1. Startseite
  2. Wissen kompakt
  3. Risikomanagement

Risikomanagement

Inhaltsverzeichnis: DefinitionZieleAufgabenFragen aus der PraxisDownloadHinweise

Wissen kompakt: Risikomanagement ist ein Prozess zur frühzeitigen Erkennung und Überwachung von Risiken, mit dem Ziel, die Risikoeintrittswahrscheinlichkeit und die Risikokosten zu reduzieren.

Risikomanagement – der bewusste Umgang mit Risiken in einer Organisation

Risiken sind ein integraler Bestandteil unternehmerischen Handelns, da die Zukunft und die Auswirkungen von Handlungen nicht sicher vorhersehbar sind. Risikomanagement ist ein Prozess mit dem Ziel, Risiken so früh wie möglich zu erkennen, sie nachvollziehbar zu überwachen und mögliche Kosten zu vermeiden.

Ein Risiko ist eine Gefahr, die eine Organisation, ein Projekt oder eine Entwicklung gefährdet. Entsprechend definiert die ISO-Norm 31000:2018 Risikomanagement als “koordinierte Aktivität zur Lenkung und Steuerung einer Organisation in Bezug auf Risiken.”¹

Risikomanagement umfasst demnach sämtliche Aspekte von der systematischen und kontinuierlichen Identifikation und Analyse, Bewertung und Priorisierung von Risiken, bis hin zur Definition von Maßnahmen zur Vermeidung und Minimierung oder Duldung, und dem Festlegen von Verantwortlichkeiten sowie der Erfolgskontrolle der Maßnahmen.

Ziele im Risikomanagement

Grundsätzlich kann das Risikomanagement zwei Ziele verfolgen:

  1. die Reduzierung der Risikoeintrittswahrscheinlichkeit und
  2. die Reduzierung des Schadensausmaßes.

In der Praxis gibt es immer wieder Diskussionen über die Bestimmung der Eintrittswahrscheinlichkeit, da diese häufig als Extrapolation aus vergangenen Erfahrungen erfolgt. Dies gilt als schwierig, denn Projekte sind an sich einmalig und viele Erfahrungen lassen sich nicht sinnvoll auf andere Situationen und Vorhaben übertragen. Die Gefahr einer illusorischen, psychologischen Sicherheit droht.

Ein kleines Beispiel:

Ein Männchen möchte einen Graben überwinden (siehe Grafik). Einmal ist dieser flach und breit, dann schmal und flach, dann schmal und tief und zuletzt tief und breit.

  • flach und breit = hohe Risikoeintrittswahrscheinlichkeit, geringes Schadensausmaß
  • schmal und flach = geringe Risikoeintrittswahrscheinlichkeit, geringes Schadensausmaß
  • schmal und tief = geringe Risikoeintrittswahrscheinlichkeit, hohes Schadensausmaß
  • tief und breit = hohe Risikoeintrittswahrscheinlichkeit, hohes Schadensausmaß

Der Graben beeinflusst sowohl die Eintrittswahrscheinlichkeit des Hineinfallens als auch das mögliche Schadensausmaß.

Risikomanagement - der bewusste Umgang mit Risiken

Schematisch lässt sich dies einfach visualisieren, aber in der Praxis des Risikomanagements ist dies alles andere als einfach.

Aufgaben im Risikomanagement

Risikomanagement ist eine wichtige Tätigkeit in Organisationen und beinhaltet u. a. folgende Aufgaben:

  • Identifikation und Dokumentation von Risiken mit Ursache und Wirkung.
  • Bestimmung von Eintrittswahrscheinlichkeiten, Schadensausmaß, sowie potenzielle Verzögerungen und Kosten.
  • Übersichtliche Darstellung bspw. mit einer Risikomatrix, die eine Menge von Risiken meist in Abhängigkeit ihrer Eintrittswahrscheinlichkeiten und potenziellen Auswirkungen visualisiert.
  • Definition und Dokumentation von Maßnahmen zur Vermeidung, Verminderung, Überwälzung oder Duldung.
  • Kontinuierliche Überwachung der Risiken und Maßnahmen sowie die Definition von Verantwortlichkeiten.
  • Gemeinsame Verwaltung sämtlicher Informationen (vom Personalrisiko bis zum technischen Risiko) in einem gemeinsamen System.
  • Berücksichtigung der Risiken in anderen Unternehmensdisziplinen wie u.a. Projektmanagement, Anforderungsmanagement oder Änderungsmanagement.
  • Regelmäßige Kommunikation über Risiken, bspw. im Projekt mit Projektbeteiligten oder im Lenkungsausschuss.

