6. Mai 2022
6. Mai 2022
Verfasst von: Malcolm Murray und Laura Reul
Organisationen bekämpfen die Bedrohungen des 21. Jahrhunderts immer noch mit Mitteln des 20. Jahrhunderts – und das ist riskant.
Fazit:
Das Fenster ist jetzt offen, um Software und Analytik in die Risiko-Governance zu integrieren.
Erstens steht diese Art von Ausgaben ganz oben auf der Agenda einiger mächtiger Organisationen: 83 % der CEOs planen, ihre Investitionen in digitale Fähigkeiten im nächsten Jahr zu erhöhen, und 71 % der Vorstände nennen digitale Technologieinitiativen als eine der obersten Prioritäten nach der Pandemie. Zweitens ist die Zeit reif für eine grundlegende Überarbeitung der Art und Weise, wie Organisationen Risiken abwehren, und eine digitale Denkweise ist für den notwendigen Wandel von zentraler Bedeutung.
Das vorherrschende Modell – bekannt als die drei Linien (3L) – teilt die Verantwortlichkeiten für das Risikomanagement auf der Grundlage der typischen Rolle einer Funktion auf und nicht auf der Grundlage der tatsächlichen Aktivitäten, die durchgeführt werden müssen und wer am besten geeignet ist, diese durchzuführen. Seit mehr als einem Jahrzehnt versuchen Organisationen, die 3L mit einer abgestimmten Absicherung zu verbessern – alle Risiko- und Absicherungsfunktionen koordinieren ihre Arbeit und vermeiden doppelte Arbeit, während sie gleichzeitig sicherstellen, dass nichts durch die Maschen fällt. Dennoch tun sich Organisationen immer noch schwer, die Vorteile zu nutzen.
Jetzt herunterladen: Die wichtigsten aufkommenden Risikotrends, die überwacht und gemindert werden müssen
Unser alternatives Framework, das wir als dynamische Risiko-Governance (DRG) bezeichnen, hebt die funktionalen Grenzen auf und weist die Befugnisse nach Risiko und Aktivität zu, anstatt nach Rolle. Es ist statistisch erwiesen, dass dieses Modell ein qualitativ hochwertiges Risikoverhalten fördert, wie beispielsweise, dass die Führungsebene das richtige Gleichgewicht zwischen den Chancen findet und die Manager von Unternehmen das Wissen haben, um risikobewusstere Entscheidungen zu treffen.
Um ein zeitnahes, kollaboratives und effizientes Risikomanagement zu erreichen, müssen Sie gleichzeitig mit dem Aufbau eines vollständigen DRG-Frameworks auch digitale Lösungen entwickeln. Das ist ein positiver Kreislauf: Die gemeinsame Nutzung ist notwendig, um digital zu werden; digital ist notwendig, um schneller handeln zu können; und DRG wiederum führt zu engeren Arbeitsbeziehungen, um Risiken so schnell wie möglich zu bewältigen, sobald sie auftreten – was noch mehr Zusammenarbeit ermöglicht.
Die Organisationen haben uns von drei Verfahren berichtet, mit denen sie ihre Risikomanagementprozesse modernisieren und beschleunigen. In jedem Fall geht es um die Zusammenarbeit zwischen mehreren Abteilungen und die ausgeklügelte Nutzung von Daten und Automatisierung:
Mehr erfahren: Ihr ultimativer Leitfaden für Daten und Analysen
Die Führungskräfte haben in den letzten Jahren erhebliche Fortschritte gemacht, wenn es darum geht, Risiken systematischer und datengesteuert zu bewerten. Einzelne Abteilungen neigen jedoch dazu, ihre eigenen Analysen zu entwickeln und sich dabei auf ihre eigenen Datensätze zu stützen. Vielleicht schützen sie einfach ihre eigene Abteilung oder sie sind sich noch nicht der Vorteile bewusst, die der Austausch von Datenbeständen und Fähigkeiten mit sich bringt.
Um diese Herausforderung zu meistern, hat das interne Revisionsteam von The Kraft Heinz Company ein Kompetenzzentrum für die Risikoüberwachung eingerichtet. Das Ziel: Ermutigen Sie das Unternehmen, ein Tool zu verwenden, das mehr als 100 wichtige Risikoindikatoren (KRIs) für vier Geschäftsprozesse (Order-to-Cash, Procure-to-Pay, Accounting-to-Reporting und Manufacturing-to-Inventory) verfolgt.
Das Timing war entscheidend: Die Informationen mussten verfügbar sein, wenn es darauf ankam. Das Tool führt eine kontinuierliche Analyse der in einem zentralen ERP-System gespeicherten Daten durch und erstellt Tableau-Dashboards, die Risikotreiber, rote Fahnen, Steuerungslücken oder Inkonsistenzen im Prozess veranschaulichen.
Um dieses Tool einzuführen, diente das Kompetenzzentrum zwei Zwecken:
Auf der operativen Seite hat das Zentrum das Unternehmen mit dem Tool vertraut gemacht. Das Team begann damit, wichtige Stakeholder im Unternehmen zu identifizieren und sie einzuladen, das Tool in Aktion zu sehen und zu nutzen.
