Article

Agile Enterprise Risk Management

Risiken in einer komplexen und dynamischen Wirtschaftswelt schneller erkennen sowie besser überwachen und steuern

Immer mehr Unternehmen setzen industrieübergreifend agile Konzepte und Methoden ein, die weitreichende organisatorische Änderungen zur Folge haben. Zugleich entstehen in einer dynamischen Umwelt neue Risiken, die angemessen gesteuert werden müssen. Damit steht auch das Risikomanagement vor einem fundamentalen Wandel: Wie kann die Funktion ihre originären Aufgaben bestmöglich erfüllen und zugleich die Organisation in der modifizierten Umwelt positiv mitgestalten? Erfahren Sie in diesem Beitrag, wie Agile Enterprise Risk Management Sie bei diesem Wandel unterstützt.

Mit der fortschreitenden (digitalen) Vernetzung der Wirtschaft nimmt industrieübergreifend die Geschwindigkeit zu, mit der sich disruptive Technologien ausbreiten. Zugleich nehmen instabile politische Bedingungen, die Volatilität der Märkte und plötzlich auftretende Krisen zu. Dieses dynamische Umfeld setzt das traditionelle Enterprise Risk Management unter stetigen Anpassungsdruck. Nicht zuletzt tragen auch die steigenden regulatorischen Anforderungen des Gesetzgebers dazu bei, dass eine frühzeitige Identifikation und Überwachung von Risiken sowie eine schnelle Einleitung geeigneter Gegenmaßnahmen immer bedeutender wird.

Mit Hilfe agiler Konzepte und Methoden kann das Risikomanagement zu einer gezielten Weiterentwicklung befähigt werden. Durch den Einsatz agiler Methoden lassen sich Risiken wesentlich früher erkennen, bewerten, und rechtzeitig geeignete Gegenmaßnahmen einleiten. Deloitte berät daher als Pionier auf diesem Gebiet Unternehmen bei der Definition und Umsetzung von Agile Enterprise Risk Management.

Agilität: schneller, flexibler und effektiver werden

Agile Konzepte und Arbeitsweisen sind ursprünglich in der IT-Branche entstanden, um in einem äußerst dynamischen Umfeld technologischen Wandels und permanenter Veränderung erfolgreich agieren zu können. Da diese agilen Methoden sich weltweit in führenden Unternehmen bewährt haben, halten sie auch zunehmend Einzug in andere Unternehmen und beginnen, deren Zusammenarbeit und gelebte Kultur zu transformieren.

Im Prinzip geht es beim agilen Arbeiten darum, schneller, flexibler und wendiger zu agieren als bislang. Das setzt auch einen fundamentalen Wandel der Organisationsstruktur voraus. An die Stelle klassischer Hierarchien und Prozesse treten flexible Selbstorganisationen, bei denen das Arbeiten in autonomen, interdisziplinären Teams im Mittelpunkt steht. Jeder einzelne Mitarbeiter erhält wesentlich mehr Freiheit und Eigenverantwortung. Agile Methoden sollen mehr Transparenz in den täglichen Workflow bringen und die Teamkommunikation fördern.

Die Integration agiler Methoden im Enterprise Risk Management (ERM)

Der Einsatz agiler Konzepte und Methoden im unternehmensweiten Risikomanagement birgt große Vorteile und ermöglicht es, die Effektivität und Effizienz der etablierten ERM-Praktiken nachhaltig zu verbessern und zu beschleunigen.

Zunächst begünstigen schlagkräftigere, flacher organisierte und selbstverantwortliche Teams eine kurzfristigere Anpassung des Unternehmens an eine sich immer rascher ändernde Risikolandschaft. So können Risiken früher erkannt und gesteuert werden. Zudem können agile Methoden die Qualität der Risikoidentifikation, -bewertung, -steuerung sowie Risikoberichterstattung entscheidend verbessern. Weitere Vorteile liegen in einer Stakeholder-orientierten Risikoberichterstattung sowie einer transparenteren und effizienteren Kommunikation.

