Vor einigen Jahren machte sich BT daran, sein System für das Management von Risiken und Kontrollen mit einem kohärenten Ansatz zu verbessern, der die Transparenz im gesamten Unternehmen erhöhen und dem Führungsteam und dem Vorstand glaubwürdige, zeitnahe Daten liefern sollte.
CHALLENGE
Die BT Group ist der führende britische Anbieter von Festnetz- und Mobilkommunikation, einschließlich Breitband-, Mobilfunk-, Sicherheits-, TV-, Netzwerk- und IT-Diensten. Mit Niederlassungen in 180 Ländern und mehr als 100.000 Mitarbeitern verfügt das Unternehmen über eine komplexe Struktur, die es schwierig machte, das wahre Bild seiner Risikoexposition zu ermitteln.
Gleichzeitig wird der überarbeitete britische Corporate Governance Code von den Vorständen verlangen, dass sie festlegen, was sie als wesentliche Risiken und Kontrollen betrachten, und entscheiden, welches Maß an Aufsicht und Sicherheit sie benötigen, um die Wirksamkeit der wesentlichen Kontrollen im Jahresbericht und Jahresabschluss bis 2026 zu erklären.
„Es war klar, dass der Ansatz für das Risikomanagement verbessert werden musste. Wir brauchten ein Rahmenwerk, das den Verantwortlichen für die Verwaltung und Überwachung von Risiken die entsprechenden Prozesse und Strukturen an die Hand gibt. Es war von entscheidender Bedeutung, dass das Rahmenwerk diese Aufgabe konsequent und effektiv erfüllte und dazu beitrug, qualitativ hochwertige Entscheidungen zu unterstützen und wichtige Frühwarnsignale zu geben, wenn etwas schief zu gehen drohte“, erinnert sich Dan Maclennan, Group Risk Director bei BT. „Wir haben uns daran gemacht, den Prozess von Grund auf neu zu gestalten.
Es gab jedoch einen potenziellen Knackpunkt: Das neue Rahmenwerk wurde für BT maßgeschneidert und hatte einen sehr individuellen Prozess für die Risikoberichterstattung sowie eigene Namenskonventionen, die unbedingt eingehalten werden mussten. Viele waren skeptisch, dass ein neues System das Rahmenwerk nachbilden und die vom Vorstand geforderten Berichte erstellen könnte.
LÖSUNG
BT wandte sich an Riskonnect, um eine Plattform zu schaffen, die dieses Rahmenwerk zum Leben erweckt und alle Risiko-, Kontroll- und Sicherungsaktivitäten integriert. Das Projekt begann mit der Implementierung der Enterprise Risk Management-Lösung von Riskonnect, gefolgt von den Lösungen für interne Kontrollen und Audit.
„Wir haben uns für Riskonnect entschieden, weil es so konfigurierbar ist“, erklärt Maclennan. „Die Philosophie hinter unserem Ansatz war es, eine risikofokussierte Gemeinschaft zu schaffen, die Fachleute aus den Bereichen Risikomanagement, Kontrolle und Sicherheit umfasst. Mit Riskonnect waren wir in der Lage, alles in einem Rahmen zu vereinen.“
Wichtig ist, dass BT seine bewährte Methodik für Risiko, Kontrolle und Sicherheit beibehalten konnte. Die Unterscheidung zwischen „dauerhaften Risiken“ und „dynamischen Risiken“ ist zum Beispiel der Eckpfeiler des Risikoprogramms. Dauerhafte Risiken sind solche, die über einen längeren Zeitraum bestehen und es wert sind, in die Struktur von Kontrollen und Prozessen zur langfristigen Abschwächung zu investieren. Dynamische Risiken sind signifikante Risiken und Unwägbarkeiten, die im Moment auftreten und die nicht durch den bestehenden Kontrollrahmen gemildert werden können und eine spezifische Reaktion erfordern.
Ein wichtiger Schritt war der Aufbau des Datenmodells, das die Berichte speist. Das Team verbrachte mehr als ein Jahr damit, die dauerhaften Risiken – Gesundheit und Sicherheit, Cyberrisiken, Datenschutz usw. – zu definieren, Kontrollen festzulegen und Verantwortlichkeiten zuzuweisen. „Es hat so lange gedauert, bis wir aussagekräftige Ergebnisse hatten“, sagt Maclennan.
