Definition

Risikomanagement

Was ist Risikomanagement?

Risikomanagement ist der Prozess der Identifizierung, Bewertung und Kontrolle von Bedrohungen für das Kapital, die Erträge und den Betrieb eines Unternehmens. Diese Risiken stammen aus einer Vielzahl von Quellen, darunter finanzielle Unwägbarkeiten, rechtliche Verpflichtungen, technologische Probleme, strategische Managementfehler, Unfälle und Naturkatastrophen.

Ein erfolgreiches Risikomanagementprogramm hilft einem Unternehmen, die gesamte Bandbreite der Risiken zu berücksichtigen, denen es ausgesetzt ist. Das Risikomanagement untersucht auch die Beziehung zwischen verschiedenen Arten von Geschäftsrisiken und die kaskadenartigen Auswirkungen, die sie auf die strategischen Ziele eines Unternehmens haben könnten.

Dieser ganzheitliche Ansatz für das Risikomanagement wird manchmal auch als Enterprise Risk Management bezeichnet, da der Schwerpunkt auf der Antizipation und dem Verständnis von Risiken im gesamten Unternehmen liegt. Neben der Konzentration auf interne und externe Risikobedrohungen wird beim Enterprise Risk Management (ERM) auch die Bedeutung des Managements positiver Risiken betont. Positive Risiken sind Chancen, die den Unternehmenswert steigern oder umgekehrt einem Unternehmen schaden können, wenn sie nicht genutzt werden.

Das Ziel eines jeden Risikomanagementprogramms ist es nicht, alle Risiken zu eliminieren, sondern den Gesamtwert des Unternehmens zu erhalten und zu steigern, indem intelligente Risikoentscheidungen getroffen werden. 

Daher sollte ein Risikomanagementprogramm mit der Unternehmensstrategie verflochten sein. Um sie miteinander zu verknüpfen, müssen die Verantwortlichen für das Risikomanagement zunächst die Risikobereitschaft des Unternehmens festlegen, das heißt die Höhe des Risikos, das das Unternehmen zur Erreichung seiner Ziele zu akzeptieren bereit ist. Einige Risiken können abhängig von der Risikobereitschaft der Firma akzeptiert werden, ohne dass weitere Maßnahmen erforderlich sind. Andere werden gemildert, um die potenziellen negativen Auswirkungen zu verringern, mit einer anderen Partei geteilt oder auf diese übertragen oder ganz vermieden.

Jede Organisation ist mit dem Risiko unerwarteter, schädlicher Ereignisse konfrontiert, die sie Geld kosten können oder im schlimmsten Fall zur Schließung des Unternehmens führen. Dieser Leitfaden zum Risikomanagement bietet einen umfassenden Überblick über die wichtigsten Konzepte, Anforderungen, Instrumente, Trends und Debatten in diesem dynamischen Bereich. 

Warum ist Risikomanagement so wichtig?

Risikomanagement war vielleicht noch nie so wichtig wie heute. Die Risiken, mit denen moderne Unternehmen konfrontiert sind, sind aufgrund der rasanten Globalisierung immer komplexer geworden. Ständig tauchen neue Risiken auf, die oft mit dem allgegenwärtigen Einsatz digitaler Technologien zusammenhängen und von diesen verursacht werden. Der Klimawandel wurde von Risikoexperten als Bedrohungsmultiplikator bezeichnet.

Ein 2020 aufgetretenes externes Risiko, das sich bei vielen Unternehmen zunächst als Problem in der Lieferkette manifestierte - die COVID-19-Pandemie -, entwickelte sich schnell zu einer existenziellen Bedrohung, die die Gesundheit und Sicherheit der Mitarbeiter, die Art der Geschäftstätigkeit, die Fähigkeit zur Interaktion mit Kunden und den Ruf des Unternehmens beeinträchtigte.

Die Unternehmen haben sich schnell auf die von der Pandemie ausgehenden Gefahren eingestellt. In Zukunft werden sie sich jedoch mit neuen Risiken auseinandersetzen müssen, wie zum Beispiel mit der Frage, wie oder ob sie ihre Mitarbeiter wieder ins Büro bringen sollen und was getan werden kann, um die Lieferketten weniger anfällig zu machen. Darüber hinaus stellen die Inflation und die geschäftlichen und wirtschaftlichen Auswirkungen des Krieges in der Ukraine hohe Risiken dar.

In vielen Unternehmen werfen die Führungskräfte und der Vorstand einen neuen Blick auf ihre Risikomanagementprogramme. Die Organisationen bewerten ihre Risikoexposition neu, prüfen Risikoprozesse und überdenken, wer am Risikomanagement beteiligt sein sollte. Unternehmen, die derzeit einen reaktiven Ansatz für das Risikomanagement verfolgen - sie schützen sich vor vergangenen Risiken und ändern ihre Praktiken erst, nachdem ein neues Risiko Schaden verursacht hat - erwägen die Wettbewerbsvorteile eines proaktiven Ansatzes. Es besteht ein verstärktes Interesse an der Unterstützung von Nachhaltigkeit, Widerstandsfähigkeit und Flexibilität des Unternehmens. Unternehmen erforschen auch, wie KI-Technologien und hochentwickelte GRC-Plattformen das Risikomanagement verbessern können.

