Risikomanagement - Definition, Methoden und Beispiele

Der geschickte Umgang mit Risiken gehört zu den Grundfesten erfolgreicher unternehmerischer Tätigkeit. Viele Betriebe setzen auf den gesunden Menschenverstand, jedoch geben Risikomanagement-Systeme eine strukturierte Möglichkeit, bestimmte Werte wie vorausschauende Planung, kluge Vorsicht und systematische Kontrolle strategisch zur Risikominimierung einzusetzen.

Was fällt unter Risiko und Risikomanagement?

Ein Risiko bezeichnet die Möglichkeit, dass ein zukünftiges Ereignis eintritt, das negative Auswirkungen auf das Erreichen gesetzter Ziele hat. Es ist also die Unsicherheit über den Ausgang einer Situation, verbunden mit der Gefahr eines Schadens oder Verlusts.

Für das Management dieser Risiken gehört ein systematischer Prozess zur Identifikation, Bewertung und Steuerung potenzieller Gefahren, die den Erfolg eines Unternehmens oder Projekts beeinträchtigen könnten. Ziel ist es, Risiken frühzeitig zu erkennen, geeignete Gegenmaßnahmen zu entwickeln und so Schäden oder Verluste zu minimieren. In Unternehmen und Projekten wird dabei häufig auf bewährte Methoden wie die SWOT-Analyse, eine Risiko-Matrix oder das Vier-Stufen-Modell zurückgegriffen.

Ziele des Risikomanagements

Das Risikomanagement als Grundlage der Unternehmensführung verfolgt mehrere wesentliche Ziele:

1. Erkennung potenzieller Risiken

Ein zentrales Anliegen des Risikomanagements ist die frühzeitige Identifikation von Gefahren, die eine Erreichung der Unternehmensziele beeinträchtigen könnten. Dies geschieht durch eine systematische Erfassung sowohl interner als auch externer Einflussfaktoren, um ein vollständiges Bild der Bedrohungslage zu gewinnen.

2. Bewertung und Priorisierung der Risiken

Nachdem die identifizierten Risiken erfasst wurden, erfolgt eine Einschätzung hinsichtlich ihrer Eintrittswahrscheinlichkeit und dessen Schadensausmaß. Dadurch werden die Risiken nach ihrer Dringlichkeit geordnet, um begrenzte Ressourcen gezielt für die wichtigsten Gefahrenquellen einsetzen zu können.

3. Reduzierung und Steuerung von Risiken

Das Risikomanagement entwickelt systematische Sicherheitsmaßnahmen, um erkannte Risiken entweder zu vermindern oder besser kontrollierbar zu machen. Durch geeignete Kontrollmechanismen und kontinuierliche Überwachung werden Schäden minimiert und die wirtschaftliche Stabilität sowie die öffentliche Wahrnehmung des Unternehmens geschützt.

4. Ergreifen von Chancen

Eine clevere Unternehmensführung erkennt im Risikomanagementprozess nicht nur die Abwehr von Gefahren, sondern auch die aktive Nutzung von Chancen. Die gezielte Auseinandersetzung mit Risiken eröffnet oft Möglichkeiten zur Expansion, Innovation und langfristigen Wertsteigerung.

5. Förderung einer risikobewussten Unternehmenskultur

Ein weiteres Ziel ist der Aufbau einer Unternehmenskultur, die den bewussten Umgang mit Risiken als selbstverständlichen Bestandteil aller Geschäftstätigkeiten verankert. Das Risikobewusstsein verbessert die Entscheidungsqualität und stärkt die Resilienz des Unternehmens gegenüber unvorhergesehenen Ereignissen.

Aufgaben von Risikomanager:innen

Risikomanager:innen nehmen eine zentrale Rolle in der Unternehmenssicherheit ein. Ihre vorrangige Aufgabe ist es, potenzielle Risiken frühzeitig zu erkennen und die Umsetzung geeigneter Gegenmaßnahmen anzustoßen und zu koordinieren. In enger Abstimmung mit den unterschiedlichen Abteilungen und Fachbereichen bauen sie ein umfassendes Verständnis der Risikofaktoren auf, die das Unternehmen beeinträchtigen könnten.

