Eine Risiko- und Kontroll-Self-Assessment (RCSA) ist eine Geschäftspraxis, die dem Top-Management eines Unternehmens dabei hilft, wesentliche Risiken, die mit den Aktivitäten des Unternehmens verbunden sind, zu erkennen und zu bewerten. Ein RCSA-Programm informiert die Abteilungsleiter und die Mitarbeiter auf Segmentebene darüber, wie sichergestellt wird, dass die internen Kontrollen, Richtlinien und Verfahren funktionsfähig und angemessen sind.
Zweck
Ein RCSA-Programm deckt zwei Geschäftsfunktionen ab: Risiko-Selbstbeurteilung und Kontroll-Selbstbeurteilung. Risiko-Selbsteinschätzung ist eine Praxis, bei der Abteilungsleiter verschiedene Geschäftsrisiken analysieren und sie auf der Grundlage potenzieller Verluste als "hoch", "mittel" oder "niedrig" einstufen können. Ein Programm zur Selbsteinschätzung der Kontrolle hilft den leitenden Angestellten, sicherzustellen, dass die internen Kontrollen, Verfahren und Mechanismen angemessen, funktionell sind und den Empfehlungen der obersten Führungsebene, den Praktiken der Branche, professionellen Standards und regulatorischen Richtlinien entsprechen. (Eine Kontrolle ist eine Anweisung, die das Management einführt, um Verluste zu vermeiden.)
Typen
Eine RCSA-Initiative konzentriert sich auf vier Arten von Risiken: operative Risiken, Technologie, Finanzen und Compliance. Das operationelle Risiko entsteht durch menschliches Versagen oder Betrug (z. B. wenn ein Mitarbeiter Bargeld stiehlt). Das Technologierisiko ist eine Folge von Ausfällen von Kommunikationssystemen, z. B. von Hardwarefehlern. Das finanzielle Risiko kann kreditbezogen sein (wenn ein Geschäftspartner ein Darlehen nicht zurückzahlen kann) oder ein Marktrisiko (wenn sich die Sicherheitspreise nachteilig ändern). Das Compliance-Risiko bezieht sich auf nachteilige regulatorische Maßnahmen, wenn ein Unternehmen sich nicht an Gesetze hält.
Eigenschaften
Ein RCSA-Zeitplan kann einige oder alle vier Arten von Geschäftsrisiken abdecken, abhängig von den Betriebsanforderungen, der Unternehmensgröße, den Fähigkeiten des Personals und den behördlichen Anforderungen. Angenommen, eine globale Bank mit Sitz in South Dakota möchte finanzielle Risiken identifizieren, bewerten und steuern, die für die Aktivitäten ihrer Wertpapierbörsen implizit sind. Die Bank kann ein RCSA für Finanzrisikoprozesse vorbereiten und ihre Marktrisikokontrollen als "mittel" einstufen. Ein in New York ansässiger Einzelhändler für Sportbekleidung kann die Risiken seiner Geschäftstätigkeit überprüfen und das Betriebsrisiko in einigen Bereichen als „gering“ einstufen.
Leistungen
Ein Risiko- und Kontrollrahmen für die Selbsteinschätzung ist für die internen Mechanismen eines Unternehmens von entscheidender Bedeutung, da potenzielle Verluste, die bei Geschäftsaktivitäten entstehen können, verhindert oder reduziert werden. Gelegentlich können diese Verluste beträchtlich sein, beispielsweise wenn ein Angestellter Millionen von Dollar stiehlt oder eine Bank wegen Nichteinhaltung hohe Geldbußen erhält. Wenn beispielsweise eine in New York ansässige Bank in ihren Handelsgeschäften keine RCSA durchführt und eine Aufsichtsbehörde wie die Financial Industry Regulatory Authority (FINRA) Unregelmäßigkeiten entdeckt, kann die FINRA die Bank und ihre Händler mit einer Geldstrafe belegen.
Expertenwissen
Eine RCSA-Initiative kann sich oft auf schwierige Themen oder Bereiche beziehen, in denen die Mitarbeiter eines Unternehmens nicht über Fachwissen verfügen. In diesen Fällen kann die Führungsspitze eines Unternehmens einen Berater beauftragen, der dem Unternehmen hilft, Risiken angemessen zu bewerten. Beispielsweise kann ein Öl- und Gasunternehmen einen zertifizierten Wirtschaftsprüfer (CPA) beauftragen, um seine Marktrisiko-Richtlinien zu überprüfen und Empfehlungen abzugeben.
