Riskmanagement & IKS News
Was ist das grösste Risiko bei Einführung eines Risikomanagements?
Auch wenn der Einstieg ins Risikomanagement für alle Unternehmen und Behörden geboten ist, ohne dass zwei Voraussetzungen erfüllt sind, lohnt sich der Aufwand nicht.
- Engagement der Führung:
Die oberste Führungsebene muss tatsächlich ein wirksames Risikomanagement wollen, damit die «richtigen» Risiken eingegangen werden. - Rollen und Verantwortlichkeiten:
Es besteht der Wille zur klaren Formulierung von Verantwortlichkeiten für das Risikomanagement auf allen Ebenen. Geeignete personelle Ressourcen zur Übernahme der Rollen und Verantwortlichkeiten sind vorhanden, oder es besteht die Bereitschaft, sie zu beschaffen.
Das Entdecken von denkbaren unternehmensrelevanten Risiken (Risikoidentifikation) ist ein intellektueller Prozess. Aus unserer Praxis wissen wir, dass diese Arbeit, den Leitungsgremien relativ leichtfällt, wenn die notwendige Zeit dafür zur Verfügung steht.
Massnahmencontrolling, die Lenkung und Steuerung des Risikoappetits mittels Massnahmen, ist ein «handwerklicher» Prozess. Es ist praktisch-konkrete Arbeit, die genügend Ressourcen braucht.
Einen Risikokatalog mit Bewertung à jour zu halten, ist eine Fleisssache. Das generiert aber nur einen Wert, wenn die Steuerungsmassnahmen auch vollständig durchgeführt werden können.
Bevor Sie die Einführung des Risikomanagements entscheiden, lohnt es sich
vor Augen zu führen, welche Managementleistung damit verbunden ist. Das Deutsche Institut für Interne Revision formuliert das wie folgt:
Das Management
- errichtet und unterhält geeignete Strukturen und Prozesse für das Management des Betriebs und der Risiken (inkl. interner Kontrollen).
- entwickelt, implementiert und verbessert kontinuierlich die Risikomanagementpraktiken (inkl. interner Kontrollen) auf Prozess-, System- und Entitätsebene.
- stellt das Erreichen der Risikomanagementziele sicher, wie z.B. Einhaltung von Gesetzen, Regulierungen und akzeptablem ethischem Verhalten, interne Kontrollen, Informations- und Technologiesicherheit, Nachhaltigkeit und Qualitätssicherung.
- stellt Analysen und Berichte über die Angemessenheit und Wirksamkeit des Risikomanagements (inkl. interner Kontrollen) bereit.
Fazit: Mit genügender Kenntnis des eigenen Geschäftsmodells und Vorstellungskraft über mögliche Veränderungen in der Branchenstruktur, Umwelt, Politik etc. sind die Risiken rasch identifiziert.
Was oft vergessen geht, ist die Bereitstellung der Ressourcen für das Massnahmencontrolling.
Wenn das Geld für alle Massnahmen nicht reicht, lieber die Relevanz des Risikokatalogs überprüfen oder auf Geschäftsaktivitäten mit Risiken, die nicht «controlled» werden können, verzichten.
Quellen:
Whitepaper Risk Management und IKS-Konferenz 2022 Download-Link
Erkenntnisse aus der Risk Management und IKS-Konferenz 2022 Download-Link
