Risikomanagement beschreibt den strukturierten und standardisierten Prozess der Identifikation, Bewertung und Mitigierung von Risiken. Risiken entstehen durch die Kombination von potentiellen Schäden (z.B. finanzielle Schäden, gesundheitliche Schäden) und einer Eintrittswahrscheinlichkeit. Die Betrachtung der Eintrittswahrscheinlichkeit (Likelihood) und Auswirkung (Impact) eines Risikos erfolgt in der Regel strukturiert über eine vorher fest definierte Matrix. Dies bietet die Möglichkeit identifizierte Risiken zu vergleichen, sowie in der Risikominimierung zu priorisieren. Bei komplexeren Risiken gibt es die Möglichkeit diese durch strukturiere Assessments auf verschiedene Auswirkungskategorien (z.B. politisch, ökologisch, ökonomisch) zu bewerten. Im Rahmen des Risikomanagementprozesses werden die getroffenen Maßnahmen zur Risikominimierung regelmäßig inhaltlich überprüft (Test of Design), sowie die Wirksamkeit auf das Risiko zur weiteren Minimierung im Rahmen eines Assessments überprüft (Test der Wirksamkeit).
Ein professionelles Risikomanagement wird üblicherweise in Unternehmen eingesetzt, doch auch Privatpersonen betreiben oftmals unterbewusst Risikomanagement. Einfaches Beispiel aus dem privaten Bereich: Zur Minimierung von Risiken im Straßenverkehr hat sich die Gurtpflicht durchgesetzt – obwohl es eine sehr geringe aber mögliche Eintrittswahrscheinlichkeit von Unfällen gibt, ist das Schadensausmaß oftmals Katastrophal aus gesundheitlicher Sicht. Das Risiko wird durch die Gurtpflicht wesentlich gesenkt, da die Eintrittswahrscheinlichkeit von schweren Unfällen sinkt, sowie die Auswirkung durch den Gurt gemindert wird.
In der Risikomatrix werden die Risiken grafisch in den Dimensionen „Auswirkung“ (Impact) und „Eintrittswahrscheinlichkeit“ (Likelihood) dargestellt. In der Risikomatrix können einzelne Risikobereiche grafisch individuell dargestellt werden, in Abhängigkeit des Risikoappetites des Unternehmens. Es gibt z.B. dunkelrot eingefärbte Bereiche, in welchen Risiken nicht akzeptiert werden, dies betrifft z.B. Produktsicherheitsrisiken im Rahmen einer Produktentwicklung. Erst wenn keine Risiken mehr in diesem Bereich vorhanden sind, d.h. die Risiken durch Risikominimierungsmaßnahmen in einen anderen grafischen (akzeptierten) Bereich transferiert wurden, erlangt das Produkt die Marktfreigabe. Des Weiteren können Bereich grafisch definiert werden (z.B. grün, hellblau), in welchen identifizierte Risiken zu vernachlässigen sind und nur dokumentatorisch aufgenommen werden. Darüber hinaus können Risiken unterschiedlichen Reviews hinsichtlich der Häufigkeit der Überprüfung und des Umfanges der Bewertung unterzogen werden, in Abhängigkeit der Verrottung in der Risikomatrix.
Mittels Risikomanagement-tools lässt sich der gesamte Risikomanagementprozess strukturiert in einer Datenbank mit grafischer Oberfläche (GUI) abbilden. Der Vorteil von Risikomanagement-tools im Vergleich zu Lösungen wie z.B. Microsoft Excel ist die Vernetzung der Informationen: So können Risiken und Maßnahmen mit m:n Verbindungen zuggeschlüsselt werden, Verantwortlichkeiten und Workflows zu Risiken und Maßnahmen hinterlegt werden, individuelle Fragebögen und Risiko-Minimierungsstrategien für definierte Risikotypen definiert werden. Darüber hinaus bieten Risikomanagement-tools einfache Dashboards zur schnellen Einschätzung des Risiko-Exposures, und oftmals umfangreiche Berichtsmöglichkeiten.
Risikomanagement-tools wie das von uns verwendete TopEase® können an die Anforderungen der jeweiligen Industrie und Vorgabe angepasst werden, sowie eine umfangreiche Vernetzung im Unternehmen erreicht werden um Risiken früher zu erkennen: Identifizierte Risiken lassen sich mit Asset-Strukturen und Organisationsstrukturen verbinden, vordefinierte Fragebögen ermöglichen eine strukturierte Erfassung der Risiken, und die Früherkennung von Risiken wird technologisch durch Early Warning Indicators oder Schwellwerte unterstützt.
Strategische Risiken wirken sich im Vergleich zu operationelle Risiken längerfristig auf das Unternehmen aus. Strategische Risiken betreffen z.B. die generelle wirtschaftliche Situation, Risiken im Zusammenhang mit der Erschließung von neuen Märkten, die längerfristige Personalgewinnung und -entwicklung oder längerfristige vertragliche Risiken. Das Risikomanagement sollte daher in den strategischen Planungsprozess mit einbezogen werden, um die strategischen Initiativen aus Risikogesichtspunkten zu evaluieren.
Der Risikomanagement-Prozess beschreibt den prozessualen Ablauf sowie die Verantwortlichkeiten während des Ablaufes im Risikomanagement. Je nach Anwendungsfall wird der Risikomanagementprozess nach regulatorischen Vorgaben oder unternehmensindividuell aufgebaut. Gängige regulatorische Vorgaben sind:
Der Risikomanagementprozess nach ISO 14971 beschreibt insbesondere den Prozess der Risikominimierung in der medizinischen Produktentwicklung, zur Erstellung der regulatorisch geforderten Risiko Akte (siehe EU MDD / MDR). Hierbei wird insbesondere auf die einzelnen Prozessaktivitäten und Kriterien für die Verwertbarkeit von Risiken eingegangen, was das Medizinische Risikomanagement wesentlich von anderen Risikomanagementprozessen z.B. in der Industrie unterscheidet.
