Risikokriterien sind ein wichtiger Bezugspunkt für die Bewertung der Bedeutung von Risiken. Sie verknüpfen Strategie und Handeln und helfen Ihnen festzustellen, ob Sie das richtige Maß an Risiko eingehen. Risikokriterien können Entscheidungsträgern auch die Erlaubnis geben, mehr Risiko einzugehen, um die richtige Rendite zu erzielen und die verfügbaren Ressourcen effizient zu nutzen.

So wichtig Risikokriterien für ein unternehmensweites Risikomanagementprogramm auch sind, werden sie doch oft von sichtbareren Instrumenten wie Heatmaps und Key Risk Indicators in den Schatten gestellt. Viele Unternehmen betrachten Risikokriterien als etwas, das im Hintergrund abläuft und nehmen sich nur selten die Zeit, sie entsprechend den sich ändernden Bedingungen zu überprüfen oder zu aktualisieren.

Auch gut ausgearbeitete Risikokriterien sind komplex – und sie sind nicht einfach zu entwickeln. Es kostet Zeit und Mühe, eine Messlatte für das Verständnis und die Verbindung von Risikobereitschaft, Risikotoleranz und Strategie zu schaffen. Aber wenn Ihre Messlatte nicht stimmt, wie wollen Sie dann wissen, ob Sie die richtigen Risiken eingehen, um Ihre strategischen Ziele zu erreichen?

Ein konsistenter Bezugspunkt

Die Risikokriterien ermöglichen eine klare Interpretation der Risikotoleranz und der Risikobereitschaft, da sie mit Ihren Gesamtzielen übereinstimmen. Der konsistente Charakter von Risikokriterien verhindert kognitive Verzerrungen, die sich in Zeiten der Unsicherheit einschleichen können. Und das kann Ihnen helfen, vorschnelle Urteile zu vermeiden, die nicht in Ihrem langfristigen Interesse liegen.

Risikokriterien schaffen auch eine gemeinsame Sprache für eine effektive Kommunikation über Risiken, was wichtig ist, da die Anregung wertvoller Gespräche einer der wichtigsten Teile eines ERM-Programms ist. Wenn die Diskussion zum Handeln übergeht, können Risikokriterien auch zur Priorisierung von Ressourcen verwendet werden. Das ist besonders hilfreich, wenn es zu Zielkonflikten kommt.

Finden Sie aussagekräftige Risikokriterien

Um Risikokriterien zu entwickeln, sollten Sie sich zunächst zwei Fragen stellen: Wie viel Risiko gehen Sie derzeit ein? Und ist dieses Risikoniveau akzeptabel?

Sobald Sie genaue Antworten haben, können Sie mit der Definition der spezifischen Kriterien für Ihr Unternehmen fortfahren. Beachten Sie, dass Risikokriterien kein Instrument von der Stange sind. Um sinnvoll zu sein, müssen die Risikokriterien auf die Strategie, die Ziele, die Maßnahmen und die Risikobereitschaft Ihres Unternehmens abgestimmt werden. Und überprüfen Sie Ihre Kriterien regelmäßig, um sicherzustellen, dass sich die aktuellen Bedingungen in der Art und Weise widerspiegeln, wie Sie die Risiken priorisieren.

Hier sind sechs Schritte, die Ihnen als Leitfaden dienen können:

  1. Definieren Sie Ihre strategischen Ziele. Was sind Ihre Wachstumsziele? Wo wollen Sie die Messlatte höher legen? Welche anderen Dinge – z.B. Sicherheit, Umwelt, Einhaltung von Vorschriften, Ihr Ruf – sind Ihnen wichtig? Nehmen Sie die Dinge auf, die Ihnen wichtig sind und für die Sie Geld ausgeben, auch wenn sie nicht ausdrücklich in Ihrer Strategie genannt werden.
  2. Wählen Sie Maßnahmen für Ihre Scorecard. Welche Metriken spiegeln Erfolg und Misserfolg am besten wider? Sprechen Sie mit Experten und Funktionsleitern aus den Bereichen Finanzen, Personal, Vertrieb usw. und ermitteln Sie die Kennzahlen, die von Bedeutung sind – und die sofort verständlich sind. Und wenn es diese KPIs noch nicht gibt, nutzen Sie die Gelegenheit, sie einzuführen.
  3. Definieren Sie das Ereignis. Was ist ein unerwünschtes oder anders als geplantes Ergebnis? In manchen Fällen kann ein Ergebnis, das auch nur ein bisschen daneben geht, eine katastrophale Wirkung haben. Wenn Sie sich die Zeit nehmen, sich unerwünschte Umstände vorzustellen, können Sie die Auswirkungen bestimmter Ereignisse auf Ihren Betrieb, Ihren Ruf und Ihr Ergebnis besser einschätzen.
  4. Identifizieren Sie die Endpunkte. Was wäre eine Katastrophe? Welche Art von Ergebnis bei jeder Ihrer Maßnahmen würde Ihre Strategie effektiv zerstören und dem Unternehmen irreparablen Schaden zufügen? Und welche Arten von Ereignissen würden nur als problematisch angesehen werden? Das schwerwiegendste Ergebnis ist Ihr Grenz- oder Ankerpunkt.
  5. Bestimmen Sie eine nicht tolerierbare Abweichung. Wie viel Abweichung von Ihrem Ziel ist akzeptabel, und wie viel ist inakzeptabel? Welche Indikatoren zeigen Ihnen, wann Sie sich einer inakzeptablen Abweichung nähern? In einigen Fällen müssen Sie vielleicht tiefer gehen, andere Kriterien anwenden und das Risiko formeller bewerten.
  6. Füllen Sie die Punkte zwischen tolerierbarem und intolerablem Risiko aus. Verwenden Sie Ihre Scorecard, Ihre Endpunkte und Ihre Abweichungen, um Ihre Grenzen zu definieren, was akzeptabel ist und was nicht – auch bekannt als Ihre Risikotoleranz. Sie werden sich die Risiken genauer ansehen wollen, die Ihre Toleranzschwelle glaubhaft überschreiten könnten.

