Über den Einsatz von Cookies auf dieser Website Unsere Websites benötigen einige Cookies, um ordnungsgemäß zu funktionieren (erforderlich). Darüber hinaus können mit Ihrer Zustimmung weitere Cookies verwendet werden, um die Nutzung der Website zu analysieren, die Benutzerfreundlichkeit zu verbessern und Werbung zu schalten. Weitere Informationen finden Sie in Ihren. Durch den Besuch unserer Website erklären Sie sich mit der Verarbeitung von Informationen einverstanden, wie in der IBMDatenschutzbestimmung beschrieben. Um eine reibungslose Navigation zu ermöglichen, werden Ihre Cookie-Präferenzen über die hier aufgeführten IBM Web-Domains hinweg gemeinsam genutzt.
Was ist operationelles Risiko?
Veröffentlicht: 23. Mai 2024
Mitwirkende: Cole Stryker
Das operationelle Risiko ist eine Zusammenfassung von Verlusten, die durch unzureichende oder fehlgeschlagene interne Prozesse, Menschen und Systeme oder durch externe Ereignisse entstehen.
Es ist neben dem strategischen Risiko, dem Kreditrisiko und dem Marktrisiko eine der wichtigsten Risikoarten, denen Unternehmen und Organisationen ausgesetzt sind. Das operationelle Risikomanagement (ORM) umfasst die Identifizierung, Bewertung und Abschwächung dieser Risiken, um die Wahrscheinlichkeit und die Auswirkungen potenzieller Verluste zu verringern.
Dies sind nur einige Beispiele für operationelle Risiken, die ein Unternehmen in den Ruin treiben können, wenn es nicht auf die Bewältigung solcher Risiken vorbereitet ist:
- Ein kleines Unternehmen befindet sich in einer Cashflow-Krise, weil die Zahlungen von wichtigen Kunden ausbleiben, was zu Schwierigkeiten bei der Deckung der Gehaltszahlungen und der Betriebskosten führt.
- Eine Fast-Food-Kette steht vor einer PR-Krise, nachdem ein virales Video unhygienische Zustände in einem ihrer Restaurants zeigt, was zu einem Rückgang des Kundenvertrauens und des Umsatzes führt.
- Ein Softwareunternehmen sieht sich mit einer Klage wegen der Verletzung geistigen Eigentums konfrontiert, was zu Prozesskosten, potenziellem Schadenersatz und einem Stillstand der Produktentwicklung führt.
Jedes Unternehmen ist mit vielen Arten von operationellen Risiken konfrontiert. Diese reichen von Risiken, die weitgehend in der Kontrolle des Unternehmens liegen, wie z. B. das Risiko der Nichteinhaltung von Vorschriften, bis hin zu Faktoren, die das Unternehmen überhaupt nicht vorhersehen kann, wie z. B. der Ausbruch einer Pandemie.
Mit zunehmender Komplexität der Abläufe, z. B. wenn viele Arten von Abläufen über viele Systeme und Länder hinweg durchgeführt werden, steigt das Risiko für das Unternehmen. Damit wird es wahrscheinlicher, dass eine Art von Betriebsstörung eintritt und sich auf den Ruf oder das Ergebnis des Unternehmens auswirkt.
Erfahren Sie, wie Sicherheitsverletzungen erkannt werden und welche Auswirkungen KI und Automatisierung auf die Sicherheit haben.
Die Arten von Risiken, die mit verschiedenen Geschäftspraktiken verbunden sind, lassen sich grob kategorisieren. Hier sind 6 Kategorien, die üblicherweise verwendet werden, um verschiedene Arten von Risiken zu unterscheiden.
Diese Risiken hängen mit der Effizienz und Effektivität interner Prozesse zusammen. Zum Beispiel Fehler oder Verzögerungen bei der Verarbeitung von Transaktionen, unzureichende Verfahren zur Bearbeitung von Kundenbeschwerden, Zusammenbrüche in der Lieferkette oder Versagen der internen Kontrollen.
Um Prozessrisiken zu vermeiden, können Unternehmen ihre Arbeitsabläufe durch die Einführung von Automatisierung mit Hilfe von künstlicher Intelligenz (KI) verbessern, um die Wahrscheinlichkeit von Verlangsamungen, Ausfällen und Engpässen zu verringern. Die Dokumentation von Prozessen kann auch der Geschäftsleitung helfen zu erkennen, wo Verbesserungen möglich sind.