Unternehmen sollten bedenken, dass Risikomanagement ein Prozess bzw. eine kontinuierliche Aufgabe ist.

Fragen aus der Praxis

Hier finden Sie einige Fragen und Antworten aus der Praxis:

Was ist der Unterschied zwischen Gefahr, Risiko und Wagnis?

Es ist wichtig, die Begriffe Gefahr, Risiko und Wagnis klar voneinander abzugrenzen:

Eine Gefahr besteht, wenn eine Sachlage eine schädliche Wirkung entfaltet. Voraussetzung ist die Exposition einer Person, einer Gruppe von Personen oder von Gegenständen. Ein Feuer in einem Bürogebäude in Stuttgart stellt für ein Entwicklungsteam in Berlin keine Gefahr dar. Würde sich das Team aber im entsprechenden Gebäude in Stuttgart aufhalten, wäre es gefährdet.

Ein Risiko ist eine nach Eintrittswahrscheinlichkeit und Schadensausmaß bewertete Gefahr. Oder: Ein Risiko ist die bewertete Gefahr einer negativen Zielabweichung. Beispiel: Steht in dem Stuttgarter Bürogebäude der Server, auf dem die Ergebnisse des Berliner Entwicklungsteams gehostet werden, besteht das Risiko, dass sich die gesamte Arbeit bei einem Feuer in Rauch auflöst. In Abhängigkeit von der investierten Arbeitsleistung oder bestehender Vereinbarungen mit Kunden steigt das Schadensausmaß.

Unter einem Wagnis wird das bewusste Eingehen von Risiken verstanden. Wurde auf eine separate Ablage bzw. ein Backup der Ergebnisse des Entwicklungsteams an einem anderen Standort verzichtet, dann wäre das ein Wagnis. Hier könnte auch von einer Duldung gesprochen werden.

Welche Begriffe sind wichtig im Risikomanagement?

Es ist wichtig, in Organisationen ein gemeinsamens Verständnis von Begriffen zu haben, insbesondere da in unterschiedlichen Branchen unterschiedliche Begriffe verwendet werden.

Risikoidentifikation: Die systematische Ermittlung aller auf eine Organisation, ein Projekt oder eine Entwicklung einwirkenden Risiken.

Risikoanalyse: Die systematische Analyse aller ermittelten Risiken. Je nach Perspektive kann sie im Sinne eines Risikomanagementprozesses die Identifikation und Bewertung umfassen oder auf die Identifikation folgen.

Risikobewertung: Die Beurteilung der identifizierten und analysierten Risiken, insbesondere auf Eintrittswahrscheinlichkeiten und Schadensausmaße der Risiken.

Risikopriorisierung: Die Schnittstelle im Risikomanagementprozess zwischen der Bewertung und der Handhabung im Sinne einer Vermeidung, Minimierung oder Begrenzung. Hier wird also die Handhabung – bspw. die Beobachtung von Risiken oder das Treffen von Maßnahmen.

Risikovermeidung: Bezeichnung für das Unterlassen von riskanten Aktivitäten, wie bspw. die Entwicklung neuer Lösungen bei unklaren Marktinformationen oder Gesetzeslagen.

Risikominimierung: Maßnahmen, mit denen die Eintrittswahrscheinlichkeit oder das Schadensausmaß gesenkt wird. Wird auch im Kontext von Maschinensicherheit benutzt und dort durch inhärent sicherer Konstruktion, Schutzmaßnahmen und Benutzerinformationen adressiert.

