Von Dr. Philip Moulton | Strategischer Risikoberater | Chief Risk Officer

ERM und Unternehmensresilienz haben traditionell in parallelen – aber getrennten – Programmen funktioniert. Das eine verfolgt die strategische Risikobereitschaft und Unternehmensexpositionen. Das andere gewährleistet Kontinuität, wenn das Unerwartete eintritt.

Doch diese Trennung ist nicht mehr nur ineffizient. Sie könnte auch die Aufmerksamkeit von Aufsichtsgremien auf sich ziehen.

Die heutigen Regulierungsbehörden, Ratingagenturen und Vorstände erwarten mehr. Resilienz bedeutet nicht nur, sich von einer Krise zu erholen – es geht darum, während einer Krise weiterhin zu funktionieren. ERM und Resilienz müssen nahtlos zusammenarbeiten, um beide Programme zu optimieren.

Die neue Erwartung

Diese Best-Practice-Konvergenz wird schnell zur neuen Grunderwartung.

In den letzten 10 Jahren und in vielen Branchen – Finanzdienstleistungen, Gesundheitswesen, Versorgungsunternehmen, Telekommunikation und mehr – haben die Regulierungsbehörden die Messlatte höher gelegt.

  • Die SEC’s Cyber Disclosure Rule verpflichtet börsennotierte Unternehmen, wesentliche Cybervorfälle innerhalb von vier Tagen offenzulegen, zusammen mit jährlichen Aktualisierungen zur Governance-Aufsicht.
  • Die NAIC’s ORSA erwartet von Versicherern, dass sie die Kontinuitätsplanung in ihre Kapitalstrategien einbetten.
  • NERC CIP, EPA’s AWIA und CISA-Richtlinien fordern validierte Wiederherstellungsplanung für kritische Infrastruktursektoren.
  • In den Bereichen Gesundheitswesen und Pharmaindustrie verlangen CMS und FDA Notfallvorsorge, BIAs und Kontinuitätstests, die mit risikoorientierten Prioritäten übereinstimmen.

Die Botschaft derjenigen, die mit Aufsichtspflichten betraut sind, ist einheitlich: Die Identifizierung von Risiken und Risikominderung reichen nicht aus. Organisationen müssen nachweisen, dass sie bei Eintreten von Risikoereignissen mit hohen Auswirkungen weiterhin operationsfähig bleiben können.

Trotz dieser Erwartungen können ERM- und Resilienz-Teams möglicherweise getrennt bleiben, unterschiedliche Sprachen sprechen, unterschiedliche Daten verwenden und über verschiedene Kanäle und Teile der Organisation berichten.

Diese Teilung wird unweigerlich zu nicht aufeinander abgestimmten Zielen, doppelten Anstrengungen und einer fragmentierten Sicht auf Risiken und Wiederherstellung führen.

Im Gegensatz dazu gewinnen Organisationen einen strategischen Vorteil, wenn ERM- und Resilienz-Teams zusammenarbeiten. Vom ERM-Team entwickelte Risikobereitschafts-Erklärungen können in quantifizierbare Wiederherstellungsziele umgewandelt werden, die vom Resilienz-Team entwickelt werden. Übungen zur Geschäftskontinuität können gleichzeitig als Szenario-Stresstests dienen. Vorstände erhalten eine kohärente und detaillierte Darstellung sowohl der Expositionen gegenüber disruptiven Ereignissen als auch der operativen Fähigkeit, diese zu bewältigen. Und das Resilienz-Programm wird enger mit den strategischen und prioritären Zielen des Unternehmens verknüpft.

Tägliche Herausforderungen

Eine Herausforderung bei der Integration besteht darin, dass ERM- und Resilienz-Teams im Alltag unterschiedlich arbeiten. ERM ist szenariogesteuert, strategieorientiert und oft auf finanzielle, reputationsbezogene oder regulatorische Probleme und Herausforderungen ausgerichtet. Unternehmensresilienz ist prozedural, operativ und befasst sich damit, Menschen, Prozesse und Systeme unter Stress am Laufen zu halten. Das mag eine Vereinfachung sein, liegt aber nach meiner Erfahrung nicht weit von der Realität entfernt.

