Einleitung

Das unternehmensweite Risikomanagement nimmt im integrierten GRC-System eine wesentliche Rolle ein. Der Grund dafür ist, dass die Vorgaben der Risikomanager die Basis für die weiteren GRC-Funktionen, wie das Corporate Security Management oder das Compliance-Management, bilden.

Grundsätzlich stellt das Risikomanagement die Bewältigung interner und externer Risiken aller Art sicher. Im Vordergrund steht die Schärfung des Bewusstseins vorhandener Risiken über alle Abteilungen hinweg. Denn nur in der Zusammenarbeit mit den operativen Einheiten und entlang der 2nd Line kann das Risikomanagement seine volle Wirkung entfalten.

Die Aufgaben des Risikomanagements

Auf Basis des Modells der Three-Lines, das wir in diesem Blogbeitrag ausführlich vorgestellt haben, lassen sich die Aufgaben des Risikomanagements in folgende 3 Bereiche gliedern:

  • Governance
  • Strategie
  • Operative Umsetzung durch die Fachbereiche
Kreisförmige Darstellung des Three-Lines-Model im GRC

Unterteilung der Aufgaben und Kompetenzen innerhalb des Risikomanagementsystems

Die Governance-Aspekte eines Risikomanagementsystems

Zu den Aufgaben des Governance-Bereichs des Risikomanagementsystems gehört es, das Ziel und den Zweck des Risikomanagements festzulegen. Dies umfasst unter anderem die Festlegung des Fokus sowie die Auswahl der Risikokategorien und Geschäftsprozesse.  

Die Definition des Geltungsbereichs erfolgt idealerweise ausgehend von der Prozesslandkarte. Basierend darauf können jene Prozesse identifiziert werden, die vorrangig einer Risikoanalyse unterzogen werden sollten.

Zu den weiteren Aufgaben zählen die Einhaltung von Normen und Gesetzen sowie die Definition der Schnittstellen zwischen dem Risikomanagement und anderen GRC-Funktionen im Sinne des integrierten GRC, wie wir es in diesem Webinar erläutern.

Das strategische Risikomanagement

Zu den Aufgaben des strategischen Risikomanagements zählen…

  • die strategische Planung,
  • die Bereitstellung der notwendigen organisatorischen und technischen Ressourcen,
  • der laufende Support der Fachbereiche (z. B. durch Schulungen, Bereitstellung von Unterlagen),
  • das laufende Monitoring der Umsetzung,
  • die Evaluierung und Verbesserung,
  • regelmäßige Berichterstattungen sowie Ad-hoc-Analysen.

Strategische Planung

Die strategische Planung umfasst alle technischen und organisatorischen Bestimmungen, durch die die Umsetzung im Unternehmen erfolgen soll. Darunter fallen die Gliederung der Risikolandschaft mittels Risikogruppen sowie die Definition einer Bewertungsmethode und der Risikotoleranzgrenzen.

Eine visuelle Darstellung des Risikoportfolios, strukturiert in Gruppen und dargestellt als Hierarchie

Strukturierung des Risikoportfolios mit Risikogruppen

Im Sinne des integrierten und prozessorientierten Ansatzes ist die Prozesslandkarte als primäre Basis der Risikoanalyse ein wichtiger Bestandteil der strategischen Planung. Mehr zum Thema Prozesslandkarten erfahren Sie in diesem kostenlosen Webinar. Der Grundsatz eines 4-Augen-Prinzips unterstützt die Qualitätssicherung im Sinne des Risikomanagementprozesses. Eine Software kann diesen Bewertungs-Workflow durch E-Mail-Benachrichtigungen sowie einer revisionskonformen Historisierung und Versionierung unterstützen.

Monitoring der Umsetzung durch die Fachbereiche

Das Monitoring des Risikomanagements ist eine weitere essenzielle Aufgabe der 2nd Line. Dabei stehen die Risikobewertung, die Risikoentwicklung sowie die Qualitätssicherung des Datenbestands im Fokus. Der aktuelle Status des Risikoportfolios kann übersichtlich in Form eines Gantt-Charts zusammengefasst werden.

Eine Gantt-Chart, die die verschiedenen Phasen der Risikoportfoliobewertung darstellt

Monitoring der Risikobewertungen mittels Gantt-Chart

Evaluierung und Verbesserung

Durch den Einsatz interner Audits(erfahren Sie mehr dazu, in unserem kostenlosen Webinar zum Thema Interne Revision)  wird der Umsetzungsgrad der Anforderungen in den Fachabteilungen erhoben. Management-Reviews gewährleisten die Angemessenheit und Wirksamkeit des Systems, gemessen an den organisatorischen Vorgaben an das Risikomanagement. Aus beiden Themen können Maßnahmen zur Verbesserungen entstehen, deren Implementierung oder Fortschritt mit Hilfe eines Workflows verfolgt und als Gantt-Chart übersichtlich dargestellt werden kann.

Reporting und Analyse

Eine regelmäßige Berichterstattung sowie ad-hoc angeforderte Auswertungen der Risikosituation des Unternehmens erfolgen mithilfe von grafischen Analysen (z.B. Risikomatrix mit Fehlerhäufigkeit und Auswirkung) oder einer Risiko-Kontroll-Matrix. Anhand dieser lassen sich die Zusammenhänge von Prozesslandschaft (Prozesslandkarte), Risikomanagement und IKS darstellen.

Eine Excel-Tabelle mit einer Risiko-Kontroll-Matrix, die Risiken, Häufigkeit des Auftretens, Auswirkungen und Kontrollen enthält

Risiko-Kontroll-Matrix mit Informationen zu Prozessen, Risiken und Kontrollen

Operative Umsetzung durch die Fachbereiche

Die operativen Einheiten – die Fachbereiche – setzen die Vorgaben des strategischen Risikomanagements innerhalb der Abteilung bzw. des Bereichs um. Jede:r Prozessverantwortliche nimmt gleichzeitig auch die Rolle des Risikoverantwortlichen ein. Dessen Aufgabe ist es, die Risiken der operativen Prozesse zu analysieren und diese laufend zu bewerten. Die Prozesslandkarte bildet die Basis zur Identifikation und Zuordnung der (operationellen) Risiken.

Eine Prozesslandkarte mit Managementprozessen, Kernprozessen und Unterstützungsprozessen als Grundlage für das Risikomanagement

Risikoanalyse auf Basis der Prozesslandkarte

Für ein einzelnes Risiko sollten dem/der Risikoverantwortlichen alle relevanten Informationen direkt zur Verfügung stehen, die für die regelmäßige Bewertung des Risikos notwendig sind. Dazu zählt die Risikoentwicklung, die Verbindung zu Prozessen (und anderen Assets) sowie Kontrollen.

Die volle Wirkung des Risikomanagements entfalten

Durch den einheitlichen und strukturierten Aufbau des Risikomanagements können die Aufgaben entlang der 3rd Line klar definiert werden. Durch die Verwendung der Prozesslandkarte als Basis erlangen die Risiken einerseits den notwendigen operativen Bezug – mit Relevanz für das Interne Kontrollsystem – und andererseits ist die Verantwortung über die Risiken eindeutig dem Prozessverantwortlichen zugewiesen.

Sie möchten genauere Infos zu dem Aufbau eines prozessorientierten Risikomanagements? Alles dazu finden Sie in unserem kostenlosen Webinar! Mit einem Klick werden Sie direkt weitergeleitet.

Integriertes Risiko- und Kontrollmanagement

Holen Sie sich das branchenerprobte Compliance-Tool.

Holen Sie sich das branchenerprobte Compliance-Tool.

Erhalten Sie wöchentliche Updates.