GRC meets ESG
Sustainability als Booster für das Risk Management
GRC-Verantwortliche sind derzeit europaweit unter Zugzwang: Neue Sustainability Reporting Standards erfordern auch Anpassungen bei der Identifikation, Bewertung, Steuerung und im Reporting von ESG-Risiken, insbesondere von Klimabezogenen Risiken. Es gilt, in einem unsicheren (regulatorischen) Umfeld rasch funktionierende Methoden zu implementieren und in das bestehende Enterprise Risk Management (ERM) zu integrieren. Diese notwendige Veränderung eröffnet GRC-Verantwortlichen – neben allen Herausforderungen – auch die Chance, Risikomanagement auf ein neues Level zu heben, indem sie ihr Instrumentarium modernisieren (beispielsweise durch Digitalisierung oder den Einsatz von AI) und ihre Rolle im Unternehmen neu definieren.
Wenig Dynamik im Risk Management?
In den vergangenen zwei Jahrzehnten hat ERM in vielen Unternehmen nur wenig Fortschritte gemacht. Heutige ERM- Systeme ähneln vielfach noch stark jenen von vor 20 Jahren, als die meisten großen Unternehmen – motiviert durch damals neue Governance- und Reportinganforderungen – erstmals ERM einführten. Der Fokus liegt nach wie vor auf Compliance und Reporting, die Systeme sind wenig (in Strategie und Controlling) integriert, die Bewertung der Risiken erfolgt auf Basis von Expertenschätzungen und Risk Maps stehen (trotz aller Kritik) im Zentrum des Risikoberichtswesens.
In einigen Unternehmen gab es natürlich auch Weiterentwicklungen, beispielsweise Risikosimulationen, Stresstests sowie, motiviert durch COSO ERM 2017, die Integration von ERM in Strategie und Performance-Management. Der Großteil der Unternehmen schien aber eher zurückhaltend zu sein bei der Anwendung neuer Methoden und Werkzeuge, einschließlich Technologie (Risk Management-Software) und Analytik.
Booster für Veränderungen!
In den letzten Jahren gab es einige Impulse für die Weiterentwicklung des ERM:
- Zunehmende Volatilität im Unternehmensumfeld, auch hervorgerufen durch externe Schocks bzw. Ereignisse wie beispielsweise die Pandemie oder der Ukrainekrieg, erfordert rasches Erkennen und dynamisches Management von Risikofaktoren.
- Risikomanager müssen (wie alle Finanzfunktionen) überlegen, wie Digitalisierung und KI sie effektiver und effizienter machen können.
- Neue Reporting-Anforderungen, insbesondere in Bezug auf ESG und Klimaberichterstattung, erfordern eine Anpassung der ERM-Systeme und systematische Integration der ESG-Risiken.
Agenda für die Weiterentwicklung des ERM
Selbst wenn Unternehmen bisher zwei große Treiber – zunehmende Volatilität des Unternehmensumfelds und Digitalisierung – nicht optimal genutzt haben, kann die ESG-Regulierung den Anstoß geben, um das Risikomanagement auf die nächste Stufe zu heben. GRC-Verantwortliche sollten dies als Chance sehen, die ERM-Weiterentwicklung nicht auf die Pflichtübung (ESG-/Klimarisiken integrieren) zu beschränken, sondern auch weitere Entwicklungspotenziale zu nutzen.
Auf der GRC-Agenda stehen daher im Jahr 2024 folgende Themen:
- Integration von ESG und GRC:
Die Corporate Sustainability Reporting Directive (CSRD) setzt neue Maßstäbe für Transparenz und Offenlegung von nichtfinanziellen Informationen von Unternehmen. Die Anforderungen, die sich aus diesen neuen Vorschriften ergeben, wirken sich auch auf das Risikomanagement aus. Unternehmen müssen ihre Risikomanagement-Frameworks erweitern, um Umwelt-, Sozial- und Governance (ESG) Risiken stärker zu berücksichtigen. Dies erfordert die Entwicklung und Implementierung von Methoden zur Identifikation, Bewertung und Steuerung dieser Risiken, sowie verbesserte Transparenz und Offenlegung der ESG-Risiken. Besonders herausfordernd im Zusammenhang mit der Integration ist die Double Materiality / Doppelte Wesentlichkeit, die zusätzlich zur im ERM angewandten outside-in Betrachtung der Risiken auch eine inside-out Betrachtung erfordert. Ein weiterer wesentlicher Aspekt der Integration ist der – im Vergleich zum „traditionellen“ ERM – deutlich längere Betrachtungszeitraum der ESG-Risiken. Die Risikoanalyse verändert somit ihren Betrachtungshorizont und erfordert auch eine stärkere Integration mit der Strategieentwicklung.
