Unter dem Schlagwort GRC (Governance, Risk and Compliance) hat sich die Anpassung des Risikomanagements an die neueren gesetzlichen Vorgaben zu einer der zentralen Aufgabenstellungen für Unternehmen vor allem im Finanzsektor entwickelt. Beim Erfahrungsaustausch Risikomanagement bei der ibo Software GmbH in Wettenberg stellte Kristina Dapper das prozessorientierte Risikomanagement der Nassauischen Sparkasse (Naspa) vor.
Ausgangspunkt für die Umstellung auf ein prozessorientiertes Risikomanagement waren zu viele Insellösungen, unterschiedliche Granularität der Darstellungen und zu wenig klare Zuständigkeiten vor allem bei prozessübergreifenden Risiken und Kontrollen. Vor diesem Hintergrund wurden bei der Naspa neben dem für den gesamten End-to-End-Prozess zuständigen Prozessverantwortlichen auch noch Risiko- und Kontrollverantwortliche benannt, die verantwortlich sind für die Vollständigkeit, Konsistenz und Aktualität der Risikobeschreibung auf der einen Seite und der Kontrolldokumentation auf der anderen Seite.
In bereichsübergreifend besetzten Bewertungs-Workshops wurden alle Risiken mit Blick auf Eintrittswahrscheinlichkeit und mögliche Schadenshöhe in einer ABC-Matrix eingeordnet.
Eine wichtige Aufgabe bestand darin, den »Risiko-Appetit« zu ermitteln und anzuregen. Das heißt, dass man sich auch einmal von Kontrollen trennt, wenn sie „nur“ C-Risiken absichern. C-Risiken sind Risiken, für die eine niedrige Eintrittswahrscheinlichkeit und eine geringe Schadenshöhe ermittelt wurde. „Für die Umsetzung war es sehr hilfreich, dass diese Entscheidung eine klare Vorgabe des Vorstands war“, fasst Kristina Dapper dabei die Schwierigkeiten bei der Umsetzung zusammen.
Diese Risikomatrix war dann der Ausgangspunkt für die Überarbeitung der Risiken und Kontrollen. Dabei wurden sowohl die Risiken als auch die den Risiken zugeordneten Kontrollen den einzelnen Aufgaben im Prozess zugeordnet. Mittlerweile ist auf dieser Grundlage eine umfassende Dokumentation zu den in die Prozesse integrierten Risiken und Kontrollen, wie der folgende Auszug aus einem Risikoszenario zeigt:
Aber die Risiken werden nicht nur bewertet, sondern auch zusammen mit den Kontrollen direkt in die Prozesse der Bank eingebunden. Dabei ermöglicht die Zuordnung zwischen den Risiken und Kontrollen in ibo Prometheus.NET die direkte Einsicht in diese Verbindungen und gleichzeitig das Erstellen von Risiko-Kontroll-Matrizen, die aufzeigen, welche Kontrollen welche Risiken absichern.
Welche Erwartungen die Umsetzung diese Aufgabenstellung geweckt hat, zeigen die Begehrlichkeiten und Aufgabenstellungen für die Zukunft. Aktuell läuft die Integration der Tätigkeiten-IDs in die Prozesse. Darunter versteht man in OSP eine fachliche Bündelung von Erfassungsfeldern mit Prüfkennzeichen. Die möglichen Prüfkennzeichen (prüffrei, prüfpflichtig, prüf-vor-update) werden von der FI (Finanzinformatik) vorgegeben. Im Rahmen der Integration der 1500 Tätigkeiten-IDs (TIDs) wurde auch geprüft, welche der möglichen Prüfkennzeichen für die Naspa geeignet ist. Die nächste Baustelle, die sich am Horizont schon abzeichnet, ist die vom Vorstand gewünschte Integration der Soll-Rollen in die Prozesslandschaft.
Schon heute werden die Prozesse mit den Kontrollen für alle Beteiligten im Intranet veröffentlicht. Dabei wird eine Profilsicht ohne die Risiken genutzt, weil die Risiken bei der Analyse und Konzeption von Bedeutung sind, bei der Ausführung aber weniger. Außerdem sollen die Risiken in der Breite auch gar nicht bekannt sein, »damit niemand auf dumme Gedanken kommt«.
Wir werden die Entwicklung bei der Naspa weiter aktiv begleiten.
Mit unserem ibo-Newsletter bleiben Sie zu aktuellen Themen rund um Prozessmanagement immer up to date!
Danke für den Beitrag. Wir freuen uns auf die weiteren Schritte und auch Erfahrungen unserer anderen ibo Prometheus-Risk-Kunden. Bei Bedarf wird es auch in 2016 einen weiteren Erfahrungsaustausch geben. Viele Anforderungen fließen bereits in die nächste Version ein.
Beste Grüße, Dirk Kalbfleisch