Abbildung 1: Kurzüberblick zur Risikoexposition und deren Berechnung.
Abbildung 1: Kurzüberblick zur Risikoexposition und deren Berechnung.

Finanzsektor vs. Nicht-Finanzsektor. In Diskussionen über das Risikomanagement stellen viele Experten fest, dass das Risikomanagement eine formale Funktion in Unternehmen ist, die stark reguliert sind und ein risikobasiertes Geschäftsmodell haben.

Banken und Versicherungen haben beispielsweise seit langem große Risikoabteilungen, die in der Regel von einem Chief Risk Officer (CRO) geleitet werden, ein Titel, der außerhalb der Finanzbranche noch relativ unüblich ist. Darüber hinaus sind die Risiken, mit denen Finanzdienstleistungsunternehmen konfrontiert sind, in der Regel zahlenbasiert und können daher mit bekannten Technologien und ausgereiften Methoden quantifiziert und effektiv analysiert werden. Risikoszenarien in Finanzunternehmen können mit einer gewissen Präzision modelliert werden.

In anderen Branchen sind die Risiken eher qualitativer Natur und daher schwieriger zu handhaben, so dass ein bewusster, gründlicher und konsistenter Ansatz für das Risikomanagement erforderlich ist. Enterprise-Risk-Management-Programme zielen darauf ab, diese Unternehmen dabei zu unterstützen, Risiken so intelligent wie möglich zu managen.

Traditionelles Risikomanagement vs. Enterprise-Risk-Management

Das traditionelle Risikomanagement wird heutzutage oft mit dem Unternehmensrisikomanagement (Enterprise-Risk-Management) verglichen. Beide Ansätze zielen darauf ab, Risiken zu mindern, die Unternehmen schaden könnten. Beide garantieren Versicherungen, um sich gegen eine Reihe von Risiken zu schützen - von Verlusten durch Feuer und Diebstahl bis hin zur Cyberhaftung. Beide halten sich an die von den großen Normungsgremien vorgegebenen Richtlinien. Doch dem traditionellen Risikomanagement, so argumentieren Experten, fehlt die Denkweise und die Mechanismen, die erforderlich sind, um Risiken als integralen Bestandteil der Unternehmensstrategie und -leistung zu verstehen. Beim ERM wird das Risiko als strategischer Faktor betrachtet und nicht als Kostenfaktor für den Geschäftsbetrieb.

Siloed (in einem Silo) vs. holistisch ist einer der großen Unterschiede zwischen den beiden Ansätzen. Bei traditionellen Risikomanagementprogrammen beispielsweise ist das Risiko in der Regel die Aufgabe der Unternehmensleiter, die für die Einheiten zuständig sind, in denen das Risiko auftritt. So ist beispielsweise der CIO oder CTO für das IT-Risiko zuständig, der CFO für das finanzielle Risiko und der COO für das operative Risiko. Auch wenn die Abteilungen und Geschäftsbereiche über ausgefeilte Systeme zur Verwaltung ihrer verschiedenen Risikotypen verfügen, kann das Unternehmen dennoch in Schwierigkeiten geraten, wenn es die Beziehungen zwischen den Risiken oder ihre kumulativen Auswirkungen auf den Betrieb nicht erkennt. Das traditionelle Risikomanagement ist auch eher reaktiv als proaktiv.

Die Pandemie ist ein gutes Beispiel für ein Risikoproblem, das man sehr leicht ignorieren kann, wenn man keine ganzheitliche, langfristige strategische Sicht auf die Risiken hat, die einem als Unternehmen schaden könnten. 

Beim unternehmensweiten Risikomanagement ist das Risikomanagement eine kollaborative, funktionsübergreifende und unternehmensübergreifende Aufgabe. Ein ERM-Team, das aus bis zu fünf Personen bestehen kann, arbeitet mit den Leitern und Mitarbeitern der Geschäftseinheiten zusammen, um sie zu befragen, ihnen zu helfen, die richtigen Instrumente zum Durchdenken der Risiken einzusetzen, diese Informationen zusammenzustellen und sie der Unternehmensleitung und dem Vorstand zu präsentieren. Die Glaubwürdigkeit bei den Führungskräften im gesamten Unternehmen ist ein Muss für diese Art von Risikoexperten.

Diese Art von Experten kommen zunehmend aus der Beratung oder haben eine Beratungsmentalität und verfügen über ein tiefes Verständnis für die Mechanismen des Geschäfts. Im Gegensatz zum traditionellen Risikomanagement, bei dem der Risikoverantwortliche in der Regel dem CFO unterstellt ist, sind die Leiter der Risikomanagementteams in Unternehmen - unabhängig davon, ob sie den Titel Chief Risk Officer oder einen anderen Titel tragen - in der Regel dem CEO unterstellt, womit anerkannt wird, dass das Risiko ein fester Bestandteil der Geschäftsstrategie ist.

