Riskmanagement & IKS News
Wirkungsvolles Risk Management
Typischerweise wird die Identifikation und Bewertung von Risken einmal im Jahr an einem Workshop in einer statischen Tabelle (Excel) nachgeführt und die Massnahmen beschlossen. In einem dynamischen Risk Management-System (RMS) hingegen werden die Ergebnisse in Echtzeit gemeldet und Massnahmen ergriffen.
Am prägnantesten lässt sich der Unterschied zwischen statischem und dynamischen Risk Management anhand der Risikoidentifikation, -bewertung und dem -Handling erläutern
statisch | dynamisch | |
Identifikation von Risiken | oft (nur) einmal pro Jahr | laufend |
Bewertung von Risiken | oft (nur) einmal pro Jahr | zeitnah, online |
Risk Handling | traktandierte Berichterstattung | real-time, online |
Um die Zeitkomponente in den Griff zu bekommen, müssen die Prozesse für Risikoidentifikation, -bewertung und dem -Handling (Massnahmen) digitalisiert werden.
- Identifikation von Risiken
Die Identifizierung von Risiken ist eine komplexe Aufgabe, die eine umfassende Analyse verschiedener Informationsquellen erfordert.
Dazu gehören nicht nur interne Daten wie Reglemente, Verträge und Geschäftszahlen, sondern auch externe Informationen wie politische Entwicklungen, rechtliche Veränderungen und Marktbedingungen.
Solange für diese Arbeit keine Unterstützung z.B. durch künstliche Intelligenz (KI) zur Verfügung steht, liegt es in der Verantwortung des Risk (Category) Owners das Risikoportfolio à jour zu halten.
Mit einem IT-gestützten RMS kann der Risk Owner das Risikoportfolio laufend anpassen.
- Risiken, die nicht mehr, verfolgt werden müssen, können deaktiviert werden.
- Neue Risiken können sofort erfasst und bewertet werden.
- Bewertung von Risiken
In der Praxis ist oft eine Kombination aus menschlicher Expertise und Datenanalyse am effektivsten für die Bewertung der Risiken. Experten können wichtige Kontextinformationen liefern und die Ergebnisse der Datenanalyse interpretieren. Gleichzeitig können Datenreihen die objektive Grundlage für fundierte Entscheidungen liefern.
Es ist wichtig, dass Organisationen die richtige Balance zwischen menschlicher Expertise und datengesteuerten Ansätzen finden, um effektives Risikomanagement zu gewährleisten.
2.1 Häufigkeit
Die Häufigkeit, mit der eine Risikobeurteilung durchgeführt werden sollte, hängt von verschiedenen Faktoren ab, wie z.B. der Art des Risikos, der Branche, in der das Unternehmen tätig ist, und den gesetzlichen Vorschriften, die in der jeweiligen Region gelten.
Erstaunlicherweise geben nur 23 Prozent der Schweizer Unternehmen an, mehrmals jährlich eine Risikobeurteilung durchzuführen.
2.2. Bewertungsprozess: Gremien vs. Experten
Typischerweise werden die Risiken einmal jährlich durch das Führungsgremium der Organisation bewertet, obwohl das wegen folgenden Gründen, nicht optimal ist.
- Gruppendenken erhöht die Risikobereitschaft. Beteiligte gehen gemeinsam grössere Risiken ein, als dies jeder für sich allein tun würde. Potenziell entsteht die Dynamik einer kollektiven Selbstüberschätzung. Im schlimmsten Fall entscheidet die Gruppe als Ganzes schlechter, als wenn der Chef im Alleingang entschieden hätte.
- Die Dominanz von Personen und Informationen sowie Empfehlungen in den Diskussionen führen zu Verzerrungen in der Meinungsbildung.
Teilnehmer haben Angst um ihren Ruf. Ihre Bedenken könnten als persönliche Kränkung empfunden werden; ihre Äusserung könnten andere für töricht halten.
Gute Entscheide fallen, wenn
- die Entscheidungsfindung transparent ist und
- die Meinungen derjenigen, die das Thema am besten beurteilen können, eingeflossen sind.
Wenn dies alles gut funktioniert, kommt die Schwarmintelligenz zum Tragen, und die Konsolidierung der Bewertungen ergibt ein besseres Ergebnis, als wenn das Gremium entschieden hätte.
Kommt dazu, dass der dezentrale Prozess effizienter ist, da es keine Terminkoordination für das Bewertungsmeetings des Führungsgremiums braucht.
- Massnahmen
Die Ergebniskonsolidierung liegt in der Verantwortung des Risk Owners. Er ist der Empfänger der einzelnen Risikobewertungen und verantwortlich für die Massnahmen.
Je nach Kompetenzordnung kann er selbst die Ressourcen für die Massnahmen zuteilen und sie umsetzen (lassen). In der meisten Fällen wird es aber sinnvoll sein, die Massnahmen im Leitungsorgan zu entscheiden, da die Ressourcen und die betroffenen Bereiche übergreifend sind.
Die beschlossenen Massnahmen werden im RMS – vergleichbar mit den Kontrollen im IKS – geführt. Jede Massnahme hat mindestens eine verantwortliche Person für deren Umsetzung.
Fazit:
Durch dynamisches Risk Management wird die Wirksamkeit von Risikoidentifikation, -bewertung und -Handling erhöht.
Es entfaltet seine volle Wirkung, wenn es die kollektive Intelligenz der Gruppe nutzt. Dies führt zu einer konsolidierten Bewertung, die oft bessere Ergebnisse liefert als Entscheidungen, die von traditionellen Gremien getroffen werden.