Anwendung agiler Methoden muss individuell erfolgen

Es gibt keinen allgemeingültigen Ansatz, wie man agile Methoden am besten in einer Organisation integrieren kann. Die Integration stellt vielmehr einen Entwicklungsprozess dar und muss individuell erfolgen. Der Einsatz agiler Methoden in den vorhandenen ERM-Bereichen hängt stark vom bisherigen Setup einer Organisation ab. Entscheidend ist dabei der agile Reifegrad im Unternehmen. In Abhängigkeit davon, inwieweit Agilität unternehmensweit bereits gelebt wird, legt man entsprechende Entwicklungsstufen und Umsetzungsmaßnahmen fest. Wesentliche Stellschrauben bestehen dabei in Teamaufbau, Zielsetzung des agilen Reifegrades, Planungskultur sowie Kundenanforderungen.

Im Zentrum stehen die typischen Elemente des ERM. Dazu zählen neben der Organisation des ERM und der Risikokultur im Unternehmen auf Prozessebene die Risikostrategie, Risikoidentifikation, Risikobewertung, Risiko-Controlling, Risiko-Kommunikation sowie die kontinuierliche Überwachung und Verbesserung des Enterprise Risk Managements.

Die Organisation agiler Risk Teams

Einen entscheidenden Faktor für den Erfolg von Agilität im Enterprise Risk Management stellt der richtige Aufbau und die Zusammensetzung agiler Risikoteams dar.

Im traditionellen Ansatz gibt es getrennte Teams. Hier unterstützen die jeweiligen Experten der 2nd Line of Defense (2nd LoD) (z.B. das IT-Sicherheitsteam oder das Compliance-Team) die operativen Geschäftsbereiche der 1st Line of Defense (1st LoD), wie etwa den Einkauf oder das Marketing, separat.

Der agile Ansatz ist dagegen von multidisziplinären Teams geprägt, die sich aus Experten sowohl der 1st als auch der 2nd LoD zusammensetzen. Diese multidisziplinären Risikoteams können langfristig zusammenarbeiten, um z.B. ein kontinuierliches Risiko-Monitoring zu gewährleisten. Je nach Bereich oder Projekt können diese aber auch nur zeitlich begrenzt bestehen und nach Abschluss eines Projekts wieder neu zusammengesetzt werden. Das betrifft meist Ad-hoc-Aufgaben und die Steuerung neuer Risiken, wie sie etwa bei der Markteinführung neuer Produkte auftreten.

Agilität verändert das gesamte Risikomanagement – ein Praxisbeispiel

Agile Arbeitsweisen können auf den gesamten Risikomanagementprozess angewendet werden, wie anhand eines Praxis-Beispiels deutlich wird.

Um etwa ein Assessment zur Identifikation von Compliance-Risiken durchzuführen, wird zu Beginn ein Product Backlog erstellt, welches alle Prozesse im Unternehmen erfasst, bei denen Compliance-Risiken auftreten können. In der anschließenden Sprint Planung werden die Risiken priorisiert und in einer Shortlist festgehalten, die als Sprint Backlog dient, um so die relevantesten Risiken zuerst abarbeiten zu können. Dieses Backlog wird anschließend in mehreren Sprints bearbeitet, welche je nach Komplexität 2-4 Wochen dauern können.

Während der Sprints kommt das Risk Team zu einem Daily Scrum Meeting zusammen, um die tägliche Priorisierung, die Verteilung der Aufgaben und den aktuellen Fortschritt sowie insbesondere Abhängigkeiten zu besprechen. Innerhalb der einzelnen Sprints setzen die Team-Mitglieder Aufgaben um, führen Reviews durch und erstellen einen Report zur Dokumentation. Nach Abschluss eines Sprints erfolgt der Sprint Review, in dem die beteiligten Experten die Arbeitsfortschritte und -ergebnisse Revue passieren lassen und bewerten. Schließlich liegt am Ende mit dem Product Increment das Zielformat vor, welches die Compliance-Risiken sowie entsprechende Gegenmaßnahmen vollständig dokumentiert. Nach Abschluss eines Sprints wird dann gemäß der priorisierten Shortlist des Sprint Backlogs der anschließende Sprint gestartet und das nächste Risiko ins Visier genommen.

