Markteintrittsentscheidungen), finanziellen Risiken (Umsatzschwankungen), Compliance-Risiken (Verstöße gegen gesetzliche Bestimmungen) und Reputationsrisiken (Schädigung der Marke durch Vorfälle).

Jede unternehmerische Entscheidung birgt ein gewisses Risiko – manche sind geringfügig, wie etwa die Festlegung einer korrekten Passwortrichtlinie, andere hingegen deutlich größer, wie der Eintritt in einen neuen Markt. Stellen Sie sich vor: Was passiert, wenn der Lieferant nicht liefert? Oder was, wenn die Compliance-Anforderungen in einem neuen Gebiet sich stark von Ihren bisherigen unterscheiden?

Hier kommt das Enterprise Risk Management ins Spiel. ERM prüft alle Aspekte dieser Risiken für Sie, um sicherzustellen, dass Ihr Unternehmen widerstandsfähig bleibt, egal welche Herausforderungen sich stellen.

Was ist Enterprise Risk Management (ERM)?

Enterprise Risk Management (ERM) ist ein strukturierter Ansatz zur Steuerung des Risikomanagements. alle Arten von Risiken Dies kann die Fähigkeit einer Organisation, ihre Ziele zu erreichen, potenziell beeinträchtigen. Dazu gehört die Identifizierung, Bewertung, Minderung und Überwachung von Risiken in verschiedenen Geschäftsbereichen.

James Lam definierte es in seinem Buch über ERM (From Incentives to Control) wie folgt: 

„ERM ist ein umfassendes und integriertes Rahmenwerk zur Steuerung wichtiger Risiken, um Geschäftsziele zu erreichen, unerwartete Ertragsschwankungen zu minimieren und den Unternehmenswert zu maximieren.“

Im Gegensatz zum traditionellen Risikomanagement, das Risiken oft isoliert betrachtet, nimmt ERM einen bestimmten Aspekt in den Blick ganzheitliche Diese Sichtweise integriert die Risikomanagementpraktiken über alle Abteilungen und Ebenen Ihres Unternehmens hinweg und richtet sie aus. Risikotoleranz und strategische Ziele.

Hier ist eine Tabelle, die die verschiedenen Arten von Risiken hervorhebt, die durch ERM abgedeckt werden:

Art des RisikosBeschreibung
Operationelle RisikenRisiken aufgrund interner Prozesse, Systeme und menschlicher Fehler.

Finanzielle Risiken
Risiken, die die finanzielle Leistungsfähigkeit beeinträchtigen, einschließlich Markt- und Kreditrisiken.
Compliance-RisikenRechtliche oder regulatorische Risiken, die zu Strafen wegen Nichteinhaltung von Gesetzen und Vorschriften führen können.
Strategische RisikenRisiken, die mit dem Nichterreichen der strategischen Ziele der Organisation verbunden sind.
ReputationsrisikenRisiken, die den Ruf der Organisation und das Vertrauen der Stakeholder schädigen.

Cyber-Risiken
Risiken im Zusammenhang mit digitaler Sicherheit, Datenschutzverletzungen und Technologieausfällen.
UmweltrisikenRisiken im Zusammenhang mit Umweltfragen, die sich auf den Betrieb oder den Ruf auswirken könnten.

Warum ist ERM für Ihr Unternehmen wichtig?

Enterprise Risk Management ermöglicht Ihren Stakeholdern einen umfassenden Überblick über alle Herausforderungen, denen sich Ihr Unternehmen aktuell oder zukünftig stellen muss. Es dient als proaktiver Ansatz, um Unsicherheiten erfolgreich zu bewältigen.

In diesem Zusammenhang hier vier weitere Gründe warum ERM ist für Ihr Unternehmen absolut unerlässlich:

  1. Es verbessert die Entscheidungsfindung.Durch das Verständnis potenzieller Risiken kann die Führungsebene fundiertere Entscheidungen treffen und Ressourcen effektiver einsetzen.
  2. Es verbessert die betriebliche EffizienzDie Identifizierung und Minderung von Risiken würde zu reibungslosen Abläufen mit minimalem Abfall führen.
  3. Es unterstützt die Geschäftskontinuität.ERM trägt dazu bei, Menschen, Finanzen und Sachwerte zu schützen und sicherzustellen, dass die Organisation jeder Katastrophe standhält und nachhaltig bleibt.
  4. Es fördert eine risikobewusste KulturEin gut implementiertes ERM-Rahmenwerk fördert eine Unternehmenskultur, die Mitarbeiter dazu ermutigt, Risiken zu erkennen und zu melden. 

