<img src="https://secure.leadforensics.com/91138.png" style="display:none;">

RMIS und ERM: Was sind die Vorteile?

risk_management_and_operations_in_harmony.jpg

 

Heute gehe ich der Frage nach, wie ein ganzheitliches, unternehmensweites Risikomanagement (Enterprise Risk Management, ERM) vom Einsatz eines Risikomanagement-Informationssystems (RMIS) profitiert. Ich behaupte, dass eine webbasierte, zentrale Datenmanagement- und Analytics-Plattform, unverzichtbare Grundlage für ein effizientes, transparentes und modernes ERM ist.

Während dem traditionellen Risikomanagement unterstellt wird, dass es „siloartig“, also nur in einzelnen Unternehmensbereichen und Risikokategorien erfolgt, nur Risiken und nicht auch Chancen im Blick hat und nicht an den Unternehmenszielen ausgerichtet bzw. in der Organisation verankert ist, werden dem modernen ERM durchweg positive Eigenschaften zugeschrieben. Es gibt zwei führende ERM-Vorgehensmodelle: das COSO ERM-Framework und das ISO 31000 Risk Management Framework.

Im Web finden sich genügend Informationen darüber, worin sich die Ansätze unterscheiden und was die Vor- und Nachteile sind. Beide Frameworks fordern eine stärkere Integration von risikobasiertem Denken („risk-based thinking“) in die Kernbereiche Unternehmensstrategie, Performance Management, Prozessmanagement und Entscheidungsfindung.

Ist aller Anfang schwer?

Und wie/wo/womit fangen Unternehmen an, die sich mit dem Gedanken tragen, ein unternehmensweites ERM zu implementieren? Auch hierzu gibt es unzählige Informationen, Leitfäden und Beratungsangebote im Web, mit denen man sich mühelos monatelang beschäftigen kann, bevor man überhaupt anfängt. Daher im Folgenden einige Ratschläge, um sich dem Thema ERM auf pragmatische und „unakademische“ Weise zu nähern:

Fangen Sie mit den Risiken an (wer hätte das gedacht…)

Führen Sie ein Enterprise Risk Assessment (ERA) durch, und inventarisieren Sie die Unternehmensrisiken. Hierzu gehört unbedingt auch eine Gap-Analyse, um fehlende, aber für das Management der Top-X Risiken unbedingt benötigten Capabililities (Fähigkeiten) zu identifizieren. Das können z.B. Prozesse, Wissen, Tools, Mitarbeiter etc. sein

Machen Sie weiter mit den Capabilities

Entwickeln oder bauen Sie die für das Management der z.B. zwei kritischsten Risiken benötigten Capabilities auf. Das Ziel ist, den Reifegrad des Risikomanagements in den Dimensionen Menschen, Prozesse und Daten kontinuierlich zu steigern.

Denken und handeln Sie strategisch

Wie eingangs erwähnt, muss ein Ziel sein, das Risikomanagement stärker in die Unternehmensstrategie zu integrieren bzw. daran auszurichten. Um nicht im Mikromanagement zu versinken ist es ratsam, Risiken aus der top-down Unternehmensperspektive zu betrachten, entsprechend zu gruppieren und integrierte Maßnahmen zur Risikobewältigung zu entwickeln. Ganz wichtig in diesem Zusammenhang ist das Schaffen von Governance-Strukturen: Jedes Risiko muss einen sog. „Risk Owner“ haben, der weiß, was er zu tun hat.

Bringen Sie Menschen, Prozesse und Daten zusammen

Hier geht es darum, die oftmals historisch gewachsenen, reaktiven und fragmentierten ad-hoc Risikomanagementaktivitäten aus ihren Abteilungssilos rauszuholen. Und was wäre zum Zwecke der Erreichung einer stärkeren Integration besser geeignet als eine zentrale, webbasierte Plattform für den unternehmensweiten Austausch von Risikoinformationen und die Automatisierung von bis dato manuellen Prozessen?

Überhaupt ist die Einführung eines adäquaten Tools, das die Risikomanagementprozesse IT-seitig unterstützt, eine wesentliche Capability, die es aufzubauen gilt. Und damit meine ich keine auf Excel oder Access basierende Risikoregister, die in einmal im Jahr (vielleicht auch häufiger) an die Risk Owner geschickt werden mit der Bitte, die Risiken zu aktualisieren.

Um wirkliche effektiv zu sein, muss ein IT-Tool den Risk Ownern zu mehr Eigenverantwortung verhelfen und sie dabei unterstützen, eine aktive Rolle in der Bewältigung der jeweiligen Aufgaben bzw. Herausforderungen einzunehmen. Und wenn das IT-Tool dann noch die Kooperation der am Risikomanagement beteiligten Akteure unterstützt, dann ist das Fundament für eine effektive Governance des ERM-Programms gelegt.

