Schach dem (operationellen) Risiko –
Wie der Aufbau eines prozessorientierten Risikomanagements gelingt

Das unternehmensweite Risikomanagement nimmt im integrierten GRC-System eine wesentliche Rolle ein, da die Vorgaben der Risikomanager auch die Basis für die weiteren GRC-Funktionen, wie das Corporate Security Management oder das Compliance-Management, definieren. Grundsätzlich stellt das Risikomanagement die Bewältigung interner und externer Risiken aller Art sicher. Zudem gilt es, das Bewusstsein über die vorhandenen Risiken über alle Abteilungen hinweg zu schärfen, denn nur in der Zusammenarbeit mit den operativen Einheiten und entlang der 2nd Line of Defence kann das Risikomanagement seine volle Wirkung entfalten.

In Anlehnung an das Modell der Three Lines of Defence lassen sich die Aufgaben des Risikomanagements in die folgenden 3 Bereiche gliedern:

• Governance
• Strategie
• Operative Umsetzung durch die Fachbereiche

Abbildung 1: Unterteilung der Aufgaben und Kompetenzen innerhalb eines Managementsystems

Der Governance-Bereich des Risikomanagementsystems hat die Aufgaben, das Ziel und den Zweck des Risikomanagements festzulegen, sowie auch dessen Scope bzw. Geltungsbereich anhand der Dimensionen „betroffene Risikokategorien“ und „betroffene Geschäftsprozesse“ zu definieren. Die Definition des Geltungsbereichs erfolgt idealerweise anhand der Prozesslandkarte. Mit dieser kann festgemacht werden, welche Prozesse vorrangig einer Risikoanalyse unterzogen werden sollen. Zu den weiteren Aufgaben zählen die Berücksichtigung von Normen und Gesetzen sowie die Definition der Schnittstellen zwischen dem Risikomanagement und anderen GRC-Funktionen im Sinne des integrierten GRC.

Zu den Aufgaben des strategischen Risikomanagements zählen die strategische Planung, die Bereitstellung der notwendigen organisatorischen und technischen Struktur, der laufende Support der Fachbereiche (z. B. durch Schulungen, Bereitstellung von Unterlagen oder Coachings), das laufende Monitoring der Umsetzung, die Evaluierung und Verbesserung, bis hin zu regelmäßigen Berichterstattungen sowie Ad-hoc-Analysen.

Die strategische Planung umfasst alle technischen und organisatorischen Festlegungen, durch die die Umsetzung im Unternehmen erfolgen soll. Darunter fällt die Gliederung der Risikolandschaft mittels Risikogruppen sowie die Festlegung einer Bewertungsmethode und der Risikotoleranzgrenzen. Diese Parameter ergeben den Rahmen des internen Risikoportfolios, das in ADONIS bewertet werden kann.

Abbildung 2: Strukturierung des Risikoportfolios mit Risikogruppen

Abbildung 3: Risikoportfolio mit Risikotoleranzgrenzen

Im Sinne des integrierten und prozessorientierten Ansatzes ist die Festlegung der Prozesslandkarte als primäre Basis der Risikoanalyse ein wichtiger Bestandteil der strategischen Planung. Der Grundsatz eines 4-Augen-Prinzips unterstützt die Qualitätssicherung im Sinne des Risikomanagementprozesses. Mithilfe von ADOGRC wird dieser Bewertungs-Workflow durch E-Mail-Benachrichtigungen sowie einer revisionskonformen Historisierung und Versionierung effizient unterstützt.

Abbildung 4: Risikobewertungs-Workflow im 4-Augen-Prinzip

Das Monitoring des Risikomanagements ist eine weitere essentielle Aufgabe der 2nd Line of Defence. Dabei stehen das Monitoring der Bewertungs-Workflows, die Beobachtung der Risikoentwicklung sowie die Qualitätssicherung des Datenbestands im Fokus, welche in ADONIS mittels Gantt-Charts visualisiert werden können.

Abbildung 5: Monitoring der Risikobewertungen mittels Gantt-Chart

Etwaige Toleranzüberschreitungen werden durch den Workflow an den Supervisor gemeldet, der unterstützend in die laufende Bewertung eingreifen kann. Um die Risikoentwicklungen angemessen beobachten zu können, bietet ADOGRC eine übersichtliche Zusammenfassung der Entwicklungen in einem Risiko-Dashboard.