Eine grundlegende Voraussetzung für das Risikomanagement ist eine präzise Risikowahrnehmung. Hier zeigt sich bereits eine erste Herausforderung: Unterschiedliche Risikomanager:innen können ein und dasselbe Risiko unterschiedlich einschätzen oder es möglicherweise überhaupt nicht wahrnehmen. Erfolgt die Risikowahrnehmung selektiv, besteht die Gefahr, dass nur bestimmte Risiken berücksichtigt werden, während andere unentdeckt bleiben.

Daher ist im Vorfeld sicherzustellen, dass eine möglichst objektive und umfassende Risikowahrnehmung gegeben wird, um dieser Aufgabe gerecht zu werden.

Darüber hinaus obliegt es den Risikomanager:innen, systematische Risikomanagementpläne zu entwickeln und ihre Umsetzung sicherzustellen. Diese Pläne umfassen präzise Strategien zur Vermeidung oder Minderung erkannter Risikosituationen. Auch die Überwachung der Einhaltung gesetzlicher und regulatorischer Vorgaben fällt in ihren Aufgabenbereich, um sicherzustellen, dass ein Unternehmen den rechtlichen Anforderungen vollumfänglich entspricht.

Ein ebenso wichtiger Aspekt ihrer Tätigkeit ist die aktive Kommunikation mit der Unternehmensführung und weiteren Entscheidungsträger:innen. Risikomanager:innen informieren diese über bestehende und potenzielle Gefahren und sprechen klare Handlungsempfehlungen aus. Durch ihr Wirken tragen sie dazu bei, ein risikobewusstes Denken auf allen Ebenen einer Organisation zu fördern.

Risikomanager:innen müssen bestimmte Kompetenzen mitbringen. Sie sind eine tragende Säule der unternehmerischen Vorsorge: Ihre Expertise hilft, Risiken vorausschauend zu managen und die langfristige Beständigkeit und Widerstandsfähigkeit eines Unternehmens zu sichern.

Schritte des Risikomanagements

1. Risikoidentifikation

Im ersten Schritt wird mit methodischer Sorgfalt jedes denkbare Risiko identifiziert, das ein Projekt oder ein Unternehmen gefährden könnte. Weil eine vollständige Risikoerfassung grundlegend für den späteren Erfolg ist, wird dieser Vorgang häufig gemeinschaftlich in Arbeitsgruppen durchgeführt. Erst nach der umfassenden Erfassung aller Risiken inklusive ihrer Ursachen und Wirkungen wird die Risikoanalyse durchgeführt.

2. Risikoanalyse

Anschließend wird jedes gefundene Risiko auf seine Relevanz hin untersucht. Es wird ermittelt, wie wahrscheinlich ein Eintritt ist und welche finanziellen, qualitativen als auch zeitlichen Folgen sich daraus ergeben könnten. Üblicherweise wird eine Einstufung in „niedrig”, „mittel” und „hoch” vorgenommen.

Für genauere Berechnungen bedient man sich heute etablierter quantitativer Skalen, etwa einer neunstufigen Skala mit 10-%-Schritten. Ereignisse, deren Eintritt zu 100–% sicher ist, werden nicht mehr als Risiko gewertet, sondern als feststehende Rahmenbedingung betrachtet.

Für die Risikoanalyse bieten sich unterschiedliche Methoden an, etwa eine SWOT-Analyse, eine PEST-Analyse, Checklisten oder Frühwarnsysteme.

3. Risikobewertung

Nach Identifizierung und Analyse erfolgt die gründliche Bewertung. Hier wird untersucht, welche Ursachen den Risiken zugrunde liegen und welche Schäden im Einzelnen entstehen könnten. Mithilfe einer Risiko-Matrix lassen sich Risiken übersichtlich einordnen, um auf dieser Basis wohlüberlegte Entscheidungen zu treffen: ob Risiken akzeptiert, durch Maßnahmen gemindert oder durch Anpassungen in der Projektplanung abgewehrt werden sollten. Ergänzend kann man auch analysieren, ob Risiken frühzeitig erkannt und entschärft werden können, was ihre Tragweite erheblich mindert.

4. Maßnahmenplan

Nach vollständiger Risikoerfassung und -bewertung wird ein detaillierter Plan für die Umsetzung von Maßnahmen für die Risikovermeidung oder Risikominderung ausgearbeitet. Hierbei folgt man häufig dem bewährten Pareto-Prinzip: 80„% der Ergebnisse lassen sich mit 20„% des Aufwandes erzielen. Daraus ergeben sich folgende, bewährte Handlungsweisen:

• Geringe Risiken werden hingenommen; ihre Schäden werden einkalkuliert.
• Mittlere Risiken erfordern Präventionsmaßnahmen sowie Notfallpläne, die regelmäßig überprüft werden.
• Hohe Risiken bedingen umfassende Gegenmaßnahmen, Anpassungen im Projekt oder Absicherung durch Versicherungen.