Dazu gehören Risiken, die mit Mitarbeitern verbunden sind, wie z. B. ein Mangel an Personalressourcen oder jede Art von menschlichem Versagen, Betrug oder Fehlverhalten. Einige Beispiele:
- Unbefugter Handel durch Mitarbeiter (interner Betrug)
- Vertragsbruch des Anbieters (externer Betrug)
- Fehler bei der Dateneingabe
- Unfälle am Arbeitsplatz
- die Nichteinhaltung gesetzlicher Vorschriften aufgrund mangelnder Ausbildung.
Um personelle Risiken zu mindern, ergreifen Unternehmen Maßnahmen, um eine ausreichende Anzahl hochqualifizierter, gut ausgebildeter und ethisch korrekter Mitarbeiter zu gewinnen und sie innerhalb des Unternehmens so anzuordnen, dass eine erfolgreiche Zusammenarbeit in einem Umfeld möglich ist, das durch Sicherheit am Arbeitsplatz gekennzeichnet ist.
Manchmal auch als „Technologierisiko“ bezeichnet, bezieht sich dies auf Risiken, die sich aus dem Einsatz von Technologie und Systemen innerhalb eines Unternehmens ergeben. Zu den Risikoereignissen können Bugs, Systemausfälle, Cyberangriffe oder andere Cybersicherheitsausfälle, Datenschutzverletzungen oder unzureichende IT-Infrastruktur gehören.
Systeme können auf unzählige Arten ausfallen oder beeinträchtigt werden, und es liegt an den Chief Technology Officers (CTOs), Chief Information Officers (CIOs), Chief Data Officers (CDOs) und IT-Managern, dafür zu sorgen, dass die Systeme sicher sind und reibungslos funktionieren.
Das finanzielle Risiko umfasst das Risiko eines finanziellen Verlustes aufgrund finanzieller Entscheidungen, wie z.B. unzureichender Cashflow zur Deckung des operativen Bedarfs, Fehlinvestitionen oder das Risiko, dass Partner ihren finanziellen Verpflichtungen gegenüber dem Unternehmen nicht nachkommen.
Dies ist ein Sammelbegriff, der alle Geschäftsrisiken beschreibt, die sich aus strategischen Initiativen ergeben. Fusionen und Übernahmen, neue Produktangebote und Markenwechsel – all diese Geschäftsentscheidungen sind mit einem gewissen Risiko verbunden.
Hierbei handelt es sich um Risiken, die durch externe Faktoren entstehen, die außerhalb der Kontrolle des Unternehmens liegen. Beispiele hierfür sind Naturkatastrophen, die sich auf Sachwerte auswirken, politische Instabilität und der Zusammenbruch von Finanzdienstleistungen oder der Ausfall großer Finanzinstitute, plötzliche regulatorische Änderungen oder Pandemien.
Ereignisse, die zu einer Unterbrechung des Geschäftsbetriebs führen könnten, treten ständig außerhalb der vier Wände des Unternehmens auf. Auch wenn sie nicht immer verhindert werden können, liegt es an den Betriebsleitern, Wege zu entwickeln, um sie zu antizipieren, schnell zu reagieren und die Geschäftskontinuität zu wahren.
Die Bewertung des operationellen Risikos ist der Prozess der Identifizierung, Analyse und Bewertung der Risiken, die mit dem Tagesgeschäft eines Unternehmens verbunden sind. Operative Risiken lassen sich nicht immer vermeiden. Das Ziel der Bewertung operationeller Risiken ist es, dass die Stakeholder Risiken identifizieren, das Risikoniveau bewerten und Wege zur Risikominderung finden.
Der erste Schritt besteht darin, potenzielle Risiken innerhalb der betrieblichen Prozesse, Systeme und Aktivitäten des Unternehmens zu identifizieren.
Dazu gehört das Sammeln von Informationen und die Prüfung aller operativen Elemente und der damit verbundenen Risiken, die das Erreichen der Unternehmensziele behindern könnten.
Brainstorming, Mitarbeiterbefragungen und die Überprüfung von Unterlagen können zur Identifizierung von Risiken eingesetzt werden.
Sobald die Strategie skizziert ist, müssen KI-Lösungen entwickelt und bereitgestellt werden. Der CAIO beaufsichtigt diesen Prozess, um die richtigen Tools, modernste Data-Science- und Data-Analytics-Methoden für die Entwicklung von Maschinenlernalgorithmen und KI-Modellen im Dienste der effektivsten Anwendungsfälle zu nutzen.
Wenn die Risiken identifiziert sind, können die Betriebsleiter sie analysieren, um ihre Wahrscheinlichkeit und ihre potenziellen Auswirkungen auf das Unternehmen zu bewerten.
Dazu gehört die Bewertung der Häufigkeit und Schwere jedes Risikos und die Bestimmung des akzeptablen Risikoniveaus.
Verschiedene Analysetechniken wie Risikomatrizen, Szenarioanalysen und die Analyse historischer Daten können zur Risikobewertung eingesetzt werden.
Nach der Analyse der Risiken werden diese bewertet, um sie auf der Grundlage ihrer Bedeutung für das Unternehmen zu priorisieren.
Risiken werden in der Regel nach ihrer Schwere und Wahrscheinlichkeit kategorisiert, sodass Unternehmen ihre Ressourcen auf die kritischsten Risiken konzentrieren können.
Bei der Risikoevaluierung werden Faktoren wie die Risikotoleranz des Unternehmens, regulatorische Anforderungen und strategische Ziele berücksichtigt. Unternehmen quantifizieren das Risiko mit Hilfe von wichtigen Risikoindikatoren (Key Risk Indicators, KRIs).
Wenn die Risiken bewertet und priorisiert wurden, entwickeln und implementieren Unternehmen Strategien zur Risikobehandlung, um das Risiko effektiv zu verwalten und zu mindern.
Strategien zur Risikobehandlung können Risikovermeidung, Risikoverminderung, Risikotransfer oder Risikoakzeptanz umfassen. Unternehmen können auch Kontrollen und Schutzmaßnahmen einführen, um die Wahrscheinlichkeit und die Auswirkungen der identifizierten Risiken zu minimieren.
Die Bewertung der operationellen Risiken ist ein fortlaufender Prozess, und die Risiken sollten regelmäßig überwacht und von der Innenrevision überprüft werden, um sicherzustellen, dass die Risikomanagementstrategien wirksam bleiben.
Dazu gehört die Verfolgung von Änderungen im operativen Umfeld des Unternehmens, die Bewertung der Effektivität der implementierten Kontrollen und die Aktualisierung der Risikobewertungen nach Bedarf.
Die kontinuierliche Überwachung und Überprüfung ermöglicht es Unternehmen, sich an die sich entwickelnden Risiken anzupassen und ein effektives Framework für das Risikomanagement aufrechtzuerhalten.
Risikotoleranz, Risikobereitschaft und Risikoprofil
Das Verständnis der Unterschiede zwischen Risikobereitschaft, Risikotoleranz und Risikoprofil ist entscheidend für ein effektives Management des operationellen Risikos.
Die Risikobereitschaft ist breit gefächert und strategisch und definiert den Gesamtansatz für das Eingehen von Risiken. Die Risikotoleranz ist spezifischer und legt akzeptable Risikoniveaus für bestimmte Bereiche fest. Das Risikoprofil bietet eine Momentaufnahme der aktuellen Risikolandschaft.
Dies ist das Gesamtrisiko, das ein Unternehmen bereit ist, einzugehen, um seine strategischen Ziele zu erreichen. Sie spiegelt die Einstellung des Unternehmens zur Risikobereitschaft und ihre Fähigkeit wider, das Risiko von Verlusten zu tragen, ohne ihre Kernaufgaben und Ziele zu gefährden. Sie steht im Einklang mit langfristigen Zielen und Strategien und kann von niedrig bis hoch ausgedrückt werden.
Dies ist das spezifische Risikoniveau, das ein Unternehmen in einem bestimmten Bereich oder für ein bestimmtes Projekt zu akzeptieren bereit ist. Es bietet detailliertere Schwellenwerte innerhalb des breiteren ORM-Frameworks, der durch die Risikobereitschaft festgelegt wird. Die Risikotoleranz wird in der Regel in besser definierten, messbaren Begriffen ausgedrückt, z. B. als maximal akzeptabler Verlust oder als Abweichung vom Budget.
Ein Risikoprofil ist eine umfassende Zusammenfassung der Arten und Ausmaße von Risiken, denen ein Unternehmen derzeit ausgesetzt ist. Es umfasst eine Bewertung der Wahrscheinlichkeit und der potenziellen Auswirkungen verschiedener Risiken und deren Management.
Das Risikoprofil spiegelt die derzeitige Risikoexposition und die Effektivität des Risikomanagements wider und vermittelt ein vollständiges Bild der Risikolandschaft. Das Profil wird regelmäßig aktualisiert, um Veränderungen im Risikoumfeld, neu auftretende Risiken und die Wirksamkeit der Risikokontrollen zu berücksichtigen.
Wenn die Risiken identifiziert, bewertet und nach Prioritäten geordnet sind, können Unternehmen daran arbeiten, diese Risiken zu mindern. Dieser Prozess lässt sich in mehrere Kategorien unterteilen. Ein effektives operatives Risikomanagement beinhaltet die Wahl der optimalen Reaktion auf ein Risiko auf der Grundlage von Schweregrad, Unmittelbarkeit und vielen anderen Faktoren.
- Risikovermeidung: Identifizieren Sie Aktivitäten, die zu riskant sind, und erwägen Sie, unnötige Risiken zu vermeiden, wenn sie außerhalb des Rahmens der Risikobereitschaft des Unternehmens liegen.
- Risikominderung: Implementieren Sie Maßnahmen, um die Wahrscheinlichkeit oder die Auswirkungen von Risiken zu verringern. Dies kann die Definition von Metriken, die Verbesserung interner Kontrollen, die Verbesserung von Geschäftsprozessen und die Entwicklung von ORM-Prozessen umfassen.
- Risikotransfer: Übertragen Sie das Risiko durch Versicherungen, Outsourcing oder vertragliche Vereinbarungen auf einen Dritten.
- Risikoakzeptanz: Akzeptieren Sie bestimmte Risiken, wenn sie im Rahmen der Risikobereitschaft des Unternehmens liegen und es nicht kosteneffektiv ist, sie weiter zu mindern. Stellen Sie sicher, dass es Pläne zur Verwaltung und Überwachung dieser akzeptierten Risiken gibt.
Programme zum Management operationeller Risiken können durch den Einsatz von ORM-Software verbessert werden, die Unternehmen dabei helfen soll, operationelle Risiken in allen Geschäftsbereichen zu identifizieren, zu bewerten, abzumildern und zu überwachen – alles in einer umfassenden Umgebung.
ORM-Programme bieten Werkzeuge zur Selbstbewertung, um verschiedene Arten von Risiken zu erfassen und zu dokumentieren, und ermöglichen es den Benutzern, Risikokontrollen zu dokumentieren. Über die Identifizierung hinaus bietet die Risikomanagement-Software die Möglichkeit, Risiken mit Hilfe verschiedener Analysetechniken wie Risikobewertungsmethoden und Risikomatrizen zu bewerten.
Wenn Sie die Risiken identifiziert und bewertet haben, können Sie sie mit Hilfe von Tools eindämmen und kontrollieren, um die Wahrscheinlichkeit und die Auswirkungen zu verringern. Wenn operative Verluste unvermeidlich sind, können Risikomanagementprozesse den Managern helfen, Vorfälle zu verfolgen und Verantwortlichkeiten und Abhilfemaßnahmen festzulegen.
Software kann auch bei der Compliance-Verwaltung helfen, indem sie Tools für die Verfolgung von Gesetzen, Vorschriften und Standards bietet und Bereiche aufzeigt, in denen ein Unternehmen möglicherweise eine Compliance-Lücke hat. Risikomanagement-Software kann auch in das Enterprise Risk Management (ERM) und andere Systeme integriert werden, um Risikodaten auszutauschen und die Zusammenarbeit zwischen funktionsübergreifenden Teams zu optimieren.
Weiterführende Produkte
IBM OpenPages ist eine KI-gestützte Governance-, Risiko- und Compliance-Plattform, die Unternehmen dabei unterstützt, Risiken und Herausforderungen bei der Einhaltung gesetzlicher Vorschriften zu bewältigen.
Gewinnen Sie mit dem IBM OpenPages Operational Risk Management-Modul die Gewissheit, Ihre Unternehmensziele in einer Welt dynamischer Risiken erreichen zu können.
Mit skalierbaren Abläufen und intelligenten Workflows helfen wir unseren Kunden, ihre Prioritäten zu erreichen, Risiken zu managen, Finanzkriminalität und Betrug zu bekämpfen, die sich ändernden Kundenanforderungen zu erfüllen und gleichzeitig die aufsichtsrechtlichen Anforderungen zu erfüllen.
Ressourcen
Governance, Risk and Compliance (GRC) ist eine Unternehmensstrategie, um Governance und Risiken zu verwalten und gleichzeitig die Einhaltung von Branchen- und Regierungsvorschriften sicherzustellen.
Das Bedrohungsmanagement ist ein Prozess, der von Cybersicherheitsexperten eingesetzt wird, um Cyberangriffe zu verhindern, Cyberbedrohungen zu erkennen und auf Sicherheitsvorfälle zu reagieren.
Die einzige Möglichkeit für eine wirksame Risikominderung besteht darin, dass ein Unternehmen eine schrittweise Risikominderungsstrategie zur Risikoeinschätzung und -verwaltung anwendet und sicherstellt, dass das Unternehmen über einen Plan zur Aufrechterhaltung der Geschäftskontinuität für unerwartete Ereignisse verfügt.