Wie funktioniert ein Personalwechsel im Risiko-Management?
Wissenstransfer & gemeinsames Verständnis aufbauen
Von Marcel Steur, Consultant Risiko-Management & GRC der SAVISCON GmbH
Vielleicht ist es Ihnen schon aufgefallen: Es gab im SAVISCON-Blog lange keinen Beitrag mehr zum Thema Risiko-Management. Das hat auch einen Grund, denn unser Mitarbeiter, der bisher das Risiko-Management verantwortet hat – Uwe Straßberger – ist im März 2022 in den Ruhestand gegangen. Doch seit April ergänze ich, Marcel Steur (Consultant Risiko-Management & GRC), das SAVISCON-Team und blogge zukünftig über alle Themen rund um das Risiko-Management. Qua akademischer Ausbildung bin ich Wirtschaftswissenschaftler mit Studienschwerpunkt Statistik und Data Science. Die Kontaktbereiche mit dem Risiko-Management waren bisher quantitativer Natur, also mathematisch- und zahlengetrieben. Mein Wirkungsbereich begann also, wenn Risiken bereits identifiziert, als relevant definiert und beschrieben wurden. Meine akademischen Schwerpunkte waren das Schließen einer Risikobewertung aus Rohdaten und die Risikoaggregation aus Einzelrisiken mit verschiedenen Kennzahlen.
Orientierungsphase: Mein Start ins SAVISCON-Risiko-Management
Mit dem aktuellen Wachstum der SAVISCON GmbH verändern sich auch die Abteilungen, interne Strukturen, das Personal wird umgeplant und Zuständigkeiten verlagern sich. Zu Beginn meiner Tätigkeit habe ich an einer Schulung teilgenommen, in der ich das vollständige Risiko-Management, den bundesweiten Stand, die typischen Prozesse und die Umsetzungsmethoden durchlaufen habe. Mit diesen Informationen habe ich mir das interne Risiko-Management, insbesondere die Risiken, den Risiko-Management-Leitfaden und die internen Bereiche und deren Zuständigkeiten angesehen und mich in diese Strukturen eingearbeitet. Mit dem Überblick der internen Strukturen mussten einige Fragen über meinen geplanten Zuständigkeitsbereich geklärt werden, damit zum einen kein Teilbereich ohne Zuständigkeit verbleibt und zum anderen kein Teilbereich mit doppelter Zuständigkeit geplant wird.
Definitionsphase: Gemeinsame Definition von „Risiko“
Beim Einsehen der Risiken stellte ich verschiedene Arten des Anlegens von Risiken fest. Dies resultierte aus jahrelangem Anlegen von Risiken durch unterschiedliche Zuständige mit jeweils anderer Sicht- und Denkweise. Ich musste „das Risiko“ also für mich klar erfassen und definieren. Grundsätzlich beschreibt das Risiko eine Wahrscheinlichkeit in einer kausalen Kette, es steht also zwischen Ursache und Wirkung. Diese kausale Kette beginnt mit einer Ursache, die sich wahrscheinlich realisieren könnte, eine negative Auswirkung auf vorhandene Prozesse hat und damit ein Unternehmensziel gefährdet oder verhindert.
Als Beispiel hätte ein veralteter Fuhrpark (Ursache) eine nicht zu vernachlässigende Wahrscheinlichkeit, dass eines der Fahrzeuge ausfällt (Risiko) und der das Fahrzeug nutzende Mitarbeiter nicht rechtzeitig zu einem Kundentermin kommt (Auswirkung). Damit wäre das Unternehmensziel „hohe Kundenzufriedenheit erreichen“ gefährdet.
Laut dieser klaren Definition war es mir möglich zu erkennen, dass in einigen der internen Risiken nicht genau das Risiko von der Ursache oder die Auswirkung vom Risiko getrennt eingetragen war.