Vorgehensweise bei Risikoanalyse und -bewertung

In Unternehmen und Projekten erfolgt die Risikoanalyse und -bewertung grundsätzlich auf zwei bewährten Wegen: qualitativ oder quantitativ.

Qualitative Risikoanalyse: Sie beruht auf einer Einschätzung der Eintrittswahrscheinlichkeit sowie der möglichen Auswirkungen identifizierter Risiken. Sie stellt somit eine strukturierte, jedoch eher beschreibende Methode dar, die sich besonders bei limitierter Datengrundlage anbietet.

Quantitative Risikoanalyse: Sie stützt sich auf konkrete Daten, Zahlen und Wahrscheinlichkeiten. Diese Methode ermöglicht eine genauere, messbare Einschätzung der Risiken und ihrer potenziellen Auswirkungen auf das Projekt.

Beiden Ansätzen ist gemein, dass sie einer systematischen Vorgehensweise folgen: Ziel ist es stets, potenzielle Gefahren frühzeitig zu erkennen, ihre finanziellen Risiken für den Projekterfolg zu bestimmen und geeignete Maßnahmen ableiten zu können. Während die qualitative Analyse vor allem eine Priorisierung der Risiken ermöglicht, liefert die quantitative Analyse exakte numerische Werte, die für präzisere Entscheidungsgrundlagen sorgen.

Methoden für das Risikomanagement

Im Risikomanagement stehen Unternehmen eine Vielzahl bewährter Methoden zur Verfügung, um die Risiken systematisch zu behandeln. Die Wahl der geeigneten Methode richtet sich nach der Branche, der Unternehmensgröße und den konkreten Risiken. Oft empfiehlt es sich, mehrere Methoden zu kombinieren, um ein umfassendes Bild der Risikolandschaft zu erhalten und entsprechend zielgerichtete Maßnahmen zur Risikominderung zu ergreifen.

FMEA – Fehlermöglichkeits- und Einflussanalyse

Die FMEA ist eine weitverbreitete Methode zur frühzeitigen Identifikation und Bewertung potenzieller Fehlerquellen in Produkten oder Prozessen. Sie bewertet dabei die Wahrscheinlichkeit des Auftretens sowie das Ausmaß der Konsequenzen und entwickelt auf dieser Basis präventive Maßnahmen zur Risikominimierung. Besonders in stark regulierten Branchen wie der Automobilindustrie, dem Gesundheitswesen oder der Luft- und Raumfahrt ist FMEA unverzichtbar.

Risikomatrix & ALARP-Prinzip

Die Risikomatrix stellt Risiken visuell dar, meist als Kombination von Eintrittswahrscheinlichkeit und Auswirkungsgrad. In Verbindung mit dem ALARP-Prinzip („As Low As Reasonably Practicable“) ergibt sich ein Entscheidungsrahmen, der zwischen wirtschaftlicher Zumutbarkeit und notwendiger Risikoreduktion abwägt. Ziel ist es, Risiken nur so weit zu minimieren, wie es vernünftigerweise machbar ist. Es ist ein Ansatz, der vor allem in regulierten Branchen Anwendung findet.

FBA – Fehlerbaumanalyse

Die Fehlerbaumanalyse nutzt ein grafisches Baumdiagramm, um Ursache-Wirkungs-Zusammenhänge systematisch darzustellen. So können kritische Fehlerketten aufgedeckt und mögliche Ausfallursachen analysiert werden. Sie wird vor allem in sicherheitskritischen Bereichen wie Luftfahrt, Kerntechnik oder der Chemieindustrie eingesetzt und dient der gezielten Risikovermeidung durch strukturelle Analyse.

Monte-Carlo-Simulation

Diese quantitative Methode erlaubt die Berechnung von Wahrscheinlichkeiten und Auswirkungen zahlreicher möglicher Szenarien mittels Zufallsstichproben. Sie eignet sich insbesondere für komplexe Fragestellungen im Finanzwesen, Projektmanagement oder in der Umweltanalyse, bei denen Unsicherheiten eine große Rolle spielen. Ziel ist es, die Eintrittswahrscheinlichkeit und das Schadensausmaß von Risiken präzise zu modellieren.

