Risikoreifegrad: was bei der Bewertung zu beachten ist

Was ist Risikoreife?

Risikoreife ist ein Maß dafür, wie gut ein Unternehmen Unsicherheiten identifiziert, bewertet, steuert und überwacht. Sie bezieht sich auf die Qualität und Integration der Praktiken für das Management von Risiken eines Unternehmens. Eine Organisation mit einem hohen Risikoreifegrad kann risikobezogene Entscheidungen effektiver treffen und die gewünschten Ergebnisse für das Risikomanagement erzielen.

Eine reife Organisation kennt ihre Risikobereitschaft und -toleranz und kann ein akzeptables Risikoniveau effektiv managen. Sie kann Daten zu Risiken aus allen Teilen der Organisation sammeln, effektiv mit allen Beteiligten kommunizieren und der Unternehmensleitung so verwertbare Informationen liefern.

Was ist ein Risikoreifegradmodell und warum sollten Sie es verwenden?

Ein Risikoreifegradmodell (Risk Maturity Model, RMM) ist ein Instrument für die Bewertung des Fortschritts bei der Umsetzung der Ziele des Enterprise Risk Managements (ERM). Für Risiko- und Corporate-Governance-Experten können Risikoreifegradmodelle eine nützliche Ressource für die Planung, Implementierung und Aktualisierung einer ERM-Strategie sein. Außerdem kann damit die Kommunikation über die Strategie im gesamten Unternehmen verbessert werden.

Risikoreifegradmodelle basieren häufig auf etablierten Standards des Risikomanagements – wie ISO 31000 und dem COSO ERM Framework. Sie spiegeln auch andere etablierte Reifegradmodelle wider, wie zum Beispiel das in der Softwareentwicklung verwendete Capability Maturity Model Framework.

Unternehmen sollten ein Risikoreifegradmodell für Folgendes nutzen:

• Bewertung der aktuellen Risikomanagementfähigkeiten anhand eines etablierten Standards.
• Identifizierung von Bereichen, in denen Programme das Risikomanagement verbessern können.
• Einführung wiederholbarer ERM-Richtlinien und -Verfahren.
• Konsolidierung von ERM-Workflows über verschiedene Abteilungen hinweg.
• Schnelle intelligente, risikobasierte Entscheidungen.
• Implementierung eines umfassenden ERM-Technologie-Stacks zur Zentralisierung von Risikoinformationen und Automatisierung der Durchsetzung von Risikorichtlinien.
• Kontinuierliche Nachverfolgung von ERM-Programmen.

Viele Unternehmen nutzen ERM-Initiativen und ihre Risikoreife als Wettbewerbsvorteil und zur Vermeidung geschäftlicher Herausforderungen. Diese Herausforderungen – die negativen Risiken, denen ein Unternehmen ausgesetzt ist – können von operativen Problemen bis hin zu finanziellen, rechtlichen sowie regulatorischen Compliance- und Reputationsproblemen reichen.

Ein Risiko, dem Unternehmen branchenübergreifend ausgesetzt sind, ist die Bedrohung durch wetterbedingte Katastrophen. Ein weiteres, IT-spezifisches Risiko ist Cyberkriminalität.

Chief Risk Officers (CRO) und ihre Teams können ein Risikoreifegradmodell aber auch nutzen, um durch das Management positiver Risiken profitablere Geschäftsmöglichkeiten zu generieren. Dies sind Risiken, die bei erfolgreichem Management den Unternehmenswert steigern können – beispielsweise die Einführung neuer Produkte. Darüber hinaus können Risikoreifegradmodelle zum Vergleich mit Wettbewerbern und Best Practices der Branche verwendet werden.

Risikoreifegrade

Die Bezeichnungen und Definitionen der Risikoreifegrade variieren je nach Modell etwas. Im Allgemeinen gibt es aber vier oder fünf Reifegrade, die ein Unternehmen erreichen kann. Die folgenden Beispiele zweier grundlegender Rahmenwerke zur Messung der Risikoreife verdeutlichen dies.

