Über 120 ISO-Experten
Seit über 14 Jahren

Risikomanagement – Definition, Prozess und Zertifizierung

Das Risikomanagement dient der Identifizierung und Bewertung von Risiken, um die Eintrittswahrscheinlichkeit von Gefahren für und in Unternehmen zu minimieren. Ein nach ISO 31000 zertifiziertes Risikomanagementsystem kann zum Unternehmenserfolg beitragen und ist häufig eine Voraussetzung für das Zustandekommen von Geschäftsbeziehungen.

Auf ISO-VERGLEICH24.de finden Sie erfahrene Experten für die Zertifizierung Ihres Risikomanagementsystems und können diese direkt für ein kostenloses Erstgespräch kontaktieren.

  1. ISO-Norm 31000 auswählen
  2. Gewünschte Dienstleistung angeben, z. B. externes Audit
  3. Postleitzahl angeben und ISO-Experten vergleichen

Im Anschluss an das kostenfreie Erstgespräch erhalten Sie ein unverbindliches und transparentes Angebot mit allen Leistungen.

Definition: Was ist Risikomanagement?

Als Risikomanagement wird die systematische Analyse, Bewertung und Minimierung von Risiken in Unternehmen bezeichnet. Dazu zählen alle Vorgänge und Maßnahmen mit dem Zweck, die Eintrittswahrscheinlichkeit von Gefahren und Risiken zu minimieren. Dazu werden häufig Risikomanagementsysteme gemäß der international anerkannten Norm ISO 31000 angewandt.

Als Risiko versteht die Norm ungewisse Ereignisse mit potenziell negativen Auswirkungen. Demnach ist der Eintritt des Ereignisses ungewiss, während der Schaden im Eintrittsfall in der Regel jedoch konkret zu bemessen ist. Das allgemeine Ziel des Risikomanagements besteht darin, Risikofaktoren bereits vor Eintritt des Schadensereignisses zu beseitigen oder zu minimieren.

Ziele und Aufgaben

Die Aufgaben des Risikomanagements bestehen in der Kontrolle und Steuerung von Risiken und Gefahren im Unternehmen oder in der Organisation. Dazu muss eine systematische Risikoidentifizierung erfolgen und eine Priorisierung der aufgedeckten Risiken erfolgen. Dabei wird auch das Gesamtrisiko des Unternehmens beurteilt, in dem die identifizierten Einzelrisiken in einer Risikoaggregation gemeinsam betrachtet werden.

Zusätzlich verfolgt das Risikomanagement nach ISO 31000 einen risikobasierten Ansatz, der auf einer systematischen Überwachung aller für ein Unternehmen relevanten Faktoren fußt und mit dem kontinuierlich wiederholbaren PDCA-Zyklus (Plan, Do, Check, Act) realisiert werden kann.

So soll eine stetige Verbesserung erzielt werden, die etwa auf folgende Ziele einzahlt:

  • Nachhaltige Risikominimierung
  • Verbesserte Reaktionsfähigkeit bei unerwarteten Ereignissen
  • Steigerung der Unternehmensleistung
  • Reduktion der durch unerwartete Ereignisse verursachten Kosten
  • Schutz des Bildes vom Unternehmen in der Öffentlichkeit, bei Kunden und Mitarbeitenden

Beispiele für Risiken im Risikomanagement

Unternehmen können mit vielen verschiedenen Risikosituationen konfrontiert werden. Im Folgenden finden Sie Beispiele für unterschiedliche Risiken, die durch den Risikomanagementprozess gesteuert und kontrolliert werden sollten:

  • Rechtliche Risiken: Je nach Branche sind Unternehmen in unterschiedlichem Ausmaß mit rechtlichen Risiken konfrontiert. So gelten etwa für Akteure der kritischen Infrastruktur oder im Bereich der Arbeitssicherheit besondere Anforderungen. Mängel können bei Kontrollen oder Schadensereignissen hohe Kosten und Imageschäden auslösen bzw. verursachen.
  • Operative Risiken: Risiken auf operativer Ebene betreffen häufig die Produktion. So können etwa Verzögerungen in Lieferketten oder fehlerhafte Teile zu einem Stillstand der Produktion beim Unternehmen und weiterverarbeitenden Kunden führen. Dies kann zu längeren Lieferzeiten, Stornierungen oder auch hohen Ausfall- oder Stillstandskosten führen.
  • Prozessbedingte Risiken: Ineffiziente und mangelhaft organisierte Prozesse können die Ursache von Risikosituationen sein. Verläuft etwa die Kommunikation zwischen der Projektleitung und den ausführenden Beschäftigten verzögert oder missverständlich, können Informationen verloren gehen und Fehler in der Produktion auftreten.

Um die Eintrittswahrscheinlichkeit von Risiken unternehmensübergreifend zu minimieren, folgt das Risikomanagement einem ganzheitlichen Ansatz, der alle relevanten Unternehmensbereiche berücksichtigt. Risikomanagement findet demnach sowohl auf strategischer als auch auf operativer Ebene statt und bindet die Unternehmensführung sowie die Beschäftigten gleichermaßen ein.