Die ISO 31000 beschreibt einen alpgemeingültigen, nicht branchenspezifischen Ansatz, zur Einführung und Durchführung eines organisatorischen Risikomanagements.
Die MaRisk beschreibt die Mindestanforderungen an das Risikomanagement für Banken / Kreditinstitute / Kryptowährungsanbieter. Der Fokus ist die Identifikation, Bewertung und Minimierung von finanziellen Risiken auf Institutsebene, aber auch für das europäische Gesamtbankensystem.
Der Risikoprozess enthält in der Regel mindestens die Elemente der Risikoidentifikation, Risikobewertung, Risikosteuerung und Risikokontrolle. Beispielhaft ist hier ein einfacher Risikoprozess dargestellt. Pro Prozessschritt werden im Rahmen der Einführung des Risikomanagements Verantwortlichkeiten und Aufgaben definiert, und somit der Risikomanagementprozess organisatorisch verankert. Neben dem Kernprozess des Risikomanagements können Abwandlungen, z.B. für Risiken im Bereich der Informationssicherheit, definiert werden.
Risikomanagement ist in vielen Unternehmen ein wesentlicher Bestandteil der Ertragssicherung: Strukturiertes Risikomanagement ermöglicht nicht nur das frühzeitige Erkennen von Risiken und die Ableitung von Maßnahmen zur Reduzierung des Schadenspotentials und der Eintrittswahrscheinlichkeit, sondern auch das Management von Chancen für das Unternehmen.
Das inherent Risk (inhärente Risiko) betrachtet das Risiko welches ohne Mitigierungsmaßnahmen oder Kontrollsysteme bestehen würde.
Operationelle Risiken sind Risiken welche aus dem operationellen Geschäft entstehen: Dies betrifft z.B. das Risiko von kurzfristigen Lieferkettenbeeinträchtigungen und Engpassituationen im Material, Schwankungen von Rohstoffpreisen oder Cyberangriffe auf die Infrastruktur des Unternehmens. Im Bereich der operationelle Risiken muss die schnelle Handlungsfähigkeit gewährleistet sein, da sich die Schäden sonst oftmals innerhalb von kurzer Zeit potentieren.
Der Risk-appetite wird pro Unternehmen, Unternehmensbereich oder Produkt festgelegt und beschreibt das Level von Risiken welches die Organisation gewillt ist zu akzeptieren. Der Risk Appetite hängt maßgeblich von regulatorischen Vorgaben, finanzieller Ausstattung, personeller Situation, Wettbewerbssituation sowie Technologieumfeld ab. Während in Branchen wie der Nahrungsmittelherstellung oder der Medizintechnik der Risiko-Appetit sehr niedrig ist, findet sich im Technologiebereich häufig ein Risikohunger und Innovation wird über mögliche gesamtunternehmerischen Risiken gestellt. Mit Risikomanagment-tool wie TopEase® können effiziente Risk-Appetite Steuerung in Unternehmen implementiert werden.
Im Rahmen der Risiko-Einwertung erfolgt die Bewertung der Risiken nach Eintrittswahrscheinlichkeit und Auswirkung. Je nach Anwendungsfall können im Risikomanagement weitere Parameter bewertet werden, wie z.B. die Auswirkung auf bestimmte Geschäftsbereiche oder Produkte. Darüber hinaus ist es gängig dass auch eine quantitative Einwertung, die Bewertung der möglichen Schadenssummen auf vordefinierte Kategorien, erfolgt. Das Ergebnis der Risikoeinwertung ist die Darstellung der Risiken in Form einer Risikomatrix.
Risk Control Self Assessments (RCSA) verbindet das Risikomanagement mit dem internen Kontrollsystem (IKS). Mittels toolgestützten RCSA Fragebögen wird das Risiko sowie die organisatorischen Kontrollmechanismen und Prozesse bewertet. Das Ziel ist die Aufdeckung von Schwachstellen in der Dokumentation, in der Bewertungslogik, und in den internen Kontrollmechanismen (Design, Kontrolle und Wirksamkeit). Das Ergebnis von RCSA Prozessen sind nicht nur Maßnahmen zur Risikomitigation, sondern auch Verbesserungen in den internen Kontrollprozessen.
Die Verwendung von Risk Controls im Risikomanagement bezweckt die strukturierte Minimierung von Risiken. Das Ziel der Controls ist es Verluste zu begrenzen, Risiken zu verschieben, Risiken zu vermeiden, Risiken zu splitten oder Risiken zu diversifizieren. So kann z.B. über Controls geprüft werden ob Ausfallpläne (Business Continuity) für das Risiko existieren, das Risiko versichert werden kann oder das Risiko verlagert werden kann.
Im Rahmen des Risikomanagements werden die identifizierten Risiken nach verschiedenen Kriterien (z.B. Organisationseinheit, Themen) geclustert. Diese Clusterung der Risiken wird als Risiko-Register bezeichnet, da das Register dann z.B. alle Vertriebsrisiken enthält. Oftmals finden Auswertungen über die Risiken auf Ebene der Risikoregister statt. In Risikomanagmentsoftware wie TopEase® werden Dashboards pro Risikoregister bereitgestellt, um z.B. den Bewertungsstand oder das Risiko-Exposure pro Risikoregister zu analysieren.
Beispielhafte Darstellung von Risikoregistern sowie den zu Grunde liegenden Risiken im System TopEase®.
