Risikomanagement – strategisch und strukturiert

Risikomanagement – strategisch und strukturiert
Lesedauer: 4 Minuten

In einer sich schnell verändernden Welt spielt das Thema Risikomanagement eine immer wichtigere Rolle. Der gekonnte Umgang mit unkalkulierbaren Gefahren ist längst vom Nice-to-have zum Have-to-have geworden. Das frühzeitige Erkennen von Risiken strategischer, operativer, rechtlicher oder finanzieller Art entscheidet darüber, ob Steuerungsmechanismen rechtzeitig greifen und negative Entwicklungen in positive Bahnen gelenkt werden können.

Wir leben in einer VUCA-Welt. Der Begriff entstand bereits 1990. Hintergrund war der Zusammenbruch der Sowjetunion und eine neue Weltordnung, in der auch die Umwelt völlig neu bewertet werden musste. VUCA sollte Klarheit schaffen und steht für V = Volatilität / Unbeständigkeit, U = Uncertainty / Unsicherheit, Complexity / Komplexität, A = Ambiguity / Mehrdeutigkeit. Heute, mehr als 30 Jahre später, beschreiben diese Begriffe unsere moderne (Arbeits-)Welt besser denn je. Wenn wir z.B. wissen, wo es Unsicherheiten gibt, haben wir die Möglichkeit, schon im Vorfeld zu überlegen, was wir dagegen tun können. Das ist Risikomanagement.

Versuch einer Definition

Unter Risikomanagement versteht man die systematische Erfassung und Bewertung von Risiken für die Geschäftstätigkeit. Doch das ist längst nicht alles! Es reicht nicht aus, die Risiken zu erfassen und zu bewerten, denn das würde nur den Ist-Zustand darstellen. Deshalb der zweite wichtige Punkt: Risikomanagement hilft Unternehmen, betriebliche, rechtliche und prozessuale Risiken zu erkennen und durch vorbeugende Maßnahmen zu reduzieren. Ein Risiko kann aber auch etwas Positives sein, weil es uns aufmerksam macht, weil wir dadurch unter Umständen etwas „verbessern“ oder steigern können. Vorausgesetzt, der Risikomanagementprozess funktioniert:

Ein gutes Risikomanagement verlangt nach einer systematischen Vorgehensweise. Die ISO-Norm 31000:2018 legt beispielsweise Leitlinien fest, die den Umgang mit Risiken in einer Organisation beschreiben. Die Anwendung dieser Leitlinien kann an jedes Unternehmen in seiner spezifischen Umgebung angepasst werden. Das Ablaufschema startet immer mit der Frage nach dem Kontext. Sind wir eher im Projektbereich oder in der strategischen Planung unterwegs oder bewegen wir uns auf der operativen Ebene? Letzteres wäre beispielweise ein Stromausfall, aufgrund dessen ein Unternehmen nicht mehr produzieren kann. Der erste wichtige Schritt im Bereich Risikobeurteilung ist die Risikoidentifikation, gefolgt von der Risikoanalyse (Ursachen und Auswirkungen beschreiben) und schließlich der Risikobewertung. Hilfreich für die Risikoidentifikation sind neben Datenbanken, in die Erfahrungswerte von anderen Unternehmen einfließen, vor allem eigene interne Risikofindungs-Workshops, bei denen man mit kreativen Techniken wie Brainstorming/-writing versucht herauszufinden, was alles passieren könnte. Haben wir die Risiken erfasst und klassifiziert, müssen wir entscheiden, welche Gefahren sie für unser Unternehmen darstellen.