Risikodiversifikation: Maßnahmen, die ein großes Risiko in kleinere Risiken aufteilt: Beispiel: Verlust bei Transport einer großen Warenlieferung. Alternative: Lieferung einzelner Bestandteile auf unterschiedlichen Wegen.

Risikotransfer: Teilweise oder vollständige Übertragung der im Zuge der Analyse festgestellten Risiken an Dritte, bspw. durch den Abschluss von Versicherungen oder die Vereinbarung von Kooperationen. Alternativ wird auch der Begriff der Überwälzung verwendet.

Risikovorsorge: Ein Begriff aus der Finanzbranche, der Wertberichtigungen und Rückstellungen bei möglichen Kreditausfällen umfasst.

Risikobewältigung: Alle Maßnahmen zur Vermeidung, Minderung, Diversifikation, Transfer und Vorsorge von Risiken.

Risikokontrolle: Die Überwachung der identifizierten und analysierten Risiken sowie der Maßnahmen zur Vermeidung und Minimierung.

Welche Risikomanagement-Methoden gibt es?

Hier finden Sie eine Auswahl von Methoden für professionelles Risikomanagement:

Eine Risikomatrix – manchmal auch als “Risikodiagramm” bezeichnet – visualisiert eine Menge von Risiken in Abhängigkeit ihrer Eintrittswahrscheinlichkeiten und potenziellen Auswirkungen. Sie repräsentiert die Risikolage und ist ein Instrument der Risikokommunikation.

Die Fehlermöglichkeits- und Einfluss-Analyse FMEA (Failure Mode and Effect Analysis) ist eine Methode zur System- und Risikoanalyse mit der Zielsetzung, potenzielle Risiken in Systemen, Produkten und Prozessen frühzeitig zu finden. Sie definiert 7 Schritte:

  1. Betrachtungsumfang (Scoping)
  2. Strukturanalyse
  3. Funktionsanalyse
  4. Fehleranalyse
  5. Maßnahmenanalyse Ist-Zustand
  6. Optimierung Soll-Zustand
  7. Risiko- und Ergebnisdokumentation

Das DRBFM (Design Reviw Based on Failure Modes) ist ein ursprünglich von der Toyota Motor Corporation entwickeltes Werkzeug und basiert auf der Überlegung, dass Konstruktionsprobleme auftreten, wenn Änderungen an bestehenden technischen Konstruktionen vorgenommen werden, die sich bereits als erfolgreich erwiesen haben. Ziel der Methode ist es, kollaborativ möglichst frühzeitig ein robustes Design zu entwerfen, wobei sich die beteiligten Experten Gedanken über mögliche Fehler im Zuge von Veränderungen machen, und mögliche Fehler in einem Formblatt hinterlegen, bewerten und ggf. Maßnahmen ableiten.

Die Fehlerbaumanalyse ist eine Methode zur Analyse unerwünschter Ereignisse, bei der das Zusammenwirken potenzieller Ursachen für ein unerwünschtes Ereignis mithilfe von logischen Verknüpfungen mittels Baumdiagramm visualisiert wird. Sie eignet sich für die Analyse zentraler Risiken und Ursachenketten für aufgetretene Fehler, sowie die präventive Identifikation möglicher Ausfallrisiken.

In manchen Publikationen wird auch von einem Risiko Monitoring gesprochen; ob dies jedoch eine eigenständige Methode darstellt, ist eher umstritten.

Welche Normen, Gesetze und Regeln adressieren Risikomanagement?

Risikomanagement ist ein wichtiger Bestandteil vieler Normen, Gesetze und Regeln in verschiedenen Branchen und Ländern. Hier sind einige Beispiele:

  • ISO 31000: Diese Norm der Internationalen Organisation für Normung (ISO) legt die Grundsätze und Leitlinien für das Risikomanagement fest und bietet einen allgemeinen Rahmen, der auf verschiedene Organisationen und Branchen angewendet werden kann.
  • Basel III: Dieser internationale Standard für Banken legt regulatorische Anforderungen für das Risikomanagement und die Kapitalanforderungen fest, um die Stabilität des Finanzsystems zu fördern.
  • COSO Framework: Das “Committee of Sponsoring Organizations of the Treadway Commission” (COSO) Framework ist ein Rahmenwerk, das von Unternehmen in vielen Ländern verwendet wird, um interne Kontrollen und Risikomanagementprozesse zu etablieren.
  • Sarbanes-Oxley Act (SOX): Dieses US-amerikanische Gesetz legt Standards für die finanzielle Berichterstattung von Unternehmen fest und enthält auch Anforderungen an das Risikomanagement und die interne Kontrolle.
  • MaRisk: Die Mindestanforderungen an das Risikomanagement (MaRisk) sind ein Regelwerk in Deutschland, das von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für Banken und Finanzdienstleistungsinstitute herausgegeben wird.
  • GDPR (Datenschutz-Grundverordnung): Die Datenschutz-Grundverordnung der Europäischen Union enthält Anforderungen und Best Practices für den Schutz personenbezogener Daten, einschließlich Aspekten des Risikomanagements im Zusammenhang mit Datenschutzverletzungen und Datenschutzfolgenabschätzungen.
  • Das Kontroll- und Transparenzgesetz (KonTraG) ist ein deutsches Gesetz, das im Jahr 1998 eingeführt wurde. Es legt die Verantwortung des Vorstands von Aktiengesellschaften für die Implementierung eines Risikomanagementsystems fest, um Risiken zu identifizieren, zu bewerten und zu steuern. KonTraG verlangt regelmäßige Risikoanalysen, Maßnahmen zur Risikobegrenzung sowie transparente Berichterstattung über Risiken und den Stand des Risikomanagements.

Über die genannten Beispiele hinaus existieren spezifische Standards und Richtlinien in verschiedenen Branchen und Industrien, die das Risikomanagement betreffen. Zum Beispiel gibt es in der pharmazeutischen Industrie die ICH-GCP-Richtlinien (Good Clinical Practice), die Anforderungen an das Risikomanagement in klinischen Studien festlegen.

Was sind die 6 Stufen des Risikomanagements?

Werner Gleißner und Wolfgang Mott haben in “Risikomanagement auf dem Prüfstand – Nutzen, Qualität und Herausforderungen in der Zukunft” eine Klassifizierung des Risikomanagements von Unternehmen anhand von 6 Stufen beschrieben:

Stufe eins: Hier gibt es kein Risikomanagement. Die Unternehmensführung hat kaum ein Bewusstsein für Risiken und es gibt kein systematisches Vorgehen. Entscheidungen, die auf Gefahren reagieren, sind selten.

Stufe zwei: Hier beginnt das Schadensmanagement. Das Unternehmen erkennt bestimmte Risiken und ergreift Maßnahmen, um diese zu verhindern. Es berücksichtigt auch Regelungen wie Umweltschutz und Arbeitsschutz. Bei größeren Risiken schließt das Unternehmen Versicherungen ab, um Schäden zu minimieren. Es gibt jedoch kein spezifisches Instrument zur Gefahrenbeurteilung und Risikomaßnahmenpläne werden in isolierten Teams bearbeitet.

Stufe drei: Hier beginnt das regulatorische Risikomanagement. Das Unternehmen hat ein kontinuierliches Risikomanagementsystem. Es überwacht und bewertet ständig Risiken. Alle Risiken bilden das Risikoinventar. Informationen wie Umfang, Verantwortlichkeit und Turnus werden schriftlich festgehalten. Für wichtige Risiken entwickelt das Unternehmen Strategien zur Bewältigung.

Stufe vier: Hier beginnt das ökonomische, entscheidungsorientierte Risikomanagement. Das Unternehmen betrachtet sowohl Gefahren als auch Chancen als Risiken. Es hat ein umfassendes, softwaregestütztes Risikomanagementsystem. Das Ziel ist ein flexibles und bewegliches Risikomanagement, das eng mit der Strategieentwicklung verknüpft ist.

Stufe fünf: Hier beginnt das integrierte wertorientierte Risikomanagement. Der Risikomanagement-Prozess ist eng mit der operativen Ebene des Unternehmens verknüpft. Alle Planungen können Risiken zugeordnet werden, was eine Planungssicherheit ermöglicht. Das Unternehmen kann den Wertbeitrag berechnen und strategische Züge in Bezug auf Risiken bewerten.