Ein RMIS ist unverzichtbar für ein wirklich effektives ERM

Ein RMIS ist ein solches Werkzeug. Als webbasierte Risikomanagement-Plattform mit integrierten Reporting/Analytics-Tools ermöglicht es die strukturierte Erfassung, Konsolidierung und Auswertung von Risikodaten z.B. in Form von „Heatmaps“ und „Scorecards“. Die Vorteile im Einzelnen

  • Eine einzige, konzernweit einheitliche Sprache, um Risikomanagement-Informationen zu organisieren und auf beliebigen Ebenen (z.B. Konzern, Unit, Prozess) zu analysieren.

  • Zeitnahe Feedback-Mechanismen: Es ist erfolgskritisch, Managern, Risk Ownern und anderen Stakeholdern regelmäßig und zeitnah Feedback über Risiken, Risikomanagement-Fähigkeiten, Vorfälle, Schäden und andere relevante Ereignisse zu geben (und nicht nur 1x Jahr). Über kundenspezifische online-Fragebögen können die Partizipanten ihre Einschätzung zur Eintrittswahrscheinlichkeit und Auswirkung von Risiken abgeben. Die so dezentral erfassten Daten werden in Echtzeit in das zentrale RMIS übertragen und können von dort aus weiter analysiert werden, um z.B. fehlende Capabilities für das Management von kritischen Risiken zu identifizieren und entsprechende Aktionen und Verantwortlichkeiten zu definieren.

  • Zentrales „Datenlager“: Individuelle online-Masken dienen der strukturierten und einheitlichen Erfassung (und Auswertbarkeit) von Risikodaten, die an einem zentralen Ort gespeichert und für berechtigte Personen zu jeder Zeit und von überall zugänglich sind. Beispiele
    • Risiko-Ratings, Risikotoleranzen und Bewertung des Restrisikos
    • Selbsteinschätzung der Effektivität von Risikomanagement-Fähigkeiten und internen Kontrollsystemen
    • Monitoring von Maßnahmen zur Bewältigung von kritischen Risiken und damit verbundenen Aufgaben

  • Status Reporting: Ein RMIS stimuliert durch das automatische (z.B. monatliche) Versenden von Dashboards und Berichten einen kontinuierlichen Verbesserungsprozess der Risikomanagement-Fähigkeiten und zeigt auf, wo und in welchen Bereichen Fortschritte erzielt wurden (und wo nicht).

Wer profitiert beim ERM von einem RMIS?

Ein RMIS bietet den am Risikomanagement-Prozess beteiligten Parteien viele Vorteile:

Das Executive Management nutzt Dashboards um a) Risikokommunikation, Monitoring und Compliance zu verbessern und, um b) Risikomanagement und das Erreichen von strategischen Zielen und Leistungskennzahlen (KPIs) aufeinander abzustimmen.

Risk Owner können Informationen über Risiken und Maßnahmen über intuitive Masken erfassen und Einblicke in Best-Practices erhalten.

Das zentrale Risikomanagement:

  • kann auf Knopfdruck ein Scorecard-Reporting (z.B. zum Thema Risikoprofil und Risikomanagement-Performance) erstellen, das auf den im RMIS gespeicherten (und verlässlichen!) Daten basiert.
  • kann mit Hilfe von Analytics Trends und Muster entdecken und Dashboards für das C-Level Reporting erstellen.
  • kann relevante Risikodaten auf beliebigen Ebenen aggregieren (z.B. Konzern, Business Unit, Land) und Entscheidungsträgern auf Anfrage, monatlich, täglich (oder gar in Echtzeit) mit aussagekräftigen Auswertungen versorgen.
  • kann interne/externe Benchmarks entwickeln, relevante Informationen und Wissen über die zentrale Plattform teilen, Frühwarnindikatoren definieren und Risikoaggregationen vornehmen.
  • kann Chancen und Verbesserungspotentiale identifizieren und konzernweit Best-Practices teilen.
  • kann den Umsetzungsstatus von Aufgaben in Verbindung mit Risikobewältigungsmaßnahmen überwachen und frühzeitig Gegenmaßnahmen ergreifen.

Ein modernes RMIS als unternehmensweites Informationssystem ist beliebig skalierbar und kann ohne viel Aufwand an veränderte Anforderungen angepasst werden (z.B. neue Risiken, mehr Nutzer, neue Datenquellen, neue Anforderungen an das Berichtswesen etc.). Letztendlich stellt die hohe Qualität und Aktualität der im RMIS gespeichert Risikodaten zusammen mit Risikomanagement Dashboards und Scorecards einen Mehrwert für das Unternehmen dar und einen Wettbewerbsvorteil, der von Mitbewerbern nicht leicht zu kopieren ist.

 

Detaillierte Informationen über den Einsatz eines Risikomanagement-Informationssystems (RMIS)

Kategorien: RMIS ERM