Bei der Definition der Rolle des Chief Risk Officers unterscheidet das Analystenhaus Forrester zwischen den transaktionalen CROs, die typischerweise in traditionellen Risikomanagementprogrammen zu finden sind, und den transformativen CROs, die einen ERM-Ansatz verfolgen. Erstere arbeiten laut Forrester in Unternehmen, die Risiko als Kostenstelle und Risikomanagement als Versicherungspolice betrachten. Transformations-CROs sind im Forrester-Lexikon kundenfokussiert. Sie konzentrieren sich auf den Ruf der Marke ihres Unternehmens, verstehen die horizontale Natur des Risikos und definieren ERM als die richtige Menge an Risiko, die für das Wachstum erforderlich ist.

Risikoscheu ist ein weiteres Merkmal von Unternehmen mit traditionellen Risikomanagementprogrammen. Unternehmen, die sich selbst als risikoscheu und wenig risikofreudig bezeichnen, können sich bei ihrer Risikobewertung manchmal irren. Für das Festlegen der eigenen Risikobereitschaft müssen die Wachstumspläne, Produktplanung und der Innovationsbedarf berücksichtigt werden, da diese auch Risiken bergen können.

Risikomanagementprozess

Im Bereich des Risikomanagements gibt es eine Vielzahl von Veröffentlichungen, die Wege für das Risikomanagement in Unternehmen aufzeigen. Eine der bekanntesten Ressourcen ist die ISO-Norm 31000. Die Norm trägt die offizielle Bezeichnung ISO 31000:2018 Risikomanagement - Leitlinien und wurde von der Internationalen Organisation für Normung (ISO) entwickelt.

ISO 31000 skizziert einen Risikomanagementprozess, der von jeder Art von Unternehmen angewendet werden kann und die folgenden Schritte zur Identifizierung, Bewertung und Steuerung von Risiken umfasst:

  • Identifizieren Sie die Risiken, denen Ihre Organisation ausgesetzt ist.
  • Analysieren Sie die Wahrscheinlichkeit und die möglichen Auswirkungen eines jeden Risikos.
  • Bewerten und priorisieren Sie die Risiken auf der Grundlage der Unternehmensziele.
  • Betrachten Sie die Risikobedingungen oder reagieren Sie darauf.
  • Überwachen Sie die Ergebnisse der Risikokontrollen und passen Sie sie bei Bedarf an.

Diese Schritte sind einfach, aber Risikomanagementausschüsse sollten den Arbeitsaufwand für die Durchführung des Prozesses nicht unterschätzen. Zunächst einmal ist ein solides Verständnis dessen erforderlich, wie die Organisation operiert. Um dies zu erreichen, umfasst der ISO 31000-Prozess auch einen vorgelagerten Schritt zur Festlegung des Umfangs der Risikomanagementmaßnahmen, des geschäftlichen Kontextes und einer Reihe von Risikokriterien. Das Endziel besteht darin, zu wissen, wie sich jedes identifizierte Risiko zu dem maximalen Risiko verhält, das die Organisation zu akzeptieren bereit ist, und welche Maßnahmen ergriffen werden sollten, um den Unternehmenswert zu erhalten und zu steigern. Detaillierte Informationen zum ISO-Standard 31000 sind auf der Webseite des BSI zu finden.

Abbildung 2: In fünf einfachen Schritten lassen sich Risiken identifizieren, evaluieren und managen.
Abbildung 2: In fünf einfachen Schritten lassen sich Risiken identifizieren, evaluieren und managen.

Bei der Identifizierung von Risiken ist es wichtig zu verstehen, dass etwas per Definition nur dann ein Risiko ist, wenn es sich auf das Geschäft auswirkt. So müssen beispielsweise die folgenden vier Faktoren für ein negatives Risikoszenario vorhanden sein, so die Anleitung von NISTIR 8286A, ein Bericht zur Identifizierung von Cybersicherheitsrisiken in ERM-Initiativen, den NIST im Jahr 2021 veröffentlichte:

  • Ein wertvoller Vermögenswert oder Ressourcen, die beeinträchtigt werden könnten.
  • Eine Quelle für eine bedrohliche Aktion, die sich gegen den Vermögenswert oder die Ressourcen richten würde.
  • Ein bereits bestehender Zustand oder eine Schwachstelle, die es der Bedrohungsquelle ermöglicht, zu handeln.
  • Eine schädliche Auswirkung, die durch die Ausnutzung dieser Schwachstelle durch die Bedrohungsquelle entsteht.

Während sich die NIST-Kriterien auf negative Risiken beziehen, können ähnliche Prozesse auch auf das Management positiver Risiken angewendet werden.