Der Prozess – Risikomanagement in der Praxis

In der Praxis umfasst das Risikomanagement den Einsatz von Menschen, Technologien und die Optimierung von betrieblichen Prozessen. Der Risikomanagementprozess umfasst im Wesentlichen drei grundlegende Schritte:

1. Risikoidentifikation

Im ersten Schritt geht es darum, Risiken für das Unternehmen, den reibungslosen Ablauf des geschäftlichen Betriebs und die Beschäftigten zu identifizieren. Dazu ist es notwendig, den Unternehmenskontext zu verstehen und mögliche Risikosituationen zu erkennen.

So kann ein Unternehmen etwa von IT-Sicherheitsrisiken durch Malware, einem Produktionsstillstand durch fehlerhafte Zulieferteile, Arbeitsunfälle, Naturkatastrophen und weitere ungewisse Ereignisse bedroht sein.

2. Risikobewertung

In einer Risikoanalyse wird die Eintrittswahrscheinlichkeit der verschiedenen Ereignisse bewertet und das zu erwartende Schadensausmaß im Falle eines Eintritts beziffert. Anschließend erfolgt eine Priorisierung der ermittelten Risiken. Dazu wird eine Kosten-Nutzen-Analyse auf Basis der primären Risikokriterien – Eintrittswahrscheinlichkeit und zu erwartende Auswirkung – durchgeführt. 

3. Risikobewältigung

Bei der Risikobewältigung geht es um die Steuerung und Kontrolle von Risiken zur Reduzierung der Eintrittswahrscheinlichkeit. Dazu werden Gegenmaßnahmen ergriffen, Prozesse angepasst und Strategien zur Risikominderung erstellt.

Um den Verbesserungsprozess zu steuern, wird für gewöhnlich ein Projektteam mit der Planung, Umsetzung und Überwachung des Risikomanagementsystems beauftragt. Dabei ist wichtig, dass Risikomanagement als ganzheitliche und kontinuierlich umzusetzende Strategie verstanden wird, die alle Unternehmensbereiche umfasst.

Kontinuierliche Verbesserung mit dem PDCA-Zyklus

Die ISO 31000 sieht eine kontinuierliche Verbesserung bei der Risikominimierung vor. Dieser Ansatz ist unter anderem mit dem Vier-Phasen-Modell des PDCA-Zyklus realisierbar.

  • Plan – Planung: Der Unternehmenskontext wird analysiert, Risiken sowie Chancen identifiziert und Ziele definiert.
  • Do – Umsetzung: Es werden Maßnahmen zur Risikominimierung abgeleitet und in einem Risikomanagementsystem im Unternehmen umgesetzt.
  • Check – Überwachung: Der Ist-Zustand wird mit dem erwünschten Ergebnis verglichen und die Wirksamkeit des Managementsystems wird überprüft.
  • Act – Handlung: Schwachstellen werden beseitigt, weitere Maßnahmen abgeleitet und gegebenenfalls neue Ziele definiert.

Der Zyklus kann beliebig oft wiederholt werden und eignet sich für das Risikomanagement unter sich fortlaufend ändernden Bedingungen. Wurden die Ziele erreicht, werden sie zur weiteren Verbesserung angepasst und der Prozess beginnt erneut.

Strategien im Umgang mit Risiken

Während einige Strategien des Risikomanagements explizit auf die Risikominimierung abzielen, fokussieren sich andere auf die Optimierung des Chancen-Risiko-Verhältnisses. Die folgenden Methoden zählen zu den häufigsten Reaktionen auf Risiken.

Risiken vermeiden

Mitunter sind Risiken gänzlich vermeidbar. Das ist bspw. dann der Fall, wenn bestimmte Prozesse oder Aktivitäten, die sich negativ auf das Unternehmen auswirken könnten, für den Unternehmenserfolg nicht zwingend erforderlich sind. Dazu zählt etwa der Verzicht auf unsichere Investitionen.

Risiken reduzieren und begrenzen

Häufig ist es nicht möglich, Risiken gänzlich zu vermeiden. Dann ist es erforderlich, die bestehenden Risiken zu priorisieren und zunächst die größten Gefahren zu minimieren. So können größere Probleme vermieden werden, auch wenn ein Restrisiko des Eintritts schädlicher Ereignisse fortbesteht. Der potenzielle Verlust sollte gering genug sein, um das Unternehmen nicht zu gefährden. Dazu eignet sich eine Definition von Grenzen, die die zu erwartenden Auswirkungen nicht überschreiten dürfen.

Risiken übertragen

Bei der Risikoübertragung wird das eigene Risiko an eine dritte Partei weitergegeben. Ein klassisches Beispiel ist die Versicherung von bestimmten Schadensfällen, bei der ein Risikotransfer an die Versicherungsgesellschaft stattfindet. Dazu zählen etwa Brand-, Gebäude- und Haftpflichtversicherungen.

Risiken teilen

Bei der Risikoteilung auf mehrere Parteien fällt das Risiko für den Einzelnen geringer aus. Dieses Modell wird etwa in Aktiengesellschaften angewandt, in denen sich mehrere Akteure das Kapitalrisiko teilen. 

Finden Sie erfahrene Experten für Ihr Risikomanagement

Mit ISO-VEGLEICH24.de finden Sie schnell und kostenlos erfahrene Berater und Auditoren für die erfolgreiche Umsetzung Ihres Risikomanagements oder die Zertifizierung Ihres Risikomanagementsystems. Auf Wunsch können Sie direkt ein kostenfreies Erstgespräch vereinbaren und erhalten ein unverbindliches sowie transparentes Angebot.

 ©2024 QbD GmbH