Was ist Risikomanagement?

23. Mai 2023

Risikomanagement umfasst Prozesse und Verfahren, die potenzielle Risiken für die Gefährdung von Unternehmensassets zu erkennen, zu bewerten und zu kontrollieren. Zu den Risiken gehören unter anderem finanzielle Unsicherheit, rechtliche Verpflichtungen, technische Probleme, strategische Managementfehler, Unfälle und Naturkatastrophen.

Jedes Unternehmen sieht sich mit Risiken konfrontiert. Unternehmensabläufe im Zuge eines durchdachten Risikomanagements zu prüfen und anzupassen ist der erste Schritt auf dem Weg zu effektiven Maßnahmen, um diese Risiken unter Kontrolle halten. Indem Sie die Ziele guten Risikomanagements verstehen und wissen, welche Vermögenswerte gefährdet sind, können Sie proaktiv handeln und Schwachstellen entdecken, bevor sie zu Problemen werden.

Bei der Eingrenzung, was alles zu Risikomanagement gehört, wird Risiko oft mit einer Bedrohung verwechselt. Aber Risiken sind keine Bedrohungen, denn Risiko bezeichnet Dinge, die passieren könnten, während eine Bedrohung ein ausgelöstes Risiko darstellt, bzw. ein Risiko, das sich bereits zu einem konkreten, unmittelbar bevorstehenden Vorfall entwickelt hat.

Außerdem ist wichtig zu beachten, dass sich Risiken für Einzelpersonen erheblich vom Risikomanagement für Unternehmen unterscheidet. Der größte Unterschied ist dabei der Umfang. Die Risiken von Unternehmen sind nicht nur größer, sondern auch viel komplexer als jene von Einzelpersonen.

Außerdem geht das Risiko von Unternehmen über die Aspekte hinaus, die sie direkt kontrollieren können. Sie müssen auch die Risikomanagement-Verantwortung für alle Dritten übernehmen, mit dem sie zusammenarbeiten – von Partnern in der Lieferkette bis hin zu Cloud-Service-Anbietern.

Risikomanagement-Programme berücksichtigen deshalb Risiken in mehreren Kernkategorien:

  • Compliance
  • Digitales, einschließlich: 
  • Wirtschaft
  • Umwelt
  • Finanzen
  • Recht
  • Operative Sicherheit
  • Politik
  • Qualität
  • Reputation
  • Strategie

„Das Resultat wichtiger Situationen, Ereignisse, Umstände, Handlungen oder Untätigkeiten, die die Fähigkeit eines Unternehmens, seine Ziele zu erreichen und seine Pläne auszuführen, negativ beeinflussen können.“

– Geschäftsrisiko definiert nach dem American Institute of Certified Public Accountants (AICPA)

Deshalb ist Risikomanagement so wichtig

Unternehmen räumen dem Risikomanagement aus vielen Gründen Priorität ein. Dazu gehören:

  • Förderung des Risikobewusstseins im gesamten Unternehmen
  • Zukünftiges Wachstum durch den Schutz von Vermögenswerten
  • Bessere operative Effizienz durch eine konsequentere Anwendung von Risikoprozessen und -kontrollen
  • Risiken mit hoher Priorität wird so aggressiv wie möglich begegnet.
  • Unternehmen erhalten die notwendigen Tools, um potenzielle Risiken zu identifizieren und damit umzugehen.
  • Mehr Sicherheit für Mitarbeiter und Kunden
  • Erhöht das Vertrauen in die Unternehmensziele und -vorgaben.
  • Schützt Unternehmen vor Verlusten im Zusammenhang mit Risiken.
  • Bietet Unternehmen einen strukturierten Prozess für eine fundierte Entscheidungsfindung.
  • Fördert die Einhaltung gesetzlicher und interner Compliance-Vorgaben.

Weitere Argumente für Risikomanagement:

  • Es ermöglicht erfolgreiche Projekte, indem es das Bewusstsein für Gefahren schärft, die ein Projekt behindern oder die Kosten erhöhen können. Da gut implementierte Risikomanagement-Maßnahmen das ganze Unternehmen berücksichtigen, profitieren Projekte von der kontinuierlichen Suche nach Risiken.
  • Steigert die Produktivität und Effizienz, indem es für sichere Arbeitsplätze sorgt und Ablenkungen durch unkontrollierte Risiken beseitigt.
  • Senkt das Risiko von Reputationsproblemen, indem es proaktiv Risiken identifiziert und abmildert, die zu Problemen führen und in der Öffentlichkeit negative Aufmerksamkeit erregen könnten.
  • Macht Arbeitsplätze sicherer, indem es das Bewusstsein für Risiken erhöht und Unternehmen in die Lage versetzt, proaktiv auf diese einzugehen. Mit Risikomanagement-Maßnahmen werden mögliche Verluste und Verletzungen frühzeitig erkannt und es können rasch Änderungen vorgenommen werden.
  • Minimiert unerwartete Ereignisse durch einen vorausschauenden Ansatz. Risikomanagementprogramme können durch ständige Wachsamkeit und proaktive Reaktion auf Risiken in einem Unternehmen ernsthafte Probleme verhindern.
  • Finanzielle Vorteile, indem es die direkten und indirekten Kosten von Bedrohungen und Zwischenfällen minimiert.
  • Reduziert Ungewissheit, da Risikomanagement Systeme zur Identifizierung von Risiken bereitstellt. So werden Ungewissheit verringert und Produktivität und Effizienz gesteigert .

