Kein Rahmenwerk für operatives Risikomanagement ist ohne Risiko- und Kontrollselbstbewertung (Risk and Control Self Assessment, RCSA) vollständig. Diese ermächtigende Technik, die von Mitarbeitern auf allen Ebenen und in einer Vielzahl von Organisationen zur Identifizierung von Risiken und zur Bewertung zugehöriger Kontrollen und deren Wirksamkeit eingesetzt wird, wurde 1987 entwickelt. Heute gilt sie immer noch als wirkungsvolle Methode, um Leitungsgremien und Aufsichtsbehörden die Gewissheit zu geben, dass alle Ziele erreicht werden. Es wurden auch eine Reihe von „weicheren“ Vorteilen identifiziert: Das Personal wird ein tieferes Verständnis der Geschäftsabläufe erlangen, ein gesteigertes Bewusstsein für operatives Risikomanagement entwickeln und besser in der Lage sein, ein strafferes Governance-Programm voranzutreiben.

Das Whitepaper des Institute of Risk (IOR), „Risk Control and Self Assessment“, erläutert detailliert, wie RCSAs Organisationen dabei helfen, Risikoexpositionen zu priorisieren, Schwachstellen und Lücken in den Kontrollen zu identifizieren und die zur Behebung ergriffenen Maßnahmen zu überwachen.

Es scheint, dass es eine feine Grenze gibt, um die richtige Balance zu erreichen; ein gut durchgeführtes und implementiertes RCSA sollte dazu beitragen, das operative Risikomanagement im gesamten Unternehmen zu verankern und die allgemeine Risikokultur zu verbessern. Wird es zu komplex gestaltet, könnte die Vorstellung verstärkt werden, dass operatives Risikomanagement bürokratisch und compliance-gesteuert ist.

Die Richtlinie betont, dass RCSAs nicht nur bei der Bewertung operativer Risikoexpositionen helfen, sondern auch eine Rolle dabei spielen, operative Risiken auf den Tisch zu bringen und Menschen dazu zu bringen, darüber zu sprechen. Der Gedanke dahinter ist, dass Organisationen, die operative Risiken und die Wirksamkeit ihrer zugehörigen Kontrollen diskutieren, besser darauf vorbereitet sein werden, „was die Zukunft bereithält“ – neue und aufkommende Risiken.

Zweifellos wird ein effektives RCSA dazu beitragen, Corporate Governance und Compliance-Aktivitäten zu unterstützen. Laut IOR „bieten die Ergebnisse eines RCSA dem Leitungsorgan und den Aufsichtsbehörden die Gewissheit, dass eine Organisation über ein solides System für das Management operativer Risiken verfügt. Gleichermaßen können RCSAs die Arbeit interner und externer Prüfer unterstützen, indem sie helfen, Prüfungsschwerpunkte zu setzen und Prüfungen zu strukturieren.“

Ein weiterer erwähnenswerter Vorteil ist die Verbesserung der Geschäftseffizienz. Schwachstellen oder Lücken in den Kontrollen können die Wahrscheinlichkeit von System- und Prozessausfällen sowie die Auswirkungen externer Ereignisse erhöhen, was zu steigenden Kosten und Störungspotenzialen führt. Am anderen Ende der Skala „kann ein übermäßiges Maß an Kontrolle Systeme und Prozesse unnötig verlangsamen.“

Um Organisationen dabei zu helfen, die richtige Balance zu finden, enthält das Whitepaper „Risk and Control Self Assessment“ detaillierte Informationen darüber, wie ein RCSA konzipiert und implementiert werden kann, das am besten zum Umfang und zur Komplexität der Aktivitäten sowie zur Risikokultur einer Organisation passt.

 

Von den RCSA-Grundlagen bis zur Integration des Frameworks

Zu den Highlights aus den Kapiteln gehören:

  • RCSA-Grundlagen

„Ein umfassender Ansatz ist nicht unbedingt die beste Lösung, vor allem, wenn er zu einer Informationsflut führt und übermäßig viel Zeit und Mühe erfordert. RCSAs sollten nur dort eingesetzt werden, wo sie einen Mehrwert darstellen.“

  • Entwerfen eines RCSA

„Die meisten Organisationen werden Top-down- und Bottom-up-RCSAs entwerfen. Der Vorteil eines Top-down-Ansatzes besteht darin, dass Risiken auf strategischer Ebene nach unten weitergegeben und mit den Risiken, Kontrollen und Maßnahmen abgestimmt werden können, die in Abteilungen, Divisionen oder Funktionsbewertungen identifiziert wurden. Dies kann dazu beitragen, die Governance des operativen Risikos zu verbessern und sicherzustellen, dass organisationsweite und lokale Prioritäten aufeinander abgestimmt sind.

„Der Vorteil einer Bottom-up-Bewertung besteht darin, dass sich lokale Manager auf die Risiken und Kontrollen konzentrieren können, die für ihren Bereich relevant sind.“

  • Ausfüllen einer RSCA – Ansätze und Techniken

„Fragebögen können verwendet werden, um einige oder alle Informationen zu sammeln, die für eine RCSA erforderlich sind. Fragebögen können als Ersatz für einen Workshop verwendet werden, um Zeit und Ressourcen zu sparen. Sie sind am effektivsten, wenn sie mit Workshops kombiniert werden… Dies sollte die Wahrscheinlichkeit verringern, dass Risiken oder Kontrollen ausgelassen werden, und helfen, individuelle Voreingenommenheiten zu kontrollieren.“

  • Integration eines RCSA in den Rahmen für das Management operationeller Risiken

„“RCSA-Ergebnisse sind eine wertvolle Informationsquelle für die Entwicklung von Aktionsplänen für das operative Risikomanagement. Solche Pläne könnten die Verbesserung der Wirksamkeit bestehender Kontrollen, die Entfernung veralteter Kontrollen oder die Einführung neuer Kontrollen zur Behebung von Lücken umfassen. Maßnahmen müssen stets auf Kosten-Nutzen-Basis gerechtfertigt sein.

In seiner Schlussfolgerung bekräftigt das Whitepaper die Botschaft, dass Manager für operatives Risikomanagement stets bedenken sollten, dass RCSAs die Entscheidungsfindung im Unternehmen unterstützen müssen.