(Wir haben das Combined Assurance-Modell und dessen Hintergrund in unserem Whitepaper Was ist Combined Assurance? skizziert. Das Paper bietet einen Überblick über den geschäftlichen Nutzen von Combined Assurance und beschreibt, wie das Konzept das Risikomanagement unterstützt und wie es innerhalb des Modells der drei Verteidigungslinien funktioniert.)

Die Implementierung der Combined Assurance ist ein Projekt und wie bei jedem Projekt besteht die Möglichkeit, dass es ins Stocken gerät und scheitert, wodurch Sie sowohl Zeit als auch Geld verlieren. Daher müssen – so wie überall im Wirtschaftsleben – Chief Audit Executives beim Bewerten des Reifegrads des Risikomanagements ihrer Organisation einen risikobasierten Ansatz verfolgen.

5 Fragen zum Bestimmen Ihres Reifegrads

Der erste Schritt auf dem Weg zu einem Combined Assurance-Ansatz ist die Kenntnis Ihres derzeitigen Reifegrads. Somit können Sie den Bedarf an Combined Assurance feststellen und gliedern. Daraufhin können Sie die folgenden Schritte einleiten:

• Lösung konzipieren
• Lösung planen
• Lösung implementieren
• Und schließlich die Combined Assurance umsetzen.

In diesem Blog geht es speziell um die Analyse des Reifegrads Ihrer Organisation. Über die weiteren Schritte erfahren Sie mehr in unserem Whitepaper Implementierung der Combined Assurance.

Um den Reifegrad des Risikomanagements Ihrer Organisation zu bewerten, müssen Sie fünf Aspekte genau unter die Lupe nehmen.

1. Welche Risikokultur besteht in Ihrem Unternehmen?

Die Risikokultur einer Organisation bezieht sich nicht allein auf den Umgang mit Risiken, sondern auch auf die Einstellungen und Verhaltensweisen aller Beteiligten gegenüber Risiken. Die Risikokultur und die Risikobereitschaft prägen die Entscheidungsfindung im Unternehmen, und diese Kultur spiegelt sich auf jeder Ebene des Unternehmens wider.

Risikoaverse Unternehmen sind in der Regel nicht bereit, schnelle Entscheidungen ohne Daten und Fakten zu treffen. Auf der anderen Seite gehen risikotolerante Unternehmen größere Risiken ein, treffen rasche Entscheidungen und vollziehen plötzliche Richtungswechsel, häufig ohne eine Due-Diligence-Prüfung durchzuführen.

Die Risikokultur Ihres Unternehmens spielt eine Schlüsselrolle für den erfolgreichen Einsatz eines Combined Assurance-Programms – von der Unterstützung durch die Geschäftsleitung bis zur datengesteuerten Entscheidungsfindung.

2. Welches Risikobewusstsein haben Ihre Mitarbeiter?

Wenn Mitarbeiter nicht wissen, wie Risiken in Ihrem Unternehmen gesteuert werden können und sollten, und wenn sie dem keinen Vorrang einräumen, dann wird Ihr Implementierungsprogramm scheitern. Ganz gleich, ob ein Mitarbeiter auf einen Phishing-Link in einer E-Mail klickt, einen Drittanbieter nicht ordnungsgemäß überprüft oder Spitzenkräfte nicht anwerben Oder halten kann, Risiken befinden sich überall und auf allen Ebenen eines Unternehmens. Da die Absicherung sehr eng mit den einzelnen Risiken verbunden ist, kommt es auf kontinuierliche Kommunikation an, sodass den Mitarbeitern bewusst ist, dass die Risiken im gesamten Unternehmen angemessen gesteuert werden müssen.

3. Verfügen Sie über solide Risikomanagementprozesse?

Wir haben gerade festgestellt, dass Risiken und die Gewährleistung der Prüfungssicherheit eng miteinander verbunden sind. Es liegt also nahe, dass die Combined Assurance umso einfacher umzusetzen ist, je ausgereifter Ihre Risikomanagementprozesse sind. Ein ausgereiftes Risikomanagement bedeutet, dass Sie über definierte, dokumentierte, laufende und weiterentwickelte Prozesse verfügen. Wenn Sie zu den wenigen Glücklichen gehören, für die all das zutrifft, wird die Implementierung für Sie viel einfacher sein als für diejenigen, auf die das nicht zutrifft.

4. Verwenden Sie spezielle Terminologie für Risiken und Kontrollen?

Es geht nicht an, dass Mitarbeiter Bezeichnungen für Tools erfinden, sich auf unterschiedliche Weise auf Prozesse beziehen oder, was noch schlimmer ist, über komplett willkürliche KPIs berichten. Eine gemeinsame Risiko- und Compliance-Sprache ist unerlässlich. Um es mit den Worten von Sam C. J. Huibers in seinem Forschungsbericht über die Combined Assurance für die IIA Research Foundation auszudrücken, sollte das Ergebnis der Combined Assurance „eine Sprache, eine Stimme, eine Sichtweise“ auf die Risiken und Probleme im gesamten Unternehmen sein.

5. Haben Sie die richtige Risikomanagement-Software im Einsatz?

Ohne eine spezielle Technologie ist es extrem schwierig, ein nachhaltiges Risikomanagement mit soliden Prozessen, einer einheitlichen Taxonomie sowie integrierten Risiken und Kontrollen zu gewährleisten. Die Nachhaltigkeit der Combined Assurance hängt davon ab, wie Sie die Technologie in Ihrem Unternehmen einsetzen. (Die Implementierung wird einfacher, wenn Sie bereits über eine Plattform für Risikomanagement und Kontrollen mit Integrationsfunktionen verfügen.)

Einordnen des Reifegrads Ihres Risikomanagements

Obwohl Combined Assurance bereits vor über einem Jahrzehnt eingeführt wurde, wird das Konzept noch immer so behandelt, als sei es relativ neu. Es wird nur in begrenztem Maße angenommen und viele Unternehmen tun sich schwer damit, das Konzept zu implementieren. Aus diesem Grund müssen CAEs alle relevanten Faktoren prüfen, die für das erfolgreiche Implementieren eines Combined Assurance-Modells verantwortlich sind. Dies sind jedoch weit mehr, als wir in diesem Blogbeitrag behandeln können. Lesen Sie unser unten stehendes Whitepaper und erhalten Sie einen umfassenden Überblick darüber, wie sich die Bereitschaft Ihrer Organisation für ein Combined Assurance-Programm bewerten lässt und erfahren Sie darüber hinaus, wie Sie den Reifegrad des Risikomanagements Ihrer Organisation einordnen.