Was ist betriebliches Risikomanagement?

Ein Betriebsrisiko ist das Risiko eines Verlustes, der durch unzureichende oder nicht funktionierende interne Prozesse und Systeme sowie Fehler von Mitarbeitern oder durch externe Ereignisse entsteht. „Betriebliches Risikomanagement“ beschreibt die Verwaltung dieser Risiken.

Bevor Sie das betriebliche Risikomanagement einführen, sollten Sie unbedingt die Vorteile dieses Ansatzes verstanden haben.

  • Verhindern und Minimieren der finanziellen Kosten von Betriebsverlusten
  • Verbesserung der Zuverlässigkeit der geschäftlichen Betriebsabläufe
  • Stärkung des Entscheidungsfindungsprozesses, wenn es um Risiken geht
  • Verringerung von Verlusten, die aus unzureichend erkannten Risiken resultieren
  • Verbesserung der Effektivität des Risikomanagements
  • Geringere Compliance-Kosten
  • Frühzeitige Erkennung illegaler Aktivitäten
  • Verringerung potenzieller Schäden durch zukünftige Risiken

Detailliert

Nicht alle Risiken sind vorhersehbar. Eine gründliche Risikoanalyse kann jedoch potenzielle Risiken aufdecken und so die Grundlage für bestmögliche Ergebnisse schaffen.

Gezielt

Routinemäßige Sicherheitskontrollen oder -überprüfungen im Verlauf des Projektzyklus.

Zeitkritisch

Dieser Ansatz des betrieblichen Risikomanagements ist in der Regel dringlicher und findet Anwendung bei betrieblichen Changes, wenn die Zeit knapp ist. Als Folgen einer verzögerten Umsetzung könnten sich nicht erkannte Risiken einschleichen.

  • Risiken, die sich aus katastrophalen Ereignissen ergeben (z. B. Hurrikans)
  • Computer-Hacking oder Cyberangriffe
  • Betrug von innen und außen
  • Nichteinhaltung interner Richtlinien

Governance, Risiko und Compliance

Eine Reihe von Praktiken und Prozessen, die durch eine Kultur des Risikobewusstseins und entsprechende Technologien unterstützt werden. Diese verbessern die Entscheidungsfindung und die Leistung – durch eine integrierte Sicht auf die Qualität des Risikomanagements des Unternehmens im Hinblick auf seine besonderen Risiken.

Identifizieren und Bewerten von Risiken

Die Risiken für ein Unternehmen sind vielfältig, sowohl intern als auch extern. Deshalb ist es wichtig, das potenziell gefährlichste Risiko zu identifizieren und dabei alle Möglichkeiten des Unternehmens auszuschöpfen. Bei den zu ermittelnden Risiken handelt es sich sowohl um einmalige als auch um wiederkehrende Risiken. Bewerten Sie die Risiken nach ihrer Erfassung sowohl aus qualitativer als auch aus quantitativer Sicht. Berücksichtigen Sie die Häufigkeit des Auftretens des Risikos, den Schweregrad und die Aktionen, die zur Vermeidung und Minderung des Risikos ergriffen werden müssen.

Kontrollumgebung

Setzen Sie Steuerungen ein, um das Risiko für ein Unternehmen zu begrenzen und die Möglichkeiten zur Risikominderung zu erhöhen.

Überwachung und Berichterstellung

Effektives Management von Risiken bedeutet, dass die Risiken ständig überwacht werden und dass bei Bedarf über die Risiken Bericht erstattet wird, um so die Wirksamkeit eines Plans zum Risikomanagement zu überprüfen.

Quantifizierung, Messung und Modellierung

Unternehmen können die Ausgabedaten eines Risikobewertungsmodells als Eingangswerte für ein Modell verwenden, das die Risikoexposition misst. Quantifizierungssysteme müssen validiert werden, damit sie hinreichend belastbar sind. So können Sie sicher sein, dass die Eingaben, Annahmen, Prozesse und Ergebnisse korrekt sind.

Risikobezogene Entscheidungsfindung

Die Risikoframeworks sind in regelmäßigen Abständen durch den Vorstand zu überprüfen. Damit kann die Führungsebene überwacht werden, um sicherzustellen, dass jeder Teil der Richtlinien und Prozesse auf allen Entscheidungsebenen umgesetzt wird. Der Vorstand sollte zudem eine Risikotoleranz festlegen, aus der hervorgeht, welche Arten, welches Ausmaß und welche Beschaffenheit von Betriebsrisiken er bereit ist, in Kauf zu nehmen.

