GRC: Metrics in Integrated Risk Management

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Risikometriken werden als quantifizierbare Messgröße definiert, die zur Nachverfolgung und Bewertung des Status eines bestimmten Risikos verwendet wird. Metriken helfen bei der Nachverfolgung des Gefahrenpotenzials eines Risikos im Laufe der Zeit.

    Risikoindikatoren sind ein wichtiges Tool im Betriebsrisikomanagement. Indikatoren erleichtern die Überwachung und Kontrolle von Risiken. Daher können sie zur Unterstützung einer Reihe von Aktivitäten und Prozessen des Betriebsrisikomanagements verwendet werden, z. B. Risiko-Identifizierung, Risiko- und Kontrollbewertungen, Implementierung einer effektiven Risikobereitschaft sowie der Risikomanagement- und Governance-Frameworks. Indikatoren unterstützen nur eine Art von Ergebnissen namens „Bestanden“ oder „Fehlgeschlagen“. Keine Datentypen wie Anzahl, Prozent oder Geldbetrag. Metriken bieten bessere Eskalations- und Benachrichtigungsmechanismen für -Indikatoren und ermöglichen eine spezifische Definition von Datenbesitzern sowie die Klassifizierung von Indikatoren.

    Metriken bieten folgende Vorteile.
    • Bietet kontinuierliche Transparenz in Bezug auf Risiko- und Steuerungsleistung.
    • Warnt die jeweiligen Besitzer über Änderungen des Risikos und der Kontrollleistung.
    • Automatisiert Aufgaben zur Erfassung von Metrikdaten, was dem Unternehmen Zeit spart.
    • Überwacht effizient und teilt Risikoinformationen im gesamten Unternehmen.

    Verwendungen von GRC: Metrics in ESG Management und IRM

    Die Anwendung GRC: Metrics wird von verschiedenen -Anwendungen verwendet, z. B. Integrated Risk Management und ESG Management.

    Risikomanagement und Environmental, Social und Governance (ESG) sind Konzepte, die sich auf verschiedene Arten überschneiden, wobei sich ESG auf die Kriterien bezieht, anhand derer Investoren die Nachhaltigkeit eines Unternehmens bewerten. ESG-Faktoren berücksichtigen unter anderem Themen wie Klimaveränderung, Menschenrechte, Vielfalt und Inklusion, Unternehmens-Governance und Lieferkettenmanagement. Risikomanagement umfasst das Identifizieren, Bewerten und Mindern von Risiken, die sich auf die Fähigkeit einer Organisation auswirken können, ihre Ziele zu erreichen, einschließlich Finanz-, Betriebs- und Reputationsrisiken. Die Beziehung zwischen Risikomanagement und ESG ist eng, da schlecht verwaltete ESG-Faktoren erhebliche Risiken für Unternehmen darstellen können. Beispielsweise kann ein Unternehmen mit unzureichenden Umweltpraktiken rechtlichen und behördlichen sowie Reputations- und Betriebsrisiken ausgesetzt sein. Ebenso kann ein Unternehmen mit schwachen Governance-Praktiken rechtlichen Risiken und Reputationsrisiken sowie Risiken im Zusammenhang mit Interessenkonflikten und unzureichenden Entscheidungen ausgesetzt sein. Durch die Integration von ESG-Faktoren in ihre Risikomanagementprozesse können Unternehmen diese Risiken identifizieren und mindern, was zu nachhaltigeren und ausfallsicheren Geschäftsmodellen führt. Beispielsweise kann ein Unternehmen, das seine Umweltrisiken identifiziert und mindert, sein Risiko für zukünftige Umweltvorschriften reduzieren, während ein Unternehmen, das seine Governance-Praktiken verbessert, sein Risiko für Reputations- und Rechtsrisiken reduzieren kann. Daher können Unternehmen, die ihre ESG-Risiken effektiv verwalten, ihre allgemeinen Risikomanagementfähigkeiten verbessern, langfristigen Wert schaffen und die Nachhaltigkeit ihrer Geschäftsmodelle sicherstellen.

    Arten von Metriken

    Im Folgenden finden Sie die Arten von Metriken.
    • Schlüsselrisikoindikatoren (Key Risk Indicators, KRIs): Diese Indikatoren geben das Ausmaß der Gefährdung durch ein bestimmtes Risiko oder eine Reihe von Risiken an. Beispiele für KRIs sind: Durch Mitarbeiterumfragen ermittelte Arbeitsmoral, Anzahl der versuchten IT-Hacks, Anzahl der negativen Social Media-Posts nach einem Verlustereignis usw.
    • Wichtige Kontrollindikatoren (Key Control Indicators, KCIs): Diese Indikatoren identifizieren die Effektivität der Kontrollen, die implementiert wurden, um ein bestimmtes Risiko zu reduzieren oder zu mindern.
    • Leistungskennzahlen (Key Performance Indicators, KPIs): Diese Indikatoren zeigen, wie effektiv das Risikomanagement verwaltet wird. Diese Indikatoren zeigen den Erfolg im Vergleich zu den Zielen an.
    Die folgende Abbildung zeigt den Metriken-Workflow.
    Abbildung : 1. Workflow von Metriken
    Workflow von Metriken in IRM.

    Unterschied zwischen Indikatoren und Metriken

    Indikatoren werden als automatisierte Kontrolltests oder Bewertungen verwendet, während Metriken als Überwachungstool für KRIs und KCIs verwendet werden. In der folgenden Tabelle sind die Unterschiede zwischen einem Indikator und einer Metrik aufgeführt​.
    Tabelle : 1. Indikatoren vs. Metriken
    GRC-Indikatoren Metriken
    Wird zur kontinuierlichen Überwachung von Risiken und Steuerungen sowie zur Erfassung von unterstützenden Daten verwendet​.

    Wird verwendet, um den Grad zu messen, in dem ein System, eine Komponente oder ein Prozess ein bestimmtes Attribut besitzt.​
    Kann zur Überwachung eines Risikos oder einer Kontrolle verwendet werden. Kann zum Messen eines beliebigen GRC -Objekts verwendet werden.
    Kann nur binäre Werte wie „Bestanden“ oder „Fehlgeschlagen“ aufweisen. Kann einen beliebigen Wert haben: Quantitativ (Zahlen) oder Qualitativ (Text)​.