Falls Sie noch nicht überzeugt sind, finden Sie hier weitere Vorteile, die James Lam in seinem Buch aufführt. 

Die Bedeutung von ERM, dargelegt von James Lam

Wichtige Komponenten des Enterprise Risk Management gemäß COSO

Im Jahr 2004 veröffentlichte das COSO (Committee of Sponsoring Organizations of the Treadway Commission) einen integrierten Rahmen für das Enterprise Risk Management (ERM). Dieser wurde 2017 um einige der wichtigsten Elemente des ERM ergänzt. In Anlehnung daran werden hier die fünf Kernkomponenten des ERM aufgeführt:

1. Regierungsführung und Kultur

Governance und Unternehmenskultur bilden die Grundlage für ein effektives Risikomanagement. Governance prägt die Unternehmenskultur und verdeutlicht, warum Risikomanagement wichtig ist. Zudem definiert sie klare Verantwortlichkeiten und Rollen.

Kultur hingegen zeigt sich in Ihren Entscheidungen und darin, wie Ihr Team täglich mit Risiken umgeht.

2. Strategie- und Zielsetzung

Bei der Analyse Ihres Geschäftsumfelds werden Sie feststellen, dass Risikomanagement ein zentraler Bestandteil Ihrer strategischen Entscheidungen ist. Es beeinflusst die internen und externen Faktoren, die Risiken bergen, und hilft Ihnen, Ihre Risikobereitschaft entsprechend Ihren Geschäftszielen festzulegen. 

3. Leistung

ERM hat direkten Einfluss auf die Leistung Ihrer Geschäftsprozesse. Sie identifizieren und bewerten die Risiken, die Ihre Fähigkeit, Ihre Ziele zu erreichen, beeinträchtigen könnten. Anschließend entscheiden Sie, wie Sie entsprechend Ihrer Risikobereitschaft auf spezifische Risiken reagieren. 

Sollte es außerdem jemals zu einer Störung in der Branche kommen, kontinuierliche Überwachung (Ein wichtiger Bestandteil des ERM) ermöglicht es Ihnen, sich an die Situation anzupassen. 

4. Überprüfung und Überarbeitung

Die regelmäßige Überprüfung Ihrer Risikomanagementprozesse und -ergebnisse im Hinblick auf Ihre Ziele hilft Ihnen zu verstehen, inwieweit diese Maßnahmen Ihrem Unternehmen einen Mehrwert bieten. Sie bietet Ihnen außerdem die Möglichkeit, Ihren Ansatz anzupassen und seine Wirksamkeit sicherzustellen, insbesondere bei bedeutenden Veränderungen.

5. Information, Kommunikation und Berichterstattung

Der Wissensfluss bzw. das Informationsmanagement ist ein Schlüsselelement eines unternehmensweiten Risikomanagementprogramms. Es ermöglicht nicht nur bessere Entscheidungen, sondern auch eine effiziente Datenverwaltung und präzise Berichterstattung. 

Wie man ein effektives ERM-Programm implementiert

Wie man ein effektives ERM-Programm implementiert

1. Richten Sie Ihre Geschäftsstrategie am Risiko aus.

Die Grundlage für ein erfolgreiches Enterprise Risk Management (ERM) bildet Klarheit über Ihre Strategie und Ziele. Ohne ein klares Verständnis dessen, was Ihr Unternehmen erreichen will, ist es unmöglich, die Risiken zu identifizieren, die Ihren Erfolg gefährden könnten. 

Frag dich selbstSind Ihre Ziele klar definiert und von allen Beteiligten verstanden? Wenn die Mitarbeiter nicht erkennen, wie ihre tägliche Arbeit mit den übergeordneten Zielen zusammenhängt, können Risiken unbemerkt bleiben oder nicht bewältigt werden.

Dieser Prozess sollte alle Team- und Vorstandsmitglieder einbeziehen, um eine solide Ausgangsbasis zu gewährleisten. Es geht nicht nur darum, Risiken zu managen, sondern auch darum, sie in potenzielle Vorteile zu verwandeln.

2. Alle Arten von Risiken identifizieren.

Identifizieren Sie alle Risikotechniken, denen Ihr Unternehmen ausgesetzt ist.

Mithilfe der oben genannten Techniken können Sie die wichtigsten Risiken für Ihr Unternehmen ermitteln. Bei komplexen Risiken empfiehlt es sich, mehrere Techniken zu kombinieren, um sicherzustellen, dass nichts Wichtiges übersehen wird.

