Warum sollten Sie Ihre Risikokultur pflegen?

Kann eine angemessene Risikokultur dazu beitragen, die Unternehmensziele zu erreichen und potenziell zerstörerische Überraschungen zu vermeiden? Die Antwort lautet "ja", so das Institute of Operational Risk (IOR), das in seinem Whitepaper "Risk Culture - Operational Risk Sound Practice Guidance" das Thema aufgreift und untersucht, wie ein besseres Verständnis, eine bessere Bewertung und eine bessere Messung der Risikokultur in Unternehmen dazu beitragen kann, operationelle Risiken zu mindern und die operationelle Widerstandsfähigkeit zu stärken.

Die wichtigsten Erkenntnisse aus dem White Paper:

• Keine "Einheitsgröße für alle

Von Anfang an wird in dem Leitfaden betont, dass es keine optimale Risikokultur gibt, die anzustreben wäre, noch gibt es "starke" Merkmale der Risikokultur, die anzustreben wären, oder "schwache", die zu vermeiden wären. Die Risikokultur bezieht sich sowohl auf die Risikobereitschaft als auch auf die Risikokontrolle, und es ist zu bedenken, dass in verschiedenen Bereichen eines Unternehmens unterschiedliche Risikokulturen bestehen können, insbesondere in größeren, stärker diversifizierten Unternehmen. Nichtsdestotrotz kann die Risikokultur als Teil eines soliden Rahmens für das betriebliche Risikomanagement wirksam und mit positiven Ergebnissen gesteuert werden.

• Was genau ist Risikokultur?

Das IRM definiert Risikokultur als: "Ein Begriff, der die Werte, Überzeugungen, Kenntnisse, Einstellungen und das Verständnis von Risiken beschreibt, die von einer Gruppe von Menschen mit einem gemeinsamen Ziel geteilt werden. Dies gilt für alle Organisationen, einschließlich privater Unternehmen, öffentlicher Einrichtungen, Regierungen und gemeinnütziger Organisationen."

Abgesehen von der Definition kommt es auf ein gemeinsames Konzept und Verständnis der Risikokultur im gesamten Unternehmen an, insbesondere wenn es darum geht, was unter den Begriff "Risikokultur" fällt (oder auch nicht) und inwieweit Werte, Überzeugungen, Wissen, Einstellungen und Verständnis relevant sind und Resonanz finden.

Nehmen 'WerteWelche sind das für ein bestimmtes Unternehmen, und wie stehen sie in Beziehung zum Management des operationellen Risikos und beeinflussen es? Bringen die Mitarbeiter ihre eigenen Werte ein, und wenn ja, verstärken diese das Management operationeller Risiken oder stehen sie im Widerspruch dazu?

Was dieÜberzeugungenEs wird sowohl positive als auch negative Ansichten darüber geben, was die Menschen über die Bedeutung des operationellen Risikos und die Vorteile und Kosten seines Managements denken.

Wissen - wie viel man über operationelle Risiken und deren Management weiß. Sind die Menschen mit operationellen Risiken vertraut oder weniger kompetent?

Und wie funktioniert 'Haltungen gegenüber dem Zusammenspiel von Risiko? Sind die Menschen risikoscheuer, wenn eine große potenzielle Bedrohung wahrgenommen wird, und offener für Risiken, die mit Chancen verbunden sind?

Verstehen wird durch Erfahrung gewonnen, und diejenigen, die aktiv an der Ermittlung, Bewertung und Kontrolle operationeller Risiken beteiligt sind, haben wahrscheinlich einen besseren Einblick.

• Bewertung der Risikokultur

"Die Bewertung der Risikokultur ist kompliziert und anfällig für Ungenauigkeiten und voreingenommene Interpretationen... Auch die Interpretation der Ergebnisse der Risikokulturbewertung durch das Management wird durch die eigenen Überzeugungen, Kenntnisse, Einstellungen usw. in Bezug auf das operationelle Risiko und dessen Management verzerrt."

