Risikobewertungen sind seit jeher von Subjektivität geprägt, was bedeutet, dass man sich nicht darauf verlassen kann, dass sie ihr Ziel erreichen. Subjektivität verhindert, dass die Bewertungen über Geschäftssilos hinweg genutzt werden können, und macht eine Überprüfung durch Audits oder Compliance-Reviews unmöglich.
Gemeinsame Standards und Annahmen machen die im gesamten Unternehmen gesammelten Informationen objektiv, quantifizierbar und vergleichbar und ermöglichen so eine bessere Analyse, Problemlösung und Problemeskalation, falls erforderlich.
Laden Sie unsere kostenlose Vorlage zur Risikobewertung mit Best Practices herunter und beginnen Sie noch heute.
Kostenlose Vorlage zur Risikobewertung: Überblick
Unsere Vorlage für eine grundlegende Risikobewertung soll Ihnen helfen, die ersten Schritte zur Standardisierung Ihrer Prozesse zu unternehmen. Sie hilft Ihnen zu bestimmen, welche Daten Sie aus Ihren Geschäftsbereichen sammeln müssen, definiert Schlüsselbegriffe und umreißt die vorgeschlagene Antwortauswahl.
Sie generiert außerdem automatisch Risiko-Heatmaps auf der Grundlage Ihrer Daten und enthält eine schrittweise Anleitung zur Verwendung.
Mit unserer kostenlosen Vorlage zur Risikobewertung sind Sie bestens gerüstet, um die Risiken in Ihrem Unternehmen besser zu managen.
Warum eine Risikobewertung
Risikobewertungen sind ein wichtiger Bestandteil jedes erfolgreichen Risikomanagementprogramms. Unabhängig davon, wie einfach oder komplex der Rahmen ist, dienen standardisierte Bewertungsergebnisse als Grundlage für die übrigen Verantwortlichkeiten im Risikomanagement, für Maßnahmen zur Risikominderung und für Überwachungskontrollen.
Wie Sie von unserer Vorlage für Risikobewertungen profitieren können
Erfolgreiche Risikobewertungen in Unternehmen können ein leistungsfähiges Instrument für die strategische Entscheidungsfindung auf höchster Ebene sein, indem sie die Geschäftsaktivitäten mit den Zielen verbinden und die Risiken identifizieren, die diese strategischen Ziele zu gefährden drohen. Wenn Risikobewertungen auf der Grundlage derselben Standards und Annahmen durchgeführt werden, können sie verglichen und funktionsübergreifend für ein genaueres und handlungsfähigeres Risikomanagement genutzt werden.
Durchführung einer Risikobewertung: Schritt für Schritt
Nachfolgend zeigen wir Ihnen Schritt für Schritt auf, was zum Ausfüllen einer Risikobewertung erforderlich ist, sowohl mit dem kostenlosen Download unserer Risikobewertungsvorlage als auch innerhalb der Risikomanagementlösung LogicManager.
Eine einheitliche numerische Skala – Die Bewertung von LogicManager basiert auf einer Skala von 1 bis 10, wobei 10 die ungünstigsten Folgen für das Unternehmen hat, und ist in 5 Bereiche unterteilt, um einen Höchst- und einen Tiefstwert für jeden Bereich zu ermitteln. (1-2, 3-4, 5-6, usw.). Die Verwendung einer 10er-Skala erleichtert die Berechnungen, und die 5 Bereiche geben den Beurteilern die Flexibilität, den höchsten oder niedrigsten der 5 Bereiche auszuwählen.
Objektive Bewertungskriterien – Was für den einen eine 9 ist, ist für den anderen eine 7. Die Risikoanalyse-Vorlage von LogicManager bietet eine klare Definition der 5 Bereiche in eindeutigen Begriffen. Es gibt mehrere Möglichkeiten, den Schweregrad sowohl qualitativ als auch quantitativ auszudrücken, z. B. finanziell, rechtlich, strategisch usw. Jedes qualitative Kriterium kann mit einer Punktzahl versehen werden, um es quantitativ und unternehmensweit vergleichbar zu machen.