Man kann entweder ganz von vorn beginnen (und die inhärenten Risiken erarbeiten) oder einen vordefinierten Risikorahmen nutzen, der den gesamten Prozess leitet. Oftmals ist eine Kombination dieser Methoden am besten geeignet, um ein umfassendes Bild zu erhalten.

3. Risiken bewerten

Sobald die Risiken identifiziert sind, ist der nächste Schritt RisikobewertungEs geht darum, zwei Schlüsselfaktoren zu verstehen:

  1. Welche Risiken können Sie kontrollieren?
  2. Welche Risiken lassen sich messen?

Risiken können sowohl qualitativ als auch quantitativ bewertet werden. Zum Beispiel 

  • Sie können Risiken anhand ihrer Wichtigkeit auf einer Skala (z. B. 1–3) einstufen. Dadurch kann sich Ihr Risikoteam auf die wichtigsten Risiken konzentrieren.
  • Risiken können auch in Kategorien mit geringer, mittlerer oder hoher Auswirkung eingeteilt oder anhand strategischer Risikofaktoren wie erwarteter Verluste gemessen werden.

Beurteilung beider impact (z. B. finanzieller Verlust) und die Wahrscheinlichkeit Die Wahrscheinlichkeit eines Risikos liefert Ihnen ein klareres Bild. Mit solch detaillierten Daten können Sie Folgendes erstellen: Risikokarten oder Risikoregister. Hier eine visuelle Darstellung:

Sprinto-Risiko-Heatmaps vergleichen inhärente und Restrisiken nach Eintrittswahrscheinlichkeit und Auswirkung.

Erhalten Sie einfache, automatisierte Risikoeinblicke

4. Risiken behandeln und kontrollieren

Nachdem alle Risiken identifiziert und bewertet wurden, muss entschieden werden, wie darauf reagiert wird. Ein zentrales Ziel des Enterprise Risk Management (ERM) ist es, bewusste und fundierte Entscheidungen im Umgang mit Risiken zu treffen. Gängige Risikokontrollmethoden sind:

  • Vermeidung: Das Risiko wird vollständig beseitigt.
  • eingrenzen: Minimierung der Auswirkungen oder der Eintrittswahrscheinlichkeit des Risikos.
  • Teilen: Übertragung des Risikos auf eine andere Partei (z. B. Versicherung).
  • Annahme der DatenschutzbestimmungenDas Risiko anerkennen und sich dafür entscheiden, es zu tragen.

Die Entscheidung hängt maßgeblich von der Eintrittswahrscheinlichkeit des Risikos, den potenziellen Auswirkungen, der Kosten-Nutzen-Analyse der gewählten Reaktion und letztendlich der Risikobereitschaft Ihres Unternehmens ab. 

Die folgende Abbildung verdeutlicht einige gängige Risikobehandlungsstrategien. 

Die Art des Behandlungsplans, den Sie anwenden, hängt jedoch hauptsächlich von den Erwartungen Ihrer Stakeholder, Ihrer übergeordneten Geschäftsstrategie und der Branche ab, in der Sie tätig sind.

5. Risiken überwachen und ein Berichtswesen einrichten

Organisationen gehen ständig Risiken ein, um ihre Ziele zu erreichen. ERM zielt nicht darauf ab, Risiken zu vermeiden, sondern proaktive, fundierte Entscheidungen auf allen Ebenen zu fördern. Das bedeutet, Risiken bewusst einzugehen, geleitet von klaren Risikoindikatoren.

Bei der Risikoüberwachung ist eine offene Kommunikation unerlässlich – teamübergreifend und bis hin zur Führungsebene. Mithilfe von KPIs und KRIs können Sie Risiken kontinuierlich verfolgen und in Kombination mit ERM Verantwortlichkeiten und Zuständigkeiten zuweisen.

Sprint kann dies erleichtern. Hier ist wie:

Wie hoch sind die Kosten für die Implementierung eines Enterprise-Risk-Management-Systems?

Die Implementierung eines unternehmensweiten Risikomanagementprogramms kostet Sie je nach verschiedenen Faktoren etwa 20 bis 100 US-Dollar pro Monat. 