Von oben nach unten, von unten nach oben. Bei der Identifizierung von Risikoszenarien, die die Ziele einer Organisation beeinträchtigen oder verbessern könnten, halten viele Risikoausschüsse einen Top-Down- und Bottom-Up-Ansatz für sinnvoll. Bei der Top-Down-Methode identifiziert die Unternehmensleitung die unternehmenskritischen Prozesse und arbeitet mit internen und externen Stakeholdern zusammen, um die Bedingungen zu ermitteln, die diese Prozesse beeinträchtigen könnten. Die Bottom-up-Perspektive beginnt mit den Bedrohungsquellen wie Erdbeben, wirtschaftlicher Abschwung oder Cyberangriffe und berücksichtigt deren mögliche Auswirkungen auf kritische Anlagen.

Die letzte Aufgabe bei der Risikoermittlung besteht darin, dass Unternehmen ihre Erkenntnisse in einem Risikoregister festhalten, mit dessen Hilfe die Risiken in den nachfolgenden Schritten des Risikomanagementprozesses verfolgt werden können. Ein Beispiel für ein solches Risikoregister findet sich in dem oben zitierten Bericht NISTIR 8286A.

Normen und Rahmenwerke für das Risikomanagement

Mit der Ausweitung der behördlichen und branchenspezifischen Compliance-Vorschriften in den letzten zwei Jahrzehnten haben auch die behördlichen und aufsichtsrechtlichen Anforderungen an das Risikomanagement von Unternehmen zugenommen, so dass Risikoanalysen, interne Audits, Risikobewertungen und andere Merkmale des Risikomanagements zu einem wichtigen Bestandteil der Unternehmensstrategie geworden sind. 

Die rigoros entwickelten - und sich weiterentwickelnden - Rahmenwerke des Risikomanagements können dabei helfen. Im Folgenden finden Sie eine Auswahl davon, beginnend mit kurzen Beschreibungen der beiden am weitesten anerkannten Rahmenwerke, ISO 31000 und dem COSO-Rahmenwerk für Unternehmensrisikomanagement, das vom Committee of Sponsoring Organizations of the Treadway Commission, besser bekannt als COSO, angeboten wird:

  • COSO ERM-Rahmenwerk. Das 2004 eingeführte COSO-Rahmenwerk wurde 2017 aktualisiert, um der zunehmenden Komplexität des ERM Rechnung zu tragen und die Bedeutung der Einbettung von Risikobetrachtungen in Geschäftsstrategien und der Verknüpfung von Risikomanagement und betrieblicher Leistung hervorzuheben. Es definiert die wichtigsten Konzepte und Grundsätze des ERM, schlägt eine gemeinsame ERM-Sprache vor und gibt klare Anweisungen für das Risikomanagement. Das aktualisierte Rahmenwerk wurde von der Beratungsfirma PwC unter Mitwirkung von fünf COSO-Mitgliedsorganisationen und externen Beratern entwickelt und besteht aus 20 Grundsätzen, die in fünf miteinander verbundene Komponenten unterteilt sind:
    • Governance und Kultur
    • Strategie und Zielsetzung
    • Leistung
    • Überprüfung und Überarbeitung
    • Information, Kommunikation und Berichterstattung
  • ISO 31000. Die 2009 veröffentlichte und 2018 überarbeitete ISO-Norm enthält eine Liste von ERM-Grundsätzen, ein Rahmenwerk, das Organisationen bei der Anwendung von Risikomanagementmechanismen auf ihre Tätigkeiten hilft, sowie den oben beschriebenen Prozess zur Identifizierung, Bewertung und Minderung von Risiken. Die vom Technischen Komitee für Risikomanagement der ISO unter Mitwirkung der nationalen ISO-Mitgliedsorganisationen entwickelte ISO 31000:2018 ist kürzer und prägnanter als ihre Vorgängernorm und enthält mehr strategische Hinweise zum ERM. Die neuere Version betont auch die wichtige Rolle der Unternehmensleitung bei Risikoprogrammen und die Integration von Risikomanagementpraktiken in der gesamten Organisation.
  • BS 31100. Die aktuelle Version dieses British-Standard-Risikomanagementkodex wurde 2021 herausgegeben und bietet einen Prozess für die Umsetzung der in ISO 31000:2018 beschriebenen Konzepte - einschließlich Funktionen wie Identifizierung, Bewertung und Reaktion auf Risiken und anschließende Berichterstattung und Überprüfung der Risikomanagementaktivitäten.

Weitere Rahmenwerke, die sich speziell auf IT- und Cybersicherheitsrisiken konzentrieren, sind ebenfalls verfügbar. Dazu gehören das Risk Management Framework von NIST, das einen Prozess für die Integration von Initiativen zum Management von Sicherheits-, Datenschutz- und Cybersicherheitsrisiken in den Lebenszyklus der Systementwicklung beschreibt, und COBIT 2019 des ISACA-Verbands, ein Rahmenwerk für die Informations- und Technologie-Governance, das die Bemühungen um das IT-Risikomanagement unterstützt.