Abbildung 6: Risiko-Dashboard inkl. historischer Entwicklung

Durch den Einsatz von internen Audits, kann der Umsetzungsgrad der Anforderungen in den Fachabteilungen erhoben werden. Management-Reviews gewährleisten die Sicherstellung der Angemessenheit und Wirksamkeit des Systems gemessen an den organisatorischen Vorgaben an das Risikomanagement. Aus beiden Themen heraus können Maßnahmen entstehen, deren Umsetzungsgrad in ADONIS mittels Workflow verfolgt werden kann und übersichtlich mittels Gantt dargestellt wird.

Abbildung 7: Schneller Überblick über die Verbesserungsmaßnahmen

Eine regelmäßige Berichterstattung sowie auch bei Bedarf angeforderte Ad-Hoc-Auswertungen über die Risikosituation des Unternehmens erfolgen mithilfe von grafischen Analysen oder einer Risikokontrollmatrix. Anhand dieser lässt sich die Integration der verschiedenen Elemente der Prozesslandschaft (Prozesslandkarte), Risikomanagement und IKS darstellen.

Abbildung 8: Risikokontrollmatrix mit Informationen zu Prozessen, Risiken und Kontrollen

In der Praxis werden häufig auch individuelle Auswertungen hinsichtlich Risikozusammenfassungen oder Risikoaggregationen benötigt. Diese können mit Hilfe von ADOGRC auf verschiedene Art und Weise, wie z. B. einer Gantt- oder Sunburn-Chart, visualisiert werden.

Abbildung 9: Risikoaggregation auf verschiedene Ebenen des Risikoportfolios

Die operativen Einheiten – die Fachbereiche – haben die Aufgabe, die Vorgaben des strategischen Risikomanagements innerhalb der Abteilung bzw. des Bereichs umzusetzen. Im Sinne der Prozessorientierung nimmt der Prozessverantwortliche gleichzeitig auch die Rolle des Risikoverantwortlichen ein. Dessen Aufgabe ist es, die Risiken der operativen Prozesse zu analysieren und diese gemäß dem Workflow laufend zu bewerten. Als Basis dienen hierbei die Prozesse der Prozesslandkarte, denen die (operationellen) Risiken zugeordnet werden.

Abbildung 10: Risikoanalyse auf Basis der Prozesslandkarte

Der Zusammenhang von Prozess und Risiko und weiterführend zum IKS kann in ADONIS typischerweise in einer Matrix-Darstellung als Heatmap übersichtlich dargestellt werden.

Abbildung 11: Heatmap der Risiken einer Prozesslandkarte

Für die Erfüllung der laufenden, jährlichen Risikobewertung bietet ADOGRC personalisierte Arbeitsplätze, die dem Risikoverantwortlichen seine noch zu bewertenden Risiken anzeigt. Dies erleichtert den operativen Einheiten die Erfüllung der laufenden Aufgaben im Risikomanagement.

Abbildung 12: Personalisierter Arbeitsplatz für den Prozess- und Risikoverantwortlichen

Für ein einzelnes Risiko können in Dashboard-Form alle notwendigen Informationen angezeigt werden, die der Risikoverantwortliche für die regelmäßige Bewertung des Risikos benötigt. Dazu zählt die Risikoentwicklung, die Verbindung zu Prozessen (und anderen Assets) und Kontrollen sowie auch häufig genutzte Funktionen für die schnelle und einfache Erstellung von Analysen und Reports.

Abbildung 13: Dashboard zur Risikobewertung inkl. Kontext zu Prozessen und Kontrollen

Aufgrund des durchgängigen und integrierten Einsatzes von ADOGRC durch den Risikoverantwortlichen entsteht ein einheitlicher Datenbestand, der dem strategischen Risikomanagement für Berichte oder Analysen aber vor allem auch für die Optimierung der Risikoposition des Unternehmens dient.

Durch den einheitlichen und strukturierten Aufbau des Risikomanagements können die Aufgaben entlang der 3 Lines of Defence klar definiert werden. Der durchgängige Einsatz von ADOGRC auf strategischer und operativer Ebene ermöglicht dem Risikoverantwortlichen sowie auch den Verantwortlichen des Managementsystems eine effiziente Aufgabenerfüllung. Durch die Verwendung der Prozesslandkarte als Basis erlangen die Risiken einerseits den notwendigen operativen Bezug – mit Relevanz für das interne Kontrollsystem – und andererseits ist die Verantwortung über die Risiken eindeutig dem Prozessverantwortlichen zugewiesen.