Der Ablauf eines Risikomanagement-Prozesses

Einer der am weitesten verbreiteten Risikomanagement-Abläufe wurde von der Internationalen Organisation für Normung entwickelt, einem Normungsgremium, das allgemein als ISO bekannt ist. Er umfasst fünf Schritte, die jede Art von Unternehmen anwenden kann, um den besten Risikomanagement-Ansatz zu finden

Schritt 1: Identifizieren Sie die vorhandenen Risiken

Um einen vollständigen Überblick über die Risiken in einem Unternehmen zu erhalten, müssen Führungskräfte und Mitarbeiter aus wichtigen Funktionsbereichen die Risiken ihrer Abteilungen ermitteln. Der erste Schritt in dieser Phase des Risikomanagements besteht darin, alle Ereignisse zu identifizieren, die sich auf das Unternehmen auswirken können. Die Teilnehmer sollten dazu angehalten werden, über alltägliche Risiken und Worst-Case-Szenarien nachzudenken.

Schritt 2: Analysieren Sie die identifizierten Risiken

Sobald die Risiken identifiziert sind, müssen sie bewertet werden. Es gibt zwei Arten von Risikoanalysen: qualitativ und quantitativ.

  1. Qualitative Risikoanalyse
    Bewertet die Wahrscheinlichkeit und die Auswirkungen eines Risikos
  2. Quantitative Risikoanalyse
    Bewertet die finanziellen Auswirkungen oder den Nutzen eines Risikos

Schritt 3: Priorisierung der Risiken

Die Risikopriorisierung bestimmt die Reihenfolge, in der die Risiken angegangen werden, und welcher Ansatz für das Risikomanagement jeweils am besten geeignet ist. Wenn Sie sich die Zeit nehmen, Risiken zu priorisieren, sparen Sie Zeit und Geld und stellen sicher, dass die wichtigsten Schwachstellen rechtzeitig beseitigt werden.

Schritt 4: Beseitigen Sie die Risiken

Sobald die Risiken identifiziert und nach Prioritäten geordnet sind, konzentriert sich der nächste Schritt auf die Risikominderung. So wird verhindert, dass die Risiken zur Bedrohung werden und sich wiederholen. Die Maßnahmen zur Risikominderung sollten einer Person oder einem Team zugewiesen werden. Darüber hinaus sollten Fristen und Kriterien für die Berichterstattung festgelegt werden.

Schritt 5: Überwachen Sie die Ergebnisse und ergreifen Sie bei Bedarf weitere Maßnahmen.

Risiken und die zu ihrer Behebung ergriffenen Maßnahmen müssen sorgfältig überwacht werden. Risiko-Monitoring und Reporting stellen sicher, dass ein erneutes Auftauchen der Risiken schnell erkannt wird, damit weitere Abhilfemaßnahmen umgesetzt werden können, um den potenziellen Schaden zu minimieren.

Reaktion auf Risiken

Die fünf gängigsten Reaktionen auf Risiken sind Vermeiden, Reduzieren, Teilen, Übertragen und Akzeptieren.

Risikovermeidung

Risikovermeidung ist in der Regel dann die Reaktion der Wahl, wenn ein Unternehmen Ungewissheit beseitigen möchte. Deshalb lässt es sich erst gar nicht auf Maßnahmen ein, die ein Risiko für negative Auswirkungen beeinhalten.

Risikoverringerung

Bei der Risikoverringerung minimiert die Organisation das Risiko und nimmt die möglichen Auswirkungen in Kauf, anstatt es durch Risikovermeidung ganz zu beseitigen. Die Risikoverringerung wird in der Regel gewählt, wenn das Risiko auf ein akzeptables Maß reduziert werden kann.

Risikoteilung

Eine Risikoteilung liegt vor, wenn der potenzielle Verlust auf eine größere Gruppe verteilt werden kann, um die potenziellen Verluste für das einzelne Unternehmen zu minimieren. Diese Art des Risikomanagements ermöglicht es Unternehmen, ein höheres Risiko zu akzeptieren, als sie es normalerweise tun würden.

