Risiko- und Kontrollselbstbewertung – Entmystifizierung der Methodik

Sword GRC Blog

Risiko- und Kontrollselbstbewertung - Entmystifizierung der Methodik

Ohne das Risk and Control Self Assessment (RCSA) ist kein Rahmen für das Management operationeller Risiken vollständig. Diese Befähigungstechnik, die von Mitarbeitern auf allen Ebenen und in einer Vielzahl von Organisationen zur Identifizierung von Risiken und zur Bewertung der damit verbundenen Kontrollen und ihrer Wirksamkeit eingesetzt wird, wurde 1987 entwickelt. Es wird auch heute noch als eine wirksame Möglichkeit angesehen, den Leitungsgremien und Regulierungsbehörden die Gewissheit zu geben, dass alle Ziele erreicht werden. Es wurden auch eine Reihe von „weicheren“ Vorteilen identifiziert: Das Personal erhält ein tieferes Verständnis der Geschäftsabläufe, ein besseres Bewusstsein für das operative Risikomanagement und ist besser gerüstet, um ein strafferes Governance-Programm voranzutreiben.

Das Whitepaper des Institute of Risk (IOR), Risikokontrolle und Selbsteinschätzung Einzelheiten dazu, wie RCSAs Organisationen dabei unterstützen, Risikopositionen zu priorisieren, Kontrollschwächen und -lücken zu identifizieren und die Maßnahmen zu überwachen, die ergriffen wurden, um diese zu beheben.

Es scheint, dass es eine feine Linie gibt, um das richtige Gleichgewicht zu erreichen. Ein gut durchgeführter und implementierter RCSA sollte dazu beitragen, das operationelle Risikomanagement in ein Unternehmen einzubetten und die allgemeine Risikokultur zu verbessern. Machen Sie es zu komplex, und die Vorstellung, dass das Management von operationellen Risiken bürokratisch und Compliance-orientiert ist, kann verstärkt werden.

In den Leitlinien wird betont, dass RCSAs zwar zur Bewertung des Risikos operationeller Risiken beitragen, aber auch eine Rolle dabei spielen müssen, operationelle Risiken auf den Tisch zu legen und die Menschen dazu zu bringen, darüber zu sprechen. Es wird davon ausgegangen, dass diejenigen Organisationen, die operationelle Risiken und die Wirksamkeit der damit verbundenen Kontrollen erörtern, besser in der Lage sind, mit den künftigen Risiken umzugehen – neuen und aufkommenden Risiken.

Zweifellos wird ein wirksamer RCSA dazu beitragen, Corporate Governance- und Compliance-Aktivitäten zu unterstützen. Laut IOR „bieten die Ergebnisse eines RCSA dem Leitungsgremium und den Aufsichtsbehörden die Gewissheit, dass eine Organisation über ein solides System für das Management operationeller Risiken verfügt. Ebenso können RCSAs die Arbeit interner und externer Prüfer unterstützen und ihnen dabei helfen, die Aufmerksamkeit der Prüfung zu priorisieren und Prüfungen zu strukturieren. “

Ein weiterer erwähnenswerter Vorteil ist die Verbesserung der Geschäftseffizienz. Schwächen oder Lücken in den Kontrollen können die Wahrscheinlichkeit von System- und Prozessausfällen und die Auswirkungen externer Ereignisse erhöhen, wodurch alle Kosten steigen und die Möglichkeit von Störungen steigt. Am anderen Ende der Skala kann ein übermäßiges Maß an Kontrolle Systeme und Prozesse unnötig verlangsamen.

Um Organisationen dabei zu unterstützen, das richtige Gleichgewicht zu erreichen, enthält das Whitepaper „Risiko- und Kontrollselbstbewertung“ detaillierte Informationen zum Entwerfen und Implementieren eines RCSA, der dem Umfang und der Komplexität der Aktivitäten sowie der Risikokultur eines Unternehmens am besten entspricht.

Von den RCSA-Grundlagen bis zur Framework-Integration

Zu den Highlights aus den Kapiteln gehören:

  • RCSA-Grundlagen

„Ein vollständig umfassender Ansatz ist nicht unbedingt der beste, insbesondere wenn er zu einer Informationsüberflutung führt und zu viel Zeit und Mühe erfordert. RCSAs sollten nur dort eingesetzt werden, wo sie einen Mehrwert bieten. “

  • Entwerfen eines RCSA

„Die meisten Organisationen werden RCSAs von oben nach unten und von unten nach oben entwerfen. Der Vorteil eines Top-Down-Ansatzes besteht darin, dass Risiken auf strategischer Ebene kaskadiert und an den Risiken, Kontrollen und Maßnahmen ausgerichtet werden können, die in Abteilungen, Divisionen oder Funktionsbewertungen identifiziert wurden. Dies kann dazu beitragen, die Steuerung des operationellen Risikos zu verbessern und sicherzustellen, dass die organisationsweiten und lokalen Prioritäten aufeinander abgestimmt sind.

„Der Vorteil einer Bottom-up-Bewertung besteht darin, dass sich die lokalen Manager auf die Risiken und Kontrollen konzentrieren können, die für ihren Bereich relevant sind.“

  • Abschluss einer RSCA – Ansätze und Techniken

„Mit Hilfe von Fragebögen können einige oder alle für eine RCSA erforderlichen Informationen gesammelt werden. Fragebögen können als Ersatz für einen Workshop verwendet werden, um Zeit und Ressourcen zu sparen. Sie sind am effektivsten, wenn sie mit Workshops kombiniert werden. Dies sollte die Wahrscheinlichkeit verringern, dass Risiken oder Kontrollen ausgelassen werden, und dazu beitragen, einzelne Vorurteile zu kontrollieren. “

  • Integration eines RCSA in das Operational Risk Management Framework

RCSA-Ergebnisse sind eine wertvolle Informationsquelle für die Entwicklung von Aktionsplänen für operationelle Risiken. Solche Pläne können die Verbesserung der Wirksamkeit bestehender Kontrollen, die Beseitigung veralteter Kontrollen oder die Einführung neuer Kontrollen umfassen, um Lücken zu schließen. Maßnahmen müssen immer aus Kosten- / Nutzengründen gerechtfertigt sein. “

In seiner Schlussfolgerung unterstreicht das Whitepaper die Botschaft, dass Manager für operationelle Risiken immer daran denken sollten, dass RCSAs die Entscheidungsfindung von Unternehmen unterstützen müssen.

Wenn Sie mit dem Design und der Implementierung von RCSA in Ihrem Unternehmen beauftragt sind oder einfach nur ein besseres Verständnis der Technik und der geschäftlichen Vorteile von RCSAs erlangen möchten, laden Sie Ihre kostenlose Kopie des ‚herunter. Selbsteinschätzung von Risiko und Kontrolle Anleitung jetzt.