Kalibrierte Bewertungskriterien – In LogicManager wird eine Vielzahl von Risikobewertungskriterien verwendet, die alle auf einer Skala von 1 bis 10 liegen und kalibriert sind, was bedeutet, dass die Beschreibung einer 7, auch wenn sie in verschiedenen Bewertungskriterien unterschiedlich beschrieben wird, die gleiche Bedeutung für den Schweregrad hat. Dies ermöglicht die Aggregation von Risikobewertungen, um eine ganzheitliche Risikobetrachtung zu ermöglichen.
Universelle Geschäftselemente – Risikobewertungen in LogicManager werden in grundlegende Elemente wie Geschäftsprozesse und Ressourcen unterteilt, die über Geschäftssilos oder Geschäftseinheiten hinweg standardisiert sind. Unter Ressourcen verstehen wir Mitarbeiter und Anbieter sowie die im Unternehmen verwendeten physischen Anlagen, Softwareanwendungen zur Risikobewertung, Dienste und Datenbestände. Die Bewertung der Eigenschaften von Anbietern getrennt von den Produkten und Dienstleistungen, die sie verkaufen, führt zu Risikobewertungen, die bei Veränderungen wie Fusionen und Übernahmen oder der Einführung neuer Produkte usw. leicht zu erkennen sind und objektiv bleiben. Durch die Aufschlüsselung komplexer, miteinander verbundener Informationen in Ressourcen als Grundbausteine bietet das LogicManager Risk Taxonomy Framework eine Struktur für Informationen und Eigentum.
Verknüpfung von Risikobewertungsvorlagen – Die Taxonomie-Technologie von LogicManager verknüpft Elemente miteinander, d. h. durch einfaches Ziehen und Ablegen können Sie Anbieter mit den Produkten und Dienstleistungen, die sie anbieten, und den Geschäftsprozessen, die sich auf sie stützen, verbinden. Verknüpfen Sie jedes Finanzelement mit den Geschäftsprozessen, die zu ihm beitragen. Verknüpfen Sie alle intern entwickelten Anwendungen und Datenbestände mit den Geschäftsprozessen, die zur Erfüllung ihrer Aufgaben auf sie angewiesen sind. Durch die Verknüpfung dieser Elemente entsteht ein ganzheitliches Bild. Ein Anbieter kann zum Beispiel mehrere Produkte und Dienstleistungen von unterschiedlicher Qualität und mit unterschiedlichem Risiko anbieten. Werden die Produkte und Dienstleistungen einzeln bewertet und diese Risikobewertungen mit dem Anbieterprofil verknüpft, ergibt sich ein viel klareres Bild der Kombination von Produkten, Dienstleistungen und Anbietern, die von einem Prozessverantwortlichen genutzt werden.
Gemeinsame Ressourcenbibliothek – Die Taxonomie von LogicManager bietet eine gemeinsame Ressourcenbibliothek. Die Verwendung von Informationen an einem gemeinsamen Ort ermöglicht eine drastische Reduzierung der Nacharbeit, insbesondere bei der Erfassung und Verwaltung von Informationen, sowohl für Sie als auch für die Prozessverantwortlichen, mit denen Sie zusammenarbeiten. Die Bibliothek hilft Ihnen auch dabei, herauszufinden, wer sonst noch mit denselben Informationen verbunden ist. Der Schlüssel liegt darin, herauszufinden, wie all diese Ressourcen miteinander in Beziehung stehen und welche Kombination dieser Ressourcen für kritische Bereiche Ihres Unternehmens am wichtigsten ist.
Konsolidieren Sie die Ressourcendatenerfassung – Die LogicManager-Vorlage zur Risikobewertung für Excel ermöglicht es Ihnen, anpassbare Datenfelder für jedes dieser Ressourcenelemente zu erstellen, so dass Sie siloübergreifend Informationen erfassen und Bereiche identifizieren können, in denen Kontrollen und Tests konsolidiert werden können. Verschiedene Bereiche im Unternehmen erfassen dieselben Informationen zu Ressourcen, sie wissen es nur nicht. So erfassen beispielsweise die Kreditorenbuchhaltung, das Vertragsmanagement, das Lieferantenmanagement, die Geschäftskontinuität und die IT-Abteilung überlappende Informationen über Ihre Lieferanten. Indem Sie verstehen, welche Informationen von diesen Bereichen für jede Ressource erfasst werden, können Sie Risikobewertungen und Datenfelder leicht rationalisieren und konsolidieren.
