Was ist betriebliches Risikomanagement?

Eine Reihe von Praktiken und Prozessen, die durch eine Kultur des Risikobewusstseins und entsprechende Technologien unterstützt werden. Diese verbessern die Entscheidungsfindung und die Leistung – durch eine integrierte Sicht auf die Qualität des Risikomanagements des Unternehmens im Hinblick auf seine besonderen Risiken.

Die Risiken für ein Unternehmen sind vielfältig, sowohl intern als auch extern. Deshalb ist es wichtig, das potenziell gefährlichste Risiko zu identifizieren und dabei alle Möglichkeiten des Unternehmens auszuschöpfen. Bei den zu ermittelnden Risiken handelt es sich sowohl um einmalige als auch um wiederkehrende Risiken. Bewerten Sie die Risiken nach ihrer Erfassung sowohl aus qualitativer als auch aus quantitativer Sicht. Berücksichtigen Sie die Häufigkeit des Auftretens des Risikos, den Schweregrad und die Aktionen, die zur Vermeidung und Minderung des Risikos ergriffen werden müssen.

Setzen Sie Steuerungen ein, um das Risiko für ein Unternehmen zu begrenzen und die Möglichkeiten zur Risikominderung zu erhöhen.

Effektives Management von Risiken bedeutet, dass die Risiken ständig überwacht werden und dass bei Bedarf über die Risiken Bericht erstattet wird, um so die Wirksamkeit eines Plans zum Risikomanagement zu überprüfen.

Unternehmen können die Ausgabedaten eines Risikobewertungsmodells als Eingangswerte für ein Modell verwenden, das die Risikoexposition misst. Quantifizierungssysteme müssen validiert werden, damit sie hinreichend belastbar sind. So können Sie sicher sein, dass die Eingaben, Annahmen, Prozesse und Ergebnisse korrekt sind.

Die Risikoframeworks sind in regelmäßigen Abständen durch den Vorstand zu überprüfen. Damit kann die Führungsebene überwacht werden, um sicherzustellen, dass jeder Teil der Richtlinien und Prozesse auf allen Entscheidungsebenen umgesetzt wird. Der Vorstand sollte zudem eine Risikotoleranz festlegen, aus der hervorgeht, welche Arten, welches Ausmaß und welche Beschaffenheit von Betriebsrisiken er bereit ist, in Kauf zu nehmen.

Stellen Sie sicher, dass die inhärenten Risiken und Anreize von den Mitarbeitern genau verstanden werden. Dazu müssen Sie dafür Sorge tragen, dass in sämtlichen Materialien, Aktivitäten und Prozessen Betriebsrisiken identifiziert und bewertet werden. Die Unternehmenskultur sollte das Verständnis für die inhärenten Betriebsrisiken, die mit den Strategien und den täglichen Aktivitäten des Unternehmens verbunden sind, durch unterstützende Prozesse fördern.

Die Geschäftsführung und die Leitungsorgane sind dafür verantwortlich, die Ziele eines Unternehmens festzulegen und Strategien zur Erreichung der Ziele zu skizzieren. Zu den Zielsetzungen gehört auch das Risikomanagement, damit die Ziele unter Anwendung des Modells der drei Verteidigungslinien bestmöglich erreicht werden können. Dies erfordert die aktive Unterstützung durch die Geschäftsleitung und die Leitungsorgane des Unternehmens.

• Erste Verteidigungslinie: Betriebsmanagement
  Das Betriebsmanagement ist die erste Verteidigungslinie. Der Betriebsleiter übernimmt die Verantwortung für die Risiken und deren Management. Damit einher geht die Zuständigkeit für die Umsetzung von Aktionen zum Abbau von Defiziten. Der Prozess umfasst die Identifikation, Bewertung, Steuerung und Minderung von Risiken. Zugleich steuert der Betriebsleiter die Implementierung interner Richtlinien und stellt sicher, dass die Aktivitäten konsequent auf die Ziele ausgerichtet sind.
  
  
• Zweite Verteidigungslinie: Risikomanagement und Compliance
  Die zweite Verteidigungslinie umfasst in der Regel eine Stelle für das Risikomanagement, die die Umsetzung von Risikomanagement-Praktiken überwacht und gleichzeitig den Betriebsleitern dabei hilft, Risikoziele zu definieren und Berichte über risikobezogene Daten zu erstellen.
  
  
• Dritte Verteidigungslinie: Interne Audits
  Audit-Prüfer geben der Geschäftsführung und dem Leitungsgremium Gewissheit. Die Prüfung soll Aufschluss über das Risikomanagement, die interne Steuerung und die Wirksamkeit der Governance geben. Der Prüfungsumfang erstreckt sich in der Regel auf die Effizienz des Betriebs, die Assets, die Zuverlässigkeit und Integrität des Reportings und die Compliance.

Das Management von Betriebsrisiken sollte sich auf die Erkennung und Meldung von Risiken aller Art konzentrieren und um eine zweite Verteidigungslinie erweitert werden, die mit der ersten zusammenarbeitet, um eine wirksame Resilienz in den Abläufen und Prozessen zu schaffen.

Um einen Geschäftsprozess und dessen Resilienz zu bewerten, die Geschäftsführung bei Bedarf zu hinterfragen und die Prioritäten zu verwalten, sind einige Tools erforderlich.

• Abbildung von Prozessen und Steuerungen: Nehmen Sie sich die Zeit, die Prozesse mit den entsprechenden Risiken und Steuerungen abzubilden. Berücksichtigen Sie dabei die Komplexität der Prozesse, jede Übergabe entlang des Prozesses sowie die Frage, ob die Verwaltung automatisiert oder manuell erfolgt. Das Ziel ist es, die Prozessverantwortung entlang des Weges zu skizzieren und gleichzeitig die Produktivität zu maximieren.
  