Damit dieser Prozess reibungslos abläuft, müssen in den agilen Risk Teams typischerweise vier zentrale Rollen abgedeckt werden. Der Product Owner hat die Prozessführung inne, etwa bei einem Entwicklungsprozess, der Compliance-Risiken einbezieht. Der Scrum Master stellt als Enabler sicher, dass die Scrum-Meetings und Sprints effektiv durchgeführt werden, er kann aus der 1st oder 2nd LoD einbezogen werden. Das Entwicklungsteam besteht aus verschiedenen Experten aus der 1st LoD und 2nd LoD, z.B. Entwicklungsingenieuren oder Compliance Managern. Wichtiger Bestandteil sind auch die relevanten Stakeholder, vor allem C-Level-Führungskräfte sowie je nach Product Increment weitere Manager aus anderen Fachbereichen.

Entscheidend für das Gelingen eines solchen agilen Enterprise Risk Management Use Cases sind mehrere Erfolgsfaktoren. Die Basis legt das klare Bekenntnis zu agilen Methoden und Konzepten. Außerdem muss bei der Zusammenstellung der Teams darauf geachtet werden, dass alle relevanten Fähigkeiten und Fertigkeiten abgedeckt sind, um die Zielerreichung der Einzelsprints zu gewährleisten. Hinzu kommt eine angemessene Priorisierung der Risiken bei der Planung von Sprints sowie der Fokus auf jeweils bestimmte Einheiten und Geschäftsbereiche, um eine Überlastung der Gesamtorganisation zu vermeiden. Schließlich muss ein kontinuierlicher Verbesserungsprozess implementiert werden, damit Effektivität und Effizienz nachhaltig sichergestellt sind.

Die Bedeutung einer agilen und integrierten Risikoberichterstattung

Auch der Bereich Kommunikation und Reporting kann im Enterprise Risk Management agil gestaltet werden. Das ist sinnvoll, um auf kurzfristige Änderungen oder plötzlich neu entstehende Risiken auch im Berichtswesen geeignet reagieren zu können. Das agile Risk Reporting, das sich vor allem an Top-Führungskräfte, den Vorstand und an den Aufsichtsrat richtet, muss nicht nur nach Methoden einer effektiven Risikoberichterstattung gestaltet sein, sondern zugleich auch das sich ständig ändernde Umfeld hinreichend berücksichtigen. Dabei kommt es darauf an, nicht nur bestehende interne und externe, sondern auch zukünftige potenzielle Risiken mit einzubeziehen. Zudem müssen auch die Interdependenzen zwischen einzelnen Risiken – etwa mithilfe von Szenario-Planung – betrachtet werden.

Hilfreich für die agile Kommunikation kann dabei der Einsatz einer Risk Management App sein, wie sie Deloitte speziell für die Bedürfnisse der verschiedenen Stakeholder entwickelt hat. Kern der App ist ein intuitives, benutzerorientiertes und konfigurierbares Risiko-Cockpit, das es allen Nutzern ermöglicht, einen einfachen, aber umfassenden Überblick und stets den aktuellen Stand der gegenwärtigen Risiken im Unternehmen zu erhalten.

Der kontinuierliche Verbesserungsprozess aller Grundelemente des ERM

Die typischen ERM-Elemente können mithilfe agiler Methoden kontinuierlich verbessert werden. Die Sprints durchlaufen die ERM-Elemente in einer bestimmten Reihenfolge. Innerhalb der Sprints wird festgelegt, welche Aktivitäten wertschöpfend sind und somit beibehalten werden und auf welche zukünftig verzichtet werden kann. Im Rahmen dieser Sprint wird zudem der Input bzw. die Erfahrungen der agilen Risk Teams berücksichtigt.  

Deloitte unterstützt Unternehmen ganzheitlich

Agiles Enterprise Risk Management ist eine von mehreren Säulen der Deloitte Services, mit deren Hilfe Unternehmen ihre internen Assurance-Funktionen zukunftsfähig machen können, um auf den tiefgreifenden Wandel insbesondere im Zuge der Digitalisierung zu reagieren. Daneben berät und unterstützt Deloitte Organisationen auch bei der agilen Neugestaltung der weiteren 2nd Line of Defense Funktionen wie Agile Internal Audit und Agile Internal Control System (ICS).

Ihre Ansprechpartner

Jennifer Gross
Senior Manager | Strategy & Brand
+49 69 756956831
jegross@deloitte.de

Jasmin Engelhard
Manager | Strategy & Brand
+49 69 756957388
jengelhard@deloitte.de