„Wir arbeiten mit dem Unternehmen zusammen, um sicherzustellen, dass die KRI-Überwachung in die erste und zweite Verteidigungslinie eingebettet ist“, sagte Fernando Garcia Bueno, VP and Global Head of Internal Audit. Das Training hat also nicht aufgehört. Das Zentrum hat auch Memos zu den Insights der Risikoanalyse mit Empfehlungen entwickelt, die die Relevanz und den Nutzen des Tools belegen.
Mit dieser Unterstützung können Führungskräfte von Unternehmen kritische Unternehmensrisiken jetzt selbständig verfolgen. „Die Implementierung der Risikoanalyselösung bei Kraft Heinz ist ein sehr gutes Beispiel dafür, wie wir unser Ziel der „digitalen Entscheidungsfindung“ in die Tat umsetzen“, sagte Corrado Azzarita, der globale CIO. „Ich bin der festen Überzeugung, dass datengesteuerte Entscheidungsfindung in verschiedenen Bereichen des Unternehmens Realität werden kann und sowohl die Effektivität als auch die Effizienz verbessert.“
Das interne Auditteam der Royal Bank of Canada (RBC) begab sich auf eine ähnliche Mission wie das von Kraft Heinz: Sie erstellten ein Tool zur kontinuierlichen Überwachung, das die gesamte Organisation mit aktuellen Risikoinformationen für kritische Geschäftsprozesse versorgt.
Aber RBC wählte einen etwas komplizierteren Weg. Anstatt die an einem Ort gesammelten Details an den Rest des Unternehmens weiterzuleiten, führte das interne Auditteam der Bank unternehmenseigene und externe Datensätze zusammen. Um diese digitale Lösung zu entwickeln, arbeitete die Abteilung Innenrevision mit dem Unternehmen zusammen, wodurch relevante Informationen und Metriken zur Messung von KRIs und wichtigen Leistungsindikatoren definiert werden konnten. Sie nannten ihre Kreation das Planungs- und Organisationstool für die Risikobewertung, oder RaptOR, teilte uns Kanika Vij mit, Senior Director of Data Science and Automation.
Da das interne Auditteam von RBC von Anfang an eng mit dem Management zusammenarbeitete, fühlten sich die Leiter der Geschäftseinheiten wohl dabei, der internen Auditabteilung Zugang zu Daten zu gewähren, die die Risikoüberwachung unterstützen könnten, so Vincent Huang, Director of Data Science and Automation.
Nachdem die Erlaubnis eingeholt worden war, schickte die Bank mehr als 38 automatische Feeds von den Kapitalmärkten und dem Commercial Banking an den Teil des Data Lake des Unternehmens, der nur dem internen Auditteam dient. Die Daten fließen kontinuierlich in den internen Auditbereich des Lake, sodass immer auf dem neuesten Stand überwacht wird.
Als nächstes folgte die Entwicklung des Dashboards, die sechs Monate dauerte. Interne Auditoren, Datenwissenschaftler/Dateningenieure, DevOps, UX/UI-Designer, Projektmanager und Qualitätssicherungsentwickler kombinierten statistische Analysen am Backend und Tableau-Visualisierungen am Frontend, um Live-Risikoinformationen hervorzuheben. Mit dem Zugang zu diesem Dashboard genießen die Abteilungsleiter bei RBC drei Vorteile:
Ein weiteres Beispiel für die Nutzung einer Vielzahl von Datenquellen zur Zeitersparnis durch Automatisierung kommt von der Standard Bank Group in Südafrika. In diesem Fall hat das interne Auditteam seine Plattform nach sich selbst benannt: Gina (interne Auditabteilung der Gruppe).
Neben einem vollständigen Überblick über die Kontrollumgebung der Organisation kann Gina zukünftige Risiken auf der Grundlage interner und externer Datenquellen vorhersagen.
Laut Hema Chetty, dem Chief Operating Officer der Innenrevision, führt Gina täglich automatisierte Tests für die Prozesse in den südafrikanischen Niederlassungen der Bank durch. Gina führt die Tests durch und nutzt die Ergebnisse, um Unstimmigkeiten zwischen erwarteten und tatsächlichen Risiken zu beseitigen und den Auditplan zügig anzupassen. Bevor Gina auf der Bildfläche erschien, setzte das Auditteam 18 Auditoren in 40 Filialen ein – ein Prozess, der etwa drei Monate dauerte.
Das Unternehmen schätzt auch, dass Gina einen besseren Einblick in die Kontrollumgebung bietet und die Zahl der Unterbrechungen durch manuelle Audits verringert.
Und das ist nur der Anfang für die automatisierte Versicherung. Wenn Organisationen DRG einführen, werden sie strategisch über die Automatisierung von Kontrollen nachdenken, um bessere Partnerschaften zu schmieden. Und diese verstärkte Zusammenarbeit wird zu einem besseren Risikomanagement führen.
Dieser Artikel erschien ursprünglich im Gartner Business Quarterly in Q3 2021. Laden Sie die vollständige Ausgabe hier herunter.
Empfehlenswerte Ressourcen für Gartner-Kunden:*
Dynamische Risiko-Governance ist das neue Risiko-Mandat für Führungskräfte
Dynamische Risiko-Governance beginnt mit gemeinsamen Daten
Ignition Guide zur Einführung von dynamischer Risiko-Governance
*Achtung: Einige Dokumente stehen möglicherweise nicht allen Gartner-Kunden zur Verfügung.