5 GRC-Trends: Wie werden sich Governance, Risiko und Compliance entwickeln?

Die Geschwindigkeit des Wandels in der Geschäftswelt ist verblüffend.

Geschäftsrisiken entwickeln sich täglich weiter, von Drittanbietern bis hin zu Lieferketten, regulatorischen Fragen, Datenschutzbedenken, betrieblichen Herausforderungen, Cyberangriffen, finanziellen Sorgen, Einhaltung der Umweltvorschriften und mehr.

Diese Probleme sind keine isolierten Probleme – sie sind miteinander verbundene Risiken, die umfassende Lösungen erfordern. Die Notwendigkeit eines bewussten, ganzheitlichen Ansatzes für Governance, Risiko und Compliance (GRC) war noch nie so wichtig für Unternehmen.

Da sich das Geschäftsumfeld ändert, müssen Unternehmen ihre GRC-Strategien weiterentwickeln, um einen umfassenden Überblick über miteinander verbundene Risiken zu behalten, die finanziellen Auswirkungen dieser Risiken zu verstehen und fundiertere Entscheidungen auf allen Ebenen zu treffen.

Hier sind einige GRC-Trends, die Ihrem Unternehmen helfen sollen, einen proaktiven Ansatz zu verfolgen, um Risiken in einen strategischen Vorteil umzuwandeln.

1. Eine Kultur der Resilienz und Agilität, um GRC-Herausforderungen zu begegnen

So sehr Sie es auch versuchen, Sie können nicht alle Risiken vermeiden. Unternehmen müssen eine Kultur der Resilienz entwickeln, wenn sie die dringendsten Bedrohungen berücksichtigen und sich darauf vorbereiten.

Agilität im Risikomanagement bezieht sich auf die Fähigkeit einer Organisation, einen Absturz zu vermeiden. Auf der anderen Seite ist Resilienz, wie sich eine Organisation davon erholt.

Während sich Ihr Unternehmen auf Inflation, wirtschaftliche Unsicherheit und das globale Risiko einer Stagflation – einer starken Wachstumsverlangsamung – vorbereitet, müssen Sie Widerstandsfähigkeit aufbauen, um sich von Hindernissen mit minimalen geschäftlichen Auswirkungen zu erholen.

Resilienz hat in den letzten Jahren an Bedeutung gewonnen. Es lässt sich in das unternehmensweite Risikomanagement integrieren und arbeitet unternehmensweit und bietet einen umfassenden Überblick darüber, was auf dem Spiel steht. Agilität und Resilienz ergänzen sich.

Agilität bietet eine strategische Sicht auf Unsicherheit, während Resilienz taktische Maßnahmen bietet, um sich abteilungsübergreifend zu engagieren. Resilienz ist auch eine Kultur, da sie Maßnahmen aller organisatorischen Interessengruppen erfordert.

GRC-Experte Michael Rasmussen vergleicht diese Kultur mit dem menschlichen Körper:

Während 75 % der Unternehmen anerkennen, dass isolierte Technologiesysteme eine Herausforderung für das Risikomanagement darstellen, ergreifen nur 35 % Maßnahmen auf Unternehmensebene, um das Problem anzugehen.

Als Unternehmen intelligente Technologie und eine „Pan-and-Glass“-Ansicht des Risikos nutzten, stellte PwC fest, dass ihre Vorstände und Führungskräfte mit fünfmal höherer Wahrscheinlichkeit ein hohes Vertrauen in die Fähigkeit des Unternehmens hatten, das Vertrauen der Stakeholder, größere Widerstandsfähigkeit und bessere Geschäftsergebnisse zu schaffen .

2. Die Rolle des CIO entwickelt sich weiter

Technologieführer, wie CIOs, sind aus ihren „sekundären“ oder „Back-End“-Rollen der Softwareimplementierung und des Projektmanagements herausgewachsen. Sie stehen jetzt im Mittelpunkt von Unternehmensentscheidungen und werden zu wichtigen Entscheidungsträgern in Kerngeschäftsfunktionen wie Marketing, Vertrieb, Produktentwicklung und Finanzen.

Der State of the CIO-Bericht 2022 stellt fest, dass CIOs ihre Rolle darin sehen, geschäftliche Innovation mit operativer Exzellenz in Einklang zu bringen. Drei Viertel der IT-Führungskräfte erwarten, dass ihre Rolle ihre neu entdeckte Bedeutung beibehalten wird, angetrieben durch beschleunigte Bemühungen um die digitale Transformation, unabhängig vom zyklischen Fokus der Unternehmen auf IT-Themen.

