Strategien und Methoden im Risikomanagement

Unternehmen jeder Größe und jedes Umfangs stehen und fallen damit, wie sie mit den vielen Risiken umgehen, die mit einer kommerziellen Unternehmung verbunden sind. Einige Risiken, wie zum Beispiel der Wettbewerb, gab es schon immer, aber heute verändert sich die Landschaft ständig und es tauchen regelmäßig neue Risiken auf. Cybersicherheit, Pandemien, mehr Vorschriften und sich wandelnde Anforderungen von Kunden und Stakeholdern in Bezug auf die Umwelt-, Sozial- und Governance-Ziele (ESG) eines Unternehmens haben die Risiken, mit denen Unternehmen umgehen müssen, noch verstärkt.

Um Wettbewerbsfähigkeit und Geschäftskontinuität zu gewährleisten, müssen Unternehmen ihre Risiken kennen, sie managen und mindern, um negative Folgen zu vermeiden, und in der Lage sein, Risiken in Chancen zu verwandeln. Durch die Anwendung von Strategien zur Risikominderung und bewährten Risikomanagementtechniken können Unternehmen Risiken proaktiv und strategisch handhaben. Es wird empfohlen, ein Managementsystem zu implementieren, das den relevanten ISO- oder anderen anerkannten Normen entspricht.

Was ist ein Risikomanagementprozess?

Unternehmen müssen sich mit vielen Arten von Risiken auseinandersetzen. Einige Auswirkungen sind interner Natur, wie beispielsweise die Gesundheit und Sicherheit der Mitarbeiter und die Widerstandsfähigkeit des Unternehmens, während andere eher extern ausgerichtet sind, wie beispielsweise das Risiko, dass kontaminierte Lebensmittel bei Verbrauchern zu Erkrankungen oder zum Tod führen. Verstöße gegen Vorschriften können zu Geldstrafen oder Sanktionen führen, wenn Risiken nicht angemessen behandelt werden.

Im Kern ist eine Risikomanagementstrategie ein strukturierter Ansatz zum Umgang mit Unsicherheiten. Sie umfasst die Identifizierung potenzieller Risiken, die sich auf ein Unternehmen auswirken könnten, die Bewertung ihrer Wahrscheinlichkeit und potenziellen Folgen sowie die Ergreifung von Maßnahmen zur Risikominderung, begleitet von Überwachung und Überprüfung, Aufzeichnung und Berichterstattung. Diese Strategie ist ein integraler Bestandteil der Governance- und Managementprozesse eines Unternehmens, da sie darauf ausgelegt ist, die negativen Auswirkungen von Risiken auf die Geschäftsziele zu minimieren und gleichzeitig die damit verbundenen Chancen zu maximieren.

Verschiedene Organisationen verwenden unterschiedliche Techniken zur Risikoidentifizierung. Organisationen nutzen häufig eine Kombination aus verschiedenen Methoden des Risikomanagements, um sicherzustellen, dass keine kritischen Bedrohungen übersehen werden:

  • Silo-Ansatz: Einige Unternehmen konzentrieren sich auf das Risikomanagement im Silo-Ansatz, bei dem Risikomanager für bestimmte Bereiche oder Abteilungen einer Organisation zuständig sind.
  • Ganzheitlicher Ansatz: Andere Unternehmen verfolgen möglicherweise einen ganzheitlicheren Ansatz und betrachten Risiken auf einer breiteren Basis.
  • Reaktiver Ansatz: Bei diesem Ansatz werden Risiken erst erkannt und analysiert, nachdem sie eingetreten sind.
  • Proaktiver Ansatz: Dieser Ansatz wird empfohlen. Immer mehr Unternehmen entscheiden sich für die Einführung eines Managementsystems, das einem Best-Practice-Standard wie den ISO-Normen für Qualität, Arbeitssicherheit und Gesundheitsschutz, Umweltmanagement oder Energieeffizienz entspricht. Dies ist ein proaktiver, umfassender Ansatz, der Investitionen und Engagement erfordert. Mit einem proaktiven Ansatz gewinnt das Risikomanagement zunehmend an Bedeutung und ermöglicht es Unternehmen, Risiken strukturiert anzugehen.  

Warum sind Risikomanagement-Strategien entscheidend?

Eine Risikomanagementstrategie ist mehr als eine Compliance-Anforderung und sollte als strategischer Vorteil betrachtet werden. Sie ermöglicht es einem Unternehmen, proaktiv mit potenziellen Bedrohungen umzugehen und Chancen zu nutzen, die sich bei einem guten Risikomanagement ergeben können. Durch die Umsetzung strukturierter Risikomanagementstrategien und Risikobewältigungsstrategien können Unternehmen Risiken systematisch identifizieren, bewerten und mindern, was zu besseren Entscheidungen, gestärkten Prozessen und einer höheren Widerstandsfähigkeit des Unternehmens führt.

Der gesellschaftliche und regulatorische Fokus auf Themen wie Umwelt, Klimawandel, Energieeffizienz und Informationssicherheit hat dazu geführt, dass Stakeholder und Kunden ein größeres Interesse an den Angelegenheiten der Organisationen zeigen, mit denen sie zusammenarbeiten oder die sie unterstützen. Unternehmen, die dies erkennen und ihr Engagement unter Beweis stellen möchten, können dies am besten durch die Zertifizierung nach den ausgewählten geeigneten Managementsystemstandards tun.

