Risiko – ein abstrakter Begriff
Ein Risiko ist – vereinfacht ausgedrückt – die Abweichung von der Erwartung. Positive oder negative Abweichungen sind eher Regel als Ausnahme im Unternehmensalltag und zum großen Teil unproblematisch. Die Herausforderung für Unternehmen liegt darin, den kleinen Teil an potenzieller Erwartungsabweichung zu identifizieren, der sich gravierend (negativ) auf das Unternehmensergebnis auswirken kann.
Maßnahmen zu entwickeln, die solche Erwartungsabweichungen im Vorfeld abwehren, ist ebenfalls Teil des Risikomanagements. Wie dieser abstrakte Auftrag in konkrete Arbeitsprozesse überführt werden kann, thematisiert die ISO 31000.
Ansatz zur Risikoidentifizierung: Top-Down
Um das hohe Abstraktionsniveau zu handhaben, empfiehlt die ISO-Norm einen Top-Down-Ansatz. Für die Risikoidentifizierung bedeutet Top-Down, vom Allgemeinen auf das Spezielle zu schließen. Das heißt, dass in einem ersten Schritt das „Große Ganze“ betrachtet werden soll. Ohne ins Detail zu gehen, muss die Unternehmensführung feststellen, welche grundsätzlichen Risiken von Bedeutung sind – zum Beispiel Finanzierungsrisiken, Beschaffungsengpässe oder Rechtsunsicherheit. Von dieser übergeordneten Betrachtung ausgehend, analysiert das Risikomanagement zusammen mit den Fachabteilungen die Gefahren konkreter – zum Beispiel Wechselkursschwankung, Rohstoff-Preisentwicklung oder den aktuellen Stand einer Gesetzesinitiative.
Unorganisierte Risikoabwägung vs. Risikomanagement
Chancen und Risiken abwägen, Gefahren erkennen und abwenden oder Zahlungsströme in die Zukunft projizieren – all das machen selbstverständlich auch Unternehmen ohne spezifisches Risikomanagement. Der Unterschied zu Unternehmen mit Risikomanagement sind die fest implementierten Prozesse nach denen Risiken identifiziert und über Eintrittswahrscheinlichkeit sowie Schadenspotenzial bewertet werden. Ein prozessgesteuertes Risikomanagement ist nicht nur gründlicher als eine unorganisierte Risikoabwägung. Die feste Implementierung von Workflows fördert zusätzlich die Risikokultur und das Risikobewusstsein im Unternehmen.
Empfehlung der ISO 31000: Prozessintegration
Die ISO 31000 rät, die Implementierung von Risikomanagement-Prozessen in die Aufbauorganisation des Unternehmens zu verankern. Risikomanagement darf nicht ausschließlich als ein sich wiederholendes Projekt (wie beispielsweise eine Inventur) begriffen werden, sondern als ein integraler Bestandteil bestehender Arbeitsprozesse.
Das Risikomanagement-Modul in otris compliance nimmt die Empfehlung der ISO 31000 auf und vereinfacht ein individualisiertes Vorgehen. Beispiel Dokumentation und Bewertung: Von einem fragebogenbasierten Risk-Assessment über Freigaberoutinen bis hin zur Risikobewertung durch den Risikoverantwortlichen – otris compliance ist frei konfigurierbar und integriert individuelle Workflows, die Sie für Ihr unternehmensweites Risikomanagement entwickelt haben. Die Rechteverwaltung steuert, dass einzelne Mitarbeiter ausschließlich für sie relevante Bereiche des Gesamtsystems sehen/bearbeiten können – beispielsweise die Risiken eines bestimmten Risikobereiches. Auch die nachgelagerten Arbeitsprozesse steuern Sie mit otris compliance: Sie dokumentieren Maßnahmen zur Risikoprävention und überwachen die Abarbeitung der Präventionsaufgaben. Individualisierbar ist auch der Einsatzzweck: Neben „klassischem“ Risikomanagement nutzen Sie otris compliance für fragenbasierte Audits, Geschäftspartner-Prüfungen oder zur konzernweiten Durchführung von Compliance-Risk-Assessments.
Automatisierungsvorteile und Qualität durch Standardisierung
Prozesse, die sich bei der operativen Arbeit im Risikomanagement bewähren, implementieren Sie mit otris compliance als Standardprozess. Beispiel: Die fragebogenbasierte Identifikation eines Risikos besteht aus mehreren Prozessschritten (z.B. Versand einer E-Mail mit der Aufforderung, den Fragebogen auszufüllen an den zuständigen Mitarbeiter, Überwachung des fristgerechten Rücklaufs kombiniert mit automatisierten Erinnerungen, automatisierte Überführung der ausgefüllten Fragebögen in otris compliance, Bestätigungs-E-Mail für die teilnehmenden Mitarbeiter mit Dokumentation der individuellen Fragebogenbeantwortung, Automatisierte grafische Auswertung und Aufbereitung der eingegangenen Antworten usw.). Ist ein solcher individueller Workflow in otris compliance integriert, steht er als Standard zur Verfügung. Der Anwender, der das Risikomanagement steuert, ordnet lediglich die jeweiligen Verantwortlichkeiten zu, um weitere Risiken zu identifizieren, zu dokumentieren und zu managen. Der softwaregesteuerte, standardisierte Ablauf des Workflows sichert gleichbleibende Erhebungsqualität und ermöglicht Automatisierungen – z.B. automatisierter E-Mail-Versand an hinterlegte Verantwortliche, automatisierte Dokumentenlenkung oder automatisierte kumulierte Darstellung der Risiken gemäß (DICO-)-Risikokatalog.
Überblick durch Dokumentation
Nicht nur Workflows, auch Dokumentationsaufgaben vereinfacht otris compliance durch Automatisierung. Das System dokumentiert sämtliche Vorgänge Ihrer Compliance-Arbeit – egal ob Sie eine Richtlinie aktualisieren oder eine Risikobewertung abschließen. Übersichtlich strukturiert zeigt Ihnen das System den Status zu jedem Vorgang – vom Bearbeitungsstatus einer Risikobewertung bis zur Nachverfolgung der eingeleiteten Maßnahmen. Automatisierte Wiedervorlagen erleichtern die Pflege und Aktualisierung der Risiko-Dokumentation.
Fazit
Die ISO 31000 enthält eine Reihe an Empfehlungen für Unternehmen, die Risikomanagement-Prozesse implementieren. otris compliance | Risikomanagement hilft Ihnen bei der Umsetzung: Die Software ermöglicht ein strukturiertes, systematisches Vorgehen durch Prozess-Standardisierung. Die Integration von Risikomanagement-Prozessen in die Organisationsstruktur des Unternehmens vereinfacht otris compliance durch frei konfigurierbare Workflows. Eine weitere Empfehlung der Norm: Transparenz durch Einbeziehen aller Stakeholder. Auch hierbei unterstützt Sie otris compliance. Die browserbasierte Software ist leicht zugänglich und über Rechteverwaltung so konfigurierbar, dass Stakeholder Zugriff auf den für sie relevanten Teil der im System abgebildeten Informationen und Vorgänge erhalten.