Der Übergang von parallelen Funktionen in verschiedenen Bahnen zu einem integrierten Risiko- und Resilienz-Programm erfordert keine vollständige Neugestaltung und Transformation. Es kann einfach mit einigen grundlegenden – aber wichtigen – Initiativen beginnen:

  1. Definieren Sie „Resilienz“ und „Kritikalität“ gemeinsam. Gemeinsame Definitionen sind grundlegend. ERM- und Resilienz-Teams sollten gemeinsam definieren, was „kritisch“ für Produkte, Dienstleistungen, Systeme und Lieferanten bedeutet – und sicherstellen, dass sowohl das Unternehmensrisikoregister als auch die BIAs die gleichen Annahmen widerspiegeln.
  2. Etablieren Sie eine gemeinsame Governance-Struktur. Ein gemeinsamer Lenkungsausschuss hält Risiko und Resilienz an der Unternehmensstrategie ausgerichtet und gewährleistet eine konsistente Kommunikation bis zur Führungsebene und zum Vorstand.
  3. Nutzen Sie ERM-Daten, um BR-Tests zu priorisieren. Verwenden Sie das unternehmensweite Risikoregister, um Szenarien für Resilienz-Tests zu priorisieren. Wenn beispielsweise ein bestimmter Lieferant oder eine bestimmte Einrichtung in der obersten Risikostufe des ERM erscheint, sollte dies Tabletop-Übungen und Wiederherstellungstests vorantreiben.
  4. Übersetzen Sie die Risikobereitschaft in Wiederherstellungsziele – ERM-Teams legen die Toleranzen fest. Resilienz-Teams setzen diese operativ um. Stimmen Sie die Wiederherstellungszeitzielen (RTOs) mit der festgelegten Risikobereitschaft ab, um die Strategie mit der operativen Umsetzung zu verbinden.
  5. Führen Sie gemeinsame Übungen durch. Gemeinsam geleitete Übungen und Nachbesprechungsberichte ermöglichen es sowohl ERM als auch Resilienz, Annahmen zu validieren, blinde Flecken aufzudecken und Ergebnisse gemeinsam an Führungskräfte und Vorstände zu kommunizieren.
  6. Synchronisieren Sie Metriken und Dashboards. Verknüpfen Sie Schlüsselrisikoindikatoren (KRIs) mit der operativen Wiederherstellungsleistung. Gemeinsame Dashboards in GRC-Plattformen können anzeigen, wann Schwellenwerte überschritten werden – und wie schnell die Organisation sich erholt.

Der Nutzen der Synchronisierung

Über die Synchronisierung von Governance und Prozessen hinaus wird bei der integrierten Berichterstattung der Nutzen für Entscheidungsträger greifbar und hochgradig sichtbar. Wenn Risiko- und Kontinuitätsergebnisse aufeinander abgestimmt sind:

  • Können Vorstände sehen, wie festgelegte Risikotoleranzen mit der tatsächlichen operativen Kapazität zusammenhängen. Sie können beispielsweise überprüfen, ob die genehmigten Risikotoleranzen für kritische Systeme mit den tatsächlichen RTOs übereinstimmen.
  • Gewinnen Aufsichtsbehörden Vertrauen in die unternehmensweite Governance und Vorbereitung. Beim Cyber-Risiko kann ERM beispielsweise eine strukturierte Bewertung über Auswirkungskategorien hinweg demonstrieren, während Resilienz zeigt, wie Reaktionspläne jede dieser Kategorien adressieren.
  • Sieht die Führung, wo Investitionen in Resilienz Werte schützen. Bei einem US-amerikanischen Lebensmittelunternehmen zeigte Ende 2021 ein gemeinsamer ERM/Business-Resilienz-Workshop zu geopolitischen Risiken auf, dass eine Schlüsselzutat aus der Ukraine bezogen wurde. Das Resilienz-Team initiierte optionale Lieferverträge mit kanadischen Anbietern. Als sich die Russland-Ukraine-Krise zuspitzte, wurden diese Verträge vor der Invasion finalisiert, wodurch die Kontinuität gesichert wurde, während Konkurrenten sich abmühten.

Das letzte Beispiel ist der überzeugendste Grund, warum wir integrieren müssen. Wenn eine Störung auftritt – oder kurz bevorsteht – kann die Organisation schnell handeln, weil Strategie, Funktionen und Operationen besser aufeinander abgestimmt sind.

Allzu oft wird Business Resilience als ein Dokument, ein Test oder ein Plan im Regal betrachtet. Es ist weit mehr als das. Echte Resilienz ist eine unternehmensweite Fähigkeit – eine, die kontinuierlich durch strategische Risikoerkenntnisse und operative Bereitschaft informiert wird.

Indem ERM und Resilienz zusammengebracht werden, bauen Organisationen nicht nur eine stärkere Verteidigung auf, sondern auch eine intelligentere, schnellere Reaktion. Proaktive Lösungen werden früher erkannt – bevor eine Störung auftritt. Und in einer Welt, in der Krisen nicht mehr selten sind, ist das nicht nur ein Wettbewerbsvorteil. Es ist Überleben.

Für einen tieferen Einblick in die Vereinigung von ERM und Resilienz nehmen Sie an unserem Webinar am 27. Mai teil, Taking a Cross-Functional Approach to ERM and Resilience, und informieren Sie sich über Riskonnect’s ERM und Business Continuity & Resilience Lösungen.