Vier Stufen der Risikoreife von Hillson

Der Vordenker des Risikomanagements, David A. Hillson, auch bekannt als Risk Doctor, postulierte vier verschiedene Grade der Risikoreife. Diese wurden im Artikel Towards a Risk Maturity Model (PDF) in der Frühjahrsausgabe 1997 des International Journal of Project and Business Risk Management vorgestellt:

1. Naiv. Das Unternehmen ist sich des Risikokonzepts in der Regel nicht bewusst und verfügt über keinen formalen Ansatz im Umgang mit Unsicherheit. Managementprozesse sind reaktiv und repetitiv. Es gibt kaum Unterstützung für das Management, um aus der Vergangenheit zu lernen oder sich auf die Zukunft vorzubereiten.
2. Neuling. Das Unternehmen möchte eine Strategie für das Risikomanagement entwickeln, verfügt aber über keine formalen Prozesse. Die Bemühungen um ein Risikomanagement sind unkoordiniert.
3. Normalisiert. Das Risikomanagement ist vollständig in die Geschäftspraktiken integriert und wird unternehmensweit konsequent angewendet. Die Vorteile des Risikomanagements werden erkannt, da es auf allen Ebenen des Unternehmens und in seiner Kultur verankert ist.
4. Natürlich. In allen Teilen des Unternehmens wird ein proaktiver Ansatz für das Risikomanagement und eine risikobewusste Kultur verfolgt. Das Unternehmen nutzt Risikoinformationen, um Geschäftsprozesse zu verbessern und Wettbewerbsvorteile zu erzielen.

Die vier Stufen von Hillson beziehen sich auf die Unternehmenskultur, die Geschäftsprozesse, die Erfahrung der Mitarbeiter und die Anwendung von Prozessen. Eine weitere Möglichkeit, diese Kategorien zu definieren, sind Governance, Prozesse, Mitarbeiter und Technologie.

Fünf Stufen der Risikoreife von Minsky

Eine andere Spezifikation – geprägt von Steven Minsky, Gründer und CEO des Softwareanbieters für Risikomanagement, LogicManager – umfasst fünf Reifegrade:

1. Ad-hoc. Das Risikomanagement ist unstrukturiert, undokumentiert und weitgehend von individuellen Bemühungen abhängig.
2. Initial. Die Bemühungen um ein Risikomanagement sind inkonsistent und werden isoliert gemanagt. Ein Top-down-Management ist kaum oder gar nicht vorhanden.
3. Wiederholbar. Das Unternehmen verfügt über ein Rahmenwerk zur Risikobewertung. Die Geschäftsführung ist risikobewusst, und es gibt einen formalen Prozess zum Risikomanagement, der jedoch nicht vollständig integriert ist. Governance und Leitlinien sind dokumentiert.
4. Gemanaged. Die Aktivitäten für das Risikomanagement sind unternehmensweit integriert. Risikomanagement-Tools unterstützen die Überwachung, Messung und Berichterstattung von Risiken. Das Management ist eher taktisch als strategisch. Das Unternehmen kann quantifizierbare Risikoentscheidungen treffen.
5. Führung. Risikomanagement wird im Kontext umfassenderer Unternehmensziele umgesetzt. Eine Strategie für das Risikomanagement wird auf allen Ebenen eingeführt und ist auf kontinuierliche Verbesserung ausgerichtet. Die ERM-Strategie schafft neue Möglichkeiten für Geschäftswachstum und unterstützt die Risikominderung.

Diesen fünf Reifegraden werden 25 Erfolgskomponenten zugeordnet, die sich aus den folgenden sieben Attributen effektiver ERM-Initiativen ergeben. Nach der Bewertung wird ein Gesamtreifegrad ermittelt:

• Einführung eines ERM-basierten Ansatzes
• ERM-Prozessmanagement
• Risikobereitschaftsmanagement
• Ursachenanalyse
• Aufdeckung von Risiken
• Performance-Management
• Geschäftsresilienz und Nachhaltigkeit

Unabhängig vom jeweiligen Reifegradmodell entwickeln sich die Stufen eines Risikoreifegradmodells typischerweise von reaktiv zu proaktiv – je weiter die Risikoreife des Unternehmens steigt. Viele neuere Versionen ähneln stark den Modellen von Minsky und Hillson, verwenden jedoch andere Bezeichnungen zur Beschreibung der verschiedenen Reifegrade. Beispielsweise werden die Kategorien Ad-hoc, Vorläufig, Definiert, Integriert und Optimiert in einem Risikoreifegradmodell verwendet, das vom Risikomanagement-Vordenker Norman Marks entwickelt wurde.

