A D V E R T O R I A L
Bezahlte Einschaltung

Ein Beitrag von Samuel Brandstätter,
Geschäftsführer der avedos business solutions GmbH


Effizienz im Risiko-Reporting durch einen universellen Ansatz für Risiko- & Compliancemanagement bzw. Zertifizierung

Die Motivation für einen universellen Risikomanagement-Ansatz

Wie bereits im Leitartikel dieses Newsletters dargelegt, kann man prinzipiell zwei Motivationsgründe für Unternehmen nennen um Risikomanagement zu betreiben:

  • Innere Motivation: Unternehmen haben nicht nur die Notwendigkeit Daten zu schützen oder sicher zu stellen, dass ihre Systeme funktionstüchtig bleiben – „sie sollen vor allem gute Geschäftsergebnisse erzielen“. Dazu ist es unerlässlich, auf Bedrohungen adäquat vorbereitet zu sein. Nur so können Werte des Unternehmens, deren Ertragsfähigkeit und damit die Stabilität bewahrt werden. Somit soll ein strukturiertes Risiko-Reporting Informationen als Entscheidungsgrundlage für das Management zur Verfügung stellen.
  • Äußere Motivation: Getrieben durch viele spektakuläre Vorfälle in exponierten Unternehmen, die oft zur Insolvenz oder Auflösung der Unternehmen geführt haben, ist Risikomanagement zu einer der zentralen Verantwortlichkeiten der Vorstände und Geschäftsführer heutiger Unternehmen geworden. Wirtschaftsprüfer, Auditoren, Eigentümer und Aufsichtsbehörden fordern Risikoberichte – manchmal unter dem Titel „Risikomanagement“, manchmal über den Weg von geforderter Compliance mit offiziellen Richtlinien. Die Zielsetzung hierbei ist es vor allem, die Risikoverträglichkeit einer Organisation und den Umgang mit Risiko transparent darzustellen.
Basierend auf diesen grundsätzlichen Anforderungsbereichen stehen Manager zunehmend vor der Herausforderung, den Forderungen nach Transparenz und Berichterstattung mit möglichst geringem Ressourcenaufwand, aber dennoch hohem Informationsgehalt und durchgängiger Nachvollziehbarkeit nachzukommen. Die dafür erforderliche Effizienz ist nur durch einen universellen Ansatz für Risikomanagement, Compliance und Zertifizierung erzielbar.

Die Bedeutung von Compliance und deren Schnittstelle zu Risikomanagement

Das englische Wort „Compliance“ bedeutet generell die „Befolgung, Einhaltung oder Erfüllung“ von Regeln und Normen. Compliance stellt demnach den Erfüllungsgrad von in der Wirtschaft anerkannten Best-Practice Ansätzen, Standards und Normen dar.

Im Vergleich zur herkömmlichen Risikoanalyse, bei der Risiken direkt eingeschätzt und bewertet werden, wird Risiko im Compliance Management daraus abgeleitet, dass Maßnahmen die eine Richtlinie fordern nicht ausreichend umgesetzt werden. Dieses Compliance-Gap ergibt sich aus der Gegenüberstellung eines sinnvollen Umsetzungsgrades einer Maßnahme für eine Organisation zur tatsächlichen Umsetzung. Somit wird aus Compliance-Sicht Handlungsbedarf festgestellt, der sich in Form von Risiko auf die Organisation auswirkt.

Das Konzept eines universellen Risiko- und Compliancemanagements

Risikomanagement und Compliance Aktivitäten können zu einem universellen Ansatz kombiniert werden, wenn der Scope der Betrachtung in beiden Fällen kompatibel zueinander ist (also beispielsweise in beiden Fällen das gesamte Unternehmen oder definierte Teilbereiche betrachtet werden). Der Zusammenhang zwischen Risikomanagement und Compliance ist darin zu begründen, dass Compliance eine definierte Sichtweise auf das interne Risikomanagement darstellt, in der die Ergebnisse inhaltlich nach der Struktur der jeweiligen Norm betrachtet werden.

"Risikomanagement ist der Kern einer risikoadäquaten Unternehmenssteuerung, Compliance ist die externe Sicht auf das interne Risikomanagement."

Mit dieser kombinierten Vorgehensweise wird es möglich, dass Unternehmen redundante Aufwände für das interne und externe Reporting der Risiken vermeiden und somit Effizienz in der Risikoanalyse und der Maßnahmenplanung schaffen.

Voraussetzung für einen kombinierten Ansatz

Um einen solchen kombinierten Ansatz umsetzen zu können, ist es erforderlich eine Meta-Methodik für die Risikoanalyse und die Compliance-Darstellung zu entwerfen. Ein Beispiel hierfür ist die Umsetzung beider Themenkomplexe in einer gemeinsamen Bewertungslogik, die auf dem Prinzip einer Scorecard basiert. Mit Hilfe einer Risikoanalyse und -bewertung, die auf einer solchen Scorecard basiert, können Ergebnisse je nach Anforderung „durch die interne Brille“ oder in der Struktur standardisierter Regelwerke analysiert werden. Grundvoraussetzung dafür ist das Mapping der Kontrollen aus den zu betrachtenden Richtlinien mit den intern eingesetzten Risikokatalogen und die Abbildung dieser Strukturen in einem mehrdimensionalen Bewertungs-Framework, welches die Analyse der Ergebnisse aus unterschiedlichen Blickwinkeln ermöglicht.

Zielsetzungen eines solchen Risiko- und Compliance-Ansatzes

Die Ziele eines solchen Ansatzes liegen klar auf der Hand. Die Inhalte, die auf Basis derer Compliance gegenüber Auditoren oder der Revision dargestellt werden, existieren in einem solchen Ansatz größtenteils bereits durch die interne Risikoanalyse. Relevante Inhalte für die Bereiche Risikoanalyse und Compliance können somit in ein integriertes System zusammengeführt werden. Hierdurch werden die individuellen Zielsetzungen von Risikomanagement und Compliance aus einem System erreicht und auch die logische Schlussfolgerung der Compliance, die Zertifizierung, mit abgedeckt.

Über avedos™

avedos™ business solutions ist ein innovativer Softwarehersteller und Lösungsanbieter für die Analyse und Bewertung qualitativer Risikofaktoren. Die Softwareprodukte von avedos™ ermöglichen es, in komplexen Umgebungen effiziente Entscheidungsgrundlagen für das Management bereit zu stellen.

avedos™ Software-Produkte ermöglichen risikobewusste und nachvollziehbare Managemententscheidungen durch objektive Argumentation und Dokumentation für das Top-Management. Gemeinsam mit unseren Implementationspartnern sehen wir uns als Bindeglied zwischen IT-Entscheidern und dem Top-Management. Durch den Einsatz unserer Produkte erreichen unsere Kunden Klarheit in komplexen Strukturen.

Weitere Informationen: www.avedos.com




Artikel 1: Neuer ISO-Leitfaden für Risikomanagement
Artikel 3: Security-Check nach ISO 27001
Newsletterarchiv 		CIS - Certification & Information
Security Services GmbH
A-1010 Wien, Gonzagagasse 1/25
T: (+43)-1-532 98 90
F: (+43)-1-532 98 90-9
e-mail: office@cis-cert.com
Internet: www.cis-cert.com