Risikomanagement und IKS sind Kernelemente eines effektiven, integrierten Managementsystems. Wie sollten diese Elemente aber ausgestaltet und verzahnt sein, damit die Unternehmensführung auch nachhaltig in ihren Entscheidungen unterstützt wird? Dieser Frage widmet sich das Whitepaper von SAI360, das Sie hier im Download finden.
Grundlage für eine optimale Unterstützung der Geschäftsführung ist demnach die Integration der Managementsysteme in die Unternehmensstruktur. Nur wenn die Systeme transparent sind und im Unternehmensalltag gelebt werden, werden sie von den Mitarbeitern akzeptiert und bringen einen Mehrwert. Erst dann ist es möglich, aus den gesammelten Informationen belastbare Entscheidungsgrundlagen für die Unternehmensführung zu erstellen.
Die Experten von SAI360 und KPMG sind sich einig, dass folgende Punkte berücksichtigt werden müssen, um ein nachhaltiges und effektives IKS- und Risikomanagementsystem im Unternehmen zu erreichen:
1. Die Unterstützung durch die Geschäftsführung
Der Geschäftsführung kommt die Rolle des Vorreiters zu. Sie sorgt für die Rahmenbedingungen und sollte nach dem Maßstab „keep it simple“ ein einfaches Managementsystem aufbauen, das von den Mitarbeitern akzeptiert wird und sie nicht überlastet.
2. Vermeidung von Silos
Die einzelnen Managementsysteme müssen in die Unternehmensabläufe integriert sein, um Mitarbeiter zu entlasten, Informationsverluste zu vermeiden und Wechselwirkungen von Risiken frühzeitig zu erkennen.
3. Etablierung des Three Lines of Defense Modells
Das Modell der drei Verteidigungslinien ermöglicht es, das IKS-System in einem Unternehmen einfach und übersichtlich zu gestalten und sorgt damit für eine geringere Arbeitsbelastung der Mitarbeiter.
4. Einsatz moderner Technologien
Für ein aussagekräftiges Managementsystem benötigt man Unmengen an Daten. Diese zu erfassen und zu analysieren gelingt nur noch mit Hilfe moderner Technologien, die alle Managementsysteme zentral an einem Ort zusammenfassen und sich einer gemeinsamen Datenbasis bedienen. In diesem Zusammenhang kommen den Ansätzen des Data Mining, Maschinellen Lernens oder Process Mining immer mehr Bedeutung zu.
5. Einführung einer integrierten GRC-Lösung
Bei der Einführung einer integrierten GRC-Lösung hat es sich bewährt, das System schrittweise im Unternehmen einzuführen. Nach der Durchführung eines Pilotprojekts für einen Bereich wird die Vorgehensweise analysiert und verbessert, um dann nach und nach auch die weiteren Bereiche der Organisation mit aufzunehmen. Dabei ist es vorteilhaft, wenn der externe Auditor mit seinen Anforderungen direkt in die Projektphase mit eingebunden wird und damit dessen Anforderungen im System berücksichtigt werden.
Gelingt es, das IKS als Bestandteil eines integrierten Risikomanagementsystems im Unternehmen zu etablieren, dann ist das Unternehmen gut gerüstet vor unliebsamen Überraschungen. Oder, wie Peter Paul Browers von KPMG so treffend formuliert: „Quality up, cost down and in the end no surprises!”