Was ist Risikomanagement?

Der Begriff Risikomanagement oder Risk Management umfasst alle Maßnahmen, die in einer Organisation oder einem Unternehmen durchgeführt werden, um Risiken zu erkennen, zu analysieren, zu überwachen und zu kontrollieren.

Risiken sind definiert als negative Abweichungen einer Zielgröße oder eines Prozesses. Die Verletzungsgefahr an einer Maschine in der Fertigungshalle ist beispielsweise ein Risiko, oder ein Serverabsturz in einem IT-Unternehmen. Da sich solche Risiken im schlimmsten Fall extrem negativ auf die Unternehmensziele auswirken, versuchen Sie im Risikomanagement, mögliche Un- und Ausfälle schon zu erkennen, bevor sie überhaupt auftreten, und das Risiko so weit wie möglich zu reduzieren.

Das Risikomanagement ist nach der DIN-Norm ISO 31000: 2009 eine Aufgabe der Führungsebene. Dazu gehören Strategien zur Identifizierung von Risiken, die Festlegung von Bewertungskriterien sowie die Bereitstellung der nötigen Ressourcen, um Risiken zu vermindern.

Wie funktioniert Risikomanagement?

Das Risikomanagement lässt sich grob als Ablauf von 5 aufeinanderfolgenden Schritten beschreiben. Diese laufen “kreisförmig” ab, da das Risikomanagement keine einmalige Aufgabe ist, sondern im Idealfall permanent abläuft und kontinuierlich weiterentwickelt wird.

Der Kreislauf des RM: Identifizieren, bewerten, steuern, kontrollieren

Screenshot: trusted.de

• 1. Risikopolitik: Die Risikopolitik ist direkt mit den Unternehmenszielen gekoppelt. Die Führungsebene entscheidet, wie mit auftauchenden Risiken umgegangen werden soll, wie sie bewertet werden und welche Ressourcen zur Vermeidung oder Verminderung von Risiken zur Verfügung stehen. Dazu gehört auch die Verteilung von Verantwortlichkeiten und Rollen unter den Mitarbeitern (z.B. Berufung eines Sicherheitsbeauftragten, etc.)
• 2. Risikoidentifikation: In der Identifikation suchen Sie gezielt nach möglichen Gefahrenquellen. Hier stellen Sie sich die Frage “Was könnte schief gehen?” und stellen Worst-Case-Szenarien auf, um mögliche Risiken zu identifizieren. Aus der Identifizierung der Risiken geht in der Regel ein Risikoregister hervor, in dem Risiken nach Kategorien hierarchisch gegliedert sind.

Ein hierarchisches Risikoregister mit Kategorien und Unterkategorien

Screenshot: www.decisio.de

• 3. Risikobewertung: In dieser Phase bewerten Sie die identifizierten Risiken hinsichtlich ihrer Eintrittswahrscheinlichkeit und dem erwarteten Schadensausmaß. Ein beliebtes Instrument dafür ist das sogenannte Risikoportfolio (auch: Risikomatrix; siehe unten).
• 4. Risikosteuerung: In der Risikosteuerung wählen Sie die optimale Vorgehensweise, um Risiken entweder komplett zu vermeiden, sie zu vermindern, sie möglicherweise an andere Stellen überzuwälzen oder ganz einfach zu tragen. Auch die Kombination aus allen Vorgehensweisen ist möglich.
• 5. Risikokontrolle: Hier geht es darum, dass die in Schritt 1 bis 4 geplante Risikosituation auch mit der realen Risikosituation übereinstimmt. Mithilfe eines dynamischen Berichtswesen stellen Sie sicher, dass die geplanten Vorgehensweisen im Ernstfall schnell umgesetzt werden können. Ein Teil der Kontrolle ist selbstverständlich die Überwachung der Real-Situation im Verhältnis zur Plan-Situation.

Risikoidentifikation

Die Identifizierung von möglichen Risiken kann auf viele verschiedene Arten erfolgen: Besichtigungen von Werksanlagen, Analyse von Verträgen und anderen wichtigen Dokumenten, Mitarbeiterbefragungen, Check- und Prüflisten, etc. Jedes Unternehmen muss in dieser Hinsicht eigene passende Methoden entwickeln, um mögliche Schadensfälle vorherzusagen und abzuschätzen.

Die Risikoidentifikation wird für jedes Projekt individuell angefertigt und verändert sich mit dem Projekt. Die Identifikation von Risiken ist daher eine kontinuierliche Aufgabe.

Risikobewertung

Die Risikobewertung ist einer der wichtigsten Aspekte des Risk Management. Mithilfe einer sogenannten Risikomatrix stellen Sie fest, wie wahrscheinlich ein bestimmter Fall (zum Beispiel ein Unfall oder eine schwere Betriebsstörung) eintritt und welchen Schaden er verursachen würde. Ein großer Teil dieser Einschätzung basiert auf Erfahrungswerten, die sich aus der Risikokontrolle der vergangenen RM-Zyklen ergeben, bzw. aus Schätzungen für die Zukunft.

