Einsatz von IT-Lösungen in Risikomanagement-Systemen

Aufgrund neuer aufsichtsrechtlicher Anforderungen und damit einhergehend einer steigenden Komplexität ist eine ordnungsgemäße und effektive Durchführung von Prozessen in einem Risikomanagement‑System ohne technische Unterstützung schwer umsetzbar. Während kleinere Unternehmen mit Hilfe von Microsoft Excel ihre Risiken noch erfassen können, gelangen große Unternehmen und vor allem Konzerne ohne professionelle IT-Lösungen schnell an die Grenzen des Möglichen. Die größte Gefahr besteht darin, dass durch Standardlösungen (wie MS Excel) und hohem manuellem Aufwand Risiken zwar in irgendeiner Weise dokumentiert werden, aber durch die geringen Auswertungs- und Kontrollmöglichkeiten wichtige Schritte in einem Risikomanagement‑System nur begrenzt durchgeführt werden können und die anvisierte Transparenz nicht in erforderlichem Maße vorliegt. In solchen Fällen ist es nicht unüblich, dass unzählige Dokumentationen angefertigt werden, das Risikomanagement aber als solches nur bedingt gelebt wird.

Die folgenden Ausführungen geben eine Übersicht über die wesentlichen Vorteile des Einsatzes einer professionellen Software in einem Risikomanagement-System. Als Beispiel für eine umfangreiche IT-Lösung wird die Risikosoftware „R2C_GRC“ der Schleupen AG vorgestellt, da diese sich bereits in mehreren Unternehmen in diversen Branchen nach eigener Erfahrung des Autors bewährt hat.
 

Risikoidentifikation

Ein Ziel der Risikoidentifikation ist es, aus den Organisationseinheiten eines Unternehmens die wesentlichen Risiken zu erkennen, um diese ordnungsgemäß zu managen. Je größer ein Unternehmen ist, desto schwieriger wird es für das zentrale Risikomanagement einen Überblick zu gewinnen, ob eine Organisationseinheit ihrer Aufgabe gerecht wurde, die wesentlichen Risiken des zu verantwortenden Bereichs periodisch zu erfassen bzw. zu aktualisieren. Eine professionelle Risikosoftware wie R2C bietet die Möglichkeit die Organisationsstruktur im System zu hinterlegen. Jede Organisationseinheit stellt einen Risikobeauftragten, der im System als Schnittstelle zwischen Risikomanagementstelle und Organisationsbereich agiert. Der Risikobeauftragte erfasst und pflegt die Risiken, welche dann in einer unternehmensweiten Risikoliste automatisch zusammengeführt werden. Kommt er dieser Aufgabe nicht nach, so bietet R2C Erinnerungsfunktionen. Dadurch kann verhindert werden, dass Organisationseinheiten nicht ausreichend in das Risikomanagement-System einbezogen werden.

Für das Risikomanagement ist neben der Betrachtung einzelner wesentlicher Risiken die aggregierte Sicht von ähnlichen Risiken relevant. Um diese aggregierte Sicht zu erlangen ist es u. a. notwendig, Risiken zu klassifizieren und in bestimmte Kategorien einzuteilen. Typische Risikokategorien sind z. B. Marktrisiken, operationelle Risiken, strategische Risiken oder Reputationsrisiken. R2C veranlasst den Erfasser ein identifiziertes Risiko in solche Risikokategorien und Unterkategorien einzuordnen. Das Risikomanagement wird dadurch auch in die Lage versetzt auf Knopfdruck jederzeit die Risikosituation für einzelne Kategorien auszuwerten. R2C bezeichnet die Übersicht aller Kategorisierungen und Unterkategorisierungen als Risikoatlas.

Weiterer Vorteil von R2C ist der, dass dem Nutzer zu den vorgesehenen Eingabefeldern eine Erläuterung angezeigt werden kann. Dies ist hilfreich, wenn z. B. ein Risikobeauftragter sich nicht sicher ist in welche Kategorie er/sie ein Risiko einordnen muss. Er kann jederzeit auf Definitionen zugreifen oder sogar auf umfangreiche Dokumentationen (z. B. Risikohandbuch). Das Tool dient somit auch als Wissensdatenbank.

Neben den regelmäßigen Erfassungen kann auch außerhalb der Berichtsperioden ein Risiko identifiziert werden (Ad-hoc Risiko). Einige Unternehmen verwenden hierfür Formulare, die befüllt werden und ergänzen die neuen Informationen nach Bearbeitung z. B. in vorgesehene MS Excel Dateien. In R2C ist ein Ad-hoc Meldeprozess bereits hinterlegt. Durch das setzen eines Häkchens bei der Erfassung wird das Risiko als Ad-hoc Risiko gekennzeichnet und kann sofort entsprechend des vorgesehenen Prozesses kommuniziert werden. Gleichzeitig wird es in die Risikoliste aufgenommen und unterliegt somit auch einer wiederkehrenden Betrachtung.