- Digitalisierung und Effizienzsteigerung durch KI
Digitalisierung kann das Risikomanagement in Unternehmen einfacher, effizienter, schneller, sichtbarer und benutzerfreundlicher gestalten. Einige Unternehmen nutzen bereits Risikomanagement-Software und -Plattformen, um ihren Risikomanagementprozess zu unterstützen oder zu automatisieren. Dies ermöglicht kollaborative Ansätze, verbessert die Risikoberichterstattung und kann einen integrierteren Ansatz zum Risikomanagement ermöglichen. Durch den Einsatz von KI im Rahmen der Risikoidentifikation können große Datenmengen (einschließlich Text) analysiert, Einblicke in neue Risiken gewonnen, Muster und Anomalien erkannt und „emerging risks“ frühzeitig beobachtet werden. Bei der Risikobewertung können Analysetools und -techniken ein tieferes Verständnis von Risiken und potenziellen Auswirkungen liefern. Die Digitalisierung der Risikoberichterstattung kann die Sichtbarkeit der GRC-Funktion erhöhen und es Unternehmen ermöglichen, Risikoinformationen schneller und effizienter im Unternehmen zu teilen. In naher Zukunft wird voraussichtlich auch KI die Berichterstattung effizienter machen und den Risikomanagern mehr Zeit für hochrangigere Aufgaben wie Analyse und Interaktion mit Risk-Ownern und Top-Management lassen.
- Von der Compliance-Übung zur Risikosteuerung: Optimierung der Risiko-Governance
In einem zunehmend volatilen, durch Krisen geprägten Umfeld, muss Risikomanagement den Fokus von Reporting- und Compliance hin zur Risikosteuerung richten. In diesem Kontext spielt die Optimierung der Risiko-Governance eine wesentliche Rolle. Eine effektive Risiko-Governance sorgt für klare Verantwortlichkeiten, angemessene Ressourcen, effiziente Prozesse und stärkt die Risikokultur im gesamten Unternehmen. Risikomanagement bleibt nicht mehr nur auf einzelne Abteilungen begrenzt, sondern wird zu einem integralen Teil aller Geschäftsaktivitäten und Entscheidungsprozesse.
Um die Risiko-Governance zu optimieren, müssen Unternehmen sicherstellen, dass Risikomanagement auf allen Ebenen der Organisation verstanden und umgesetzt wird. Hierbei spielen die Führungsriege und das Top-Management eine zentrale Rolle, indem sie eine risikobewusste Kultur fördern und vorleben, sowie Risikoinformationen bei unternehmerischen Entscheidungen systematisch einfordern und berücksichtigen.
Neue Kompetenzen und mehr Innovationsfreude
Die beschriebenen Veränderungen wirken sich auch auf die Rolle und Kompetenzen der Risikomanager aus. Die künstliche Intelligenz (KI) ist dabei ein maßgeblicher Einflussfaktor. Sie treibt die Transformation vieler Job-Profile voran und prägt auch die Zukunft des Risikomanagements. Sie wird den Risikomanager nicht ersetzen, aber seine Arbeit erweitern und unterstützen. Dies ist auch notwendig, da ein Kapazitätsaufbau im Risk Management in den meisten Unternehmen in der aktuellen wirtschaftlichen und Arbeitsmarktsituation schwierig sein dürfte.
Risikomanager können ihre Produktivität steigern, indem sie KI in ihre Arbeitsabläufe integrieren. Wie man an der langsamen Entwicklung der Risk Management Systeme in der Vergangenheit sieht, sind Risikomanager von Natur aus eher konservativ und nicht besonders innovativ. In der Zukunft müssen sie sich anpassen und neue Technologien schneller als in der Vergangenheit annehmen und ihr Kompetenzspektrum erweitern, um sowohl bestehende Aufgaben als auch neue Aufgaben bewältigen zu können.
Fazit
Der aktuelle Druck, ERM anzupassen, ist gleichzeitig eine Chance, lange aufgeschobene Weiterentwicklungen voranzutreiben. GRC-Verantwortliche sind gefordert, Potenziale für Verbesserungen in ihren ERM-Systemen zu erkennen und diese effektiver und effizienter zu gestalten.
Bleiben Sie mit uns in Kontakt und nutzen Sie die Möglichkeit, von anderen zu lernen, sich zu vernetzen und auszutauschen. Besuchen Sie uns am Austrian GRC Day 2024 und lernen Sie Best Practices u.a. aus folgenden Unternehmen kennen: AGRANA | Greiner | Bitpanda | Dishtracker | Palfinger | Wiener Wohnen.
Weiterbildungstipps:
Certified Sustainability Reporting Specialist | CSRD und EU-Taxonomie in der Praxis umsetzen: Informationen und Anmeldung
Certified Corporate Risk Manager | Identifikation, Bewertung und Steuerung von Risiken: Informationen und Anmeldung
Dein Kommentar
An Diskussion beteiligen?Hinterlassen Sie uns Ihren Kommentar!