GRC: Metrics in Integrated Risk Management

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Risikometriken werden als quantifizierbares Maß definiert, mit dem der Status eines bestimmten Risikos nachverfolgt und bewertet wird. Metriken helfen bei der Nachverfolgung des Gefährdungspotenzials eines Risikos im Laufe der Zeit.

    Risikoindikatoren sind ein wichtiges Tool im operativen Risikomanagement. Indikatoren erleichtern die Überwachung und Kontrolle von Risiken. Daher können sie zur Unterstützung einer Reihe von Aktivitäten und Prozessen des operativen Risikomanagements verwendet werden, z. B. Risikoidentifizierung, Risiko- und Kontrollbewertungen, die Implementierung einer effektiven Risikobereitschaft sowie die Frameworks für Risikomanagement und Governance. Indikatoren unterstützen nur einen Ergebnistyp mit der Bezeichnung „Bestanden“ oder „Fehlgeschlagen“. Datentypen wie „Zahl“, „Prozentsatz“ oder „Währungsbetrag“ werden nicht unterstützt. Metriken bieten einen besseren Eskalations- und Benachrichtigungsmechanismus für Indikatoren, ermöglichen die spezifische Definition von Datenbesitzern und die Klassifizierung der Indikatoren.

    Die wichtigsten Vorteile von Metriken sind:
    • Bietet kontinuierliche Transparenz der Risiko- und Kontrollleistung.
    • Benachrichtigt die jeweiligen Besitzer über Änderungen des Risikos und der Kontrollleistung.
    • Automatisiert Aufgaben zur Erfassung von Metrikdaten, wodurch der Organisation Zeit gespart wird.
    • Effiziente Überwachung und gemeinsame Nutzung von Risikoinformationen im gesamten Unternehmen.

    Verwendungen von GRC: Metrics in ESG Management und IRM

    Die Anwendung GRC: Metrics wird von verschiedenen Anwendungen wie Integrated Risk Management und ESG Managementverwendet.

    Risikomanagement und Environmental, Social, and Governance (ESG) sind Konzepte, die sich auf verschiedene Arten überschneiden, wobei sich ESG auf die Kriterien bezieht, die von Investoren zur Bewertung der Nachhaltigkeit eines Unternehmens verwendet werden. ESG-Faktoren berücksichtigen unter anderem Themen wie Klimaveränderung, Menschenrechte, Vielfalt und Inklusion, Unternehmensführung und Lieferkettenmanagement. Das Risikomanagement umfasst das Identifizieren, Bewerten und Minimieren von Risiken, die sich auf die Fähigkeit einer Organisation auswirken können, ihre Ziele zu erreichen, einschließlich Finanz-, Betriebs- und Reputationsrisiken. Die Beziehung zwischen Risikomanagement und ESG ist eng, da schlecht verwaltete ESG-Faktoren erhebliche Risiken für Unternehmen schaffen können. Zum Beispiel kann ein Unternehmen mit schlechten Umweltpraktiken rechtlichen und regulatorischen, Reputations- und Betriebsrisiken ausgesetzt sein. Ebenso kann ein Unternehmen mit schwachen Governance-Praktiken rechtlichen Risiken und Reputationsrisiken sowie Risiken im Zusammenhang mit Interessenkonflikten und schlechter Entscheidungsfindung ausgesetzt sein. Durch die Integration von ESG-Faktoren in ihre Risikomanagementprozesse können Unternehmen diese Risiken identifizieren und mindern, was zu nachhaltigeren und belastbareren Geschäftsmodellen führt. Zum Beispiel kann ein Unternehmen, das seine Umweltrisiken identifiziert und mindert, sein Risiko für zukünftige Umweltvorschriften reduzieren, während ein Unternehmen, das seine Governance-Praktiken verbessert, sein Risiko für Reputationsrisiken und rechtliche Risiken reduzieren kann. Daher können Unternehmen, die ihre ESG-Risiken effektiv verwalten, ihre allgemeinen Risikomanagementfähigkeiten verbessern, langfristigen Wert schaffen und die Nachhaltigkeit ihrer Geschäftsmodelle sicherstellen.

    Metriktypen

    Im Folgenden finden Sie die Metriktypen.
    • Schlüsselrisikoindikatoren (Key Risk Indicators, KRIs): Diese Indikatoren identifizieren die Höhe des Risikos oder einer Reihe von Risiken. Beispiele für KRIs: Durch Mitarbeiterumfragen ermittelte Arbeitsmoral, Anzahl der versuchten Hacks in der IT, Anzahl der negativen Social Media-Beiträge nach einem Verlustereignis usw.
    • Wichtige Kontrollindikatoren (Key Control Indicators, KCIs): Diese Indikatoren identifizieren die Effektivität der Kontrollen, die implementiert wurden, um ein bestimmtes Risiko zu reduzieren oder zu mindern.
    • Leistungskennzahlen (KPIs): Diese Indikatoren zeigen an, wie effektiv das Risiko verwaltet wird. Diese Indikatoren zeigen die Erreichung von Zielen an.
    Die folgende Abbildung zeigt den Metrik-Workflow.
    Abbildung : 1. Workflow von Metriken
    Workflow von Metriken in IRM.

    Unterschied zwischen Indikatoren und Metriken

    Indikatoren werden als automatisierte Kontrolltests oder Bewertungen verwendet, während Metriken als KRI- und KCI-Überwachungstool verwendet werden. In der folgenden Tabelle werden die Unterschiede zwischen einem Indikator und einer Metrik aufgelistet.
    Tabelle : 1. Indikatoren im Vergleich zu Metriken
    GRC-Indikatoren Metriken
    Wird für die kontinuierliche Überwachung von Risiken und Kontrollen und zum Sammeln von unterstützenden Daten verwendet.

    Wird verwendet, um den Grad zu messen, zu dem ein System, eine Komponente oder ein Prozess ein bestimmtes Attribut besitzt​
    Kann zur Überwachung eines Risikos oder einer Kontrolle verwendet werden. Kann zum Messen eines beliebigen GRC Objekts verwendet werden.
    Kann nur binäre Werte haben, z. B. „Bestanden“ oder „Fehlgeschlagen“. Kann einen beliebigen Wert haben: Quantitativ (Zahlen) oder Qualitativ (Text).