Die bereits angedeutete sofortige Auswertbarkeit der Informationen aus dem System ist einer der größten Vorteile. Dies ist durch die zentrale Ablage der Daten möglich. In kleineren Unternehmen ist es durchaus gängig, dass mehrere (Excel-)Dateien mit erfassten Risiken in den Fachbereichen gepflegt werden. Bei steigender Anzahl der Organisationseinheiten sind jedoch Fehler bei der Zusammenführung der Dateien abzusehen und die Auswertbarkeit wird somit erschwert bzw. die daraus gewonnen Erkenntnisse verfälscht.
 

Risikoanalyse und -bewertung

Eine Software bietet dem Nutzer im Rahmen der Risikoanalyse die Möglichkeit das Risikoportfolio aus diversen Perspektiven zu beleuchten. Mit einfachen Schritten wird das Risikomanagement in die Lage versetzt z. B. verschiedene Organisationseinheiten, bestimmte Projekte, Segmente, Risikokategorien, Risikoklassen  oder aber auch hinterlegte Frühwarnindikatoren zu analysieren (ein Risikofrüherkennungssystem kann mit Hilfe von R2C ebenfalls effektiver gestaltet werden).

Für die Risikobewertung stehen dem Nutzer diverse Funktionen zur Verfügung. Prinzipiell kann ein Unternehmen wählen, in wie weit er diese umfangreichen Bewertungsmethodiken nutzen will. Die Unternehmen können das Tool nur für eine qualitative Bewertung einsetzen. Jedoch sind auch Quantifizierungen möglich, die entsprechend der Eintrittswahrscheinlichkeit und der Auswirkung des Risikoportfolios Auswirkung auf bestimmte Zielgrößen haben (z. B. EBIT). Möglich sind zudem Mehrjahresbetrachtungen, die Integrierung einer Chancenbetrachtung, aber auch Brutto- und Nettobewertungen. Dem Nutzer stehen zudem umfassende Methoden zur Risikoaggregation zur Verfügung, wie z. B. Monte-Carlos Simulation zur Berechnung des Value at Risk.

Finanzdienstleister haben durch Basel II und Solvency II besondere Bewertungsverfahren für die Berechnung des Risikokapitals anzuwenden. Für diesen Zweck (z. B. Interne Modelle) sind Lösungen wie R2C und andere professionelle Softwares nicht konzipiert worden, jedoch können sie bis auf diesen Part nahezu alle Prozesse, die für ein effektives qualitatives Risikomanagement notwendig sind, unterstützen. Dennoch, für ein vieldiskutiertes Thema können professionelle Tools sehr hilfreich sein. Die eben erwähnten umfangreichen Anforderungen an eine Quantifizierung beziehen sich auf Risikokategorien, wie  z. B. Marktrisiken oder versicherungstechnische Risiken. Bei der Bewertung von operationellen Risiken sind Inputparameter notwendig, die sehr individuell sind. Genau an dieser Stelle erweisen sich professionelle Risiko-Tools als besonders hilfreich, denn im System sind die Informationen vorhanden, die in eine Bewertung für das operationelle Risikos einfließen könnten. Einige Unternehmen führen Aggregationen durch, andere Finanzdienstleister nutzen das Tool für ihre Szenarioanalysen.

 

Risikosteuerung

Ein Maßnahmenmanagement gehört bei jeder guten Risikosoftware zur Grundausstattung dazu. Zu jedem erfassten Risiko kann, abhängig von der Steuerungsart, eine risikoreduzierende Maßnahme hinterlegt werden. Der wesentliche Vorteil ist jedoch, dass durch die Software das Monitoring unterstützt wird, indem zu jeder Maßnahme die Umsetzungsfrist und der Status hinterlegt werden. Werden Fristen nicht eingehalten, so können z. B. automatisch E-Mails an die Verantwortlichen zur Erinnerung versandt werden.
 

Risikoberichterstattung

R2C verfügt standardmäßig über eine große Anzahl von Reportingmöglichkeiten, welche individuell auch angepasst werden können. Zur Vereinfachung steht dem Nutzer eine umfangreiche Cockpit-Funktion zur Verfügung. Aktuell und auf Knopfdruck können wichtige Auswertungen angestoßen werden. So lassen sich einzelne Risiken oder ein bestimmtes Risikoportfolio in Risk Map Darstellungen oder tabellarisch aufgebaute Word- oder Excel- Reports überführen. Aussagen zur Risikosituation, Risikolisten, aktueller Stand von Ad-hoc Risiken, aktueller Status der Maßnahmenumsetzung sind nur wenige Beispiele die schnell das Risikomanagement in die Lage versetzen, wichtige Information zu erhalten. Die Daten lassen sich zudem in eine Rohdatenbank exportieren und stehen somit auch für individuelle Verarbeitungen zur Verfügung.

Zusammenfassend kann festgehalten werden, dass durch den Einsatz einer Risikosoftware die Transparenz erhöht wird und die Prozesse in einem Risikomanagement-System effektiver gestaltet werden. Der größte Vorteil liegt jedoch darin, dass durch die klar ersichtliche Strukturen die Akzeptanz des Risikomanagements erhöht und dadurch auch die Risikokultur verbessert wird. Sicherlich können die Implementierungskosten als Gegenargument aufgeführt werden. Denen gegenüber stehen jedoch Einsparungen durch verbessertes und „gelebtes“ Risikomanagement.