Eine beispielhafte Risikomatrix zur Einschätzung von Risiken und deren Auswirkungen

Screenshot: trusted.de

Die Bewertung in Ihrer eigenen Risikomatrix erfolgt jeweils projekt- bzw. prozessbezogen. Je nach Anwendungsfall gibt es ganz verschiedene Möglichkeiten, eine solche Matrix anzulegen und die Bereiche zu verteilen.

Grundsätzlich bewerten Sie Risiken wie folgt:

• grüner Bereich: Der Schadensfall tritt nur mit einer sehr geringen Wahrscheinlichkeit auf und/oder wirkt sich nur geringfügig negativ auf. Das Risiko kann ignoriert werden; Maßnahmen zur Risikosteuerung sind nicht notwendig.
• gelber Bereich: Der Schadensfall tritt mit hoher Wahrscheinlichkeit auf oder wirkt sich sehr stark negativ aus. Im Rahmen der Möglichkeiten sollten Maßnahmen getroffen werden, um das Risiko zu verringern. Hier greift das ALARP-Prinzip (As Low As Reasonably Practicable). Das bedeutet: Überwiegt der Nutzen einer Risikominimierung gegenüber dem Aufwand, sollte das Risiko bis zu dem Punkt verringert werden, an dem dies nicht mehr der Fall ist, die Risikominimierung also nicht mehr “praktikabel” ist.
• roter Bereich: Der Schadensfall tritt mit hoher Wahrscheinlichkeit auf und wirkt sich katastrophal auf die Unternehmensziele aus. Das Risiko sollte komplett vermieden, oder zumindest bis zum gelben ALARP-Bereich verringert werden; gegebenenfalls auch noch darüber hinaus.

Risikosteuerung

Auf Basis der Risikobewertung erfolgt die Risikosteuerung, also die Planung von Vorgehensweisen und Maßnahmen, um Risiken zu reduzieren. Dafür gibt es grob vier Möglichkeiten:

• Risiko vermeiden: Risiken oder Teilrisiken lassen sich eliminieren, indem Sie auf bestimmte Erwartungen verzichten oder in einem bestimmten Bereich Abstriche machen. Ein Beispiel wäre die Einstellung der Herstellung eines bestimmten Produktes aufgrund der Gefährlichkeit des Herstellungsprozesses. So schalten Sie die Risikoquelle schlicht und ergreifend aus.
• Risiko vermindern: Die Verminderung von Risiken ist dynamischer als die Vermeidung, da dies die Unternehmensziele nicht zugunsten der Sicherheit aufgibt oder verändert. Grundsätzlich ist mit Risikoverminderung gemeint, dass Schäden und Unfällen so gut es geht vorgebeugt wird, beispielsweise durch erhöhte Überwachung oder zusätzliche Sicherheitsmaßnahmen (Schadensverhütung), oder indem bereits eingetretene Schäden so gering wie möglich gehalten werden, beispielsweise durch Alarmanlagen und Frühwarnsysteme (Schadensherabsetzung).

Die vier möglichen Vorgehensweisen der Risiko-Bewältigung

Screenshot: trusted.de

• Risiko überwälzen: In speziellen Fällen lassen sich Schäden oder deren Auswirkungen auf ein anderes System übertragen, beispielsweise via einer Versicherung, die im Schadensfall greift. Das Risiko liegt dann zu einem gewissen Teil bei der gewählten Versicherung und nicht mehr allein beim Unternehmen. Im Vergleich zur Vermeidung und Verminderung von Risiken ist das Überwälzen allerdings in den meisten Fällen teuer und stark eingeschränkt.
• Risiko tragen: Das Selbsttragen des Risikos resultiert oft unfreiwillig daraus, dass andere Maßnahmen das Risiko nicht restlos eliminieren konnten. Man spricht in diesem Fall vom sogenannten “Restrisiko”, das trotz angewandter Sicherheitsmaßnahmen verbleibt. Für einen solchen Fall sollten Sie ausreichende Mittel zur Verfügung stellen, um die Konsequenzen eines Schadensfalles (Reparaturen, Klagen, Ausfälle, etc.) im Ernstfall tragen zu können.

Wenn wir etwas erreichen wollen, müssen wir Risiko auf uns nehmen.

Risikokontrolle

Die Risikokontrolle zielt darauf ab, die Wirksamkeit der geplanten Maßnahmen zu prüfen, zum Beispiel durch interne Revisionen, Notfallübungen oder Risikosimulationen. Gegebenenfalls werden Sie durch die stetige Kontrolle Verbesserungspotential feststellen, das Sie wieder in den nächsten Zyklus des Risikomanagements mitnehmen können.

Ein Teil der Risikokontrolle ist das Risikoberichtswesen, in dem die identifizierten Risiken nebst ihrer möglichen Behebung an alle relevanten Stellen kommuniziert werden.