Risikomonitoring

Ein kontinuierliches Risikomonitoring stellt sicher, dass identifizierte Risiken laufend beobachtet, dokumentiert und bei Bedarf neu bewertet werden. Dies geschieht in Echtzeit oder in regelmäßigen Abständen mittels Dashboards, Frühwarnsystemen und Berichtswesen. Das Monitoring ist ein wesentliches Element, um auf Veränderungen flexibel reagieren und die Risikostrategie dynamisch anpassen zu können.

Neben diesen Methoden werden verschiedene Instrumente innerhalb des Risikomanagements verwendet, wie zum Beispiel eine SWOT-Analyse.

Einfache Betrachtung

In der klassischen Risikobetrachtung wird Risiko häufig als eine einfache Formel verstanden:

Risiko = Eintrittswahrscheinlichkeit × Schadensausmaß

Dadurch lassen sich Risiken vergleichen, priorisieren und steuern. Ein simples Prinzip, das sich über lange Zeit bewährt hat.

Umsetzung eines effektiven Risikomanagements

Prinzipien wie Voraussicht, Prävention und Kontrolle sind bei der Vorsorge und Behandlung von Risiken unverzichtbare Richtlinien. Ein erfolgreiches Risikomanagement setzt diese Prinzipien systematisch ein, indem es folgende Punkte berücksichtigt:

• Integration in die Unternehmensstrategie: Risikomanagement darf kein isoliertes System sein, sondern muss Teil der Gesamtstrategie werden.
• Schulung und Sensibilisierung der Mitarbeitenden: Personen sind ein entscheidendes Glied in der Risikokette und Mitarbeitende sollten ein Bewusstsein über mögliche Risiken haben.
• Kontinuierliche Aktualisierung
  In einer schnelllebigen Welt muss das Risikomanagement auf neue Entwicklungen reagieren und regelmäßig aktualisiert werden.
• Dokumentation und Berichtswesen
  Schriftliche Dokumentation sichert Nachvollziehbarkeit und Handlungsfähigkeit bei möglichen Bedrohungen.

Risikomanagement im globalen Umfeld

In einer zunehmend vernetzten Weltwirtschaft, in der Unternehmen globalen Risiken und Krisen ausgesetzt sind, gewinnt das Risikomanagement an überragender Bedeutung.
Die Internationale Organisation für Normung (ISO) empfiehlt ausdrücklich, das Risikomanagement als Grundlage sämtlicher Managementsysteme zu etablieren. Dieser Ansatz wird als „risk based approach“ oder „risk based thinking“ bezeichnet und betont, dass Risiken bei allen unternehmerischen Entscheidungen berücksichtigt werden sollten.

Doch auch unabhängig davon, ob eine Organisation mehrere Managementsysteme einsetzt oder ein umfassendes, integriertes System verfolgt, sollte stets ein eigenständiges Risikomanagementsystem vorhanden sein.

Ein solches System trägt dazu bei, die Resilienz der Organisation entscheidend zu stärken und gleichzeitig Haftungsrisiken für die Unternehmensleitung zu verringern.

Über viele Jahre hinweg galt insbesondere das in den USA entwickelte Rahmenmodell COSO ERM (Enterprise Risk Management – Integrated Framework) als weltweit führendes Referenzwerk für ein ganzheitliches Risikomanagement. Dies förderte die allgemeine Auffassung, dass Risiken systematisch identifiziert, gesteuert und in die Unternehmensstrategie eingebunden werden müssen.

Gesetzliche Risikominimierung

Im Jahre 1998 wurde in Deutschland das sogenannte „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich“, kurz KonTraG, eingeführt. Dieses Gesetz bündelt insgesamt zehn verschiedene Einzelgesetze, die hauptsächlich im Aktiengesetz (AktG) und im Handelsgesetzbuch (HGB) festgelegt wurden.

Seinerzeit stellte das KonTraG ein Novum dar und war eine Reaktion auf die von vielen Unternehmen in den 90er Jahren unterschätzten Risiken. Es führte Standards ein, die erstmals eine systematische und vorausschauende Unternehmensführung gesetzlich einforderten. Die Ziele dieser Regelungen haben bis heute Bestand:

• Verbesserte Transparenz
• Wirksamere Kontrolle
• Bewussterer Umgang mit Risiken.