Unternehmen können auch die Erstellung von maßgeschneiderten Rahmenwerken für bestimmte Risikokategorien in Betracht ziehen. Das Enterprise Risk Management Framework der Carnegie Mellon University beispielsweise untersucht potenzielle Risiken und Chancen auf der Grundlage der folgenden Risikokategorien: Reputation, Lebens-/Gesundheitssicherheit, Finanzen, Mission, Betrieb und Compliance/Recht.

Darüber hinaus können verschiedene Risikoreifegradmodelle zum Benchmarking von Risikomanagementkapazitäten und zur Bewertung ihres Reifegrads verwendet werden. Das bekannteste Modell ist das Risk Maturity Model (RMM) der Risk and Insurance Management Society, das 2005 mit dem Softwareanbieter LogicManager entwickelt und 2022 aktualisiert wurde. Das überarbeitete RMM hilft Risikofachleuten bei der Bewertung ihrer Programme in fünf Kategorien: Strategieausrichtung, Kultur und Verantwortlichkeit, Risikomanagementkapazitäten, Risikobeherrschung und Analytik. Weitere Risikoreife-Modelle sind von der Risk Management Association, dem Beratungsunternehmen Investors in Risk Management und dem Forum für Steuerverwaltung der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung erhältlich.

Das vom Institute of Internal Auditors (IIA) entwickelte Drei-Linien-Modell bietet eine andere Art von standardisiertem Ansatz zur Unterstützung von Governance- und Risikomanagementinitiativen. Das ursprünglich als Three Lines of Defense bezeichnete Modell des IIA, das 2020 umbenannt wurde, umreißt die verschiedenen Rollen, die Führungskräfte, Risiko- und Compliance-Manager sowie interne Prüfer im Rahmen des Risikomanagements spielen sollten, wobei ein Leitungsgremium die Aufsicht und Rechenschaftspflicht übernimmt.

Was sind die Vorteile und Herausforderungen des Risikomanagements?

Ein wirksames Management von Risiken, die sich negativ oder positiv auf Kapital, Gewinn und Betrieb auswirken können, bringt viele Vorteile mit sich. Es stellt aber auch eine Herausforderung dar, selbst für Unternehmen mit ausgereiften GRC- und Risikomanagementstrategien.

Zu den Vorteilen eines effektiven Risikomanagements gehören folgende:

  • Erhöhtes Risikobewusstsein in der gesamten Organisation.
  • Mehr Vertrauen in die Unternehmensziele, da das Risiko in die Strategie einbezogen wird.
  • Bessere und effizientere Einhaltung gesetzlicher und interner Compliance-Vorgaben, da die Einhaltung koordiniert wird.
  • Verbesserte betriebliche Effizienz durch konsequentere Anwendung von Risikoprozessen und -kontrollen.
  • Verbesserte Sicherheit am Arbeitsplatz für Mitarbeiter und Kunden.
  • Ein Wettbewerbsvorteil auf dem Markt.

Im Folgenden sind einige der Herausforderungen aufgeführt, mit denen Risikomanagement-Teams rechnen sollten:

  • Die Ausgaben steigen zunächst, da Risikomanagementprogramme teure Software und Dienstleistungen erfordern können.
  • Die stärkere Betonung der Governance erfordert auch, dass die Geschäftseinheiten Zeit und Geld investieren, um die Anforderungen zu erfüllen.
  • Einen Konsens über die Schwere des Risikos und die Art der Adressierung zu finden, kann eine schwierige und strittige Aufgabe sein und manchmal zu einer Lähmung der Risikoanalyse führen.
  • Es ist schwierig, Führungskräften den Wert des Risikomanagements zu verdeutlichen, ohne ihnen harte Zahlen nennen zu können.
Abbildung 3: Hier werden die wichtigsten Komponenten von Risikomanagementprogrammen für Unternehmen und die zu erledigenden Aufgaben bei der Erstellung eines solchen Programms aufgeführt.
Abbildung 3: Hier werden die wichtigsten Komponenten von Risikomanagementprogrammen für Unternehmen und die zu erledigenden Aufgaben bei der Erstellung eines solchen Programms aufgeführt.

Wie man einen Risikomanagementplan erstellt und umsetzt

Ein Risikomanagementplan beschreibt, wie eine Organisation mit Risiken umgehen wird. Er legt Elemente wie den Risikoansatz der Organisation, die Rollen und Verantwortlichkeiten der Risikomanagementteams, die Ressourcen, die im Risikomanagementprozess eingesetzt werden, sowie interne Richtlinien und Verfahren fest.

