Was ist Enterprise Risk Management (ERM)?

Unternehmen mussten schon immer eine Reihe von Risiken bewältigen, aber viele haben dies oft auf etwas willkürliche Weise in einzelnen Abteilungen getan. Ein solch unregelmäßiges oder fragmentiertes Risikomanagement kann von den Kerngeschäftsaktivitäten eines Unternehmens ablenken und dazu führen, dass einige Risiken völlig übersehen werden.

Das Enterprise Risk Management (auf Deutsch unternehmensweites Risikomanagement oder ganzheitliches Risikomanagement) hingegen ist ein strategischer, ganzheitlicher Ansatz, der es einem Unternehmen ermöglicht, seine Geschäftsrisiken systematisch zu identifizieren, abzuwägen und zu kontrollieren. Ein gut implementiertes Enterprise-Risk-Management-Programm stellt sicher, dass alle Arten von Risiken (strategische, operative, finanzielle, Compliance-Risiken usw.) konsequent berücksichtigt werden.

Enterprise Risk Management: Definition und Bedeutung

Was ist ERM? Enterprise Risk Management (ERM) ist ein strukturierter Prozess, den Organisationen einsetzen, um Risiken zu managen und Chancen im Zusammenhang mit der Erreichung ihrer Ziele zu nutzen. ERM bietet einen einheitlichen Rahmen, um Ereignisse oder Umstände zu identifizieren, die für die Organisation relevant sind (sowohl Risiken als auch Chancen). Anschließend werden deren Eintrittswahrscheinlichkeit und potenzielle Auswirkungen bewertet, geeignete Maßnahmen oder Reaktionsstrategien festgelegt und der Fortschritt kontinuierlich überwacht.

In den letzten Jahren haben Cyberangriffe und die Auswirkungen der COVID-Pandemie die Mängel traditioneller fragmentierter Risikobewertungsmethoden deutlich gemacht. ERM ist zu einem entscheidenden Aspekt der Unternehmensführung geworden und ist ein kontinuierlicher Prozess, der eine fortlaufende Verbesserung und Anpassung an neue Risiken und Chancen erfordert.

Schritte und Komponenten eines ERM-Systems

ERM sollte nicht isoliert betrachtet werden, sondern in alle organisatorischen Aktivitäten und Entscheidungsprozesse integriert werden. Die überwiegende Mehrheit der Managementsystemstandards wie ISO 9001 (Qualität), ISO/IEC 27001 (Informationssicherheit), ISO 14001 (Umwelt) oder viele andere, die Unternehmen zur Verbesserung ihrer Produkte, Dienstleistungen und ihres Rufs sowie zur Erfüllung ihrer Versprechen nutzen, enthalten Anforderungen an das Management der damit verbundenen Risiken und daran, wie dies durch das Managementsystem erreicht werden kann. Wer detailliertere Anleitungen benötigt, findet diese in der Risikomanagement-Norm ISO 31000.

Das moderne Geschäftsumfeld zwingt Unternehmen und Organisationen oft dazu, nachzuweisen, dass sie eine bestimmte Norm zur Zufriedenheit ihrer Kunden sowie interner und externer Stakeholder einhalten. Daher ist es unerlässlich geworden, Unternehmensrisiken effektiv zu managen und dies durch eine Zertifizierung durch Dritte nachzuweisen.

Der Risikomanagementprozess lässt sich in mehrere wichtigen Schritte unterteilen:

• Risikoidentifikation: Dies ist der Prozess der Erkennung und Beschreibung von Risiken, die sich potenziell auf das Unternehmen auswirken könnten. Dabei geht es darum, die potenziellen Risiken zu erkennen, die sich auf die Ziele der Organisation auswirken könnten.
• Risikoanalyse: Sobald die Risiken identifiziert sind, besteht der nächste Schritt darin, die Wahrscheinlichkeit und die Auswirkungen dieser Risiken zu bestimmen. Dazu gehört die Bewertung der Wahrscheinlichkeit und der Folgen jedes identifizierten Risikos.
• Risikoreaktion (Behandlung): Die Entwicklung von Maßnahmen zur Verbesserung der Chancen und zur Verringerung der Risiken ist von entscheidender Bedeutung. Dieser Schritt umfasst die Formulierung von Strategien zur Bewältigung oder Minderung der identifizierten Risiken.
• Maßnahmen: Implementierung von Mechanismen, um sicherzustellen, dass die Maßnahmen zur Risikobehandlung effektiv durchgeführt werden. Dazu gehören Richtlinien und Verfahren, die dazu beitragen, dass die Maßnahmen zur Risikoreaktion effektiv umgesetzt werden.
• Information und Kommunikation: Sicherstellung, dass relevante Risikoinformationen identifiziert, erfasst und zeitnah innerhalb der Organisation kommuniziert werden. Dieser Schritt ist für eine fundierte Entscheidungsfindung von entscheidender Bedeutung.
• Überwachung und Überprüfung: Der letzte Schritt umfasst die kontinuierliche Beobachtung der Risikomanagementprozesse, um deren Wirksamkeit sicherzustellen und gegebenenfalls Anpassungen vorzunehmen. Dazu gehört die fortlaufende Überprüfung des Risikoumfelds und der Wirksamkeit der Reaktionsstrategien.

Enterprise Risk Management: Beispiele aus der Praxis

Die relevanten Risiken variieren je nach Geschäftstätigkeit, Branche und sogar geografischer Lage eines Unternehmens. Zu den traditionellen Risiken, die vielen Unternehmen gemeinsam sind, zählen beispielsweise die Gefährdung der Wettbewerbsfähigkeit von Produkten oder Dienstleistungen oder die Fähigkeit zur Einhaltung von Gesundheits- und Sicherheitsvorschriften. Die meisten Unternehmen müssen die Erwartungen ihrer Stakeholder erfüllen, wobei die Cybersicherheit mittlerweile für die Mehrheit eine Bedrohung darstellt und künstliche Intelligenz in irgendeiner Form auf jeder Agenda steht. Auch eher randständige Themen wie Diversität, Gleichberechtigung und Inklusion (DEI) rücken in den Programmen vieler Unternehmen immer weiter nach oben. Aus einer breiteren Perspektive betrachtet, wird die Erfüllung von Anforderungen in den Bereichen Umwelt, Soziales und Unternehmensführung (ESG) und der Nachweis der entsprechenden Leistung von Investoren und anderen Stakeholdern stark gewichtet. Durch die Umsetzung einer robusten Strategie für das Unternehmensrisikomanagement schützen sich Organisationen nicht nur vor potenziellen Bedrohungen, sondern positionieren sich auch so, dass sie neue Chancen nutzen können.

Beispiele für ein funktionierendes ERM sind ein Technologieunternehmen, das fortschrittliche Cybersicherheitsmaßnahmen zum Schutz vor Datenverstößen implementiert, oder ein Lebensmittelhersteller, der Maßnahmen ergreift, um nur nachhaltig produzierte Rohstoffe zu verwenden, und verbesserte Lebensmittelsicherheitsmaßnahmen in seiner Produktion und entlang seiner gesamten Lieferkette einführt, um die Gesundheit der Verbraucher zu schützen.

ERM-Tools und Lösungen zur Risikosteuerung  

Es gibt verschiedene Tools und Lösungen zur Unterstützung von ERM, von denen einige komplexer sind als andere.

Ein Managementsystem, das den zertifizierbaren Standards der ISO und anderen Zertifizierungsprogrammen entspricht, kann einen strukturierten Ansatz bieten. Im Falle der ISO ist die Risikomanagement-Norm ISO 31000 sehr nützlich, ebenso wie andere Leitfäden und Handbücher, die Ansätze für die Umsetzung von ERM in Übereinstimmung mit spezifischen Industriestandards bieten.

Die Auswirkungen von Risiken können in einer Risikomatrix dargestellt werden, wobei die Wahrscheinlichkeit des Eintretens eines Vorfalls auf der einen Achse und die Schwere seiner Auswirkungen auf der anderen Achse dargestellt werden. In der Regel reicht das Risikoniveau von niedrig unten links über mittel, hoch und sehr hoch bis hin zu oben rechts.

In Anlehnung an den Problemlösungsaspekt des Qualitätsmanagements ist das Fischgräten- oder Ishikawa-Diagramm ein Instrument, das in der Ursachenanalyse (RCA) verwendet wird, um die zugrunde liegenden Ursachen eines Problems zu identifizieren. Das Diagramm hat die Form eines Fischskeletts, wobei das Problem am Kopf liegt und die Ursachen wie Gräten des Fisches in Hauptgruppen unterteilt sind, zu denen Methoden, Maschinen, Materialien, Menschen, Messungen und die Umgebung gehören können. Im Risikomanagement kann das Fischgräten-Diagramm dabei helfen, potenzielle Ursachen für Risiken zu identifizieren, die sich auf ein Projekt oder ein Unternehmen auswirken können. Wenn Sie beispielsweise ein Softwareentwicklungsprojekt leiten und das Risiko von Verzögerungen besteht, können Sie das Diagramm verwenden, um potenzielle Ursachen für die Verzögerungen zu identifizieren.

Jede der potenziellen Verzögerungen würde einer Gräte des Skeletts zugeordnet werden, und jeder dieser Gräten könnte wiederum eigene Verzweigungen haben. Beispielsweise könnte eine Gräte den Menschen zugeordnet werden, eine andere der Ausrüstung, eine dritte den Prozessen innerhalb der Organisation oder der Lieferkette und eine weitere möglicherweise der Einhaltung von Vorschriften. Der Zweig „Menschen” könnte beispielsweise den Schulungsbedarf oder den Mangel an geeigneten Kandidaten identifizieren. Der Zweig „Ausrüstung” könnte den Bedarf an neuer Technologie oder Ausrüstungsausfälle abdecken. Der Zweig „Prozesse” könnte beispielsweise die Erstellung von Handbüchern, die Vereinbarung von Finanzierungen und die Vermeidung von Auswirkungen auf andere Projekte, die möglicherweise Vorrang haben, umfassen. Verzögerungen aufgrund von Vorschriften können auftreten, weil offizielle Richtlinien, die sich auf das Projekt auswirken, noch nicht veröffentlicht wurden oder derzeit überprüft werden.

Eine weitere Form von Tools sind ERM-Softwareplattformen, die einen flexiblen Modellierungsrahmen bieten, mit dem sich mehrere Arten von Vermögenswerten bewerten und Unternehmensrisiken verwalten lassen.

Durch die effektive Implementierung von ERM schützen sich Unternehmen nicht nur vor potenziellen Bedrohungen, sondern positionieren sich auch so, dass sie neue Chancen nutzen können, die sich möglicherweise ergeben. Unternehmen, die ihre Fähigkeiten und Kenntnisse stärken möchten, können Risikomanagement-Schulungen in Betracht ziehen, um ERM-Praktiken und -Rahmenbedingungen innerhalb ihrer Organisation besser umzusetzen.