Hier drei Beispiele für unklare Eintragungen:
- Der Ausbruch einer neuen COVID-Variante ist ein Risiko für das Unternehmen – Hier handelt es sich um eine Ursache, dessen Risiko die mögliche Erkrankung eines Mitarbeiters wäre, was zum Ausfall eines Mitarbeiters führen könnte.
- Die Handlungsunfähigkeit aller Mitarbeiter wegen IT-Problemen ist ein Risiko für das Unternehmen – Hier handelt es sich um eine Auswirkung, dessen zugehöriges Risiko der Ausfall des Unternehmensservers ist, der sich aus der Ursache von schädlichen IT-Fremdeinwirkungen ergibt.
- Das Unterschreiten des geplanten Umsatzwachstums von 10 % ist ein Risiko für das Unternehmen – Hier handelt es sich um das Nichterreichen eines Unternehmensziels, das durch Auswirkungen gefährdet oder verhindert werden könnte. Hierbei kann es jedoch viele Auswirkungen geben, die sich aus unterschiedlichsten Risiken realisieren können, die sich aus verschiedensten Ursachen ergeben könnten.
Des Weiteren waren die eingetragenen Risiken in dreistelliger Anzahl für einen zentralen Risiko-Manager nicht mehr leicht zu überblicken. Dafür sollte ein Kategorisierungs-Konzept für die internen Risiken entwickelt und eingeführt werden. Die Möglichkeiten von Risiko-Kategorisierungen sind jedoch immens. Aus verschiedenen Risiko-Management-Fachbüchern folgen unzählige Risikoarten und Risikokategorien. Mit meinem ganzheitlichen Ansatz, alle möglichen Risiken zu identifizieren und daraus dann eine Beurteilung der Risikorelevanz ableiten zu können, bin ich sehr schnell an meine Grenzen gestoßen. Als vorerst klüger erwies es sich, Risikokategorien aus der aktuellen Unternehmensrealität zu definieren.
Beispielsweise könnten sich die Risikokategorien aus den Vermögengegenständen, den wichtigen Mitarbeitern, den Gefährdungen von Unternehmenszielen oder Gründe für negative Prozessveränderungen in der Vergangenheit ableiten. Diese primären Risikokategorien können auch im Rahmen von Workshops oder Brainstormings gebildet werden.
Um schnell den ersten Schritt gehen zu können, wurden die Risiken der SAVISCON vorerst nach den vier internen Zuständigkeitsbereichen Compliance, IT-Sicherheit, Projekte und Operatives Risiko-Management kategorisiert. Die identifizierten, kategorisierten und damit überschaubaren Risiken haben nun ihre erste Zuordnung erhalten.
Die nächsten Schritte: Anpassen des Risiko-Management-Leitfadens
Im nächsten Schritt wird es um den Risiko-Management-Leitfaden gehen, der nach der starken Wachstumsphase der SAVISCON GmbH, an Komplexität zunehmen wird. Aktuell abgestimmt wird die Einführung eines siebenstufigen Regelkreises aus Risikoidentifikation, Risikorelevanz, Risikobewertung, Risikoaggregation (Brutto), Risikosteuerung, Risikoaggregation (Netto) und Risikoüberwachung und auf die Anpassung auf die verschiedenen Zuständigkeiten. Diesen umfangreichen Prozess der Operationalisierung mit allen Kennzahlen und Details werde ich im nächsten Blogbeitrag darlegen, wenn wir den Prozess abgeschlossen haben.
Über den Autor
Marcel Steur ist Wirtschaftswissenschaftler mit Studienschwerpunkt Statistik und Data Science. Bei der SAVISCON GmbH arbeitet er seit April 2022 als Consultant Risiko-Management & GRC. Neben dem internen Risiko-Management berät er die SAVISCON-Kunden in allen Belangen rund um das Risiko-Management. Bei Fragen, Anregungen oder für den Austausch: marcel.steur@saviscon.de