  • Größe und Komplexität Ihres UnternehmensGrößere Organisationen benötigen oft umfassendere ERM-Systeme, was die Kosten erhöht.
  • Bestehende InfrastrukturVerfügt die Organisation bereits über Risikomanagementprozesse oder -systeme, können die Kosten niedriger ausfallen, da weniger Bedarf an einer Überarbeitung besteht.
  • Technologie und Werkzeuge, die Sie verwendenDie Wahl der technologischen Lösungen (Software für Risikobewertung, Berichtswesen usw.) kann die Gesamtkosten erheblich beeinflussen.
  • Beratung und SchulungDie Beauftragung externer Berater für Fachwissen und Mitarbeiterschulungen kann das Budget belasten.
Alternative: Implementierung von ERM unter Einhaltung gesetzlicher Bestimmungen

Um Kosten zu sparen, empfiehlt sich die Kombination von ERM mit Compliance-Workflows. Tools wie Sprinto vereinfachen diesen Prozess, indem sie die Compliance automatisieren und gleichzeitig Echtzeit-Einblicke in Risiken bieten. Erhalten Sie Ihr individuelles Angebot.

Welche gängigen Risikomanagement-Rahmenwerke gibt es?

Rahmenwerke für das unternehmensweite Risikomanagement unterstützen Organisationen dabei, Risiken strukturiert zu identifizieren, zu bewerten und zu steuern. Die hier genannten Standards bieten konkrete Leitlinien, die Sie implementieren können, um Unsicherheiten im Zusammenhang mit Risiken effektiv zu bewältigen und Vermögenswerte zu schützen. 

Hier sind einige der am weitesten verbreiteten Risikomanagement-Rahmenwerke:

1. ISO 31000: Risikomanagement

ISO 31000 ISO 31000 ist ein umfassender internationaler Standard für Risikomanagement. Er bietet einen prinzipienbasierten Ansatz, der auf jede Art von Risiko in jeder Organisation jeder Größe angewendet werden kann. Zu den wichtigsten Prinzipien der ISO 31000 gehören:

  • Führungsverpflichtung: Unterstützung auf höchster Ebene ist für ein effektives Risikomanagement unerlässlich.
  • Risikobewusstsein: Das Risikoumfeld und die Risikokultur der Organisation verstehen.
  • Risikoabschätzung: Risiken identifizieren, analysieren und bewerten.
  • Risikobehandlung: Entwicklung und Umsetzung geeigneter Risikobehandlungsmaßnahmen.
  • Risikoüberwachung und -bewertung: Kontinuierliche Überwachung und Überprüfung der Risikomanagementprozesse.

2. COBIT 2019

COBIT COBIT 2019 ist ein Rahmenwerk für die Steuerung und das Management der Unternehmens-IT. Obwohl der Fokus auf der IT liegt, integriert es das Risikomanagement als zentrale Komponente. COBIT 2019 bietet Leitlinien zur Identifizierung, Bewertung und Minderung von IT-bezogenen Risiken. Es betont die Bedeutung der Ausrichtung der IT an den Geschäftszielen und eines effektiven Risikomanagements.

3. COSO 2017

COSO 2017 ist ein Rahmenwerk für das unternehmensweite Risikomanagement (Enterprise Risk Management, ERM). Es bietet einen umfassenden Ansatz für das Risikomanagement in der gesamten Organisation. COSO 2017 beschreibt fünf Komponenten des ERM:

  • Regierungsführung und Kultur: Den Ton an der Spitze angeben und eine risikobewusste Kultur etablieren.
  • Strategie und Zielsetzung: Identifizierung und Analyse strategischer Risiken.
  • Eigenschaften: Implementierung von Kontrollmechanismen zur Steuerung operationeller Risiken.
  • Überprüfung und Überarbeitung: Überwachung und Bewertung der Wirksamkeit des ERM.
  • Kommunikation und Berichterstattung: Effektive Kommunikation von Risikoinformationen an die Stakeholder.

4. NIST-Risikomanagementrahmen (RMF)

Das NIST RMF Das Risk Management Framework (RMF) ist ein vom National Institute of Standards and Technology (NIST) entwickeltes Rahmenwerk für Cybersicherheit. Es bietet einen strukturierten Ansatz für das Management von Cybersicherheitsrisiken. Das RMF besteht aus sechs Phasen:

  1. Informationssysteme kategorisieren: Die Auswirkungen einer Systemkompromittierung beurteilen.
  2. Wählen Sie Sicherheitskontrollen aus: Auswahl geeigneter Sicherheitsmaßnahmen zur Risikominderung.
  3. Implementieren Sie Sicherheitskontrollen: Bereitstellung und Aktivierung von Sicherheitskontrollen.
  4. Sicherheitskontrollen bewerten: Bewertung der Wirksamkeit von Sicherheitsmaßnahmen.
  5. Autorisierung von Informationssystemen: Eine formelle Entscheidung zum Betrieb eines Systems treffen.
  6. Sicherheitskontrollen überwachen: Kontinuierliche Überwachung und Bewertung der Sicherheitskontrollen.