Und mehr als 80 % der CIOs gaben an, dass sie als Veränderer angesehen werden, die sich auf Innovation konzentrieren.

Diese dramatische Verlagerung von der traditionellen Bereitstellung von IT-Services hin zu einer strategischeren Rolle gibt CIOs die Möglichkeit, sich auf die Geschäftsziele zu konzentrieren. Da Ihre Technologieführer den Führungskräften zunehmend Business Cases präsentieren, profitieren sie von einem Risikoquantifizierungsansatz, um strategische Ziele zu erreichen und dem Rest der C-Suite wertvolle Einblicke zu geben.

Ältere Risikomessskalen wie niedrig, mittel, hoch, rot, gelb und grün waren viel zu subjektiv und ließen die Beteiligten unsicher, wie Risikoentscheidungen mit den Geschäftsanforderungen in Einklang gebracht werden konnten. Durch die monetäre Quantifizierung von Risiken kann Ihre Organisation eine gemeinsame Risikosprache haben, die ihre Auswirkungen auf die Umsatzgenerierung zeigt.

Diese gemeinsame Sprache führt zu einer gemeinsamen Risikosicht – entscheidend für die Entscheidungsfindung im Unternehmen – und stärkt die Rolle des CIO weiter.

Die gemeinsame Sprache der Risikoquantifizierung erleichtert auch die Planung und Analyse von Szenarien, da die wirtschaftlichen Bedingungen Unternehmen dazu zwingen, ihre Budgets zu überprüfen. Risikominderungsstrategien unterscheiden sich erheblich in den Kosten und reduzieren das Risiko um unterschiedliche Beträge. Die Risikoquantifizierung ermöglicht es CIOs, Kontrollimplementierungen zu vergleichen, geeignete Gegenmaßnahmen abzuwägen und dem Vorstand Feedback zu geben.

3. Drittrisiken werden kritischer und müssen genauer untersucht werden

Organisationen verlassen sich zunehmend auf Dritte, von Facility Management und physischer Sicherheit bis hin zu Rechtsdiensten und technischem Support.

Die Einbindung von Drittanbieterdiensten kann Ihr Unternehmen wettbewerbsfähiger machen, indem es Ihnen ermöglicht, spezialisierte Fähigkeiten und Expertenwissen zu nutzen, ohne sich mit der Entwicklung interner Programme zu belasten. Aber mit der Ausweitung der Beziehungen zu Drittanbietern und Anbietern, die jeden Aspekt eines Unternehmens berühren, wächst das Potenzial Ihres Unternehmens für Schwachstellen.

Wenn Sie mit Anbietern zusammenarbeiten, werden deren Risiken zu Ihren Risiken. Was ist mehr? Dritte arbeiten zunehmend selbst mit Dritten zusammen. Jeder Verstoß oder Ausfall, den Ihre Dritten (und deren Dritte) erfahren, gefährdet Ihr Unternehmen. Zusätzlich zu den finanziellen Verlusten, denen Sie aufgrund von Schwachstellen Dritter ausgesetzt sind, riskiert Ihr Unternehmen die betriebliche Ausfallsicherheit und einen Reputationsschaden.

73 Prozent der Unternehmen äußerten Bedenken, dass Dritte mit unnötig weitreichenden Privilegien und Berechtigungen zu viel Kontrolle über Kundendaten ausüben. Und fast die Hälfte der Unternehmen hat innerhalb des letzten Jahres eine Datenschutzverletzung gemeldet, wobei drei Viertel die Verletzung einem Dritten mit zu vielen privilegierten Zugriffsrechten zuschreiben.

Zusätzlich zu den unmittelbaren geschäftlichen Bedrohungen, die sich aus einem Verstoß ergeben, kann der potenzielle Verlust des Kundenvertrauens unmittelbarere, quantitative Auswirkungen auf das Geschäft haben als behördliche Bußgelder oder Reputationsrisiken. Laut IBM stammen 38 % der Kosten einer Datenschutzverletzung aus entgangenen Geschäften. Das summiert sich auf durchschnittlich 1,52 Millionen Dollar.

Um das Vertrauen der Kunden in Drittanbieter aufzubauen und aufrechtzuerhalten, benötigen Sie einen proaktiven Ansatz für das Risikomanagement von Drittanbietern. Inmitten der eskalierenden wirtschaftlichen Unsicherheit müssen Sie Drittunternehmen als Unternehmen genau betrachten – welche Anbieter sind geschäftskritisch und welche können Sie mit minimalen negativen Auswirkungen eliminieren.

