Von Norman Marks, CPA, CRMA
Nur sehr wenige Unternehmen verfügen über das, was ich als effektives Risikomanagement bezeichnen würde: robuste Funktionen und Prozesse, die risikobewusste Entscheidungen auf jeder Ebene ermöglichen, um die Verwirklichung der wichtigsten Unternehmensziele zu unterstützen. Ein gemeinsames Ziel von Risikoverantwortlichen (Fachleuten und ihren Managern) ist es jedoch, den Weg ihrer Organisation zu einem verbesserten, ja sogar erstklassigen Risikomanagement zu messen und zu bewerten. Diese Führungskräfte sind sich einig, dass unabhängig vom aktuellen Stand des Risikomanagements mehr getan werden kann und sollte. Reifegradmodelle für das Risikomanagement sind eine hervorragende Möglichkeit für Unternehmen, zu sehen, wo sie stehen, ihren aktuellen Stand mit dem zu vergleichen, den sie erreichen wollen und müssen, um den vollen Nutzen daraus zu ziehen, und den Wert und die Kosten weiterer Investitionen in das Risikomanagement zu diskutieren. Je ausgereifter das Risikomanagementsystem ist, desto effektiver wird es bessere Entscheidungen ermöglichen, die richtigen Risiken eingehen und bessere Ergebnisse für das Unternehmen erzielen. Einige sind jedoch der Ansicht, dass die Umsetzung des Risikomanagements einfach Zeit braucht. Die Beschreibung der Fähigkeiten des Risikomanagements auf der Grundlage einer Reifekurve – anstatt den aktuellen Stand des Risikomanagements als ineffektiv zu bezeichnen – ist für Führungskräfte weniger entmutigend. Die Bewertung des Reifegrads auf einem Kontinuum ist auch deshalb logisch, weil jedes Managementteam in irgendeiner Form mit dem Risikomanagement befasst ist, selbst wenn die Risikomanagement-„Systeme“ noch im Entstehen begriffen sind. Auch ein erstklassiges Risikomanagementsystem kann noch verbesserungswürdig sein, insbesondere in einem sich ständig verändernden Umfeld, das die Dynamik, die Wiederholung und die Reaktionsfähigkeit des Risikomanagements fördert. Im Folgenden finden Sie ein Risikoreife-Modell, das ich auf der Grundlage eines Modells entwickelt habe, das für eine lokale Regierungsbehörde im Bundesstaat Washington entwickelt wurde. Meiner Ansicht nach steht Stufe fünf des Modells für eine ausgereifte, wohl erstklassige Risikopraxis. Viele Risikoverantwortliche scheinen jedoch damit zufrieden zu sein, auf Stufe vier oder sogar Stufe drei zu stehen. Auf Stufe drei mag es eine Risikomanagementpolitik geben, und die Art und Weise, wie die Risiken eingestuft werden (z.B. hoch, mittel oder niedrig), ist standardisiert. Der Geschäftsleitung und dem Vorstand wird ein Bericht vorgelegt, in dem die wichtigsten Risiken zusammengefasst sind. Wenn Sie sich die zusätzlichen Möglichkeiten von Level Five zur Integration von Risiken in die Strategiefestlegung und jeden anderen Geschäftsprozess ansehen, bei dem verlässliche Informationen darüber, was passieren könnte und welche Auswirkungen dies auf die Erreichung der Unternehmensziele hat, ein integraler Bestandteil aller wichtigen Geschäftsentscheidungen sind, können Sie den zusätzlichen Wert erkennen, der geschaffen wird. Risikomanagementprogramme der Stufe 5 bieten die Gewähr, dass die richtigen Risiken eingegangen werden, während das Unternehmen daran arbeitet, seine Ziele zu erreichen.