Risikoübertragung

Ein Beispiel für eine Risikoübertragung ist der Abschluss einer Versicherung zur Deckung möglicher Schäden oder Verletzungen. In diesem Fall werden das Risiko und die damit verbundene Haftung vertraglich auf einen Dritten (das Versicherungsunternehmen) übertragen.

Risikoakzeptanz

Trotz aller Bemühungen lassen sich Risiken nicht immer zur Gänze vermeiden. Das Restrisiko ist das, was nach Risikovermeidung, Risikoverminderung, Risikoteilung und Risikoübertragung übrig bleibt. In manchen Fällen entscheiden Unternehmen, dass der potenzielle Nutzen einer Maßnahme die Risiken überwiegt. In diesen Fällen nimmt die Organisation das Restrisiko in Kauf, sollte aber strenge Überwachungsverfahren einführen.

Herausforderungen beim Risikomanagement

  • Fehler bei der Einschätzung der Wahrscheinlichkeit oder des Umfangs von risikobedingten Verlusten
  • Versäumnis, bekannte Risiken in die Bewertung einzubeziehen.
  • Versäumnisse bei der Überwachung, Berichterstattung und Verwaltung von Risiken
  • Verwendung von ungeeigneten Risikokennzahlen
  • Ungenaue Messung von bekannten Risiken
  • Unzureichende Kommunikation mit Führungskräften über Risiken
  • Sich schnell ändernde Risikoeigenschaften
  • Risikorelevante Entscheidungen, die ohne angemessene Informationen oder basierend auf einer zu optimistischen Einschätzung der Risikolage getroffen werden.

Standards für das Risikomanagement

Es gibt eine Reihe von Standards, Rahmenwerken und Richtlinien, die die Wirksamkeit von Risikomanagementprogrammen steuern. Hier sind einige Beispiele:

COBIT-Framework für das Risikomanagement

Das COBIT-Framework (Control Objectives for Information Technologies) für das Risikomanagement konzentriert sich auf die Verwaltung und Steuerung der IT-Systeme des Unternehmens. Es wurde von der Information Systems Audit and Control Association (ISACA) entwickelt, um verlässliche Prüfstandards zu schaffen.

COSO-Framework für das Risikomanagement im Unternehmen

Das COSO Enterprise Risk Management (ERM) Framework enthält 20 Leitprinzipien, die Unternehmen helfen, Risiken effektiv zu managen. Die Grundsätze des Frameworks sind in fünf miteinander verknüpfte Kategorien aufgeteilt, um das Risiko mit der betrieblichen Leistung zu verknüpfen. Diese fünf Kategorien sind:

  1. Governance und Kultur
  2. Information, Kommunikation und Berichterstattung
  3. Leistung
  4. Prüfung und Überarbeitung
  5. Strategie und Zielfestlegung

ISO 31000

Diese ISO-Norm der Internationalen Organisation für Normung:

  • Erläutert die ERM-Grundsätze.
  • Bietet einen Rahmen für die Anwendung von Risikomanagementstrategien auf den Betrieb.
  • Beschreibt einen Prozess zur Identifizierung, Bewertung, Priorisierung und Verringerung von Risiken.

NIST-Framework für Risikomanagement

Das Riskomanagement-Framework des NIST (National Institute of Standards and Technology) hilft US-amerikanischen Bundesorganisationen bei der Bewertung und Verwaltung von Risiken für IT-Systeme, indem es die Sicherheit von Verteidigungs- und Geheimdienstnetzwerken gewährleistet. Bundesbehörden sind verpflichtet, dieses Rahmenwerk einzuhalten – aber auch andere Unternehmen befolgen seine Richtlinien.

RIMS-Risiko-Reifegrad-Modell (RMM)

Das RMM-Framework der RIMS (Risk Management Society) ermöglicht die Einteilung des Risikomanagements in fünf Kategorien: Strategieausrichtung, Kultur und Verantwortlichkeit, Risikomanagementfähigkeiten, Risikosteuerung und Analytik.

Mit Risiken verbundene Kosten

Mit Risiken verbundene Kosten umfassen alle Ausgaben, die mit Risikomanagement verbunden sind, sowie alle Forderungen oder Verluste, die dem Risiko zugeschrieben werden, z. B.:

  • Negative Publicity und öffentliche Meinung
  • Zivilrechtliche oder gesetzliche Anwaltskosten, Geldstrafen, Urteile und Haftungen
  • Kosten des Schadensmanagements
  • Kosten für Untersuchungen, Anwaltskosten, Bußgelder und Urteile
  • Kosten der Risikominderung
  • Schäden an Sachwerten, die repariert oder ersetzt werden müssen
  • Verringerung der Produktionskapazität
  • Geringere Produktivität der Mitarbeiter
  • Höhere potenzielle Versicherungsprämien
  • Höhere Ausgaben oder geringere Einnahmen aufgrund von Verlusten
  • Verlust von wichtigem Personal (z. B. durch Tod, Krankheit, Pensionierung)
  • Kosten der Schadensregulierung
  • Verlust von Marktanteilen
  • Verlust von Eigentum
  • Reputationsverluste
  • Netto-Versicherungserlöse
  • Zahlungen aufgrund von Tod, Krankheit oder Kündigung von Mitarbeitern
  • Geringere Markenpräsenz und Produktplatzierung
  • Umsatzeinbußen
  • Einbehaltene Verluste (z. B. Selbstbeteiligung, Selbstbehalt, Ausschlüsse)
  • Kosten der Risikokontrolle
  • Kosten für die Verwaltung des Risikomanagementprogramms
  • Übertragungskosten
  • Nicht versicherte Verluste

Erstellung eines Risikomanagementplans

Bei der Erstellung eines Risikomanagementplans muss das Unternehmen seine Risikobereitschaft und -toleranz bestimmen. Die Risikobereitschaft einer Organisation ist die Höhe des Risikos, das sie akzeptiert. Die Risikotoleranz gibt an, wie viel Risiko über die akzeptable Risikobereitschaft des Unternehmens hinaus eingegangen werden kann. Unabhängig von der Höhe des Risikos, das ein Unternehmen eingeht, sollte der Plan in die Gesamtstrategie des Unternehmens integriert und mit ihr abgestimmt sein.

Der Risikomanagementplan beschreibt nicht nur die Risikobereitschaft und -toleranz des Unternehmens, sondern legt auch fest, wie die Risiken verwaltet werden sollen. Er umfasst:

  • die Risikostrategie des Unternehmens
  • die Rollen und Verantwortlichkeiten der am Risikomanagement beteiligten Personen
  • welche Ressourcen für das Risikomanagement bereitgestellt werden
  • die Richtlinien und Verfahren des Programms

Die Kernelemente eines Risikomanagementplans sind:

  1. Kommunikation und Beratung, um den Erfolg des Risikomanagementplans zu gewährleisten, indem klar kommuniziert wird, worum es sich dabei handelt und warum er notwendig ist.
  2. Festlegung des akzeptablen Risikoniveaus des Unternehmens unter Berücksichtigung von Faktoren wie Gesamtziele, Kultur und Compliance-Anforderungen.
  3. Definition der Risikoszenarien, die sich positiv oder negativ auf das Unternehmen auswirken könnten. Diese sollten aufgezeichnet und beobachtet werden, um die Maßnahmen des Risikomanagementprogramms zu steuern.
  4. Analyse der identifizierten Risiken, um festzustellen, wie wahrscheinlich es ist, dass sie sich in eine Bedrohung verwandeln und wie schwerwiegend in diesem Fall die Auswirkungen auf das Unternehmen wären.
  5. Überwachung der Risiken und, falls ein Risiko eskaliert, Anwendung von Maßnahmen laut der vereinbarten Prozesse mit anschließender Nachverfolgung, um zu bestätigen, dass das Risiko auf ein akzeptables Niveau gemindert wurde.

Wir möchten auch auf einige gängige Best Practices für das Risikomanagement eingehen. Ein Risikomanagementprogramm sollte:

  • Kontinuierliche Überwachung und Verbesserung vorsehen.
  • Einer Struktur folgen, die: 
    • an sich verändernde Anforderungen und Umgebungen angepasst werden kann.
    • auf korrekten Informationen basiert.
    • systematisch und strukturiert ist.
    • auf die besonderen Bedürfnisse des Unternehmens zugeschnitten ist.
    • transparent und allumfassend ist.
  • Wert für das Unternehmen generieren.
  • Eine wichtige Rolle in den Abläufen eines Unternehmens spielen.
  • Unsicherheiten identifizieren und beseitigen.
  • Als kritischer Faktor in den Entscheidungsprozessen des Managements zu dienen.

Fazit: Der Wert eines systematischen Risikomanagements

Ein erfolgreiches Risikomanagementprogramm ist mehr als die Summe seiner Teile. Es identifiziert nicht nur proaktiv Schwachstellen und wehrt Bedrohungen ab, sondern verbessert auch den Ruf des Unternehmens. Risikomanagement versichert Mitarbeitern, Kunden, Partnern und anderen Interessengruppen, dass das Unternehmen reibungslos arbeitet und ihre Interessen schützt.

Das könnte Sie auch interessieren:

E-Book

Leitfaden: Risikominimierung durch Identitätssicherheit

Video

Wissen, wer Zugriff hat

Whitepaper

Identitätssicherheit: Der Wert einer einheitlichen Plattform

Übernehmen Sie die Kontrolle über Ihre Cloud-Plattform.

Erfahren Sie mehr über Identitätssicherheit mit SailPoint.

Demo-Termin vereinbaren