Da Unternehmen die Schrauben bei der Bewertung aktueller Anbieter und der Genehmigung neuer Beziehungen anziehen, spielt das Risikomanagement von Drittanbietern eine Schlüsselrolle. Als Teil einer ganzheitlichen GRC-Software zentralisieren Drittanbieter-Risikoprogramme alle wesentlichen Informationen über die Lieferanten Ihres Unternehmens und erleichtern so die Verwaltung von Leistung, Kosten und Risiken.

Effektives Drittanbieter-Risikomanagement besteht aus drei Komponenten: einem konsistenten Anbieter-Screening-Prozess, sinnvoller Anbieter-Priorisierung und laufender Überwachung.

Überprüfungsprozesse

Da Dritte jeden Winkel Ihres Unternehmens erreichen, muss jeder eine Rolle beim Risikomanagement spielen, um sicherzustellen, dass nichts übersehen wird. Als Unternehmen müssen Sie sich auf die Bewertungskriterien und den Rahmen zur Bewertung Dritter einigen. Sie müssen sich auch für wichtige Leistungsmetriken entscheiden.

Sie können Verträge überprüfen, um Anbieter zu identifizieren, die ihre Verpflichtungen nicht einhalten, und Service Level Agreements (SLAs) strenger durchsetzen und verwalten. Mit der richtigen ganzheitlichen GRC-Software kann jedes Teammitglied auf die notwendigen Daten, Tools und die gemeinsame Sprache zugreifen, um diese Auswertungen durchzuführen.

Priorisierung

Die meisten Unternehmen arbeiten mit Dutzenden von Anbietern zusammen. Der beste Weg, um den Erfolg des Risikomanagements von Drittanbietern sicherzustellen, besteht darin, Ihre kritischen Anbieter zu priorisieren. Mithilfe dieser Rankings können Sie einen Bewertungsprozess und eine Kadenz entwickeln, die die Bedeutung des Anbieters widerspiegeln.

Befolgen Sie diese Schritte, um loszulegen:

• Ordnen Sie jede Beziehung zu Drittanbietern danach, wie wichtig sie für Ihren Betrieb ist.
• Listen Sie die Daten oder den Netzwerkzugriff jedes Anbieters auf: die Systeme und Autorisierungsebenen.
• Geben Sie für jeden Anbieter die Vorgänge und Funktionen an, die möglicherweise von einem Vorfall betroffen sind.
• Verwenden Sie diese Informationen, um zu entscheiden, welche Details Sie benötigen, um die Schwachstellen der einzelnen Anbieter zu bewerten.

Kontinuierliche Überwachung

Die meisten Unternehmen führen eine Due-Diligence-Prüfung durch, aber viele überwachen die Risiken Dritter nicht über eine jährliche Checkliste hinaus. Bis dahin könnten Informationen veraltet, Anbieter nicht konform und Ihr Unternehmen gefährdet sein.

Durch die kontinuierliche Überwachung Ihres Drittanbieterrisikos bleiben Sie über sich entwickelnde Risikooberflächen auf dem Laufenden, um Schwachstellen zu mindern und Notfallpläne nach Bedarf zu erstellen, basierend auf Echtzeitdaten und nicht auf Informationen, die zu Beginn der Beziehung gesammelt wurden.

TPRM ist ein Mannschaftssport

Das Management von Drittrisiken betrifft alle, von Unternehmensleitern und internen Revisionsteams bis hin zu Rechts-, Compliance- und IT-Abteilungen. Mit den richtigen Tools und einer klaren Kommunikation kann Ihr Unternehmen Lieferantenrisiken managen, um sich und Ihre Kunden zu schützen.

4. Hochlauf der ESG-Vorschriften

Das Gespräch über Umwelt, Soziales und Governance (ESG) als Teil eines ganzheitlichen GRC hat in letzter Zeit zugenommen, wobei ESG-Bemühungen Beschäftigungsentscheidungen, Verbraucherverhalten, Vorstandsüberlegungen und Anlagestrategien vorantreiben.

Während sich Anfang 2022 Unternehmen wie BlackRock lautstark dafür ausgesprochen haben, nachhaltiges Investieren zu einer Priorität zu machen, haben Widersprüche zwischen Behauptungen über ESG-Fonds und ihrer tatsächlichen Berichterstattung das Interesse der Aufsichtsbehörden geweckt.