Vorteile einer Risikoanalyse

Ein Risikomanagementsystem zu implementieren bringt dem jeweiligen Unternehmen einige nicht zu unterschätzende Vorteile:

• Transparenz der Risiken und möglichen Schäden; Frühaufklärung und rechtzeitige Intervention

Alles auf einen Blick: Mithilfe von dynamischer Software erhöhen Sie die Transparenz im Risikomanagement

Screenshot: www.antares-is.de

• Reduzierung der Kosten für die Risikobewältigung durch sorgfältige Planung
• Stabilere Gewinnentwicklung durch verringerte risikobedingte Schwankungen
• Verbesserte interne Kommunikation und Organisation durch Benennung verantwortlicher Personen und Stellen
• Bessere Beziehung zu Partnern und Investoren

Wer benötigt Risikomanagement Software?

Risiken sind vielfältiger Natur und können in jedem Geschäftsbereich, in jeder Abteilung und in jeder Branche auftreten. Da jedes Szenario mit negativen Auswirkungen als Risiko gewertet werden kann, fallen nicht nur Unfälle und kurzfristige Ausfälle von Maschinen (Fertigung / Industrie), sondern auch Gerichtsverfahren, kurzfristige Kündigungen von Mitarbeitern, Serverabstürze, Cyber-Kriminalität und vieles mehr unter das Risikomanagement.

Aus diesem Grund ist die Einführung einer RM-Strategie für so ziemlich jedes Unternehmen relevant.

Der Markt um Risikomanagement Tools

Mittlerweile gibt es auf dem Softwaremarkt eine große Bandbreite an RM Tools. trusted.de stellt Ihnen die gängigsten Anbieter vor:

• SCIO
• FMEA.Net
• GRC
• myERM
• OMNITRACKER Risk Management
• Risk Management Solution
• risk2value
• RiMIS
• Turnkey Lender
• VISION Risk Manager
• Intrafox
• Ziitemcus
• R2C_RM
• Enterprise GRC
• SAM
• RiskCity
• PROKORISK
• GRC Cockpit
• iGrafx
• Enterprise Risk Management System

Die wichtigsten Funktionen von Risk Management Software

Die hier vorgestellten Softwarelösungen unterstützen Sie dabei,…

• eine Risikostrategie zu erstellen, zu teilen und zu kommunizieren. Ebenso einfach verwalten Sie relevante Dokumente, beispielsweise die Ergebnisse eines wichtigen Meetings oder einer Besprechung, die Berichte von Mitarbeitern und Sicherheitsbeauftragten, und so weiter.
• Ihren Mitarbeitern im Risk Management Rollen, Aufgaben und Verantwortlichkeiten zuzuweisen und mit Ihnen direkt aus dem gewählten Tool heraus zu kommunizieren.
• eine umfangreiche Risikodatenbank mit der Beschreibung des Worst-Case-Szenarios, den zuständigen und verantwortlichen Personen und den geplanten Maßnahmen anzulegen. Dieses sogenannte Risikoregister erleichtert die Organisation von Risiken um ein Vielfaches.

Listen Sie alle Risiken mit Ihrem Status übersichtlich auf

Screenshot: www.antares-is.de

• Standard-Berichte und Reports automatisch per Knopfdruck zu erstellen und dynamisch auf Ihre Bedürfnisse zuzuschneiden. So sind Sie immer Herr der Lage, wenn Rückfragen kommen.
• Simulationen für einzelne Risiken zu generieren, um den Schaden beispielsweise anhand finanzieller KPIs abschätzen zu können und Ihre Planung diesbezüglich zu optimieren.
• Risikomatrizen und -portfolios zur Bewertung von Risiken anzulegen und projektspezifisch zuzuordnen, um für jedes Projekt und jeden Prozess eine individuelle Bewertung der möglichen Schadensfälle vornehmen zu können.
• und vieles mehr.

Das kosten Risikomanagement Tools

Eine genaue Aussage über den Preis von Risikomanagement Software zu treffen, gestaltet sich aus mehreren Gründen als schwierig. Die hier vorgestellten Anbieter geben nur selten verbindliche Preisinfos sondern passen den Preis wie den Softwareumfang in jedem Einzelfall an das jeweilige Unternehmen an. Informationen zum Preis gibt es daher nur auf Anfrage.

Fazit

Risiken begegnen Unternehmen in jedem Geschäftsfeld und in jeder Branche. Unvorhergesehene Aussetzer, Unfälle und Schäden können jederzeit eintreten und selbst das stabilste Unternehmen im Ernstfall bis ins Mark schädigen. Damit das nicht geschieht, ist ein dynamisches Risikomanagement Pflicht, denn nur so wissen Sie im Vorfeld, was auf sie zukommen könnte, und wie Sie einem Risiko im Ernstfall begegnen können. Die von trusted.de vorgestellten Tools unterstützen Sie dabei, Ihr eigenes Risiko so gering wie möglich zu halten, und trotzdem nicht den Blick auf Ihre Unternehmensziele aus den Augen zu verlieren.