Zusammenarbeit mit Risikoeigentümern bei Risikobewertungen
Risikoverantwortliche sind die Personen, die für die Überwachung des Tagesgeschäfts in bestimmten risikobehafteten Bereichen des Unternehmens zuständig sind. Ein Filialleiter in einer Bank ist ein Beispiel dafür. Als solche sind sie entscheidend für den Erfolg der Risikomanager.
Ein Risikomanager oder Chief Risk Officer ist zwar für die Überwachung von Risiken zuständig, kann aber ohne die Perspektive und den Einblick, den Risikomanager bieten, Risiken nicht wirklich identifizieren, bewerten und abmildern. Aus diesem Grund betont das Three Lines of Defense (3LoD) -Modell den Risikomanager als zweite Verteidigungslinie, während ein Risikoeigner Teil des operativen Managements in der ersten Verteidigungslinie ist - dem eigentlichen Risikomanagement.
Risikobewertungen sind der einfachste und klarste Weg für Risikomanager, um zu verstehen, was Risikomanager in erster Linie sehen und erleben. Leider kann die Zusammenarbeit mit den Risikoverantwortlichen eine Herausforderung für die Risikomanager sein. Sie werden von den operativen Managern, den Risikoeigentümern, oft als lästig empfunden, da das Risikomanagement als nicht mit ihren Zielen verbunden oder sogar als Einschränkung angesehen wird.
Dies ist ein Problem. Ohne eine angemessene Zusammenarbeit mit den Risikoverantwortlichen bei den Bewertungen können Risiken und Kontrollen unbemerkt bleiben oder von den Risikomanagern und der Unternehmensleitung missverstanden oder missachtet werden. Risikomanager müssen daher wissen, wie sie mit den Risikoverantwortlichen zusammenarbeiten können, um wirksame Risikobewertungen durchzuführen.
Gemeinsame Ansätze, Kommunikation und Prioritäten
Die Festlegung, wer für ein bestimmtes Risiko verantwortlich ist, erfolgt nach der Identifizierung des Risikos und der Entwicklung einer Risikobereitschaft und -toleranz, aber vor der eigentlichen Bewertung und Analyse des Risikos. Innerhalb dieses Rahmens überwacht der Risikomanager die internen Verfahren des Risikoeigentümers zur Identifizierung, Klassifizierung, Behandlung und Dokumentation von Risiken.
Risikomanager können sich vergewissern, dass die Risiken vollständig verstanden werden und dass die Risikoverantwortlichen bei der Umsetzung der Kontrollen bewährte Verfahren anwenden:
- Allgemeine Umfragen
- Persönliche Gespräche
- Individualisierte Bewertungen
Allgemeine Erhebungen sind praktisch, können schnell durchgeführt werden, wenn sie einfach gehalten werden, liefern einen klaren, kalkulierten Datensatz und erfordern weniger Engagement zwischen Risikomanagern und Risikoeignern. Leider stützen sich Umfragen oft auf das Wissen der Risikoverantwortlichen und ihre Bereitschaft, potenzielle Probleme offenzulegen. Dadurch wird die Integrität der erhaltenen Daten in Frage gestellt.
Außerdem haben die Risikomanager aufgrund des geringeren Engagements oft Mühe, überhaupt Antworten auf die Umfragen zu erhalten. Ein mittelgroßes Unternehmen mit einem sehr ausgereiften Risikomanagementprogramm verschickt jedes Jahr Tausende von Risikoumfragen und erhält oft weniger als hundert Antworten zurück, selbst wenn die Führungskräfte die Umfrage unterstützen und sich engagieren.
Und wenn Sie in der Lage sind, einen robusten Satz genauer Daten aus Erhebungen zu gewinnen, was machen Sie dann mit ihnen? Oftmals gibt es keine systematische Methode, um die Daten zu konsolidieren und klare, präzise Berichte zu erstellen, die für eine fundierte strategische Planung genutzt werden können.
Persönliche Gespräche stehen am anderen Ende des Spektrums der Risikobewertung. Sie ermöglichen es den Risikomanagern, tiefe und aussagekräftige Einblicke in die Risiken und die Verfahren zur Risikominderung in den verschiedenen Silos der Risikoeigentümer zu gewinnen, während sie gleichzeitig den Risikoeigentümern Zugang zu dem von den Risikomanagern angebotenen Fachwissen verschaffen.