Andere Überlegungen bei der Entwicklung von Risikokriterien

Risikokriterien werden auch durch Kräfte wie die Risikogeschwindigkeit beeinflusst. Unter Risikogeschwindigkeit versteht man in der Welt des Risikomanagements das Zeitintervall zwischen dem Eintreten eines Ereignisses und seiner größten Auswirkung.

Stellen Sie sich eine Zeitleiste vor, auf der Sie markieren, wann etwas auffliegt, wann es entdeckt wird und wann es Auswirkungen auf das Unternehmen hat. Bei High-Velocity-Risiken – wie z.B. Cyberbedrohungen – kann das Ereignis so schnell eintreten, dass Sie keine Zeit haben, Maßnahmen zu ergreifen, um den Schaden zu verhindern. Risiken mit geringer Geschwindigkeit – wie z.B. eine Veränderung im Wettbewerbsumfeld – treten im Laufe der Zeit auf, so dass Sie genügend Zeit haben, sie abzumildern.

Eine weitere Überlegung betrifft die Kontrollen, die Sie eingerichtet haben, um entweder das Eintreten des Risikos zu verhindern oder seine Auswirkungen zu kontrollieren. Sind Ihre Bemühungen dem Risiko angemessen dimensioniert? Haben Sie Pläne aufgestellt? Haben Sie Mitarbeiter, die für die Ausführung dieser Pläne verantwortlich sind? Überprüfen Sie, ob alles richtig funktioniert? Müssen Sie irgendwelche Anpassungen vornehmen? Wenn Sie diese Maßnahmen ergriffen haben, können Sie sagen, dass das Risiko vollständig kontrolliert ist. Der letzte Schritt besteht darin, die Kontrollen für die schwerwiegendsten Risiken regelmäßig von einer unabhängigen dritten Partei testen zu lassen.

Die letzte Überlegung betrifft die Wahrscheinlichkeit des Eintretens des Risikos. Am effektivsten lässt sich die Eintrittswahrscheinlichkeit beurteilen, wenn Sie Ihre Risiken im Zusammenhang miteinander betrachten. Achten Sie besonders auf die Risiken, die glaubhaft eintreten könnten und bei denen eine Vorbereitung das Eintreten verhindern oder zumindest den Schaden begrenzen könnte.

Was nun?

Sie können Risikokriterien in jedem Szenario verwenden, in dem Sie Risiken und Chancen bewerten oder kommunizieren müssen – z.B. bei Risikobewertungen, Risikoworkshops und der Ermittlung von Projektrisiken. Sobald Sie diese Analyse durchgeführt und Ihre Risikokriterien festgelegt haben, steht es Ihnen auch frei, Dinge anders zu machen, um ein angemessenes Maß an Risiko einzugehen. Anstatt Ihren Ruf um jeden Preis zu schützen, können Sie zum Beispiel entscheiden, dass die Belohnung für bestimmte betriebliche Veränderungen, die dem Unternehmen zugute kommen, das Risiko wert ist, dass nicht alle Mitarbeiter darüber glücklich sind.

„Gut entwickelte Risikokriterien sind eine enorme Hilfe für viele Aspekte des ERM“, erklärt Rob Quail, bekannter Autor und ERM-Experte. „Risikokriterien sind Ihre Auslöser, die besagen, dass ein Risiko nach oben kommuniziert werden muss. So überwinden Sie Verzerrungen und ermöglichen den Vergleich von Risiken. Dann können Sie diese Logik in wichtige Geschäftsprozesse einbauen. Bessere Gespräche führen zu besseren Entscheidungen über Prioritäten.“

Wenn Sie mehr über ERM erfahren möchten, laden Sie unser ebook, Charting a Course for Enterprise Risk Management, herunter und testen Sie die ERM-Software von Riskonnect .