Mit welchen Kriterien beurteilt man die Wirksamkeit eines Risikomanagementsystems?

Evaluation eines RM Systems ist sehr umfänglich und kann hier nicht dargestellt werden.

Compliance ist nicht alles - Compliance ist mehr als Zuverlässigkeit - Sehen Sie hier mein Vortrag unter http://www.ruter.de/?p=4480

Als langjähriger Leiter einer Konzernrevision beantworte ich die Frage wiefolgt:

Unabhängig von gängigen RMS-Standards (DIIR Nr. 2, IDW PS 981 u.a.), die eine RMS-Wirksamkeit eher aus organisatorischen Aspekten "indirekt" ableiten (z.B. ob entsprechend geschult wurde, ob eine entsprechende Methodik für die unternehmenseigene Risikoanalyse vorliegt oder ob eine spezielle RMS-Software im Einsatz ist), kann mit folgenden revisorischen Fragestellungen nahezu "direkt" auf Wirksamkeit eines RMS geschlussfolgert werden:

- Ist die Veränderung von Risikomeldungen zwischen den Meldezeitpunkten plausibel? [starke und häufige Schwankungen sprechen eher für weniger Wirksamkeit ---- andererseits sprechen überhaupt keine Änderungen über längere Zeiträume für ein reines "Durchnicken" der rollierenden Risikomeldungen ohne sachlich-inhaltlichen Review und damit für eine Vermutung geringer Wirksamkeit];

- Können wesentliche GuV-Abweichungen zwischen PLAN-IST-Werten mit den aktuellen Risikomeldungen abgestimmt werden? [da Risiken per Definition als "Negativ-Abweichungen von PLAN-Werten" verstanden werden, sollten Risiken auch als Negativ-Abweichungen aus den PLAN-IST-GuV's - sowie PLAN-IST-Bilanzen - ableitbar sein]; 

- Werden die gegensteuernden Maßnahmen zu den berichteten Risiken auch entsprechend umgesetzt? [getreu dem Motto "kein Risiko ohne mindestens eine aktive Gegenmaßnahme" legt die planmäßige Umsetzung vereinbarter risikoreduzierender Gegenmaßnahmen eine höhere RMS-Wirksamkeit nahe, als eine Menge offener, fälliger risikoreduzierender Aktivitäten].

Risiken sind ja Unsicherheiten auf Ziele, meist im Sinne von erheblichen signifikaten (negativen) Abweichungen. Treten diese Abweichungen tatsächlich ein, sind das per se keine Risiken mehr, sondern Probleme. Wichtig ist in diesem Zusammenhang, Risiko von Problem zu differenzieren. Ein Risiko ist also ein potentielles Problem (negativ betrachtet), ein Probelm ist nicht potentiell, ein Problem ist da...

Dies vorausgeschickt ist die einfachste Metrik, um ein Risikomanagementsystem zu beurteilen, der signifikante Rückgang bzw. Abschwächung von Problemen. Wer ein effektives Risikomanagement installiert hat, muss das am Ende am Ergebnis merken.

Natürlich gibt es noch eine Reihe anderer Metriken, sogar ganz viele. Aber hier lauert die Gefahr, in scheingenauen Prozessmetriken den Überblick zu verlieren, statt einfach die Wirksamkeit zu betrachten.