DIGITALISIERUNG
DIGITALISIERUNG SCHWERPUNKT OPRISK-FORUM Workshops sind Teilnehmende der ersten und zweiten Verteidigungslinie eingebunden. Die VertreterInnen der ersten Verteidigungslinie sind die Verantwortlichen für die Risiken, die ihren Tätigkeiten entspringen. Dies könnten z. B. Produktverantwortliche sein, die die Risiken ihres Produkts vor dessen Markteinführung bewerten. Die zweite Verteidigungslinie wird in der Regel durch die Operational-Risk-Funktion repräsentiert, die die Aufgabe hat, die Bewertungen der ersten Verteidigungslinie kritisch zu überprüfen und die Einhaltung des übergeordneten Rahmenwerks sicherzustellen. Darüber hinaus können auch andere Funktionen wie Compliance, die Rechts- oder die Kommunikationsabteilung in RCSA-Workshops einbezogen werden, um fachlichen Input zu liefern. Alles in allem kann das RCSA also als ein Instrument charakterisiert werden, das in hohem Maß von der Kooperation, dem Wissen sowie dem Einsatz seiner Teilnehmenden abhängt. Schwachstellen des RCSAs und Auswirkungen von WFH Im Zusammenhang mit dem RCSA wurden zahlreiche Schwachpunkte diskutiert, die hier nicht erschöpfend besprochen werden können. 3 Entsprechend konzentriert sich das Folgende auf eine Auswahl von Kernthemen, die sich aus den Eigenschaften des RCSAs ergeben sowie ihre potenzielle Beeinflussung durch die Auswirkungen von WFH. Eine häufige Schwachstelle des RCSAs sind unklare Rollen und Zuständigkeiten. So kann sich – obwohl Verantwortlichkeiten aus Perspektive des Modells der drei Verteidigungslinien zunächst klar erscheinen mögen – die konkrete Durchführung eines RCSAs auf operativer Ebene als kompliziert erweisen. Dies kann unter anderem an unterschiedlichen Meinungen darüber liegen, wie die verschiedenen Rollen der Verteidigungslinien auszulegen sind. Beispiele dafür sind Unstimmigkeiten darüber, inwieweit ein Produktverantwortlicher letztlich auch verantwortlich für die Identifizierung aller relevanten Risiken, deren Dokumentation, Aktualisierung und weiterer Handhabung ist. Bleiben solche Punkte offen und führen sie zu unerledigten Aufgaben, untergräbt dies den Mehrwert des RCSAs und trübt langfristig die Sicht des Managements auf das Risikoprofil. Sich überschneidende Zuständigkeiten und unklare Aufgabenverteilung sind ebenfalls bekannte Treiber von sozialem Faulenzen, das in einer virtuellen Umgebung noch deutlicher zutage zu treten scheint. Insofern kann WFH indirekt noch zusätzlich dazu beitragen, dass wichtige Verantwortlichkeitsfragen ungeklärt und Aufgaben unerledigt bleiben. Übertragen auf das RCSA kann dies zu einer unvollständigen Risikoidentifikation, oberflächlichen Bewertungen, unzureichender Überprüfung, unsachgemäßer Dokumentation und verzögerter Durchführung von Gegenmaßnahmen führen und somit das RCSA in jeder Phase beeinträchtigen. Darüber hinaus ist zu bedenken, dass sich das RCSA als Workshop-basiertes Instrument auf Expertenurteile stützt. Damit ist es anfällig für Urteilsverzerrungen (sog. Biases) und Auswirkungen von Gruppendynamik. Als wichtige Beispiele seien hier genannt: Der Availability Bias, der die Tendenz von Menschen beschreibt, Bewertungen der Wahrscheinlichkeit von Ereignissen auf die Leichtigkeit zu stützen, mit der sie sich an sie erinnern können. Der Confirmation Bias, der die Tendenz von Personen beschreibt, nach Hinweisen zu suchen, die ihre Meinung bestätigen, und die Suche nach gegenläufigen Informationen zu vernachlässigen. Der Optimism-Bias, der die Tendenz beschreibt, die Wahrscheinlichkeit positiver Ereignisse zu überschätzen, während die Wahrscheinlichkeit negativer Ereignisse unterschätzt wird. Die Illusion of Control, als die übertriebene Annahme von Kontrolle über ungewisse Ereignisse. Der Konformitätsdruck, der die Tendenz von Personen beschreibt, ihr eigenes Verhalten (z. B. geäußerte Meinungen) so anzupassen, dass es mit dem Verhalten anderer übereinstimmt. Übertragen auf das RCSA kann all dies zu einer verzerrten Bewertung der Eintrittswahrscheinlichkeit und der Auswirkungen von Risiken führen, da die Einschätzung der Teilnehmenden z. B. durch jüngste Ereignisse oder bestehende Erwartungen überlagert sein kann. Ein durch soziales Faulenzen vermindertes Engagement und eine niedrigere Motivation dazu, voll am RCSA-Prozess teilzunehmen, verschärfen dies wohl weiter. Darüber hinaus kann Konformitätsdruck, der 42 04 | 2022
DIGITALISIERUNG mitunter ebenfalls durch WFH verstärkt wird, dazu führen, dass ExpertInnen ihre Bewertungen an weniger gut informierte Gruppenmeinungen anpassen. Eine weitere bekannte Schwäche des RCSAs ist, was Power sinngemäß als „Risikomanagement von allem“ bezeichnet, das zu einem „Risikomanagement von nichts“ werden kann. 4 Der Hintergrund dafür ist, dass die Zahl dokumentierter Risiken und Kontrollen schnell anwachsen kann, wenn der Umfang der Risikobewertung unklar und zu detailliert ist. Oftmals verkomplizieren Organisationen das RCSA, indem sie zu granulare Ansätze verfolgen, wie z. B. die Ermittlung von Risiken bei jedem einzelnen Schritt innerhalb eines Geschäftsprozesses. Dieser Ansatz führt zu Tausenden von identifizierten Risiken und Kontrollen, die für die Risikoverantwortlichen nicht mehr beherrschbar sind und ihnen den Überblick über die wesentlichsten Risiken und Schlüsselkontrollen nehmen. Darüber hinaus erfordert es einen hohen Zeit- und Ressourcenaufwand, alle RCSAs zu dokumentieren, zu bewerten und zu pflegen. Im schlimmsten Fall entwickelt sich das RCSA so zu einer schwerfälligen Compliance-Übung ohne weiteren Mehrwert. Die Erfahrung zeigt, dass die Bestimmung des richtigen Umfangs eines RCSAs und die Entscheidung darüber, welche Risiken wichtig sind und welche vernachlässigt werden sollten, ausführlicher Diskussionen zwischen den am RCSA-Prozess Beteiligten bedarf. Allzu leicht führt dabei eine konfliktscheue Konformitätstendenz zu einem zu granularen RCSA-Ansatz, der alles zu berücksichtigen versucht und so schwer handhabbare Ergebnisse produziert. Es ist davon auszugehen, dass sozial faulenzende, desengagierte Teilnehmende dies weiter verstärken, weswegen auch hier ein negativer Einfluss von WFH anzunehmen ist. Dafür sprechen auch die bereits angeführten Hinweise auf erhöhte Konformitätstendenzen neuer virtueller Teams. 04 | 2022 43
