Strategien


Risikomanagement

Wie Sie die passende GRC-Lösung finden

Olaf Riedel leitet den Sektor Technologie, Medien und Telekommunikation bei Ernst & Young (EY) in Deutschland, Österreich und der Schweiz. Dabei greift er auf mehr als 25 Jahre Erfahrung in der Beratung unterschiedlichster Unternehmen zurück – vom Start-up bis zum internationalen Konzern.
  • Die Unternehmensfunktionen Revision, Risikomanagement und internes Kontrollsystem haben sich weitestgehend unabhängig voneinander entwickelt.

  • Beispielsweise kann die bisherige Herangehensweise, Risiken in separierten Silos für verschiedene Abläufe oder Funktionen zu managen, mit den immer komplexeren Anforderungen an das Risikomanagement nicht mehr Schritt halten. Diese Silos bedienen sich in der Regel größtenteils unterschiedlicher Risikomanagement-Methodiken, etwa im Einkauf, im Kreditrisikomanagement (z.B. gegen Ausfälle), bei Versicherungen (z.B. Unternehmenshaftpflicht) oder in der IT; dort sogar häufig noch granularer wie etwa in Form eines speziellen IT-Security-Risikomanagements oder im Rahmen des Service Continuitiy Managements.

  • Diese Segmentierung lässt sich auch in der Landschaft der im Unternehmen eingesetzten IT-Lösungen beobachten. Während ein Fachbereich seit Jahren auf Excel als verlässlichen Begleiter setzt, haben andere Abteilungen komplexe, auf ihre speziellen Anforderungen angepasste Lösungen im Einsatz.

Ein GRC-Framework schaffen

Olaf Riedel ist Partner Advisory Services bei Ernst & Young.
Olaf Riedel ist Partner Advisory Services bei Ernst & Young.
Foto: Ernst & Young

Aufgrund von präsenten externen Anforderungen sowie den weitrechenden internen Optimierungsfelder konsolidieren aktuell führende Unternehmen weltweit ihre fachlichen und technischen Initiativen bezüglich GRC und investieren vermehrt in diesen Bereich. Ziel ist die Schaffung eines effektiven GRC-Frameworks mit einem unternehmensübergreifenden Ansatz.

Ein wichtiger Schritt in diese Richtung kann durch die Etablierung einer unternehmensweit verbindlichen GRC- Richtlinie erfolgen. Zum einen wird damit von höchster Ebene eine klare Stellungnahme zur Relevanz der GRC-Initiative ausgesprochen, zum anderen erhalten auch die mit der Umsetzung betrauten Mitarbeiter ein belastbares Mandat, um in der Richtlinie definierte Vorgaben im Unternehmen durch- und umzusetzen.

Hierbei ist wichtig, zu berücksichtigen, dass Konzerne mit Töchtergesellschaften häufig keine gesellschaftsrechtlichen Beherrschungsverträge haben, so dass jede einzelne Tochter die Richtlinie anerkennen und würdigen muss.

Zur Startseite