Unternehmen, die sich an den Vorgaben des KonTraG orientieren, profitieren insbesondere von folgenden Verbesserungen:

• Fundiertere Beurteilung von Risiken aus verschiedenen Unternehmensbereichen
• Sorgfältigere Abschlussprüfungen sowie höhere Transparenz gegenüber der Öffentlichkeit
• Stärkere Schutz der Anteilseigner, insbesondere bei Aktiengesellschaften (AG)

Obwohl das KonTraG ursprünglich speziell für Aktiengesellschaften geschaffen wurde, hat sich seine Anwendung mittlerweile auch auf andere Unternehmensformen ausgeweitet.

DIN ISO 31000

Die DIN ISO 31000 gibt grundlegende Leitlinien für das Risikomanagement in Organisationen vor. Sie beschreibt sowohl die Prinzipien als auch die Rahmenbedingungen und den Ablauf eines wirksamen Risikomanagements. Die Norm ist bewusst allgemein formuliert und nicht auf einzelne Branchen oder Sektoren zugeschnitten, sodass sie für sämtliche Arten von Risiken und Organisationen Anwendung finden kann.

Im Zentrum stehen drei wesentliche Grundsätze:

1. Risikomanagement als zentrale Führungsaufgabe

Die Verantwortung für das Risikomanagement liegt bei der obersten Leitungsebene einer Organisation. Es wird nicht bloß als technischer Prozess verstanden, sondern als eine Kernaufgabe der Führung. Die Unternehmensleitung hat die Pflicht, ein wirksames Risikomanagementsystem einzuführen und zu überwachen.

2. Risikomanagement im Top-Down-Ansatz

Die Norm fordert, dass das Risikomanagement von der Führungsspitze aus gesteuert wird. Hauptaugenmerk liegt auf den bedeutendsten Risiken, die die Organisation betreffen könnten. Anstelle von Detailbetrachtungen sollen die zentralen Risiken identifiziert, bewertet und gesteuert werden.

3. Risikomanagement als universelles, branchenübergreifendes Konzept

Die Norm wurde so gestaltet, dass sie unabhängig von Branche, Sektor oder geografischer Region genutzt werden kann. Ihr Ziel ist es, ein weltweit anwendbares und anerkanntes Rahmenwerk für den Umgang mit Risiken zu schaffen.

Das Lieferkettengesetz

Mit Wirkung zum 1. Januar 2023 trat das Lieferkettensorgfaltspflichtengesetz, kurz Lieferkettengesetz, in Kraft. Es verpflichtet Unternehmen mit mehr als 3.000 Beschäftigten und seit dem 1. Januar 2024 Unternehmen ab einer Größe von 1.000 Beschäftigten, ein umfassendes Risikomanagement einzuführen.

Ziel dieser gesetzlichen Regelung ist es, menschenrechtliche und ökologische Sorgfaltspflichten entlang der gesamten Lieferkette systematisch zu verankern. Unternehmen sollen durch geeignete Maßnahmen sicherstellen, dass es bei ihren unmittelbaren Zulieferfirmen wie auch in tieferen Ebenen der Lieferkette weder zu Menschenrechtsverletzungen noch zu Beeinträchtigungen von Arbeitnehmerrechten oder Umweltschutzstandards kommt. Wo solche Risiken erkannt werden, sind die Unternehmen verpflichtet, präventiv oder abhelfend tätig zu werden, um Schaden von Mensch und Umwelt abzuwenden.

Dieses Gesetz folgt einem bewährten Prinzip unternehmerischer Verantwortung und legt die Grundlage für eine ethisch verantwortungsvolle, nachhaltige Wirtschaftsweise, die sich am Schutz grundlegender Rechte und Werte orientiert. Aufgrund des Regierungswechsels und dem Versprechen der Regierung, die Bürokratie abzubauen, steht dieses Gesetz zum derzeitigen Stand auf der Kippe.

Fazit

Risikomanagement ist ein unverzichtbarer Bestandteil jeder unternehmerischen Tätigkeit. Die klare Identifikation von Risiken, deren Analyse und vorbeugende Maßnahmen bieten eine zuverlässige Grundlage, um fundierte Entscheidungen zu treffen und Sicherheit sowie Wachstum für das Unternehmen möglich zu machen. Betriebe, die strategische Risiken nicht nur erkennen, sondern sie auch steuern, schaffen sich in einer Welt, die sich ständig wandelt, einen wertvollen Vorteil.