Schritt für Schritt ergeben sich aus dieser Bewertung klare Kriterien für bestimmte Risiken einschließlich möglicher Strategien und konkreter Maßnahmen. Parallel dazu ermöglicht die Risikoidentifikation eine Einordnung, welche Risiken wir noch oder schon immer haben, welche neu hinzugekommen oder vielleicht sogar verschwunden sind. Risiken zu überwachen und zu überprüfen bedeutet immer auch, zu vergleichen: Stimmt die Einschätzung von letzter Woche/letzten Monat noch? Oder haben sich bestimmte Parameter verändert und damit auch die Bewertung? Bei den Maßnahmen ist zu prüfen, welche geplant sind, ob sie rechtzeitig umgesetzt werden können oder ob die getroffenen Maßnahmen bereits zur Risikominimierung beigetragen haben.

Die elementaren Gefährdungen im Unternehmen

Die Pandemie hat uns gelehrt: Von einem Tag auf den anderen kann alles anders sein. Trotzdem hat das nur bedingt mit dem Thema zu tun. Die Gesetzgebung schreibt Risikomanagement in vielen Bereichen seit langem vor. Neben der Verpflichtung gibt es aber Unternehmen, die durch die Erlebnisse mit der Pandemie einen anderen Fokus auf das Thema gelegt haben. Der Schock sitzt tief und man möchte auf mögliche zukünftige Ereignisse dieser Art besser vorbereitet sein. Unabhängig von diesem globalen Problem gibt es natürlich auch kleinere regionale oder branchenbezogene Vorkommnisse bis hin zu persönlichen Schicksalsschlägen, die sich mit einem strategischen Risikomanagement leichter und besser bewältigen lassen. Werfen wir einen Blick auf mögliche Beispiele für Unternehmensrisiken:

Das Bundesamt für Sicherheit in der Informationstechnik BSI hat 47 elementare Gefährdungen für IT-Unternehmen aufgelistet[1]. Die einzelnen Gefahrenstellen werden in einem Dokument vorgestellt, verbunden mit Empfehlung, wie man damit umgehen kann. Grundsätzlich lassen sich Risiken in unterschiedliche Bereiche aufteilen. Bei externen Risiken, die das Umfeld (Gesetze, räumliche Bedingungen u.a.) betreffen, haben wir wenig Einfluss. Wir müssen Ereignisse erst einmal so hinnehmen, wie sie eintreten und auch wann dies geschieht. Natürlich können wir uns beispielsweise auf Gesetze rechtzeitig vorbereiten, sie verhindern können wir nicht. Bei internen Risiken haben wir im Normalfall mehr Einfluss, bereits auf die Eintrittswahrscheinlichkeit und vor allem darauf, was und wann wir etwas dagegen oder dafür tun können.

Risikobewertung = Eintrittswahrscheinlichkeit + Schaden (+ Zeitfaktor)

Haben wir als Unternehmen alle Risiken gesammelt, sie klassifiziert, Ursachen und Auswirkungen beschrieben, können wir zur Risikobewertung kommen. Zwei Kriterien sind hier relevant: erstens die Eintrittswahrscheinlichkeit und zweitens die Schadenshöhe. Schließlich haben wir noch einen dritten Punkt, der manchmal vernachlässigt wird, weil es für die Bewertung nicht unbedingt relevant, umgekehrt aber sehr wichtig für die Planung der Maßnahmen ist: die Eintrittsnähe, sprich der Zeitfaktor. Abhängig davon, ob wir ein Risiko in der nächsten Woche oder erst in einem Jahr erwarten, ist schließlich, wie wir Maßnahmen planen. Für die Bewertung bleiben wir allerdings erst einmal bei der Kombination aus Eintrittswahrscheinlichkeit und Auswirkungen, die folgende Grafik wunderbar demonstriert:

Darauf aufbauend lässt sich eine Risikomatrix erstellen/der Risikowert berechnen:

Grundsätzlich ist es immer sinnvoll beim Umgang mit und der Behandlung von Risiken zu überlegen, wie nutzen wir als Unternehmen unsere Stärken, um Gefahren auszuweichen bzw. Chancen zu ergreifen. Treffen hingegen Schwächen auf Risiken, ist das für Unternehmen meist weitaus herausfordernder. Aus der zuvor erstellten Risikomatrix ergeben sich vier Strategien:

