Kein Rahmenwerk für das operative Risikomanagement ist vollständig ohne eine Risiko- und Kontrollselbstbewertung (RCSA). Diese leistungsfähige Technik, die von Mitarbeitern auf allen Ebenen und in einer Vielzahl von Organisationen zur Identifizierung von Risiken und zur Bewertung der damit verbundenen Kontrollen und ihrer Wirksamkeit eingesetzt wird, wurde 1987 entwickelt. Auch heute noch gilt sie als ein wirksames Mittel, um Leitungsgremien und Aufsichtsbehörden zu versichern, dass alle Ziele erreicht werden. Es wurden auch eine Reihe „weicherer“ Vorteile identifiziert: Die Mitarbeiter erhalten ein tieferes Verständnis der Geschäftsabläufe, ein größeres Bewusstsein für das Management von Betriebsrisiken und sind besser in der Lage, ein strengeres Governance-Programm voranzutreiben. Das Whitepaper ‚Risk Control and Self Assessment‘ des Institute of Risk (IOR) beschreibt, wie RCSAs Unternehmen dabei helfen, Risikopositionen zu priorisieren, Kontrollschwächen und -lücken zu identifizieren und die Maßnahmen zu deren Behebung zu überwachen. Es scheint ein schmaler Grat zu sein, um das richtige Gleichgewicht zu finden. Eine gut durchgeführte und implementierte RCSA sollte dazu beitragen, das operative Risikomanagement im gesamten Unternehmen zu verankern und die Risikokultur insgesamt zu verbessern. Wenn man es zu komplex macht, kann sich die Vorstellung verfestigen, dass das operationelle Risikomanagement bürokratisch und auf die Einhaltung von Vorschriften ausgerichtet ist. Der Leitfaden betont, dass RCSAs nicht nur bei der Bewertung von operationellen Risiken helfen, sondern auch eine Rolle dabei spielen, operationelle Risiken auf den Tisch zu bringen und dafür zu sorgen, dass darüber gesprochen wird. Es wird davon ausgegangen, dass Unternehmen, die über operationelle Risiken und die Wirksamkeit der damit verbundenen Kontrollen sprechen, besser in der Lage sind, mit neuen und aufkommenden Risiken umzugehen, die die Zukunft bringt. Zweifellos wird ein effektives RCSA dazu beitragen, die Unternehmensführung und Compliance-Aktivitäten zu unterstützen. Das IOR meint: „Die Ergebnisse eines RCSA geben dem Leitungsorgan und den Aufsichtsbehörden die Gewissheit, dass eine Organisation über ein solides System für das Management operationeller Risiken verfügt. Ebenso können RCSAs die Arbeit interner und externer Prüfer unterstützen, indem sie ihnen helfen, Prioritäten zu setzen und Prüfungen zu strukturieren.“ Ein weiterer erwähnenswerter Vorteil ist die Verbesserung der Geschäftseffizienz. Schwachstellen oder Lücken in den Kontrollen können die Wahrscheinlichkeit von System- und Prozessausfällen und die Auswirkungen externer Ereignisse erhöhen, was wiederum die Kosten und das Störungspotenzial steigert. Am anderen Ende der Skala kann ein übermäßiges Maß an Kontrolle Systeme und Prozesse unnötig verlangsamen. Um Unternehmen dabei zu helfen, das richtige Gleichgewicht zu finden, enthält das Whitepaper ‚Risk and Control Self Assessment‘ detaillierte Informationen darüber, wie ein RCSA konzipiert und implementiert werden kann, das am besten zum Umfang und zur Komplexität der Aktivitäten und auch zur Risikokultur eines Unternehmens passt.

 

Von den RCSA-Grundlagen bis zur Integration des Frameworks

Zu den Highlights aus den Kapiteln gehören:

  • RCSA-Grundlagen

„Ein umfassender Ansatz ist nicht unbedingt die beste Lösung, vor allem, wenn er zu einer Informationsflut führt und übermäßig viel Zeit und Mühe erfordert. RCSAs sollten nur dort eingesetzt werden, wo sie einen Mehrwert darstellen.“

  • Entwerfen eines RCSA

„Die meisten Unternehmen werden Top-Down- und Bottom-Up-RCSAs erstellen. Der Vorteil eines Top-Down-Ansatzes besteht darin, dass Risiken auf strategischer Ebene kaskadenartig nach unten weitergegeben und mit den Risiken, Kontrollen und Maßnahmen abgestimmt werden können, die in den Abteilungen, Bereichen oder Funktionsbewertungen ermittelt wurden. Dies kann dazu beitragen, die operative Risikosteuerung zu verbessern und sicherzustellen, dass die unternehmensweiten und lokalen Prioritäten aufeinander abgestimmt sind. „Der Vorteil einer Bottom-up-Bewertung ist, dass sich die lokalen Manager auf die Risiken und Kontrollen konzentrieren können, die für ihren Bereich relevant sind.

  • Ausfüllen einer RSCA – Ansätze und Techniken

„Fragebögen können verwendet werden, um einige oder alle Informationen zu sammeln, die für eine RCSA erforderlich sind. Fragebögen können als Ersatz für einen Workshop verwendet werden, um Zeit und Ressourcen zu sparen. Sie sind am effektivsten, wenn sie mit Workshops kombiniert werden… Dies sollte die Wahrscheinlichkeit verringern, dass Risiken oder Kontrollen ausgelassen werden, und helfen, individuelle Voreingenommenheiten zu kontrollieren.“

  • Integration eines RCSA in den Rahmen für das Management operationeller Risiken

DieErgebnisse der RCSA sind eine wertvolle Informationsquelle für die Entwicklung von Aktionsplänen für operationelle Risiken. Solche Pläne können die Verbesserung der Wirksamkeit bestehender Kontrollen, die Beseitigung veralteter Kontrollen oder die Einführung neuer Kontrollen zur Schließung von Lücken beinhalten. Die Maßnahmen müssen immer unter Kosten/Nutzen-Gesichtspunkten gerechtfertigt sein. In seiner Schlussfolgerung bekräftigt das White Paper die Botschaft, dass Manager für operationelle Risiken stets darauf achten sollten, dass RCSAs die geschäftliche Entscheidungsfindung unterstützen müssen.