Eine Herausforderung, die dieser Ansatz mit den Risikoerhebungen gemeinsam hat, ist die Konsolidierung und Standardisierung der Daten. Wie nimmt man die in Einzelgesprächen gewonnenen Informationen auf, protokolliert die relevanten Punkte und priorisiert die Risiken und Probleme aus diesen Gesprächen? Die größte Herausforderung bei diesem Ansatz ist jedoch der Zeitaufwand. Allein der Zeitbedarf für Besprechungen kann dazu führen, dass andere Aufgabenbereiche der Risikomanager vernachlässigt werden, oder dass Risikobewertungen verschoben werden, wenn die Zeit nicht ausreicht.
Einen goldenen Mittelweg finden
Individualisierte Bewertungen scheinen ein guter Mittelweg zu sein. Risikomanager können mit einer standardisierten Vorlage beginnen und die Bewertungen so anpassen, dass sie für die Risikoverantwortlichen, die sie ausfüllen, nachvollziehbar und verständlich sind. Dieser Ansatz bietet eine Grundlage für die Standardisierung und nutzt den Anpassungsprozess, um die Datengenauigkeit zu fördern. Indem Risiken und Kontrollen in quantifizierbare Kategorien mit klaren Beschreibungen eingeteilt und entsprechend bewertet werden, bieten individualisierte Bewertungen ein gewisses Maß an Verantwortlichkeit für ihre Antworten.
Die Risikomanager können die Bewertungen auch anfechten, wenn sie der Meinung sind, dass eine Lücke unbemerkt geblieben ist oder bagatellisiert wird. Die individuellen Beurteilungen sollten für die Risikoverantwortlichen leichter nachvollziehbar sein, so dass sie weniger entmutigt sind, sie auszufüllen. Mit der eingesparte Zeit Auf der Vorderseite, indem die Risikoverantwortlichen die Bewertungen ausfüllen, und auf der Rückseite, dank der Standardisierung der Bewertungen, haben die Risikomanager mehr Zeit, die zurückgebliebenen Risikoverantwortlichen einzubeziehen, um die Rücklaufquote zu erhöhen.
Damit die Risikoverantwortlichen diese bewährten Verfahren wirksam umsetzen können, müssen die Ziele und Leitlinien des Risikomanagements ordnungsgemäß kommuniziert und mit den Geschäftszielen verknüpft werden. Es ist auch wichtig, die Fortschritte der Risikoeigner zu unterstützen und ihre Bedenken zu hören. Ermutigen Sie sie, sich die Risiken ihres Unternehmens zu eigen zu machen und Sie als Partner zu nutzen, der ihren Erfolg unterstützt.
Dies trägt wesentlich dazu bei, einen operativen Manager - der sicherlich mit vielen verschiedenen Aufgaben jongliert - davon zu überzeugen, wie wichtig genaue Risikoinformationen im Rahmen einer Kultur des Risikomanagements sind. Die Etablierung dieser Denkweise trägt wesentlich dazu bei, dass Risikomanager zu geschätzten Partnern und nicht zu Hindernissen werden.
ERM erleichtert diese Partnerschaft
Selbst wenn ein Risikoeigner davon überzeugt ist, mit den Risikomanagern bei der Risikobewertung zusammenzuarbeiten, kann die Risikoverantwortung immer noch entmutigend sein. Eine offene Kommunikation ist unerlässlich, aber viele Führungskräfte der mittleren Ebene und Manager an der Front haben keine formale Ausbildung im Risikomanagement.
Eine Enterprise Risk Management (ERM)-Lösung kann diese Aufgabe jedoch erleichtern. Mit den vorgefertigten Risikobewertungsvorlagen der ERM-Software können die Benutzer Risiken und Kontrollmaßnahmen ordnungsgemäß ermitteln und dabei eine unternehmensweit einheitliche Terminologie, Prozesse und Arbeitsabläufe verwenden.
Am wichtigsten ist, dass ERM die Zusammenarbeit verbessert und Barrieren und Silos zwischen Risikoverantwortlichen und Risikomanagement aufbricht. Der Prozess der Risikobewertung und -berichterstattung wird unternehmensweit gestrafft.
Verteidigen Sie sich gegen Anbieter- und Unternehmensrisiken
Erfahren Sie mehr über unsere branchenführenden VRM/ERM-Lösungen.