Der Leitfaden gibt zwar Hinweise zur Vorsicht, zeigt aber auch die wichtigsten Möglichkeiten auf, wie die Bewertung auf unternehmensweiter Basis oder durch die jeweiligen operativen Risikofunktionen vorgenommen werden kann. Kurz gesagt, die untersuchten Bewertungsmethoden umfassen Fragebögenmit nützlichen Tipps und Überlegungen zu deren Gestaltung; Interviews die "ein umfassenderes, vollständigeres Bild vermitteln, das sich in den Aussagen der Mitarbeiter über die Risikokultur eines Unternehmens widerspiegelt", obwohl dieser Ansatz zeit- und ressourcenaufwändig sein kann; Schwerpunktgruppen gemeinsame Themen oder Fragen innerhalb einer Risikokultur in den Vordergrund rücken; und wie direkte Beobachtung kann ein leistungsfähiges Bewertungsinstrument sein, um sich ein Bild von der Risikokultur und den Subkulturen zu machen.

• Metriken zur Risikokultur

Da die Bewertung der Risikokultur ressourcenintensiv sein kann, könnte es sinnvoller sein, sie in unregelmäßigen Abständen (vielleicht jährlich oder alle zwei Jahre) durchzuführen und sie mit häufigeren Berichten über die Risikokultur zu kombinieren.

In dem Whitepaper werden sechs Messgrößen vorgestellt, die zur Überwachung der Risikokultur herangezogen werden können: PersonalfluktuationEr zeigt auf, wie die Risikokultur durch häufige Personalwechsel verwässert werden kann und wie eine geringe Fluktuation das "Gruppendenken" verstärken kann, bei dem eingefahrene Ansichten über die Risikokultur unangefochten bleiben; MitarbeiterverhaltenWenn die Zahl der Beschwerden oder Disziplinarmaßnahmen steigt oder sinkt, kann dies auf Veränderungen in der Risikokultur hinweisen; Richtlinienkonformitätwobei eine bessere Einhaltung der Vorschriften ein positiver Indikator für die Risikokultur ist; InnenrevisionIn diesem Rahmen können Verzögerungen bei der Durchführung von Prüfungsmaßnahmen auf Verhaltensprobleme oder mangelndes Verständnis für die Notwendigkeit eines soliden operationellen Risikomanagements hinweisen; Verluste und Beinaheunfällewo plötzliche Zu- oder Abnahmen Veränderungen in der Risikokultur widerspiegeln können und, Risikokommunikation - Die Anzahl der Fälle, in denen sich die Geschäftsbereiche an die Abteilung für operationelle Risiken wenden, um sich beraten zu lassen, kann sehr aufschlussreich sein.

Der Leitfaden empfiehlt auch eine abteilungsübergreifende Einbindung - Mitarbeiter der Personalabteilung und der Innenrevision sollten mit Kollegen aus dem Bereich des operationellen Risikos zusammenarbeiten, um einen Einblick in die unterschiedlichen Persönlichkeiten innerhalb der Belegschaft und ein Verständnis für die Funktionsweise des Unternehmens zu erhalten.

• Einflussnahme auf die Risikokultur

Bei dem Versuch, die Risikokultur zu kontrollieren, ist "äußerste Vorsicht geboten". Für einen optimalen Erfolg wird empfohlen, weitreichende Projekte zur Veränderung der Risikokultur zu vermeiden und sich auf bestimmte Aspekte der Risikokultur zu konzentrieren, deren Beeinflussung vorteilhaft oder wünschenswert wäre.

Von Strategie und Führung, Risikobereitschaft und -toleranzund Personalpolitik und -verfahrenbis zu Kommunikation (formell und informell) und Prozess- und Systemgestaltungwerden die gängigen und unterschiedlichen Maßnahmen zur Beeinflussung der Risikokultur eingehend erforscht.

Wenn die Risikokultur einer Organisation, wie das Weißbuch suggeriert, eine wichtige Komponente für ihren Erfolg oder Misserfolg ist, lohnt es sich doch, sich mit ihr auseinanderzusetzen.