Welche Herausforderungen sind bei der Implementierung von ERM zu erwarten?

  • Kultureller WiderstandMitarbeiter oder das Management könnten sich gegen die Änderung bestehender Prozesse oder die Übernahme einer ERM-Denkweise sträuben.
  • RessourcenzuweisungBegrenzte Ressourcen (Zeit, Budget, Personal) können die Implementierung und Nachhaltigkeit eines ERM-Programms behindern.
  • Komplexität der RisikobewertungDie genaue Risikobewertung kann kompliziert und subjektiv sein, insbesondere bei unvorhergesehenen Ereignissen.
  • Wirksamkeit messenDie Festlegung verlässlicher Kennzahlen zur Messung der Effektivität des ERM-Programms ist oft eine Herausforderung.

Das Gesamtbild des ERM

Bei ERM geht es also im Wesentlichen darum, proaktiv und organisiert Risiken im gesamten Unternehmen zu identifizieren, zu bewerten und zu kontrollieren. Es geht nicht nur darum, Ihre Vermögenswerte zu schützen, sondern auch darum, Ihr Wachstum zu fördern und gleichzeitig potenzielle Schwachstellen zu erkennen und zu managen.

Risikomanagement bedeutet nicht nur, Verluste zu reduzieren, sondern auch, Wege zu finden, um mit Zuversicht voranzuschreiten und sich auf alles, was als Nächstes kommt, vorbereitet zu fühlen.

Denken Sie daran, dass Sie mit Enterprise Risk Management eine zukunftssichere Grundlage schaffen. Angesichts der heutigen komplexen Bedrohungslandschaft ist ein automatisiertes Tool erforderlich, das Prozesse flexibler und schneller gestaltet. 

Zitat von Marlyse McQuillen zum Thema KI-Risiko, Transparenz und Einbindung von Interessengruppen.

Der Einsatz von Sprinto und ähnlichen Tools vereinfacht die Etablierung von ERM erheblich, da wichtige Aspekte der Compliance- und Risikoüberwachung automatisiert werden. So können Sie sich auf die übergeordneten Ziele Ihres Unternehmens konzentrieren.

In Sprinto erhalten Sie beispielsweise mithilfe des Risikoberichts einen umfassenden Überblick über das aktuelle Risikoprofil Ihrer Organisation. Dabei werden Auswirkungen, Minderungsmaßnahmen, Behandlungsmaßnahmen, Bewertungen und anstehende Aufgaben hervorgehoben. 

Sprinto ERM-Dashboard mit Berichten zu Risikoauswirkungen, Risikominderung und Behandlungsmaßnahmen.

Erhalten Sie einen Echtzeit-Überblick über das Risiko

Häufig gestellte Fragen

1. Worin besteht der Unterschied zwischen traditionellem Risikomanagement und ERM?

Das traditionelle Risikomanagement konzentriert sich typischerweise auf spezifische Risiken innerhalb von Abteilungen, wohingegen das ERM einen umfassenden Ansatz verfolgt und Risiken in der gesamten Organisation strategisch bewertet und steuert.

2. Wie oft sollte ein ERM-Programm überprüft werden?

Ein ERM-Programm sollte regelmäßig, in der Regel jährlich oder halbjährlich, überprüft werden, um sich an neue Risiken und sich ändernde Geschäftsbedingungen anzupassen.

3. Können kleine Unternehmen ERM implementieren?

Ja, auch kleine Unternehmen können ERM implementieren, indem sie das Rahmenwerk an ihre Größe anpassen und kosteneffiziente Tools und Praktiken einsetzen.

Stiefmütterchen
Autorin

Stiefmütterchen

Pansy ist eine ISC2-zertifizierte Content-Marketing-Expertin für Cybersicherheit mit einem Hintergrund in Informatik. Zuletzt hat sie sich bei Sprinto mit der Welt des Marketings aus der Perspektive von GRC (Governance, Risk & Compliance) auseinandergesetzt. In ihrer Freizeit liest sie entweder vertieft politische Romane oder perfektioniert ihre Kochkünste. Manchmal findet man sie auch beim Sonnenbaden am Strand oder beim Wandern durch dichte Wälder.
Haben Sie genug von inhaltsleeren GRC- und Cybersicherheitsthemen? Abonnieren Sie unseren Newsletter und erhalten Sie detaillierte Informationen.
Recherchen und Erkenntnisse, die Ihnen helfen sollen, sich einen Platz am Tisch zu sichern.
Einzel-Blog-Fußzeilenbild