Die Daten aller dauerhaften Risiken und der entsprechenden Kontrollen sind jetzt in Riskonnect enthalten, um zu zeigen, wie sich diese Risiken im gesamten Unternehmen auswirken. Die Verantwortlichen für die Kontrollen und die Anbieter von Sicherheiten haben vollen Zugriff auf das System, um ihre Aufgaben zu erfüllen. Andere können über ein Portal Aktualisierungen bereitstellen, was es einfach macht, mehr Personen in den Prozess einzubeziehen.
ERGEBNISSE
Mit Riskonnect hat BT geschafft, was manche für eine unendliche Reise hielten: Alle Risiko-, Kontroll- und Assurance-Daten befinden sich jetzt in einem einzigen System, das für mehr Transparenz sorgt – und die einzigartige Risikostruktur des Unternehmens wurde beibehalten.
„Das Rahmenwerk prägt die Art und Weise, wie jeder spezialisierte Risikobereich geführt wird“, sagt Maclennan. „Viele Bereiche des Unternehmens leisteten bereits gute Arbeit, aber nicht auf eine einheitliche Art und Weise, die es einfach machte, die gesamte Landschaft zu überwachen und die Anstrengungen zu priorisieren, wo es nötig war. Jeder Bereich hat jetzt eine klare Verantwortlichkeit und Struktur, was jedem hilft, seine Arbeit effektiver zu erledigen.“
Der Verwaltungsaufwand wurde beseitigt, und die Berichterstattung wurde gestrafft und verbessert, um einen ganzheitlichen Überblick zu erhalten. „Wir müssen viele verschiedene Aspekte des Risikos sehen, vom kleinsten Detail bis zum Einblick auf Vorstandsebene. Das kann ein Minenfeld sein“, sagt er. „Die von Riskonnect bereitgestellte Lösung hat es uns ermöglicht, dies zu erreichen.
Riskonnect zeigt die richtigen Daten in automatisierten Berichten an, die dem Vorstand einen Überblick über große, komplexe Risiken geben. Die Geschäftsleitung kann eine Kategorie auswählen – z. B. Cyberrisiken – und einen Bericht erstellen, der zeigt, wie effektiv die Kontrollen sind. „Wir haben einen Überblick über die gesamte Landschaft“, sagt Maclennan.
Ein einziger Rahmen setzt auch die Standards, anhand derer alles bewertet werden kann, um Ressourcen, Schwerpunkte und Budgets zu priorisieren. Nehmen Sie zum Beispiel das Cyber-Risiko. „Unser Cybersicherheitsteam hat bei der Einführung des Rahmenwerks und des Riskonnect-Tools eine Vorreiterrolle gespielt. Mit diesem Tool überwachen wir nun unsere Risiken und verfolgen Maßnahmen, um unsere Sicherheitslage kontinuierlich zu verbessern“, erklärt Maclennan.
BT hat gute Erfolge bei der Überwindung von Widerständen gegen ein neues System erzielt. „Wir haben ein gutes Feedback erhalten“, bemerkt Maclennan. „Die Leute können die Vorteile von Riskonnect wirklich erkennen.
Und das wiederum beeinflusst die Kultur. „In Besprechungen höre ich die Leute von Punktrisiken und aufkommenden Risiken sprechen. Das wird allmählich Teil unseres Sprachgebrauchs.“
Obwohl die Einhaltung der neuen Vorschriften ursprünglich nicht zu den obersten Prioritäten gehörte, ist das neue Rahmenwerk gut auf die Anforderungen abgestimmt. „Wir haben uns versehentlich darauf vorbereitet und sind in einer recht guten Position, um die erweiterten Kontrollanforderungen des britischen Corporate Governance Code zu erfüllen, weil wir bereits in diese Richtung unterwegs waren.“
„Riskonnect unterstützt die BT Group dabei, intelligent mit Risiken umzugehen und fundierte Entscheidungen zu treffen“, sagt Maclennan.
Wenn Sie mehr über ganzheitliches Risikomanagement erfahren möchten, laden Sie unser ebook Governance, Risk and Compliance: The Definitive Guide, und informieren Sie sich über die GRC-Softwarelösungen von Riskonnect.