Ganzheitliche, genaue ERM-Berichte – Sie können analysieren, berichten und Entscheidungen treffen, indem Sie jede Beziehung in Bezug auf die Ressource berücksichtigen. Die LogicManager-Vorlage zur Bewertung von Geschäftsrisiken ermöglicht es Unternehmen, einen Gesamtrisikowert für jede Ressource zu erhalten, der das Fachwissen im gesamten Unternehmen zusammenfasst, um eine aggregierte Zahl für diese Ressource zu erhalten. Die gesamte Komplexität einer Ressource, wie z. B. eines Anbieters, wird vereinfacht, aber durch einen detaillierten Pfad der objektiven Risikobewertungen für alle anderen mit der Ressource verbundenen Dinge, wie z. B. den Geschäftsprozess, finanzielle Elemente, physische Vermögenswerte, Anwendungen, Daten und Menschen, unterstützt.
Aufgaben &Workflow – In LogicManager können Sie für jedes Ressourcenelement per E-Mail Aufgabenbenachrichtigungen zur Bewertung von Risikobewertungen oder zur Überprüfung versenden, Dokumente wie Verträge anhängen, Genehmigungsworkflows starten, benutzerdefinierte Datenfelder erfassen, Bewertungen in der Vergangenheit einsehen und vieles mehr.
Wenn die Beziehungen zwischen den Ressourcen und den Geschäftsprozessen, die sie nutzen, explizit werden, kann die Organisation die geschäftlichen Auswirkungen bestimmen. Je besser das Verständnis der geschäftlichen Auswirkungen ist, desto effektiver ist die Governance-Aktivität. Die Verbindung zu einem Geschäftsprozess stellt eine direkte Verbindung zu dem Fachexperten für die Aktivität her, der die Ressource verwendet und die Kritikalität dieser Ressource für seine Aktivität kennt.
Das Ergebnis ist eine einzige zusammenfassende Gesamtbewertung für jeden Geschäftsprozess, die die einzelnen Bewertungen für jede mit diesem Prozess verbundene Ressource und Finanzposition sowie die Prozessbewertung selbst kombiniert. Mit diesen Informationen, die in unserer Vorlage für den Risikobewertungsbericht enthalten sind, können Sie Prioritäten setzen und Ihre ERM-Bemühungen fokussieren.
Verwendung einer Vorlage für die Risikobewertung zur Priorisierung von Geschäftsmaßnahmen
Die Zahl der Geschäftsmaßnahmen in Unternehmen wächst in der Regel. Maßnahmen werden oft als Reaktion auf bereits eingetretene Schadensfälle hinzugefügt. Wäre es nicht wertvoll, sich auf vorausschauende Maßnahmen zu konzentrieren? In den meisten Unternehmen sind diese präventiven, proaktiven Maßnahmen nicht von reaktiven Maßnahmen zu unterscheiden, da die Messgrößen nicht formell mit Verpflichtungen oder Risiken verknüpft sind.
Was ist, wenn sich ein Risiko oder eine Aktivität ändert? Unternehmen können nicht wissen, ob und wie sich diese Änderungen auf ihre Risikokennzahlen auswirken werden. Risikobewertungen und die Verknüpfung von Risiken mit Aktivitäten ermöglichen es Unternehmen, Prioritäten zu setzen, welche Aktivitäten überwacht werden müssen. Durch vierteljährliche (oder sogar jährliche) Unternehmensrisikobewertungen können Unternehmen erhöhte Bedrohungsniveaus erkennen und neu auftretende Risiken identifizieren, bevor sie sich verwirklichen und ihre Risikokennzahlen aus dem Toleranzbereich bringen.
Unternehmensrisikokennzahlen sind wichtig, weil man nicht verbessern kann, was man nicht messen kann. Eine große Anzahl unverbundener Ziele ist jedoch problematisch, weil:
- Messmüdigkeit – Mitarbeiter können viele Maßnahmen einfach ignorieren, weil ihnen die Zeit fehlt, sie zu bewerten.
