Internes Risikomanagement
Risikomanagement ist, wenn ein Manager versucht, sein Unternehmen (oder seine Geschäftseinheit) so zu organisieren, dass es auf mögliche Probleme vorbereitet ist und versucht, diese zu verhindern. Risikomanagement ist einer der kompliziertesten Bereiche des Managements, da es von den Managern verlangt, unbekannte Situationen einschätzen zu können und sich auf alles vorzubereiten. Es ist die Technik, Unsicherheiten und spekulative Managemententscheidungen zu unterscheiden, zu untersuchen und anzuerkennen. Im Wesentlichen tritt Risikomanagement immer dann auf, wenn ein Finanzspezialist oder Fondsmanager analysiert und versucht, das Verlustpotenzial in einer bestimmten Situation zu bestimmen, und anschließend die geeigneten Maßnahmen ergreift, um dieses Risiko zu minimieren.
Interne versus externe Kontrollen
Werkzeuge für das Risikomanagement werden normalerweise zwischen internen Kontrollen, also Werkzeugen zur Vermeidung von Problemen, die aus der Organisation selbst kommen, und externen Kontrollen, die darauf abzielen, sich auf Bedrohungen und Probleme von außen vorzubereiten, unterteilt.
Interne Kontrollen
Interne Kontrollen sind die Verfahren und Prozesse, die in einer Organisation implementiert sind, um sicherzustellen, dass alles reibungslos funktioniert und Fehler selten bleiben. Dazu gehören Dinge wie die Erstellung von Standardarbeitsanweisungen (SOPs), Qualitätssicherung (QA) und Audits. Es umfasst auch Überprüfungen und Untersuchungen, um sicherzustellen, dass diese SOPs und QA-Prozesse ordnungsgemäß befolgt werden und nicht nur ungenutzte Dokumente sind. Die meisten Beispiele in diesem Artikel konzentrieren sich auf internes Risikomanagement.
Externe Kontrollen
Externe Kontrollen sind eingerichtet, um eine Organisation vor Schäden zu schützen, die durch äußere Kräfte verursacht werden. Dazu gehören Dinge wie die Einschätzung, wie wahrscheinlich es ist, dass ein neues Produkt nicht verkauft wird, wie viel Schaden im Falle eines Unfalls entstehen würde, und die Sicherstellung, dass die Organisation im Falle von Katastrophen angemessen versichert ist. Externe Kontrollen umfassen relativ geringfügige Dinge wie die Gebäudesicherheit (um sicherzustellen, dass Unternehmensgeheimnisse geschützt sind) bis hin zu Währungsabsicherungen, um sicherzustellen, dass die Organisation nicht übermäßig geschädigt wird, wenn die Wechselkurse schwanken.
Natur der internen Risikokontrolle
Interne Risikokontrolle ist das, was ein Manager und eine Organisation implementieren, um Risiken zu minimieren, die aus der Organisation selbst kommen. Diese Kontrollen fallen in 4 breite Kategorien:
- Überwachung: Dies sind Kontrollen, die eingerichtet werden, um die Abläufe im Auge zu behalten und Probleme zu identifizieren, bevor sie eskalieren.
- Kontrollumfeld: Dies bedeutet, den Arbeitsplatz so zu organisieren, dass Risiken minimiert werden. Dies kann alles sein, von der Installation von Sicherheitsausrüstungen in einer Fabrik bis hin zu Firewalls in der IT-Abteilung, um sich vor Viren zu schützen.
- Information und Kommunikation: Dies ist die Einrichtung regelmäßiger Berichte und Kommunikationskanäle zwischen Abteilungen, Mitarbeitern und Managern. Manchmal glauben Mitarbeiter und Manager, sie hätten ein Problem “unter Kontrolle”, aber es könnte kurz davor stehen, in eine Katastrophe zu kippen – gute Kommunikation und Berichterstattung helfen, dies zu verhindern.
- Risikobewertung: Dies ist die Methode, die eine Organisation verwendet, um einen Geldbetrag zu bestimmen, wie viel Risiko jeder Aspekt der Abläufe zum Ganzen beiträgt.
Die Risikobewertung ist die kniffligste, aber auch die wichtigste. Jede Organisation hat begrenzte Ressourcen, die sie verteilen muss, um das Risiko insgesamt zu minimieren, und dieser Bewertungsprozess hilft, diese Bemühungen zu leiten. Gleichzeitig verbringen die Mitarbeiter jedes Mal, wenn ein Unternehmen mehr Überwachungs-, Kontroll- und Berichtspflichten hinzufügt, mehr Zeit mit dem Risikomanagement und weniger mit dem, was Einnahmen generiert. Jedes Mal, wenn eine neue interne Kontrolle eingeführt wird, muss sie mit den Kosten in Einklang gebracht werden, die sie dem Team auferlegt, das sie zu schützen versucht.
Interne Risikokontrolle erfolgt auf jeder Managementebene. Die niedrigsten Manager versuchen, die Risiken zu minimieren, die mit ihrem Team bei der Erreichung ihrer Ziele verbunden sind, während höhere Managementebenen die Risiken im gesamten Unternehmen untersuchen. Effektive Kontrollen sind sowohl von unten nach oben als auch von oben nach unten, indem direkte Kommunikationswege von den einfachen Mitarbeitern hinzugefügt werden, um zu berichten, wann immer sie glauben, dass interne Kontrollen missachtet werden oder wenn neue Kontrollen erforderlich sein könnten, um neue Risiken anzugehen.
Gegensatz zur externen Risikokontrolle
Externe Risikokontrolle ist freier, da die Risiken von außerhalb einer Organisation nicht so leicht quantifiziert werden können. Dies beginnt normalerweise mit einer SWOT-Analyse (Stärken, Schwächen, Chancen und Bedrohungen) und konzentriert sich darauf, die identifizierten Bedrohungen anzugehen. Externe Risikokontrolle wird normalerweise von den höheren Managern behandelt, die dann Anweisungen an die unteren Managementebenen geben, um diese Risiken anzugehen.
Während interne Kontrollen eingerichtet werden, um sicherzustellen, dass die Organisation weiterhin reibungslos funktioniert, versuchen externe Risikokontrollen, Bedrohungen für das Unternehmen selbst anzugehen. Zum Beispiel sind Fluggesellschaften immer dem Risiko ausgesetzt, dass die Ölpreise steigen, was zu einem enormen Anstieg ihrer Betriebskosten führt. Eine wichtige Form der externen Risikokontrolle, die sie ausüben, ist der Kauf von Öl-Futures, die einen festen Preis für mehrere Monate in der Zukunft festlegen und somit einige Unsicherheiten beseitigen. Externe Risikokontrollen versuchen, alles von sich ändernden Inputpreisen bis hin zu neuen Gesetzen und Vorschriften zu betrachten und alles dazwischen.
Methoden zur Risikobewertung
Die Risikobewertung hat keine festgelegten Richtlinien, wie sie durchgeführt werden sollte. Es gibt jedoch einige allgemeine Regeln, die befolgt werden. Es gibt fünf Phasen der Risikobewertung, die durchgeführt werden können, um sicherzustellen, dass die Risikobewertung genau abgeschlossen wird. Diese fünf Phasen sind:
Phase 1: Erkennung der Gefahren
Bevor ein Risiko bewertet werden kann, ist der erste Schritt, genau zu identifizieren, was dieses Risiko ist. Das Ziel von Schritt 1 ist es, eine klare und prägnante Definition dessen zu haben, was genau die potenziellen Probleme sind und welche Arten von Schäden verursacht werden könnten. Zum Beispiel haben gefährliche Maschinen am Arbeitsplatz ein definiertes Risiko, Arbeiter zu verletzen, was sowohl die Produktivität verringert als auch zu Klagen führt.
Viele Gefahren sind zunächst sehr vage, aber effektive Kontrollen können erst eingerichtet werden, wenn die Manager identifizieren, was genau sie zu kontrollieren versuchen. Gefahren können erkannt werden, indem verschiedene Verfahren genutzt werden, zum Beispiel, indem man sich im Arbeitsumfeld umschaut oder die Mitarbeiter fragt. Einige Gefahren sind möglicherweise leicht zu erkennen, während andere möglicherweise Hilfe von anderen Fachleuten außerhalb des eigenen Unternehmens erfordern.
Stufe 2: Identifizierung der Interessengruppen
Diese Stufe baut auf den in der ersten Stufe gefundenen Gefahren und Risiken auf. Ein Problem am Arbeitsplatz hat mehrere verschiedene Ebenen von Interessengruppen. Zum Beispiel sind bei gefährlichen Maschinen die Mitarbeiter, die Gefahr laufen, verletzt zu werden, offensichtliche Interessengruppen. Weitere Interessengruppen wären die anderen Einheiten des Unternehmens, die in Verzug geraten, wenn es in der Produktionskette zu einem Vorfall kommt. Es wird auch die Familien derjenigen betreffen, die verletzt werden könnten, sowie die Aktionäre des Unternehmens, die möglicherweise ihre Investition aufgrund der negativen Berichterstattung nach einer Verletzung zurückziehen.
Stufe 3: Bewertung der Gefahren und Auswahl von Kontrollmaßnahmen
Die Bewertung der Gefahren bedeutet, zu versuchen, eine Wahrscheinlichkeit dafür zuzuweisen, wie wahrscheinlich es ist, dass die Gefahr eintritt. Keine Gefahr kann vollständig beseitigt werden – nur minimiert. Das bedeutet, dass Unternehmen zunächst identifizieren, wie wahrscheinlich ein Problem aus dieser Gefahr entsteht und wie sehr potenzielle Kontrollmaßnahmen diese Möglichkeit verringern.
Potenzielle Kontrollen werden bewertet, indem die Kosten für die Implementierung (sowohl in Dollarwert als auch in Bezug auf den Zeit-/Aufwand des Personals, der zur Durchsetzung der Kontrolle erforderlich ist) mit dem tatsächlichen Risiko, das reduziert wird, abgewogen werden. Sobald mehrere Alternativen verglichen wurden, können neue Kontrollen eingeführt werden.
Stufe 4: Dokumentation der Ergebnisse
Effektive Kontrollen werden auf Probe implementiert. Das bedeutet, dass das Team eine Schulungssitzung hat, um zu erläutern, was die Gefahren sind und welche neuen Kontrollen implementiert werden, um diese anzugehen. Während der Probe dokumentiert das gesamte Team (von den einfachen Mitarbeitern bis hin zum beteiligten Management), wie sich die Implementierung auf ihre Arbeit auswirkt, sowohl in Bezug darauf, wie die Risiken, die die Kontrollen ansprechen, tatsächlich angegangen werden, als auch auf die realisierten Kosten ihrer Implementierung.
Schritt 5: Überprüfung der Bewertung und Aktualisierung
Risikokontrollen müssen kontinuierlich auf ihre Wirksamkeit überprüft und aktualisiert werden, mit entsprechender Kommunikation an alle beteiligten Interessengruppen. Dies wird normalerweise vom Management-Team durchgeführt, wobei ein spezifischer “Bewertungsexperte” mit der Durchführung einer Überprüfung oder Prüfung der Kontrolle und ihrer Entwicklung im Laufe der Zeit beauftragt wird. Änderungen müssen im Laufe der Zeit an jeder Art von Kontrolle vorgenommen werden, um neuen Risiken und sich ändernden Geschäftsumgebungen Rechnung zu tragen.
Bedeutung der Prüfung der Risikokontrolle
Prüfungen sind umfassendere Überprüfungen der internen Risikokontrollen, die ein Unternehmen implementiert hat. Prüfungen sind von den normalen Verfahren zur Risikobewertung getrennt, folgen jedoch einem ähnlichen Fahrplan, wie sie durchgeführt werden.
Regelmäßige Prüfungen der internen Risikokontrollen sind entscheidend, um eine reibungslose Funktionsweise einer Organisation sicherzustellen. Ihre beiden Hauptvorteile sind, dass sichergestellt wird, dass die internen Kontrollen wie vorgesehen implementiert werden, während gleichzeitig eine “Vogelperspektive” auf die Gesamtkontrollen in einer Organisation erhalten wird. Diese Vogelperspektive kann helfen, Redundanzen bei den internen Kontrollen zu identifizieren und die Prozesse zu optimieren, wodurch sie kostengünstiger, einfacher und effektiver werden.
Risikobewertung und -identifikation
Dies entspricht Schritt 1 bis Schritt 3 in der normalen Risikobewertung, betrachtet jedoch die Geschäftsabläufe als Ganzes, anstatt einzelne Geschäftseinheiten. Ziel ist es, die vorhandenen Risiken zu identifizieren und welche Kontrollen bereits existieren, um diese Risiken anzugehen. Wenn angemessene Kontrollen nicht vorhanden sind, wird das Prüfungsteam Empfehlungen an die relevanten Interessengruppen aussprechen, um dies zu beheben.
Verbesserte Prozesseffizienz und -wirksamkeit
Dies ist der Prozess, der versucht, die bereits implementierten internen Risikokontrollen in einer Organisation zu harmonisieren. Das Hauptziel dieser Übungen ist es, es den Geschäftseinheiten zu erleichtern, effektive Kontrollen aufrechtzuerhalten. Dies bedeutet normalerweise, SOPs aus verschiedenen Geschäftseinheiten zusammenzuführen, Kommunikationskanäle zu verbessern und mehr Input von Managern darüber zu erhalten, welche Arten von Kontrollen am meisten ihrer Zeit in Anspruch nehmen. Effektive interne Kontrollprüfungen bedeuten, dass die Mitarbeiter weniger Aufwand für die Einhaltung aufwenden müssen und mehr Aufwand darauf verwenden können, Wert für das Unternehmen zu schaffen, ohne den Schutz vor Risiken zu opfern.