Der siebenstufige Gesamtprozess der ISO 31000 ist ein nützlicher Leitfaden für die Entwicklung eines Plans und die anschließende Implementierung eines ERM-Rahmens. Hier ist eine detailliertere Auflistung der Komponenten:

1. Kommunikation und Konsultation. Da die Schärfung des Risikobewusstseins ein wesentlicher Bestandteil des Risikomanagements ist, müssen die Risikoverantwortlichen auch einen Kommunikationsplan entwickeln, um die Risikostrategien und -verfahren des Unternehmens an die Mitarbeiter und relevanten Parteien zu vermitteln. Dieser Schritt gibt den Ton für Risikoentscheidungen auf allen Ebenen an. Zu den Adressaten gehören alle, die ein Interesse daran haben, wie das Unternehmen positive Risiken nutzt und negative Risiken minimiert.

2. Festlegen von Umfang und Kontext. In diesem Schritt müssen sowohl die Risikobereitschaft als auch die Risikotoleranz des Unternehmens festgelegt werden. Letztere gibt an, wie stark die mit bestimmten Initiativen verbundenen Risiken von der allgemeinen Risikobereitschaft abweichen dürfen. Zu den Faktoren, die hier zu berücksichtigen sind, gehören unter anderem die Geschäftsziele, die Unternehmenskultur, die gesetzlichen Vorschriften und das politische Umfeld.

3. Identifizierung von Risiken. In diesem Schritt werden die Risikoszenarien definiert, die sich positiv oder negativ auf die Fähigkeit des Unternehmens auswirken könnten, seine Geschäfte zu führen. Wie bereits erwähnt, sollte die daraus resultierende Liste in einem Risikoregister festgehalten und auf dem neuesten Stand gehalten werden.

4. Risikoanalyse. Die Wahrscheinlichkeit und die Auswirkungen der einzelnen Risiken werden analysiert, um die Risiken einzuordnen. Die Erstellung einer Risikokarte, auch bekannt als Risikobewertungsmatrix, kann hier hilfreich sein und bietet eine visuelle Darstellung der Art und der Auswirkungen der Risiken eines Unternehmens. Ein Mitarbeiter, der sich krankmeldet, ist beispielsweise ein Ereignis mit hoher Wahrscheinlichkeit, das für die meisten Unternehmen nur geringe oder gar keine Auswirkungen hat. Ein Erdbeben ist je nach Standort ein Beispiel für ein Risikoereignis mit geringer Wahrscheinlichkeit und großen Auswirkungen. Der qualitative Ansatz, den viele Unternehmen zur Bewertung der Wahrscheinlichkeit und der Auswirkungen von Risiken verwenden, könnte von einer quantitativen Analyse profitieren. Das FAIR Institute, ein Berufsverband, der das Factor Analysis of Information Risk Framework für die Quantifizierung von Cyberrisiken fördert, hat Beispiele für den letztgenannten Ansatz.

Abbildung 4: Risiken, die in den grünen Bereich der Karte fallen, erfordern keine Maßnahmen oder Überwachung. Gelbe und orangefarbene Risiken erfordern Maßnahmen. Risiken, die in die roten Bereiche der Karte fallen, erfordern dringende Maßnahmen.
Abbildung 4: Risiken, die in den grünen Bereich der Karte fallen, erfordern keine Maßnahmen oder Überwachung. Gelbe und orangefarbene Risiken erfordern Maßnahmen. Risiken, die in die roten Bereiche der Karte fallen, erfordern dringende Maßnahmen.

5. Risikobewertung. Hier bewerten die Unternehmen die Risiken und entscheiden, wie sie auf sie reagieren wollen:

  • Risikovermeidung ist, wenn die Organisation versucht, das potenzielle Risiko zu beseitigen, sich ihm zu entziehen oder nicht an ihm beteiligt zu sein.
  • Risikominderung, bei der die Organisation Maßnahmen zur Begrenzung oder Optimierung eines Risikos ergreift.
  • Risikoteilung oder -übertragung, bei der die Organisation mit einem Dritten (zum Beispiel einem Versicherer) einen Vertrag abschließt, um einige oder alle Kosten eines Risikos zu tragen, das eintreten könnte oder nicht eintreten könnte.
  • Risikoakzeptanz, wenn ein Risiko innerhalb der Risikobereitschaft und -toleranz der Organisation liegt und akzeptiert wird, ohne Maßnahmen zur Risikominderung zu ergreifen.

6. Risikobehandlung. Dieser Schritt umfasst die Nutzung der vereinbarten Kontrollen und Prozesse und die Bestätigung, dass sie wie geplant funktionieren.

7. Überwachung und Überprüfung. Funktionieren die Kontrollen wie vorgesehen? Können sie verbessert werden? Bei den Überwachungsmaßnahmen sollte die Leistung gemessen und nach wichtigen Risikoindikatoren gesucht werden, die eine Änderung der Strategie auslösen könnten.

Abbildung 5: Die Risikomanagementteams wählen je nach Eintrittswahrscheinlichkeit und Schwere der Auswirkungen verschiedene Optionen zur Bewältigung der Risiken.
Abbildung 5: Die Risikomanagementteams wählen je nach Eintrittswahrscheinlichkeit und Schwere der Auswirkungen verschiedene Optionen zur Bewältigung der Risiken.