Bei der Risikovermeidung geht es darum, dem Risiko – sofern möglich – komplett aus dem Weg zu gehen. Bei der Risikoreduktion, die Eintrittswahrscheinlichkeit des Risikos zu senken oder die Tragweite (des Schadens) zu reduzieren. Beim Risikotransfer tragen wir das Risiko nicht selbst, sondern übergeben es an einen Beteiligten (Beispiel: Factoring). Letzte Möglichkeit ist die Risikoakzeptanz, bei der wir – genau – gar nichts tun! Zumindest für den Moment. Natürlich lohnt es sich auch hier, immer mal wieder einen Blick auf die Risiken zu werfen. Aus diesen Strategien können wir schließlich Maßnahmen ableiten – konkrete Aktivitäten, die geplant werden und präventiv oder korrektiv sein können. Ein Beispiel: Wenn ich weiß, dass im Treppenhaus die Treppen gewischt wurden, sie glitschig sind, ich ausrutschen und hinfallen kann, könnte ich als korrektive Maßnahme eine Matratze an den Fuß der Treppe legen, auf die ich falle und damit das Verletzungsrisiko minimiere. Präventiv wäre es, die Eintrittswahrscheinlichkeit für das Ausrutschen zu minimieren, indem ich oben an der Treppe warte, bis diese trocken ist.

Risikomanagement ist ein sehr umfassendes Thema und hat dementsprechend ein breites Feld an möglichen Bewertungen und Behandlungen von Gefährdungen im Unternehmen. Je mehr Experten man befragt, umso mehr Meinungen gibt es. Wichtig im Risikomanagement ist immer ein strategisches und strukturiertes Vorgehen. Dafür braucht es das Bewusstsein und gut ausgebildete Mitarbeiter. Stärken Unternehmen also die Kompetenz Risikomanagement, amortisiert sich die Investition meist schneller als gedacht. Menschliche Fehler oder maschinelles Versagen, die VUCA-Welt oder viele kleine alltägliche Gefährdungen – all das lässt sich meistern. Mit identify, assess, measure gehören unvorhersehbare Risiken ab sofort der Vergangenheit an!

[1] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/Elementare_Gefaehrdungen.htm

Über die Autoren:

Russell_KenrickRussell Kenrick, CEO von TSG Training und der ILX Group, ist seit 15 Jahren im Gebiet L&D tätig. Seine Leidenschaft liegt in den Bereichen persönliche Entwicklung, datengetriebene Entscheidungsfindung und Lerntechnologie, die bei der Transformation von Unternehmen und Arbeitsplätzen eine immer größere Rolle spielen. Neben dem Geschäftswachstum zeichnet er verantwortlich für das Schulungsportfolio sowie die Karriereentwicklung der ILX-Mitarbeiter.

Sidra SammiSidra Sammi ist bei der ILX Group für die Geschäftsentwicklung DACH verantwortlich. Ihre Stärke liegt im Identifizieren spezifischer Herausforderungen in Organisationen und der Präsentation maßgeschneiderter Lösungen. In ihrer vorherigen Rolle als Territorialmanagerin für die europäischen Märkte bei Axelos agierte sie als zentrale Anlaufstelle für Unternehmen, die Best-Practice-Methoden wie PRINCE2, ITIL und PRINCE2 Agile nutzen.

 
Werbung
Wissen vermehrt sich, wenn man es teilt:
Gastautor
Gastautor
Bei 3 Minuten Coach schreiben anerkannte Experten über interessante Themen in den Bereichen Bewerbung, Karriere, Online Reputation, Soft Skills, Effektivität & Effizienz, Management, Vertrieb und Weiterbildung. Nähere Informationen zu den einzelnen Autoren befinden sich am Ende jedes Beitrages.

Ähnliche BeiträgeMehr Beiträge

Wie denkst du darüber? Teile uns deine Meinung mit! Hinterlasse doch einen Kommentar: