Betriebsrisikomanager verwalten Betriebsrisiken wie Verluste aufgrund von Fehlern, Verstößen oder Schäden, die durch Personen, interne Prozesse, Systeme oder externe Ereignisse verursacht werden. Betriebsrisiken reichen von kleinen Betriebsrisiken, z. B. dem Risiko eines Verlusts aufgrund geringfügiger menschlicher Fehler, bis hin zu großen Betriebsrisiken, z. B. dem Risiko einer Insolvenz aufgrund schwerwiegenden Betrugs.

Manager für Betriebsrisiko

Betriebsrisikomanager sind Teil des Betriebsrisikoteams, das die Risikosituation der Organisation verwaltet. Die Risikosituation ist das aktuelle Risikoprofil für ein Unternehmen. Als Betriebsrisikomanager müssen Sie die folgenden Aufgaben ausführen.

Definieren Sie das Framework für Betriebsrisiken

Verwalten Sie die Betriebsrisiken einer Organisation effektiv, indem Sie ein robustes Risikomanagement-Framework definieren. Dieses Framework hilft bei der Identifizierung von Risiken und der Definition des Steuerungs-Frameworks zur Minderung dieser Risiken. Ein Risikomanagement-Framework besteht aus den folgenden Komponenten:

• Risiko-Identifizierung
• Risikomessung oder -bewertung
• Risikoverringerung
• Risiko-Reporting und -Überwachung

Richten Sie Bibliotheken ein

Richten Sie umfassende Bibliotheken wie folgt ein:

• Erstellen von Risikobeschreibungen: Eine Risikobeschreibung wird verwendet, um ein Risiko so zu erfassen, dass sich alle auf den Schweregrad oder die relative Priorität einigen können.
• Kontrollziele erstellen: Ein Kontrollziel definiert das Ziel oder den Zweck von risikomindernden Kontrollen. Diese Steuerungen müssen kontinuierlich überwacht werden.
• Entitätsklassen, Entitätstypen und Entitäten definieren: Weitere Informationen zu Entitäten finden Sie unter Entitäten verstehen.
• Definieren der vorgelagerten und nachgelagerten Entitäten.

Der erste Schritt besteht darin, Risikobeschreibungen einzurichten, damit Ihr Team eine bestimmte Vorstellung vom Risiko hat. Zum Beispiel ist es nicht spezifisch, ein Risiko einfach als Cybersicherheitsrisiko zu bezeichnen. Cybersicherheitsrisiken können für verschiedene Personen unterschiedliche Bedeutungen haben. Daher wird eine allgemeine Erklärung zur Definition von Cybersicherheit als Risikobeschreibung erstellt. Um Risikobeschreibungen und ihre Hierarchie zu erstellen, definieren Sie die Risikoauswirkung, die gefährdeten Assets und die Risikoquelle klar. Durch Definieren der Risikobeschreibungen und Erstellen ihrer Hierarchie können Sie sicherstellen, dass die Risikopunktzahlen zusammengefasst werden, sodass der Risikostatus vollständig ist.

Führen Sie in regelmäßigen Abständen Risikobewertungen durch

Führen Sie die jährlichen Risikobewertungen gemäß den Richtlinien Ihrer Organisation durch. Stellen Sie außerdem sicher, dass das Risikoregister aktualisiert und korrekt ist. Erstellen Sie Risikobewertungsumfänge und planen Sie Bewertungen. Weitere Informationen zu Risikoregistern finden Sie unter Risikoregister in Risiko-Arbeitsbereich.

Erfassen und überwachen Sie Risikoereignisse

Risikoereignisse sind potenzielle oder tatsächliche finanzielle und nicht finanzielle Verluste, Beinaheunfälle und Gewinne, die innerhalb einer Organisation auftreten. Für ein effektives Risikomanagement ist es wichtig, Risikoereignisse zu überwachen, eine Ursachenanalyse durchzuführen und die Nachbesserungsaufgaben nachzuverfolgen. Organisationen verwenden Risikoereignisse, um ihre Verluste zu verstehen und Verbesserungsbereiche zu analysieren, um weitere Verluste zu reduzieren. Sie müssen das Verlustereignisregister verwalten, um vollständige Ereignisinformationen zu erfassen und zusätzliche Steuerungen zur Minderung zukünftiger Risiken vorzuschlagen.