Bewährte Praktiken des Risikomanagements

Ein guter Ausgangspunkt für jede Organisation, die Best Practices im Risikomanagement anstrebt, sind die neun Grundsätze des Risikomanagements der ISO 31000. Laut ISO sollte ein Risikomanagementprogramm die folgenden Ziele erfüllen:

  • Schaffung und Schutz von Werten für die Organisation, als übergreifendes Prinzip.
  • Es muss in die gesamten organisatorischen Abläufe integriert sein.
  • Das Programm muss systematisch, strukturiert und umfassend sein.
  • Es sollte auf den besten verfügbaren Informationen beruhen.
  • Das Risikomanagementprogramm muss auf die einzelnen Projekte zugeschnitten sein.
  • Es berücksichtigt menschliche und kulturelle Faktoren, einschließlich möglicher Fehler.
  • Es muss transparent und allumfassend sein.
  • Das Programm sollte dynamisch und anpassungsfähig an Veränderungen sein.
  • Es muss kontinuierlich überwacht und verbessert werden.

Eine weitere bewährte Praxis für das moderne Risikomanagementprogramm eines Unternehmens ist die digitale Reform. Dazu gehört der Einsatz von künstlicher Intelligenz (KI) und anderen fortschrittlichen Technologien, um ineffiziente und unwirksame manuelle Prozesse zu automatisieren. ERM- und GRC-Plattformen, die KI-Tools und andere Funktionen enthalten, sind bei verschiedenen Anbietern von Risikomanagement-Software erhältlich. Unternehmen können auch die Vorteile von Open-Source-GRC-Tools und damit verbundenen Ressourcen nutzen.

Grenzen des Risikomanagements und Beispiele für Misserfolge

Misserfolge im Risikomanagement werden oft auf vorsätzliches Fehlverhalten, grobe Fahrlässigkeit oder eine Reihe unglücklicher Ereignisse zurückgeführt, die niemand vorhersehen konnte. Eine Untersuchung gängiger Fehler im Risikomanagement zeigt jedoch, dass ein erfolgloses Risikomanagement viel häufiger auf vermeidbare Fehltritte – und auf das alltägliche Gewinnstreben – zurückzuführen ist. Im Folgenden finden Sie eine Übersicht über einige zu vermeidende Fehler.

Schlechte Unternehmensführung. Die verworrene Geschichte der Citibank, die im Jahr 2020 versehentlich einen 900-Millionen-Dollar-Kredit mit ihrem eigenen Geld an die Kreditgeber von Revlon auszahlte, obwohl nur eine kleine Zinszahlung fällig war, zeigt, wie selbst die größte Bank der Welt das Risikomanagement falsch umsetzen kann – obwohl sie über aktualisierte Richtlinien für pandemische Arbeitsbedingungen und zahlreiche Kontrollen verfügt. Obwohl menschliches Versagen und plumpe Software eine Rolle spielten, entschied ein Bundesrichter, dass schlechte Unternehmensführung die Hauptursache war, obwohl ein Berufungsgericht die Anordnung aufhob, dass die Bank keinen Anspruch auf Rückerstattung von den Kreditgebern hatte. Dennoch wurde die Citibank zwei Monate nach der fehlerhaften Zahlung von den US-Aufsichtsbehörden zu einer Geldstrafe in Höhe von 400 Millionen Dollar wegen langjähriger Versäumnisse bei der Unternehmensführung verurteilt und verpflichtete sich, ihr internes Risikomanagement, ihre Datenverwaltung und ihre Compliance-Kontrollen zu überarbeiten.

Zu großer Fokus auf Effizienz gegenüber der Widerstandsfähigkeit. Höhere Effizienz kann zu größeren Gewinnen führen, wenn alles gut läuft. Dinge schneller, schneller und billiger zu machen, indem man sie immer auf die gleiche Weise erledigt, kann jedoch zu einem Mangel an Widerstandsfähigkeit führen, wie Unternehmen während der Pandemie feststellen mussten, als die Lieferketten zusammenbrachen. 

Mangel an Transparenz. Der Skandal um das Büro des New Yorker Gouverneurs, das in den Jahren 2020 und 2021 Todesfälle im Zusammenhang mit dem Coronavirus in Pflegeheimen des Bundesstaates nicht gemeldet hat, steht stellvertretend für ein häufiges Versagen im Risikomanagement. Das Verstecken von Daten, ein Mangel an Daten und isolierte Daten – sei es aufgrund von Handlungen oder Unterlassungen – können zu Transparenzproblemen führen. Um dies zu vermeiden, ist eine unternehmensweite Risikomanagementstrategie mit einer einheitlichen Risikoterminologie, dokumentierten Prozessen und einer zentralen Erfassung und Verwaltung der wichtigsten Risikodaten erforderlich.

