swissaxis

Riskmanagement & IKS News

Wirkungsvolles Risk Management

Mit dynamischem Prozess und Schwarmintelligenz zu besseren Entscheiden und effektiverem Risk Handling.

Typischerweise wird die Identifikation und Bewertung von Risken einmal im Jahr an einem Workshop in einer statischen Tabelle (Excel) nachgeführt und die Massnahmen beschlossen. In einem dynamischen Risk Management-System (RMS) hingegen werden die Ergebnisse in Echtzeit gemeldet und Massnahmen ergriffen.

Der wesentliche Unterschied zwischen einem statischen und dynamischen Risikomanagementsystem liegt in der Komponente Zeit.


Am prägnantesten lässt sich der Unterschied zwischen statischem und dynamischen Risk Management anhand der Risikoidentifikation, -bewertung und dem -Handling erläutern

  statisch dyna­misch
Identifika­tion von Risiken oft (nur) einmal pro Jahr laufend
Bewertung von Risiken oft (nur) einmal pro Jahr zeitnah, online
Risk Handling traktan­dierte Bericht­erstattung real-time, online

Um die Zeitkomponente in den Griff zu bekommen, müssen die Prozesse für Risikoidentifikation, -bewertung und dem -Handling (Massnahmen) digitalisiert werden.

  1. Identifikation von Risiken

Die Identifizierung von Risiken ist eine komplexe Aufgabe, die eine umfassende Analyse verschiedener Informationsquellen erfordert.

Dazu gehören nicht nur interne Daten wie Reglemente, Verträge und Geschäftszahlen, sondern auch externe Informationen wie politische Entwicklungen, rechtliche Veränderungen und Marktbedingungen.

Die Herausforderung besteht darin, all diese Daten zu sammeln, zu verarbeiten und zu analysieren, um potenzielle Risiken frühzeitig zu erkennen und angemessen darauf reagieren zu können.


Solange für diese Arbeit keine Unterstützung z.B. durch künstliche Intelligenz (KI) zur Verfügung steht, liegt es in der Verantwortung des Risk (Category) Owners das Risikoportfolio à jour zu halten.

Mit einem IT-gestützten RMS kann der Risk Owner das Risikoportfolio laufend anpassen.

  • Risiken, die nicht mehr, verfolgt werden müssen, können deaktiviert werden.
  • Neue Risiken können sofort erfasst und bewertet werden.

  1. Bewertung von Risiken

In der Praxis ist oft eine Kombination aus menschlicher Expertise und Datenanalyse am effektivsten für die Bewertung der Risiken. Experten können wichtige Kontextinformationen liefern und die Ergebnisse der Datenanalyse interpretieren. Gleichzeitig können Datenreihen die objektive Grundlage für fundierte Entscheidungen liefern.

Es ist wichtig, dass Organisationen die richtige Balance zwischen menschlicher Expertise und datengesteuerten Ansätzen finden, um effektives Risikomanagement zu gewährleisten.

2.1 Häufigkeit

Die Häufigkeit, mit der eine Risikobeurteilung durchgeführt werden sollte, hängt von verschiedenen Faktoren ab, wie z.B. der Art des Risikos, der Branche, in der das Unternehmen tätig ist, und den gesetzlichen Vorschriften, die in der jeweiligen Region gelten.

Erstaunlicherweise geben nur 23 Prozent der Schweizer Unternehmen an, mehrmals jährlich eine Risikobeurteilung durchzuführen.


Eine gute Praxis ist es, die Häufigkeit der Risikobeurteilung pro Risiko festzulegen. Das Fremdwährungsrisiko z.B. muss häufiger beurteilt werden als die Gefahr eines Felssturzes.


2.2. Bewertungsprozess: Gremien vs. Experten

Typischerweise werden die Risiken einmal jährlich durch das Führungsgremium der Organisation bewertet, obwohl das wegen folgenden Gründen, nicht optimal ist.

  1. Gruppendenken erhöht die Risikobereitschaft. Beteiligte gehen gemeinsam grössere Risiken ein, als dies jeder für sich allein tun würde. Potenziell entsteht die Dynamik einer kollektiven Selbstüberschätzung. Im schlimmsten Fall entscheidet die Gruppe als Ganzes schlechter, als wenn der Chef im Alleingang entschieden hätte.

  2. Die Dominanz von Personen und Informationen sowie Empfehlungen in den Diskussionen führen zu Verzerrungen in der Meinungsbildung.

    Teilnehmer haben Angst um ihren Ruf. Ihre Bedenken könnten als persönliche Kränkung empfunden werden; ihre Äusserung könnten andere für töricht halten.

Gute Entscheide fallen, wenn

  • die Entscheidungsfindung transparent ist und
  • die Meinungen derjenigen, die das Thema am besten beurteilen können, eingeflossen sind.

In der Bewertung von Risiken bewährt sich deshalb ein dezentrales Vorgehen. Experten (interne u/o externe) werden als Risikobewerter ernannt und erhalten den Bewertungsauftrag unabhängig voneinander elektronisch. Jedes einzelne Ergebnis wird im RMS erfasst und sofort dem Risk Owner weitergeleitet.


Wenn dies alles gut funktioniert, kommt die Schwarmintelligenz zum Tragen, und die Konsolidierung der Bewertungen ergibt ein besseres Ergebnis, als wenn das Gremium entschieden hätte.

Kommt dazu, dass der dezentrale Prozess effizienter ist, da es keine Terminkoordination für das Bewertungsmeetings des Führungsgremiums braucht.

  1. Massnahmen


Die Ergebniskonsolidierung liegt in der Verantwortung des Risk Owners. Er ist der Empfänger der einzelnen Risikobewertungen und verantwortlich für die Massnahmen.

Je nach Kompetenzordnung kann er selbst die Ressourcen für die Massnahmen zuteilen und sie umsetzen (lassen). In der meisten Fällen wird es aber sinnvoll sein, die Massnahmen im Leitungsorgan zu entscheiden, da die Ressourcen und die betroffenen Bereiche übergreifend sind.

Die beschlossenen Massnahmen werden im RMS – vergleichbar mit den Kontrollen im IKS – geführt. Jede Massnahme hat mindestens eine verantwortliche Person für deren Umsetzung.

Das RMS zeichnet auf, wie die Massnahmen umgesetzt und welche Ergebnisse erzielt wurden. Je höher das Risiko, desto angebrachter ist die Dokumentation des Massnahmennachweises.


Fazit:

Durch dynamisches Risk Management wird die Wirksamkeit von Risikoidentifikation, -bewertung und -Handling erhöht.

Es entfaltet seine volle Wirkung, wenn es die kollektive Intelligenz der Gruppe nutzt. Dies führt zu einer konsolidierten Bewertung, die oft bessere Ergebnisse liefert als Entscheidungen, die von traditionellen Gremien getroffen werden.

image_pdfAls PDF speichern

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert