7 Dinge, die Ihre ERM-Software leisten sollte

Enterprise Risk Management (ERM) Software hilft Unternehmen, Risiken in Informationssystemen und kritischen Technologien zu erkennen, so dass das Unternehmen Pläne für den Umgang mit diesen Risiken erstellen, die Reaktion dokumentieren, wenn etwas passiert, und den Reaktionsprozess verbessern kann. Um dies zu erreichen, muss ERM-Software mehrere wichtige Aufgaben erfüllen. Hier sind 7 Dinge, die Ihre ERM-Software leisten sollte.

1. Verwaltung der Audit-Funktion

Ihr ERM muss alle Ihre Audit-Funktionen an einem einzigen Ort verwalten. Dies umfasst mehrere Teile:

• Audit-Planung: Wann war Ihr letztes Audit? Wann ist das nächste fällig? Was ist die Priorität und der Schwerpunkt des Audits?
• Audit-Ausführung: Sie sollten in der Lage sein, die Feldarbeit für Audits an einem Ort zu verwalten und durchzuführen. Außerdem sollten Sie in der Lage sein, sowohl einzelne als auch das gesamte Prüfungsprogramm zu verfolgen und die damit verbundenen Risiken und deren Kontrollen mit jeder Prüfung zu verknüpfen.
• Audit-Befunde: Ihr ERM sollte alle Berichtsdaten aus Audits zusammen mit den nach jedem Audit empfohlenen Maßnahmen enthalten und anzeigen können. Außerdem sollten Sie in der Lage sein, ergriffene Maßnahmen zuzuweisen und zu verfolgen.

Kurz gesagt, Ihr ERM sollte es Ihnen ermöglichen, alle Ihre Audit-Funktionen unter einem Dach zu vereinen und zu verwalten.

2. Vollständige Risikobewertung und Management

Im Grunde genommen ist Ihr ERM Ihr Zuhause für alles, was mit Risikobewertung und -management zu tun hat, von der Festlegung akzeptabler Risiken und Operationen innerhalb dieser Risiken bis hin zur Risikosteuerung. Der erste Schritt besteht darin, Risiken zu identifizieren und zu kontrollieren und gleichzeitig alle Daten in einem prüfbaren Format aufzubewahren (siehe den obigen Punkt). Sobald die Risiken identifiziert sind, können Sie sie über Ihre ERM-Software verwalten und überwachen. Wenn ein Ereignis eintritt, können Sie die Abfolge der Ereignisse und die Reaktion darauf dokumentieren. All dies zusammen hilft Ihnen bei der Erstellung von Berichten, die datengestützte Risikomanagement-Entscheidungen ermöglichen, die wiederum eine Bewertung und Prüfung dieser Risiken erlauben.

3. Compliance-Bereitschaft

Compliance umfasst zwei verschiedene Elemente: interne und externe Compliance. Die interne Compliance umfasst Ihre eigenen Richtlinien, Verfahren und Standards, die Sie Ihren Mitarbeitern vorschreiben und von denen Sie erwarten, dass sie sie einhalten. Damit minimieren Sie sowohl Ihr internes Risiko als auch das Risiko durch externe Prüfer oder Ereignisse, die zu Rechtsstreitigkeiten führen könnten. Natürlich ist einer der Gründe für interne Standards und Richtlinien oft die Einhaltung externer Vorschriften. Ihr ERM enthält beides: die internen Richtlinien, die Sie eingeführt haben, und die Berichte, die Sie benötigen, um externen Regulierungsbehörden die Schritte aufzuzeigen, die Sie zur Einhaltung der Vorschriften unternommen haben. Beide arbeiten zusammen, um das Risiko und die Haftung zu minimieren. Sie verringern auch das finanzielle Risiko, das mit der Nichteinhaltung gesetzlicher Auflagen durch externe Behörden oder Organisationen verbunden ist. Ihr ERM kümmert sich um Audits, Risikobewertungen, Compliance und vieles mehr.