Verhaltensanreize

Stellen Sie sicher, dass die inhärenten Risiken und Anreize von den Mitarbeitern genau verstanden werden. Dazu müssen Sie dafür Sorge tragen, dass in sämtlichen Materialien, Aktivitäten und Prozessen Betriebsrisiken identifiziert und bewertet werden. Die Unternehmenskultur sollte das Verständnis für die inhärenten Betriebsrisiken, die mit den Strategien und den täglichen Aktivitäten des Unternehmens verbunden sind, durch unterstützende Prozesse fördern.

Die drei Verteidigungslinien

Die Geschäftsführung und die Leitungsorgane sind dafür verantwortlich, die Ziele eines Unternehmens festzulegen und Strategien zur Erreichung der Ziele zu skizzieren. Zu den Zielsetzungen gehört auch das Risikomanagement, damit die Ziele unter Anwendung des Modells der drei Verteidigungslinien bestmöglich erreicht werden können. Dies erfordert die aktive Unterstützung durch die Geschäftsleitung und die Leitungsorgane des Unternehmens.

  • Erste Verteidigungslinie: Betriebsmanagement
    Das Betriebsmanagement ist die erste Verteidigungslinie. Der Betriebsleiter übernimmt die Verantwortung für die Risiken und deren Management. Damit einher geht die Zuständigkeit für die Umsetzung von Aktionen zum Abbau von Defiziten. Der Prozess umfasst die Identifikation, Bewertung, Steuerung und Minderung von Risiken. Zugleich steuert der Betriebsleiter die Implementierung interner Richtlinien und stellt sicher, dass die Aktivitäten konsequent auf die Ziele ausgerichtet sind.

  • Zweite Verteidigungslinie: Risikomanagement und Compliance
    Die zweite Verteidigungslinie umfasst in der Regel eine Stelle für das Risikomanagement, die die Umsetzung von Risikomanagement-Praktiken überwacht und gleichzeitig den Betriebsleitern dabei hilft, Risikoziele zu definieren und Berichte über risikobezogene Daten zu erstellen.

  • Dritte Verteidigungslinie: Interne Audits
    Audit-Prüfer geben der Geschäftsführung und dem Leitungsgremium Gewissheit. Die Prüfung soll Aufschluss über das Risikomanagement, die interne Steuerung und die Wirksamkeit der Governance geben. Der Prüfungsumfang erstreckt sich in der Regel auf die Effizienz des Betriebs, die Assets, die Zuverlässigkeit und Integrität des Reportings und die Compliance.

Ausweitung der Praktiken auf die Überwachung der zweiten Verteidigungslinie

Das Management von Betriebsrisiken sollte sich auf die Erkennung und Meldung von Risiken aller Art konzentrieren und um eine zweite Verteidigungslinie erweitert werden, die mit der ersten zusammenarbeitet, um eine wirksame Resilienz in den Abläufen und Prozessen zu schaffen.

Um einen Geschäftsprozess und dessen Resilienz zu bewerten, die Geschäftsführung bei Bedarf zu hinterfragen und die Prioritäten zu verwalten, sind einige Tools erforderlich.

  • Abbildung von Prozessen und Steuerungen: Nehmen Sie sich die Zeit, die Prozesse mit den entsprechenden Risiken und Steuerungen abzubilden. Berücksichtigen Sie dabei die Komplexität der Prozesse, jede Übergabe entlang des Prozesses sowie die Frage, ob die Verwaltung automatisiert oder manuell erfolgt. Das Ziel ist es, die Prozessverantwortung entlang des Weges zu skizzieren und gleichzeitig die Produktivität zu maximieren.

  • Identifikation erforderlicher Technologie: Finden Sie heraus, für welche Punkte des Weges Technologie erforderlich ist und welche Art von Technologie benötigt wird.

  • Überwachung: Überwachen Sie Risiken und Steuerungen, indem Sie Mechanismen einrichten, die Ihnen dabei helfen, Metriken zu verfolgen, um auf ungewöhnliche Risikoniveaus zu achten.

  • Verknüpfung von Ressourcen: Verknüpfen Sie die Ressourcenplanung mit den Prozessen, um ein Verständnis für die damit verbundenen Prozesse und den Prozessbedarf zu entwickeln. Schaffen Sie auf Grundlage der gefundenen Ergebnisse Kapazitäten zur Skalierung.

  • Festigung des Verhaltens: Sorgen Sie dafür, dass das richtige Verhalten des Einzelnen durch Schulungen, Anreize und Leistungsmanagement gefestigt wird.

  • Change Management: Schaffen Sie Systeme für das Change Management, damit die richtigen Talente zur Verfügung stehen. Arbeiten Sie mit Prozessen und Kapazitäten und tragen Sie Sorge für die angemessene Anleitung.
  • Feedback: Organisieren Sie ein kontinuierliches Feedback, um Probleme zu erkennen, Ursachenanalysen durchzuführen und Prozesse zu überarbeiten, während die Daten gewonnen werden.

Analytikgesteuerte Echtzeiterkennung ersetzt die manuelle Berichterstattung

Die Fortschritte bei Analysetools können beim Risikomanagement hilfreich sein: Im Laufe der Zeit sind vermehrt sowohl strukturierte als auch unstrukturierte Daten verfügbar. Fortgeschrittene Analysetools sind in nahezu jedem Bereich des Risikomanagements anwendbar, einschließlich der Erkennung von Risiken, der Identifizierung von Fehlalarmen, der Compliance, der Prozessausfälle und des menschlichen Risikos.

  • Echtzeit-Tests: Testen Sie das Risikomanagement in Echtzeit, um Risikokennzahlen zu bestimmen und zu analysieren. Im Idealfall können Anomalien oder ungewöhnliche Aktivitäten in Echtzeit auf Risiko- oder andere Bereiche hinweisen, die angegangen werden müssen.
  • Gezielte Tools: Speziell ausgerichtete Datentools können Risikoprobleme in bestimmten Bereichen erkennen. Auch maschinelles Lernen kann im Zusammenspiel mit zielgerichteten Analysetools hilfreich sein, da Systeme für maschinelles Lernen und künstliche Intelligenz lernen können, Risikobereiche oder Indikatoren für Risikoaktivitäten innerhalb eines Datensatzes besser zu erkennen.

Benennen Sie Spezialisten für Schlüsselbereiche im Bereich Daten und Analytik

Das Management von Risiken erfordert besondere Fähigkeiten und ein besonderes Risikoverständnis zur Erkennung von Risikoaktivitäten, zur Interpretation der Daten und zur Erstellung einer gründlichen Analyse. Führungskräfte, Teams und Einzelpersonen müssen ihr Herangehen an Risiken grundlegend ändern. Dazu gehört auch die Anpassung von Prozessen und das Verständnis dafür, dass fortschrittliche Analysen immer wichtiger werden, insbesondere durch die Einführung von Systemen für maschinelles Lernen und künstliche Intelligenz.

Risiken durch den Faktor Mensch sind zu berücksichtigen

Menschen können für das betriebliche Risikomanagement sehr effektiv sein, aber ein Teil des Risikomanagements besteht darin, zu erkennen und zu analysieren, wie sich menschliches Versagen auf das betriebliche Risikomanagement auswirken kann und welche Risiken damit verbunden sind.

Risikovermeidung

Nachdem die Risiken zunächst identifiziert wurden, sollten die meisten Risiken idealerweise vermieden werden. Bei der Risikovermeidung geht es darum, Schwachstellen zu minimieren und Risiken zu beseitigen, die als Bedrohung erkannt wurden. Ein Teil der Risikovermeidung besteht darin, die Mitarbeiter entsprechend zu schulen und die geeigneten Richtlinien und Verfahren einzuführen.

Risikoreduzierung

Im Idealfall sollte ein Risiko vermieden werden, aber das ist nicht immer möglich. Unter Risikoreduzierung versteht man das Verständnis von Risiken und Belastungen und die Strategien, die zur Reduzierung dieser Risiken und Belastungen eingesetzt werden. In der Regel wird das Risiko quantifiziert, analysiert und bestimmten Risikostufen zugeordnet. Auf dieser Grundlage können Prioritäten für die Risikominderung gesetzt und Maßnahmen zur Risikominderung ergriffen werden.

Risikoteilung

Ein geteiltes Risiko bedeutet nicht, dass das Risiko übertragen wird. Die Risikoteilung dient dazu, die Auswirkungen ungewisser Ereignisse oder bestimmter Risiken zu verringern. Aufgaben oder Zuständigkeiten können zwischen Abteilungen oder Einzelpersonen innerhalb eines Unternehmens aufgeteilt werden. Das Risiko wird so auf mehrere Schultern verteilt und die einzelnen Verantwortlichkeiten werden im Rahmen eines umfassenderen Risikomanagements verschiedenen Personen zugewiesen.

Behalten des Risikos

Ein Risiko zu übertragen bedeutet, dass man keine Verantwortung für das Risiko übernimmt – das Behalten des Risikos ist das Gegenteil. Ein Unternehmen behält das Risiko, indem es das Risiko und die sich daraus ergebenden Konsequenzen selbst finanziert. Die Entscheidung, ein Risiko zu behalten, wird in der Regel getroffen, nachdem eine Finanzanalyse ergeben hat, dass es günstiger ist, das Risiko zu behalten, als es auf eine Drittpartei zu übertragen.

Erste Schritte mit ServiceNow Governance, Risk, and Compliance

Verwalten Sie Risiken und Resilienz in Echtzeit mit ServiceNow.