| Reifegrad | Beschreibung | Wichtige Attribute |
|---|---|---|
| Eine | Ad hoc | Das Risikomanagement ist undokumentiert und im Fluss; das Management und die Übernahme von Risiken hängt von individuellen Heldentaten ab. |
| Zwei | Vorläufig | Risiken werden auf unterschiedliche Weise definiert und in Silos verwaltet. Es ist unwahrscheinlich, dass die Prozessdisziplin rigoros ist. |
| Drei | Definiert | Es gibt einen gemeinsamen Rahmen für die Risikobewertung und -reaktion. Die Geschäftsleitung und der Vorstand erhalten eine unternehmensweite Übersicht über die Risiken in Form einer Liste der so genannten ‚Top‘-Risiken. Als Reaktion auf die Risiken mit hoher Priorität werden Aktionspläne umgesetzt. |
| Vier | Integriert | Die Aktivitäten des Risikomanagements werden über alle Geschäftsbereiche hinweg koordiniert. Wo es angebracht ist, werden gemeinsame Risikomanagement-Tools und -Prozesse eingesetzt, mit unternehmensweiter Risikoüberwachung, -messung und -berichterstattung. Alternative Reaktionen werden mit der Szenarienplanung und anderen Techniken wie der Monte-Carlo-Simulation analysiert. Prozessmetriken sind vorhanden. Der Schwerpunkt liegt jedoch weiterhin auf der Verwaltung einer Liste von Risiken. Die Erörterung von Risiken auf Vorstands- und Aufsichtsratsebene ist von der Erörterung von Strategie und Leistung getrennt. |
| Fünf | Optimiert | Der Schwerpunkt verlagert sich von der Verwaltung einer Liste von Risiken außerhalb des Kontexts der Unternehmensziele auf die Verwaltung des Erfolgs: die Erreichung der Ziele. Die Überlegung, was passieren könnte (wo immer möglich, wird die Geschäftssprache anstelle der technischen Sprache des Risikos verwendet), ist in die strategische Planung, die Kapitalallokation und andere Prozesse sowie in die tägliche strategische und taktische Entscheidungsfindung eingebettet. Es besteht ein angemessenes Maß an Sicherheit, dass die Entscheidungsträger das richtige Maß an den richtigen Risiken eingehen, die für den Erfolg notwendig sind, und nicht nur einen Misserfolg vermeiden. Es gibt Frühwarnsysteme, die den Vorstand und die Geschäftsleitung über bestimmte Risiken informieren, die die festgelegten Schwellenwerte für die Risikobereitschaft oder die Risikokapazität überschreiten – und bei denen die Wahrscheinlichkeit, dass die Unternehmensziele erreicht werden, geringer als akzeptabel ist. Die Berichterstattung an das Management und den Vorstand integriert Leistungsberichte (wo wir jetzt stehen) und Risiken (was passieren könnte), um die Wahrscheinlichkeit der Erreichung jedes Unternehmensziels zu projizieren. Die Diskussion über Risiken auf der Ebene der Geschäftsleitung und des Vorstands (was passieren könnte) ist nicht von der Diskussion über Strategie und Leistung zu trennen. |
Die Mehrheit der Unternehmen (basierend auf regelmäßigen Umfragen bei Wirtschaftsprüfungs- und Beratungsunternehmen) gibt an, dass die Vorstände und die Geschäftsleitung das Risikomanagement als eine Compliance-Aktivität ansehen, als etwas, das sie tun müssen. Sie sehen es nicht als etwas an, das sie tun wollen, weil es einen Mehrwert schafft und ihnen hilft, erfolgreich zu sein. Sie sehen es nur als etwas, das ihnen hilft, Misserfolge zu vermeiden. Wenn ein Unternehmen die Reifegradstufe Fünf erreicht hat, verlagert sich der Schwerpunkt darauf, täglich Entscheidungen zu treffen, die die richtigen Risiken für den Erfolg eingehen. Der Vorstand und das Topmanagement können verstehen, ob die Unternehmensziele erreicht werden können oder nicht und warum. Nach meiner Erfahrung mit CEOs und Vorstandsmitgliedern ist Risikomanagement auf dieser Stufe etwas, das sie nicht nur wollen, sondern auch bereit sind, die Zeit und das Geld zu investieren, um es zu erreichen. Weitere Informationen über die Verbesserung Ihrer Risikoreife finden Sie in unserem Blog, How a RMIS Can Boost Your Risk Maturity. Weitere Erkenntnisse von Norman Marks finden Sie in unserem On-Demand-Webinar Risk@Work, Do You Really Need a GRC Solution?
Norman Marks ist ein weltweit anerkannter Vordenker auf dem Gebiet der Innenrevision und des Risikomanagements. Er arbeitet mit Einzelpersonen und Organisationen auf der ganzen Welt zusammen und berät sie in den Bereichen Risikomanagement, interne Revision, Corporate Governance, Unternehmensleistung und Wert von Informationen. Norman ist der Autor von neun berühmten Büchern über Risikomanagement, interne Revision und Sarbanes-Oxley-Compliance.
