Der Umgang mit Unsicherheit ist in allen Geschäftsbereichen von Unternehmen eine große Herausforderung. Für Firmen ist es deshalb von großer Bedeutung, ihr Risikomanagement in eine erkenntnis- und leistungsorientierte Richtung zu lenken und in die gesamten Geschäftsprozesse zu integrieren. Ziel ist die Etablierung eines risk-enabled Performance Management (REPM).
Durch REPM können Unternehmen schnell auf Veränderungen reagieren, die sämtliche Unternehmensprozesse, einschließlich der IT, betreffen. Gleichzeitig schaffen sie eine Wissensgrundlage, um strategische Entscheidungen zielgerichtet treffen zu können. Ein gutes Risikomanagement deckt Risiken nicht nur auf, sondern schwächt ebenfalls ihre Auswirkungen ab.
Hören Sie auf den Rhythmus Ihres Unternehmens
Um eine "risk-enabled" Organisation zu schaffen, müssen Elemente des REPM in alle strategischen Abläufe eines Unternehmens integriert werden. Indem Erkenntnisse aus der jeweiligen Risikosituation in die gesamten Geschäftsprozesse eingespeist werden, steigert das Unternehmen nach und nach seine Kompetenz im Umgang mit Unsicherheit und kann so langfristig seine Risiken aufdecken und minimieren. IT-Risiken sollten dabei von vornherein in die Betrachtung mit einbezogen werden.
Der Blick auf vier grundlegende Aufgaben- und Verantwortungsbereiche, die wir als Business Process Suites bezeichnen, kann helfen, die Transformation zu einer "risk-enabled" Organisation zu beschleunigen und so IT-Risiken in Chancen zu verwandeln:
1. Strategischer Überblick und Planung
Es sollten beispielsweise Maßnahmen etabliert werden, die festlegen, wie aufkommende IT-Risiken in der strategischen Planung berücksichtigt werden können. Dadurch wird ein Lernprozess angestoßen, um drohende Risiken bereits im Vorfeld zu erkennen und diesen zu begegnen.
2. Unternehmensplanung und Budgetierung
Hier geht es beispielsweise darum, vorläufige Geschäftspläne zu überarbeiten, um die verschiedenen Risikoarten, die durch Geschäftsinvestitionen entstehen, zu analysieren und zu berücksichtigen.
3. Operative Umsetzung
Unternehmen sollten unter anderem formale und spezifische Risikotoleranzen und -grenzen einbeziehen, um ihre Leistung angemessen beurteilen zu können. Dadurch werden Hinweise geliefert, wie Risiken aufgedeckt und Gewinne gesteigert werden können.
4. Compliance Monitoring
Firmen sollten beispielsweise umfassende Anpassungen ihrer Monitoring-Prozesse an die Risikoprofile vornehmen. Auf diese Weise werden Kosten reduziert und die Effektivität von Monitoring-Maßnahmen wird gesteigert.
Drei Schritte zu einem erfolgreichen Risikomanagement
Um die Entscheidungsfindung zu optimieren und den Geschäftserfolg langfristig zu erhöhen, sollten Unternehmen zunächst die Beschaffenheit und die Auswirkungen von Unsicherheiten verstehen. Auf Basis dieses Verständnisses führen die drei folgenden Schritte zu einem erfolgreichen Risikomanagement:
1. Risiken und mögliche Auswirkungen analysieren
Es gibt eine Vielzahl von möglichen Vorgehensweisen, um Unsicherheiten zu identifizieren. Wichtig ist dabei jedoch vor allem, dass diese Risiken
analytisch direkt mit Geschäftszielen verknüpft sind,
gemessen werden, um eine realistische Einschätzung möglicher Ergebnisse zu erhalten,
dafür genutzt werden, um bisherige Analyse- und Lösungsmaßnahmen zu hinterfragen.
Ernst & Young empfiehlt, dass Unternehmen sich auf die Kriterien Wachstum, Schutz der vorhandenen Werte und Optimierung konzentrieren. Der Geschäftserfolg eines Unternehmens ist unmittelbar davon abhängig, wie gut es sich in diesen drei Bereichen entwickelt.
Um relevante Unsicherheiten zu identifizieren, sollten sich Unternehmen folgende Fragen stellen:
Was sind unsere Wachstumsmöglichkeiten und durch welche Faktoren werden diese möglicherweise bedroht?
Wo oder wie entsteht Unsicherheit (strategische Entscheidungen, externe Einflüsse usw.)?
Wie können wir Risiko-Erkenntnisse in Bezug auf das Unternehmen messen?
2. Das Risiko-Profil und das Risiko-Verständnis angleichen
Unternehmen sollten ihr Risiko-Profil ihrem Verständnis von Risiko anpassen. Dabei können sie sich an folgenden Fragen orientieren:
Welche Risiken müssen wir berücksichtigen, um unsere strategischen Ziele zu erreichen?
Welche Ausprägungen von Risiken sind akzeptabel?
Wie können wir diese Informationen nutzen, um unsere Entscheidungsfindung zu optimieren?
Sind unsere Zielvorgaben mit unserem Risiko-Verständnis kompatibel? Und haben wir die richtigen Verhaltensweisen und Prozesse dafür?
3. Eine risk-enabled Entscheidungsfindung implementieren
Unternehmen, die ihr Risikomanagement unmittelbar in ihre Unternehmensprozesse einbinden, erzielen bessere Geschäftserfolge. Ein Beispiel für diese Integration in die Prozesse wäre es, so genannte risk appetite sensitivities - das sind definierte Messpunkte, die eine Analyse der Risiken vorsehen - möglichst früh in die strategische Planung einzubeziehen.
Fazit
Was ist das richtige Vorgehen, um den ersten Schritt in Richtung eines risk-enabled Performance Managements zu machen und IT-Risiken als Chancen zu begreifen und zu nutzen? Eine ganzheitliche Vorgehensweise sollte neben den vier Hauptdimensionen - strategischer Überblick und Planung, Unternehmensplanung und Budgetierung, operative Umsetzung und Kontrolle - folgende Punkte berücksichtigen:
Erstens muss das Risikomanagement ganzheitlich implementiert und betrieben werden. Zweitens müssen Verbesserungen in diesem Feld mit spezifischen Prozessen und Prozessgruppen verknüpft werden. Drittens ist es schließlich entscheidend für die erfolgreiche Einführung, dass die spezifischen Herausforderungen des jeweiligen Unternehmens intensiv in den Blick genommen und bei der Konzeption berücksichtigt werden. Denn jeder dieser Faktoren beeinflusst die Performance je nach Unternehmen ganz unterschiedlich.