So bewerten Sie Ihren Risikoreifegrad

Beginnen Sie mit der Prüfung des Risikoreifegrads Ihres Unternehmens anhand der im Reifegradmodell festgelegten Kriterien. Weisen Sie dafür der Organisation für jedes Attribut den entsprechenden Reifegrad zu. Das Modell zeigt dem Management, wo das Unternehmen gute oder sogar herausragende Leistungen erbringt und wo Verbesserungsbedarf besteht.

Eine Organisation kann eine Bewertung der Risikoreife nutzen, um unternehmensweite Optimierungen im Hinblick auf ihre eigenen Ziele zu erreichen. Sie kann sich auch im Vergleich zu konkurrierenden Unternehmen einschätzen und versuchen, sich zu verbessern, um einen Wettbewerbsvorteil zu erzielen.

Einige ERM-Softwareanbieter nutzen eigene Risikoreifegradmodelle und begleiten ihre Kunden durch eine kontrollierte Risikoreifebewertung. Branchenverbände stellen auch Online-Bewertungs-Tools zur Verfügung. Beispielsweise bietet die Risk and Insurance Management Society (RIMS) ein Tool an, das gemeinsam mit LogicManager auf Grundlage des Modells von Minsky entwickelt wurde.

Berücksichtigen Sie bei der Bewertung der Risikoreife mithilfe eines Risikoreifegradmodells während des gesamten Prozesses die folgenden Fragen. Diese unterstützen dabei, Bereiche zu ermitteln, in denen das Unternehmen im Risikomanagement erfolgreich ist, und Segmente zu finden, in denen möglicherweise Verbesserungsbedarf besteht:

• Wie effektiv ist die Ursachenanalyse der Organisation bei der Risikoanalyse? Die Ursachenanalyse ist der Prozess zur Identifizierung der Gründe für bestimmte Risiken. Versuchen Sie, herauszufinden, ob sich Ihr Unternehmen auf oberflächliche Risikoindikatoren konzentriert oder systematisch die Ursachen von Schwachstellen und anderen Problemen untersucht.
• Wie effektiv sind die Funktionen für die Risikoerkennung? Bewerten Sie die Fähigkeit des Unternehmens, Informationen über Risiken zu sammeln und zu verarbeiten. Dies gilt sowohl für die Erkennung neuer Risiken als auch für die Änderungen bekannter Risiken.
• Wie läuft die Risikokommunikation ab? Bewerten Sie die formalen Kanäle des Unternehmens zur Kommunikation von Risikoinformationen an die Unternehmensleitung anhand von Häufigkeit, Format und Umsetzbarkeit.
• Wie hoch ist die Reaktionszeit des Unternehmens auf festgestellte Risiken? Bewerten Sie die Fähigkeit des Unternehmens, als Reaktion auf identifizierte Risiken Strategien für die Reduktion schnell umzusetzen.
• Sind Risiko- und Performance-Management integriert? Ermitteln Sie, inwieweit Risikokennzahlen in die Messung, Kommunikation und Planung von Unternehmenszielen integriert sind. Wird risikoinformierte Entscheidungsfindung anerkannt und belohnt?
• Fördern Maßnahmen für das Risikomanagement die Resilienz des Unternehmens? Überprüfen Sie, ob das Programm für das Risikomanagement die Fähigkeit des Unternehmens unterstützt, Störungen zu antizipieren, sich an veränderte Bedingungen anzupassen und kritische Funktionen während eines unerwünschten Ereignisses aufrechtzuerhalten.
• Beeinflusst die Risikoanalyse die strategische Planung? Bestimmen Sie, inwieweit die Risikoanalyse in die Unternehmenskultur eingebettet ist. Behandelt die Führung Risiken als grundlegende strategische Überlegung oder als Compliance-Maßnahme?
• Wo liegt die Schwelle für ein akzeptables Risiko im Unternehmen? Bewerten Sie die bestehende Risikobereitschaft, Risikotoleranz und das Risikobewusstsein in verschiedenen Geschäftsprozessen und -einheiten.

So reagieren Sie auf die Bewertung Ihres Risikoreifegrads

Unternehmen können die Bewertung ihrer Risikoreife für mehrere Zweck nutzen. Sie können damit Wettbewerbsvorteile erzielen, interne Prozesse verbessern, Katastrophen vermeiden und Investitionsentscheidungen optimieren.