4. Governance

Wenn es um die Steuerung von Risiken geht, brauchen Ihre Risikovorstände und -ausschüsse zwei Dinge: Daten und die Analyse dieser Daten. Ihr ERM sammelt ständig Daten und sollte diese jederzeit für die Gremien und Berichte bereithalten. Das spart Zeit und Geld und sorgt für eine effiziente Verwaltung.

5. Informationssicherheit

Wenn es um Informationssicherheit geht, gibt es Standards, die eingehalten werden müssen, darunter ISO-Normen, aber auch Datenschutzbestimmungen wie GDPR, das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern und die kürzlich in North Carolina erlassene Gesetzgebung. Die meisten IT-Sicherheitsverantwortlichen sind der Meinung, dass staatliche Vorschriften nicht mehr weit entfernt sind. Ihr ERM hilft beim Reputationsmanagement, indem es die Peinlichkeit und schlechte Publicity einer Datenpanne, aber auch die damit verbundenen potenziellen finanziellen Strafen vermeidet. Der Schutz Ihrer Verbraucher- und Kundendaten ist eine der höchsten Prioritäten Ihres Risikomanagements.

6. SOX

Seit dem SARBANES-OXLEY ACT OF 2002 ist SOX ein integraler Bestandteil des finanziellen Risikomanagements. Es ist wichtig, dass Sie ein gewisses Maß an Transparenz in Bezug auf Ihre Buchhaltung wahren. Ihr ERM sollte eine Fortschrittsverfolgung von SOX-Nachweisen und Kontrolltests beinhalten. Es sollte auch anpassbare Arbeitsabläufe und Genehmigungsprüfpunkte für Kontrollen und Programme enthalten. Jede Bewegung in risikorelevanten MI führt zu einer Warnung, so dass Ihr Team Maßnahmen ergreifen kann, um Ihr Risikoprofil innerhalb der von Ihnen festgelegten Grenzen zu halten.

7. Geschäftskontinuität und betriebliche Widerstandsfähigkeit

Um die Anforderungen von ISO 22301und PS 21/3 zu erfüllen, damit Ihr Unternehmen ordnungsgemäß und mit verringertem Risiko funktioniert, sollte Ihr ERM einen Plan zur Aufrechterhaltung des Geschäftsbetriebs (Business Continuity Plan, BCP) und eine Komponente für die operative Widerstandsfähigkeit enthalten. Der Schlüssel liegt darin, die wichtigsten Produkte und Dienstleistungen zu identifizieren, die Sie schützen müssen. Sie müssen bestimmen, welche dieser Produkte und Dienstleistungen aus Sicht der Aufsichtsbehörden als wichtige Geschäftsdienstleistungen (Important Business Services – IBS) eingestuft werden, und die entsprechenden Bewertungskriterien sollten in Ihr ERM integriert werden. Wichtige Kennzahlen wie die maximal tolerierbare Unterbrechungsdauer (MTPD) und das Mindestziel für die Geschäftskontinuität (MBCO) sind ebenfalls in Ihrem ERM enthalten. Die bereitgestellten Daten ermöglichen es Ihnen, die Risiken zu identifizieren und zu bewerten, die die Verfügbarkeit der von Ihrem Unternehmen benötigten Ressourcen gefährden. Ihr ERM sollte auch eine Selbstbewertung aller Komponenten Ihres Rahmens für die betriebliche Widerstandsfähigkeit ermöglichen, die vom Leitungsgremium Ihrer Organisation geprüft werden kann. Ihr ERM leistet viel für Sie und Ihr Unternehmen, und je mehr es automatisiert ist, desto mehr kann es Ihr Unternehmen schützen und dafür sorgen, dass es reibungslos und im Einklang mit den Vorschriften, Anforderungen und Risiken läuft. Es ist ein unverzichtbares Werkzeug in Ihrer Risikomanagement-Suite.