- Veraltete Maßnahmen – in einem sich wandelnden Umfeld gibt es keine effektive Möglichkeit zu erkennen, wann Maßnahmen nicht mehr anwendbar sind.
- Mangelnde Prioritätensetzung – die Auswahl der Maßnahmen, auf die man sich konzentrieren will, erfolgt wahrscheinlich ad hoc und nach der Laune der derzeitigen Mitarbeiter.
- Mangelnde Kontinuität – Änderungen in der Organisation oder die Entwicklung neuer Geschäftsbereiche können zu neuen Maßnahmen führen, während bestehende Maßnahmen möglicherweise effektiver sind.
- Mangelnde Koordinierung – häufig beziehen sich Maßnahmen auf mehrere Risiken oder Verpflichtungen über Funktionsbereiche hinweg. Die Unfähigkeit, Maßnahmen formell mit Risiken oder Verpflichtungen zu verknüpfen, fördert nicht die funktionsübergreifende Koordinierung, was zu Geschäftssilos und Doppelarbeit führt.
- Vergeudete Ressourcen – Die zur Erreichung von Geschäftszielen und zur Risikominderung verfügbaren Ressourcen sind begrenzt. Die Mitarbeiter werden oft weiterhin veraltete oder unwichtige Maßnahmen durchführen, anstatt sich an den aktuellen Erfordernissen zu orientieren.
- Widerstand gegen Veränderungen – Die Schwierigkeit, Erfahrungen aus der Vergangenheit auf ein sich veränderndes Geschäftsumfeld anzuwenden, führt zu der Tendenz, „das Rad neu zu erfinden“
Viele der erforderlichen Informationen sind heute in den Unternehmen vorhanden; das fehlende Stück ist die Formalisierung dieser wichtigen Verbindungen. Enterprise Risk Management (ERM)-Software verfügt über Funktionen zur Identifizierung von Risiken und Verpflichtungen, zu deren Bewertung auf der Grundlage von Wahrscheinlichkeit, Auswirkung und Sicherheit, zur Beurteilung, ob Maßnahmen erforderlich sind, zur Entwicklung von Maßnahmen zur Risikominderung oder zum Aufbau von Geschäften, zur Festlegung und Aufzeichnung von Messwerten zur Verfolgung der Wirksamkeit und schließlich zur Formalisierung der Verbindung zwischen all diesen Aktivitäten.
Die Verbindung der Messwerte mit den Daten der Risikominderungsmaßnahmen und Geschäftsinitiativen und dann zurück zu den zugrunde liegenden Risiken und Verpflichtungen bietet folgende Vorteile:
- ERM-Berichte: Explizite Priorisierung von Maßnahmen auf der Grundlage eines Risiko-Ertrags-Indexes und eine Dashboard-Darstellung auf dem Heatmap-Dashboard in LogicManager.
- Operatives Risikomanagement: Echtzeit-Trending von Maßnahmen auf einer fortlaufenden Basis mit Maßnahmenkonsolidierung, um die Aufmerksamkeit des Managements auf problematische Bedingungen (außerhalb der Toleranz) zu lenken.
- Performance Management: Erleichterung von Messungen für neue Geschäftsinitiativen, die nach Risiko oder Geschäftsverpflichtungen priorisiert werden.
- Ressourcenzuweisung: Effektivere Nutzung knapper Ressourcen.
Der Schlüssel liegt in der Zusammenarbeit mit den Funktionsmanagern, um die Verbindungen herzustellen. Der unmittelbare Nutzen besteht darin, Maßnahmen zu identifizieren, die in keinem Zusammenhang mit einem Risiko oder einer Initiative stehen, und zu ermitteln, ob sie gestrichen werden sollten. Sobald die Verbindungen hergestellt sind, können Sie die Management-Tools in Ihrer Enterprise Risk Management-Software kontinuierlich nutzen, um die Nutzung von Geschäftsmaßnahmen innerhalb Ihrer Organisation zu verbessern.