Definieren von Schlüsselrisikoindikatoren

Überwachen Sie die Risikosituation Ihres Unternehmens kontinuierlich. Die kontinuierliche Überwachung von Risiken und Kontrollen umfasst die Identifizierung und Erstellung wichtiger Risiko- und Kontrollindikatoren. Unterstützungsinformationen können für diese Indikatoren durch automatische Datenerfassung oder manuelle Aufgaben gesammelt werden. Indikatorergebnisse werden dann verwendet, um Probleme für Steuerungen zu erstellen, eine Änderung der Risikosituation zu signalisieren und unterstützende Informationen für Auditaktivitäten und Kontrolltests bereitzustellen. Wenn die Indikatorschwellenwerte verletzt werden, müssen Sie an die entsprechenden Stakeholder eskalieren.

Verwalten Sie Probleme und Incidents

Ein Problem wird erstellt, wenn sich die Umgebung, der Prozess oder das System ändert, die eine Bedrohung darstellt. Ein Problem erfordert eine Aktion, um einen Incident oder Verlust zu verhindern. Ein Incident ist ein erfolgreiches Ergebnis oder Ereignis mit negativen Auswirkungen. Als Betriebsrisikomanager können Sie Probleme und Incidents anzeigen, erstellen und verwalten. Stellen Sie die Nachverfolgung, den ordnungsgemäßen Abschluss, die Korrektur und die Überwachung von Problemen und Incidents sicher.

Kommunizieren Sie die Betriebsrisikosituation

Definieren Sie Dashboards, um Daten effektiv und genau zu melden. Sie müssen die erforderlichen Berichte erstellen, die mit den Führungskräften und dem Leiter des Betriebsrisikoteams geteilt werden können. Die Berichte und Dashboards stellen sicher, dass die zusammengefassten Bewertungsergebnisse im gesamten Unternehmen dazu beitragen, die wichtigsten Betriebsrisiken für das Unternehmen zu identifizieren.

In der folgenden Tabelle sind die wichtigsten Aufgaben aufgeführt, die Sie in Ihrer Rolle als Betriebsrisikomanager ausführen.

Tabelle : 1. Aufgaben eines Betriebsrisikomanagers

Aktivität	Aufgabe
Definieren Sie das Framework für Betriebsrisiken	Erstellen Sie eine Risikobeschreibung Erstellen Sie ein Risiko-Framework in Risiko-Arbeitsbereich Ordnen Sie eine Risikobeschreibung einem Kontrollziel in zu Risiko-Arbeitsbereich
Kommunizieren Sie die Betriebsrisikosituation	Betriebsrisiko-Heatmap für erweiterte Risikobewertung in Risiko-Arbeitsbereich Risiko-Heatmap für klassische Risikobewertung
Überwachen Sie die kritischen Incidents und Probleme	Probleme anzeigen, erstellen und verwalten
Definieren Sie die wichtigsten Risikoindikatoren	Risikoindikatoren, Steuerungsindikatoren und Indikatorvorlagen
Führen Sie den jährlichen Risikobewertungsprozess durch	Konfigurieren Sie eine Risikobewertungsmethode Erstellen Sie Faktoren Erstellen Sie Risikobewertungsumfänge Planen Sie Risikobewertungen in Risiko-Arbeitsbereich Führen Sie eine erweiterte Risikobewertung in durch Risiko-Arbeitsbereich
Erleichtern Sie die Aufzeichnung von und das Lernen aus Verlustereignissen	Risikoereignisse verwalten Erstellen Sie ein Risikoereignis in Risiko-Arbeitsbereich Analysieren Sie ein Risikoereignis in Risiko-Arbeitsbereich Erstellen Sie einen Risikoereigniseintrag in Risiko-Arbeitsbereich
Erstellen Sie zusammengefasste Risikoberichte	Berichte in der Anwendung Risk Management

Die folgende Abbildung zeigt die Ansicht für den Betriebsrisikomanager.