  
• Identifikation erforderlicher Technologie: Finden Sie heraus, für welche Punkte des Weges Technologie erforderlich ist und welche Art von Technologie benötigt wird.
  
  
• Überwachung: Überwachen Sie Risiken und Steuerungen, indem Sie Mechanismen einrichten, die Ihnen dabei helfen, Metriken zu verfolgen, um auf ungewöhnliche Risikoniveaus zu achten.
  
  
• Verknüpfung von Ressourcen: Verknüpfen Sie die Ressourcenplanung mit den Prozessen, um ein Verständnis für die damit verbundenen Prozesse und den Prozessbedarf zu entwickeln. Schaffen Sie auf Grundlage der gefundenen Ergebnisse Kapazitäten zur Skalierung.
  
  
• Festigung des Verhaltens: Sorgen Sie dafür, dass das richtige Verhalten des Einzelnen durch Schulungen, Anreize und Leistungsmanagement gefestigt wird.
  
  
• Change Management: Schaffen Sie Systeme für das Change Management, damit die richtigen Talente zur Verfügung stehen. Arbeiten Sie mit Prozessen und Kapazitäten und tragen Sie Sorge für die angemessene Anleitung.

• Feedback: Organisieren Sie ein kontinuierliches Feedback, um Probleme zu erkennen, Ursachenanalysen durchzuführen und Prozesse zu überarbeiten, während die Daten gewonnen werden.

Die Fortschritte bei Analysetools können beim Risikomanagement hilfreich sein: Im Laufe der Zeit sind vermehrt sowohl strukturierte als auch unstrukturierte Daten verfügbar. Fortgeschrittene Analysetools sind in nahezu jedem Bereich des Risikomanagements anwendbar, einschließlich der Erkennung von Risiken, der Identifizierung von Fehlalarmen, der Compliance, der Prozessausfälle und des menschlichen Risikos.

• Echtzeit-Tests: Testen Sie das Risikomanagement in Echtzeit, um Risikokennzahlen zu bestimmen und zu analysieren. Im Idealfall können Anomalien oder ungewöhnliche Aktivitäten in Echtzeit auf Risiko- oder andere Bereiche hinweisen, die angegangen werden müssen.
• Gezielte Tools: Speziell ausgerichtete Datentools können Risikoprobleme in bestimmten Bereichen erkennen. Auch maschinelles Lernen kann im Zusammenspiel mit zielgerichteten Analysetools hilfreich sein, da Systeme für maschinelles Lernen und künstliche Intelligenz lernen können, Risikobereiche oder Indikatoren für Risikoaktivitäten innerhalb eines Datensatzes besser zu erkennen.

Das Management von Risiken erfordert besondere Fähigkeiten und ein besonderes Risikoverständnis zur Erkennung von Risikoaktivitäten, zur Interpretation der Daten und zur Erstellung einer gründlichen Analyse. Führungskräfte, Teams und Einzelpersonen müssen ihr Herangehen an Risiken grundlegend ändern. Dazu gehört auch die Anpassung von Prozessen und das Verständnis dafür, dass fortschrittliche Analysen immer wichtiger werden, insbesondere durch die Einführung von Systemen für maschinelles Lernen und künstliche Intelligenz.

Menschen können für das betriebliche Risikomanagement sehr effektiv sein, aber ein Teil des Risikomanagements besteht darin, zu erkennen und zu analysieren, wie sich menschliches Versagen auf das betriebliche Risikomanagement auswirken kann und welche Risiken damit verbunden sind.

Nachdem die Risiken zunächst identifiziert wurden, sollten die meisten Risiken idealerweise vermieden werden. Bei der Risikovermeidung geht es darum, Schwachstellen zu minimieren und Risiken zu beseitigen, die als Bedrohung erkannt wurden. Ein Teil der Risikovermeidung besteht darin, die Mitarbeiter entsprechend zu schulen und die geeigneten Richtlinien und Verfahren einzuführen.

Im Idealfall sollte ein Risiko vermieden werden, aber das ist nicht immer möglich. Unter Risikoreduzierung versteht man das Verständnis von Risiken und Belastungen und die Strategien, die zur Reduzierung dieser Risiken und Belastungen eingesetzt werden. In der Regel wird das Risiko quantifiziert, analysiert und bestimmten Risikostufen zugeordnet. Auf dieser Grundlage können Prioritäten für die Risikominderung gesetzt und Maßnahmen zur Risikominderung ergriffen werden.

Ein geteiltes Risiko bedeutet nicht, dass das Risiko übertragen wird. Die Risikoteilung dient dazu, die Auswirkungen ungewisser Ereignisse oder bestimmter Risiken zu verringern. Aufgaben oder Zuständigkeiten können zwischen Abteilungen oder Einzelpersonen innerhalb eines Unternehmens aufgeteilt werden. Das Risiko wird so auf mehrere Schultern verteilt und die einzelnen Verantwortlichkeiten werden im Rahmen eines umfassenderen Risikomanagements verschiedenen Personen zugewiesen.

Ein Risiko zu übertragen bedeutet, dass man keine Verantwortung für das Risiko übernimmt – das Behalten des Risikos ist das Gegenteil. Ein Unternehmen behält das Risiko, indem es das Risiko und die sich daraus ergebenden Konsequenzen selbst finanziert. Die Entscheidung, ein Risiko zu behalten, wird in der Regel getroffen, nachdem eine Finanzanalyse ergeben hat, dass es günstiger ist, das Risiko zu behalten, als es auf eine Drittpartei zu übertragen.