Die Securities and Exchange Commission hat zwei Regelentwürfe vorgelegt, um Leitlinien für ESG-Fonds bereitzustellen. Diese Richtlinien würden von Wertpapierfirmen und den in ihren Fonds enthaltenen Unternehmen verlangen, dass sie ihre Nachhaltigkeitsansprüche nachweisen, bevor sie nachhaltigkeitsbezogene Namen verwenden.

Mehr als 80 % der Verbraucher glauben, dass Unternehmen ESG-Richtlinien aktiv gestalten sollten, und fast alle (91 %) Führungskräfte glauben, dass ihre Organisation dafür verantwortlich ist, auf ESG-Themen zu reagieren. Darüber hinaus möchten 86 % der Mitarbeiter für Unternehmen arbeiten, die ihre Werte teilen.

Von der Bekämpfung von Korruption über die Aufrechterhaltung der Rechenschaftspflicht für Diversity, Equity, Inclusion (DEI)-Ziele bis hin zur Reduzierung von Emissionen müssen Unternehmen die ESG-Überwachung und -Berichterstattung ernst nehmen, sonst laufen sie Gefahr, ins Hintertreffen zu geraten.

Verschiedene Rahmenbedingungen weisen darauf hin, welche ESG-Faktoren für bestimmte Branchen am wichtigsten sind, aber die USA haben keinen etablierten Standard für ESG. Während die Frameworks allgemeine Berichtsziele vorgeben, bieten sie keinen Einblick in laufende ESG-Managementpraktiken.

Um die Überwachung und Berichterstattung zu erleichtern, sollte Ihr Unternehmen ESG als Teil Ihres ganzheitlichen GRC-Programms behandeln. Durch die Integration Ihrer bestehenden Initiativen, Daten und Ziele in eine robuste GRC-Software erhalten Sie einen besseren Einblick in Ihre ESG-Fortschritte und -Risiken.

Diese Bemühungen werden sich auszahlen, da Unternehmen zunehmend Berichte vorlegen, die belegen, dass ihre ESG-Versprechen mit ihren Handlungen übereinstimmen.

5. Hybride Arbeit bringt Personenrisiken und Cyberrisiken mit sich

Eine resiliente Organisation erfordert flexible und anpassungsfähige Strukturen in allen operativen Bereichen. Während hybride Arbeit den Mitarbeitern Flexibilität bietet, erhöht sie auch das Betriebsrisiko.

Organisationen, die daran arbeiten, ihre „neue Normalität“ in Hybridmodellen zu etablieren, müssen Veränderungen und Agilität annehmen, um Daten zu schützen, Mitarbeiter fair zu verwalten und DEI-Ziele zu erreichen.

Herausforderungen im Talentmanagement

Hybride Arbeitsmodelle bringen ein neues Personalrisiko mit sich, wenn Manager die Herausforderungen einer dualen Belegschaft meistern: Aufbau und Aufrechterhaltung gleichberechtigter Beziehungen zu Mitarbeitern vor Ort und an entfernten Standorten. Eine Gefahr bei hybriden Arbeitsmodellen besteht darin, dass sie auf einen „Management by Walking Around“-Stil setzen, was für Telearbeiter nachteilig sein könnte.

Um eine solche Diskrepanz zu vermeiden, sollte Ihr Unternehmen in Führungskräfte investieren. Bieten Sie ihnen Training und Entwicklung, um virtuelle Führungsqualitäten zu fördern und ihnen zu helfen, bessere Verbindungen und Beziehungen zu Remote-Mitarbeitern aufzubauen.

Auch Ihr Ansatz zur Leistungsbewertung muss sich ändern. Konzentrieren Sie sich nicht auf die Zeit eines Mitarbeiters „im Büro“. Basieren Sie Auswertungen darauf, ob Mitarbeiter ihren Arbeitsverpflichtungen nachkommen, unabhängig davon, wo sie arbeiten.

Hindernisse für DEI-Initiativen

Manager, die in hybriden Arbeitsumgebungen navigieren, können unbeabsichtigt zwei „Klassen“ von Mitarbeitern schaffen: Mitarbeiter im Büro mit einer soliden Verbindung zur Unternehmenskultur und Remote-Mitarbeiter mit geringerer Bindung an das Unternehmen.

Frauen und Farbige finden mehr Erfüllung in der Arbeit von zu Hause aus und arbeiten eher aus der Ferne als ihre weißen männlichen Kollegen. Diese Präferenz kann die interne Mobilität für einige unterrepräsentierte Mitarbeiter behindern und den Fortschritt der unternehmensweiten DEI-Ziele gefährden.

Um diesem Risiko entgegenzuwirken, verwenden Sie Daten, um festzustellen, ob interne Mobilität, Leistungsbewertung und Sozialleistungen gerecht sind.

Identifizieren Sie nach der Analyse der Daten Probleme und passen Sie Arbeitsplatzstrategien an gerechtere Ansätze an. Überprüfen Sie diese Fragen regelmäßig, um zu sehen, ob Ihre Teams auf Kurs bleiben oder ob neue Bedenken auftreten.

Cybersicherheit und Compliance-Bedrohungen

Datenschutzverletzungen, größere IT-Ausfälle und Ransomware-Angriffe wurden als die größten Risikoprobleme für Unternehmen weltweit im Jahr 2022 eingestuft. Remote-Arbeit, die zu wachsenden Cybersicherheitsrisiken beiträgt, geht nirgendwo hin. Über drei Viertel der remotefähigen Mitarbeiter sagten Gallup, dass sie planen, mindestens bis 2022 remote oder in einer hybriden Kapazität zu arbeiten.

Der Security Behaviors Report von Tessian ergab, dass mehr als die Hälfte der IT-Führungskräfte glauben, dass ihre Mitarbeiter riskante Cybersicherheitsgewohnheiten angenommen haben, seit sie remote arbeiten – und mehr als ein Drittel der Mitarbeiter stimmen zu. Wenn Ihre Mitarbeiter von zu Hause aus arbeiten, verlassen sie die relative Sicherheit der sicheren Verbindungen des Büros.

Remote-Mitarbeiter sind eher versucht, auf Arbeitsmaterialien auf persönlichen Geräten zuzugreifen. Fügen Sie Mitarbeiter hinzu, die in Cafés und anderen öffentlichen Orten arbeiten, und Sie haben ein Rezept für eine Cyberkatastrophe.

Eine Sicherheitsstudie von HP Wolf ergab, dass etwa ein Drittel der Mitarbeiter Sicherheitsrichtlinien als Hindernis empfinden und viele sogar daran arbeiten, Sicherheitsmaßnahmen zu umgehen. Nach Angaben des Sicherheitsunternehmens standen fast alle IT-Teams (91 %) unter dem Druck, die Sicherheit zu kompromittieren, um die Geschäftskontinuität aufrechtzuerhalten, und 8 von 10 Teams identifizierten Remote-Arbeit als „tickende Zeitbombe“ einer potenziellen Sicherheitsverletzung.

Der Schutz vor Datenschutzverletzungen und Ransomware-Angriffen beginnt mit der Aktualisierung der Cybersicherheitspraktiken und -richtlinien Ihres Unternehmens.

• Nehmen Sie die Multi-Faktor-Authentifizierung an.
• Stellen Sie sicher, dass die Mitarbeiterschulungen die neuesten Fortschritte im Bereich Cybersicherheit widerspiegeln.
• Schließlich sollten Sie die IT-Mitarbeiter so ausstatten, dass sie die Mitarbeiter dabei unterstützen können, sowohl verdächtige Kommunikation als auch ihre eigenen Fehler ohne Angst vor Repressalien zu melden.

Priorisieren Sie das Risikomanagement

Risikomanagement liegt in der Verantwortung aller. Die Kultivierung einer Kultur der Resilienz und die Übernahme der Kontrolle über Beziehungen zu Dritten wird Ihre Risikoeinstellung verbessern. Risiken werden zu einem strategischen Vorteil, wenn Sie Ihren CIO als Changemaker stärken und sich zu robusten ESG-Überwachungs- und Berichtspraktiken verpflichten.

Indem Sie Ihren Mitarbeitern – dem größten Kapital und Risiko eines jeden Unternehmens – die gebührende Aufmerksamkeit schenken, schützen Sie den DEI-Fortschritt, bekämpfen sich ständig weiterentwickelnde Cyber-Bedrohungen und stellen sicher, dass Ihre Teams in komplizierten hybriden Umgebungen effizient bleiben.

Die Verbesserung der Cybersicherheitspraktiken Ihres Unternehmens sollte Ihre Priorität sein. Wählen Sie Single Sign-On, um die Authentifizierung für Ihr Unternehmen sicherer und einfacher zu machen.