Je nach Reifegrad eines Unternehmens können verschiedene Maßnahmen ergriffen werden, um die Risikoreife zu steigern. Hier sind einige Handlungsvorschläge in den verschiedenen Phasen des Risikoreifegradmodells von Minsky.

Wenn Sie sich in der Ad-hoc-Phase der Risikoreife befinden

Ad-hoc-Organisationen müssen sich auf die Implementierung eines Programms für das Risikomanagement konzentrieren. Eine Ad-hoc-Organisation in der Anfangsphase der Risikoreife sollte Folgendes tun:

• Eine Stelle für das Risikomanagement oder eine dedizierte Abteilung einrichten.
• Die verschiedenen Risikokategorien auf hoher Ebene definieren.
• Einen Rahmen für die ERM-Implementierung festlegen.
• Ein Schulungsprogramm entwickeln.

Wenn Sie sich in der Initialphase der Risikoreife befinden

Unternehmen in der Anfangsphase sollten daran arbeiten, fragmentierte ERM-Prozesse in standardisierte, wiederholbare Prozesse umzuwandeln. Sie sollten Folgendes tun:

• Eine Risiko-Governance-Struktur definieren.
• Rollen und Verantwortlichkeiten für ERM-Prozesse zuweisen.
• Einen ERM-Implementierungsplan entwickeln.
• Vorlagen für die Erstellung eines Risikoprofils und eines Risikoregisters einführen.

Wenn Sie sich in der wiederholbaren Phase der Risikoreife befinden

Unternehmen in dieser Phase sollten standardisierte ERM-Prozesse unternehmensweit formalisieren und sich die Unterstützung der Führungsebene sichern. Konkret sollten Sie Folgendes tun:

• Formalisieren Sie das ERM-Schulungsprogramm.
• Definieren Sie eine Methodik zur Abstimmung des Enterprise Risk Managements mit internen Prozessen.
• Legen Sie das Risikoprofil, die Risikobereitschaft und die Risikotoleranzen des Unternehmens formal fest.
• Machen Sie risikobezogene Informationen unternehmensweit sichtbar und zugänglich.

Wenn Sie sich in der gemanagten Phase der Risikoreife befinden

Unternehmen, die Risiken managen, können taktisch erfolgreich mit Risiken umgehen und sich darauf konzentrieren, ERM proaktiver und strategischer zu gestalten. Sie sollten Folgendes tun:

• Implementieren Sie unternehmensweit ausgereifte unterstützende Prozesse.
• Entwickeln Sie Indikatoren für Schlüsselrisiken (Key Risk Indicators, KRI), die Prognosen ermöglichen.
• Nutzen Sie zur Entscheidungsfindung Tools für das Reporting.

Wenn Sie sich in der Führungsphase der Risikoreife befinden

Unternehmen in der Führungsphase sollten Wege finden, im ERM-Programm geschäftlichen Mehrwert zu schaffen. Sie sollten Folgendes tun:

• Verknüpfen Sie Risiken mit Leistungsmessungen.
• Legen Sie Risiko als allgemeines Budgetkriterium fest.
• Integrieren Sie Risiken in umfassendere Pläne zur digitalen Transformation.
• Implementieren Sie KRI und prädiktive Funktionen.

Beispiele für Risikoreifegradmodelle und Frameworks

Risikoreifegradmodelle unterstützen Unternehmen bei der Entwicklung von ERM-Programmen, die den Risikomanagement-Frameworks entsprechen und Mehrwert für das Unternehmen generieren. Im Folgenden stellen wir einige Beispiele für Risikomanagement-Frameworks vor:

• COSO ERM-Framework. Das COSO-Framework für Enterprise Risk Management definiert die wichtigsten ERM-Prinzipien und -Konzepte und ermöglicht eine gemeinsame Sprache für die Kommunikation über Enterprise Risk Management. Es bietet außerdem Leitlinien für ERM-Programme. Das COSO, früher bekannt als Committee of Sponsoring Organizations of the Treadway Commission, definiert ERM als „die Kultur, Fähigkeiten und Praktiken, die Organisationen in die Strategieentwicklung integrieren und bei der Umsetzung dieser Strategie anwenden, mit dem Ziel, Risiken bei der Schaffung, Erhaltung und Realisierung von Werten zu managen.“
• ISO 31000. ISO 31000 bietet Grundsätze, Prozesse und einen Rahmen, der Unternehmen durch das Risikomanagement führt. Die von der International Organization for Standardization (ISO) entwickelten Normen unterstützen dabei, Chancen und Risiken zu erkennen, Ressourcen zuzuweisen und Risikoziele zu erreichen.
• BS 31100. Diese britische Norm bietet einen Prozess zur Implementierung und Aufrechterhaltung der Konzepte der ISO 31000, wie zum Beispiel die Identifizierung, Bewertung, Reaktion, Meldung und Überprüfung von Risiken. Sie ist mit einer britischen Version der ISO 31000 gekoppelt. Analog bietet das American National Standards Institute eine US-Version der ISO-Norm an.
• Factor Analysis of Information Risk (FAIR). Die Factor Analysis of Information Risk, kurz FAIR, ist ein Modell, das Faktoren verschiedener Arten von Cyberrisiken bewertet und in Geldwerten ausdrückt. In dem vom FAIR Institute entwickelten Modell wird das Risiko durch die wahrscheinliche Häufigkeit und das wahrscheinliche Ausmaß zukünftiger Verluste definiert.
• NIST Risk Management Framework (RMF). Das NIST RMF bietet einen siebenstufigen Prozess für das Risikomanagement, um Cybersicherheit, Datenschutz und Lieferketten gemäß den umfassenderen NIST-Standards und -Richtlinien zu integrieren.
• Control Objectives for Information Technologies (COBIT). ISACA, ehemals bekannt als Information Systems Audit and Control Association, fördert COBIT, ein IT-Governance-Framework zur Gewährleistung der Qualität, Kontrolle und Zuverlässigkeit von Informationssystemen. Das Framework unterstützt Unternehmen außerdem dabei, Geschäftsziele mit IT-Zielen in Einklang zu bringen, die Einhaltung gesetzlicher Vorgaben sicherzustellen und Risiken im Zusammenhang mit der Datenaufbewahrung zu vermeiden. Die aktuellste Version ist COBIT 2019, die Leitlinien für die digitale Transformation hinzufügt.

Risikoreifegradmodelle decken die in den Rahmen für das Risikomanagement kodifizierten Grundsätze ab. Beispiele für Risikoreifegradmodelle sind:

• RIMS Risk Maturity Model. Dies ist ein Best-Practice-Framework und Online-Bewertungs-Tool für Risikomanagementexperten von RIMS. Es unterstützt ERM-Experten und Stakeholder bei der Messung, Planung und Schulung von ERM-Programmen. Die letzte Aktualisierung erfolgte im April 2022. Wie bereits erwähnt, wurde es in Zusammenarbeit mit dem Softwareanbieter LogicManager entwickelt, der ebenfalls ein Online-Tool zur Bewertung der Risikoreife auf Basis des RMM anbietet.
• OECD Enterprise Risk Management Maturity Model. Das ERM-Reifegradmodell der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung bietet staatlichen Steuerverwaltungen einen Rahmen für die Selbstbewertung und Verbesserung von Prozessen zum Risikomanagement.
• Origami Risk ERM Maturity Assessment. Origami Risk ist ein weiterer Anbieter einer Plattform für das Risikomanagement. Der Anbieter stellt ein Tool zur Bewertung des Risikoreifegrads von Organisationen bereit.
• ProSight Risk Maturity Framework. Dieses gemeinsam von der ProSight Financial Association, einem Branchenverband für Finanzdienstleistungen, und dem Softwareanbieter SRA Watchtower entwickelte Framework soll Unternehmen dabei unterstützen, ihren Reifegrad in neun Bereichen zu bewerten – darunter Risiko-Governance und Risikomanagement auf Unternehmens- und Abteilungsebene.
• IIRM Risk Management Maturity Model (RMMM). Das RMMM, entwickelt vom Akkreditierungs- und Beratungsunternehmen Investors in Risk Management (IIRM), bietet ein Reifegradmodell mit acht Einzelbewertungen. Im Einzelnen sind dies die Bereiche Risikokontext, -kultur, -identifizierung, -bewertung, -behandlung, -berichterstattung und -prüfung sowie Risikomanagementsysteme.
• Capability Maturity Model Integration (CMMI). CMMI ist ein Modell zur Verbesserung und Rationalisierung von Geschäftsprozessen. Obwohl es in erster Linie helfen soll, Geschäftsprozesse zu optimieren, kann es auch als RMM zur Verbesserung des Risikomanagements eingesetzt werden.