Grenzen der Risikoanalysetechniken. Viele Risikoanalysetechniken, wie zum Beispiel die Erstellung eines Risikovorhersagemodells oder einer Risikosimulation, erfordern die Erfassung großer Datenmengen. Eine umfangreiche Datenerfassung kann teuer sein und ist nicht garantiert zuverlässig. Außerdem kann die Verwendung von Daten in Entscheidungsprozessen zu schlechten Ergebnissen führen, wenn einfache Indikatoren verwendet werden, um komplexe Risikosituationen widerzuspiegeln. Darüber hinaus kann die Anwendung einer Entscheidung, die für einen kleinen Aspekt eines Projekts gedacht ist, auf das gesamte Projekt zu ungenauen Ergebnissen führen.

Mangelndes Fachwissen im Bereich der Risikoanalyse. Softwareprogramme, die entwickelt wurden, um Ereignisse zu simulieren, die sich negativ auf ein Unternehmen auswirken könnten, können kosteneffektiv sein, aber sie erfordern auch hochqualifiziertes Personal, um die erzeugten Ergebnisse genau zu verstehen.

Illusion der Kontrolle. Risikomodelle können bei Unternehmen den falschen Eindruck erwecken, dass sie jedes potenzielle Risiko quantifizieren und regulieren können. Dies kann dazu führen, dass ein Unternehmen die Möglichkeit neuartiger oder unerwarteter Risiken vernachlässigt.

Abbildung 6: Einige der Hauptgründe für das Scheitern von Risikomanagementprogrammen im Überblick.
Abbildung 6: Einige der Hauptgründe für das Scheitern von Risikomanagementprogrammen im Überblick.

Trends im Risikomanagement

Der Fokus, der während der COVID-19-Pandemie auf das Risikomanagement geworfen wurde, hat viele Unternehmen dazu veranlasst, nicht nur ihre Risikopraktiken zu überdenken, sondern auch neue Techniken, Technologien und Verfahren für das Risikomanagement zu erwägen. Ein Blick auf die Trends, die das Risikomanagement neu gestalten, zeigt, dass es in diesem Bereich zahlreiche neue Ideen gibt.

Immer mehr Unternehmen setzen ein Risikoreife-Modell (Risk Maturity Model) ein, um ihre Risikoprozesse zu bewerten und die Vernetzung von Bedrohungen im gesamten Unternehmen besser zu bewältigen. Sie nutzen GRC-Plattformen, um ihre Risikomanagement-Aktivitäten zu integrieren, Richtlinien zu verwalten, Risikobewertungen durchzuführen, Lücken in der Einhaltung gesetzlicher Vorschriften zu erkennen und interne Audits zu automatisieren. Zu den neueren GRC-Funktionen, die nach Ansicht von Risikomanagement-Experten in Betracht gezogen werden sollten, gehören die folgenden:

  • Analysen für geopolitische Risiken, Naturkatastrophen und andere Ereignisse.
  • Überwachung sozialer Medien, um Veränderungen im Ruf der Marke zu verfolgen.
  • Sicherheitssysteme zur Bewertung der potenziellen Auswirkungen von Datenverletzungen und Cyberangriffen.
  • Risikobewertungs-Tools von Drittanbietern, um das Risikomanagement in der Lieferkette zu verbessern.

Immer mehr Unternehmen setzen das Risikomanagement nicht nur ein, um schlechte Situationen zu vermeiden, sondern auch, um den Umgang mit positiven Risiken zu formalisieren und so den Geschäftswert zu steigern.

Sie werfen auch einen neuen Blick auf die Erklärungen zur Risikobereitschaft. Traditionell als Mittel zur Kommunikation mit Mitarbeitern, Investoren und Aufsichtsbehörden verwendet, werden Risikobereitschaftserklärungen zunehmend dynamischer eingesetzt und ersetzen die Check-the-Box-Übungen zur Einhaltung von Vorschriften durch einen differenzierteren Ansatz für Risikoszenarien. Allerdings gibt es hier eine Stolperfalle: Eine schlecht formulierte Erklärung zur Risikobereitschaft könnte ein Unternehmen in Verruf bringen oder von den Aufsichtsbehörden als Duldung inakzeptabler Risiken missverstanden werden.

Immer mehr Unternehmen verknüpfen ihre Risikomanagementinitiativen auch mit Programmen für Umwelt, Soziales und Unternehmensführung (ESG). Das macht das Nachhaltigkeitsrisikomanagement und die Bemühungen um andere Arten von ESG-Risiken zu einer höheren Priorität für Unternehmen, die ihre Geschäfte nachhaltiger gestalten und sicherstellen wollen, dass sie verantwortungsvoll und ethisch korrekt handeln.

Auch wenn es schwierig ist, Vorhersagen zu treffen, werden die Instrumente zur Messung und Minderung von Risiken immer besser. Eine der Verbesserungen sind interne und externe Sensor-Tools, die Tendenzen und aufkommende Risiken erkennen.

Diese Definition wurde zuletzt im Dezember 2023 aktualisiert

Erfahren Sie mehr über Datenanalyse