Für Organisationen, die sich für die Implementierung eines Managementsystems auf der Grundlage von ISO- oder anderen anerkannten Normen entscheiden, ist das Risikomanagement ein integraler Bestandteil, da es in der Regel eine Anforderung der jeweiligen Normen ist. Unternehmen, die eine Zertifizierung anstreben, werden außerdem regelmäßig von einer unabhängigen dritten Stelle wie DNV auditiert, sodass die regelmäßige Überwachung und fortlaufende Verbesserung ein zentraler Bestandteil ihrer Risikomanagementstrategie sind. Organisationen können auch eine risikobasierte Zertifizierung in Betracht ziehen oder ihre Fähigkeiten durch Risikobewertungskurse verbessern, um eine effektive Umsetzung von Risikomanagementpraktiken sicherzustellen.

Das Risikomanagement auf der Grundlage der einzelnen ISO-Normen kann beispielsweise durch die Umsetzung der Risikomanagementnorm ISO 31000 ergänzt werden. Dabei handelt es sich um eine Leitlinie, die nicht zertifizierbar ist, aber eine Orientierungshilfe für interne oder externe Auditprogramme bietet. Unternehmen können ihre Risikomanagementpraktiken mit einem international anerkannten Maßstab vergleichen und so solide Grundsätze für ein effektives Management und eine gute Unternehmensführung schaffen. Die Norm kann von jedem Unternehmen unabhängig von seiner Größe, seiner Tätigkeit oder seiner Branche angewendet werden.

Bei Risikomanagementstrategien geht es nicht nur um das Management von Bedrohungen, sondern auch um die Schaffung eines Umfelds, in dem Risiken verstanden, gemanagt und sogar zum Vorteil der Organisation genutzt werden. Sie sind ein wesentlicher Bestandteil einer robusten Geschäftsstrategie und stellen sicher, dass eine Organisation mit Zuversicht und Agilität durch die Unsicherheiten der Geschäftswelt navigieren kann.

Wichtige Methoden im Risikomanagement

Die Entwicklung einer Risikomanagementstrategie erfordert, dass ein Unternehmen genau versteht, was Risiken sind, welche Auswirkungen sie auf das Geschäft haben, wie sie sich entwickeln und verändern und nicht zuletzt, wie sie gemindert oder sogar genutzt werden können. Einige der wichtigsten zu berücksichtigenden Faktoren sind:

  • Risikoidentifikation: Der erste Schritt in jedem Risikomanagementprozess ist die Identifizierung der Risiken. Dazu gehört eine gründliche Analyse des internen und externen Umfelds des Unternehmens, um potenzielle Bedrohungen zu ermitteln. Es geht darum, sich zu fragen: „Was könnte schiefgehen?“ und „Wie könnte sich das auf uns auswirken?“. Besondere Aufmerksamkeit muss dabei bevorstehenden Gesetzen und Vorschriften, geopolitischen Ereignissen und gesellschaftlichen Trends gewidmet werden.
  • Risikoanalyse: Sobald die Risiken identifiziert sind, werden sie einer detaillierten Analyse unterzogen, um ihre Natur zu verstehen, einschließlich der Wahrscheinlichkeit ihres Eintretens und ihrer potenziellen Auswirkungen. Dieser Schritt ist entscheidend, da er dabei hilft, die Risiken anhand ihrer Schwere zu priorisieren.
  • Risikobewertung: Bei der Risikobewertung werden die analysierten Risiken mit der Risikobereitschaft und der Risikotoleranz der Organisation verglichen. Sie beantwortet die Frage: „Welche Risiken können wir eingehen und welche müssen wir sofort angehen?“
  • Risikobehandlung: Auf der Grundlage der Bewertung werden Strategien zur Behandlung der Risiken entwickelt. Dazu können Risikovermeidung, -reduzierung, -transfer oder -akzeptanz gehören. Die Wahl der Strategie hängt von der Art des Risikos und der Fähigkeit der Organisation ab, damit umzugehen.
  • Risikoüberwachung und -überprüfung: Risiken sind nicht statisch, sondern entwickeln sich mit dem Wandel des Unternehmens und seines Umfelds weiter. Eine laufende Überwachung und regelmäßige Überprüfung der Risiken und der Wirksamkeit der Risikomanagementstrategien sind unerlässlich, um potenziellen Bedrohungen immer einen Schritt voraus zu sein. Unternehmen, die standardisierte Managementsysteme implementieren, werden feststellen, dass die Anforderungen an regelmäßige Audits und kontinuierliche Verbesserungsmaßnahmen in dieser Hinsicht eine große Hilfe sind.
  • Risikokommunikation: Ein oft übersehener Aspekt des Risikomanagements ist die Kommunikation. Es ist von entscheidender Bedeutung, alle beteiligten Stakeholder über die Risiken und die zu ihrer Bewältigung ergriffenen Maßnahmen zu informieren, um ein gemeinsames Verständnis und einen koordinierten Ansatz sicherzustellen. Die Kommunikation mit den internen Mitarbeitern ist für die Entwicklung einer Geschäftsrisikokultur innerhalb der Organisation unerlässlich.

ISO 31000 gibt Unternehmen Anleitungen, wie sie das Risiko- und Strategiemanagement in die Governance, Planung, Verwaltung, Berichterstattung, Richtlinien, Werte und Kultur einer Organisation integrieren können. Erfahren Sie mehr in dem Grundkurs zum Risikomanagement von DNV.

Weitere Artikel