Stufe sechs: Hier beginnt das eingebettete Risikomanagement. Die Bewertung des risikogerechten Ertragswertes spiegelt die Risikopräferenz des Eigentümers wider und bildet die Grundlage für strategische und operative Entscheidungen. Das Risikomanagement ist fest in der Unternehmenskultur und im unternehmerischen Denken integriert.

Geht es nach Gleißner und Mott, ist gutes Risikomanagement ein Erfolgsfaktor für jedes Unternehmen. Es sollte möglichst viele Mitarbeiter einbeziehen, um der Unternehmensführung die Möglichkeit zu geben, Risiken richtig zu erfassen und zu bewerten. Die Geschäftsführung muss der “Oberste Risikomanager” sein, da sie maßgebliche Entscheidungen über den Risikoumfang trifft. Sie sollte Strategien und feste organisatorische Muster und Methoden anwenden, um sicherzustellen, dass mögliche “bestandsbedrohende Entwicklungen” früh erkannt werden.

Welche Bedeutung hat Psychologie bei der Einschätzung und Bewertung von Risiken?

Die Psychologie spielt eine entscheidende Rolle bei der Einschätzung und Bewertung von Risiken. Hier sind einige Aspekte, wie Psychologie das Risikoverhalten beeinflusst:

Menschen bewerten Risiken basierend auf ihrer Wahrnehmung, die stark von psychologischen Faktoren beeinflusst wird. Persönliche Erfahrungen, kulturelle Hintergründe und emotionale Reaktionen beeinflussen die Risikowahrnehmung. Was für eine Person als hochriskant erscheint, kann für eine andere Person weniger bedrohlich sein.

Menschen verwenden vereinfachende Denkmodelle oder Heuristiken, um Risiken zu bewerten, was zu systematischen Verzerrungen führen kann. Zum Beispiel stützen sich Menschen oft auf leicht verfügbare Informationen oder überschätzen Risiken aufgrund ihrer Präsenz in den Medien. Zudem führt der Optimismus-Bias dazu, dass Menschen die Wahrscheinlichkeit negativer Ereignisse für sich selbst unterschätzen.

Emotionen spielen eine wichtige Rolle bei der Risikobewertung. Negative Emotionen wie Angst oder Sorge können dazu führen, dass Menschen Risiken überschätzen. Positive Emotionen wie Hoffnung oder Begeisterung hingegen können dazu führen, dass Menschen Risiken unterschätzen.

Das Verhalten anderer Menschen und soziale Normen beeinflussen die Wahrnehmung von Risiken. Menschen orientieren sich oft an den Handlungen und Meinungen ihrer Peers, was dazu führen kann, dass sie Risiken anders bewerten, je nachdem, was in ihrer sozialen Umgebung als akzeptabel oder normal angesehen wird.

Auch individuelle kognitive Fähigkeiten und das Bildungsniveau spielen eine Rolle. Menschen mit höherem Bildungsniveau neigen dazu, Risiken rationaler zu bewerten und bessere Entscheidungen zu treffen, während Personen mit niedrigerem Bildungsniveau anfälliger für bestimmte Arten von Verzerrungen oder Fehleinschätzungen sein können.

Insgesamt sind die psychologischen Aspekte der Risikowahrnehmung und -bewertung komplex und umfassen eine Vielzahl von Faktoren. Ein besseres Verständnis dieser psychologischen Dynamiken kann Organisationen dabei helfen, effektivere Risikomanagementstrategien zu entwickeln und umzusetzen.

Wie sinnvoll ist es, Einzelrisiken zur Bestimmung des Gesamtrisikoumfangs zu aggregieren?

Bei der Entwicklung von Produkten oder im Projektmanagement treten häufig auch Kombinationseffekte mehrerer Einzelrisiken auf, die zu einer Bestandsbedrohung eines Projekts oder gar einer gesamten Organisation führen können. Organisationen sollten daher Einzelrisiken zur Bestimmung des Gesamtrisikoumfangs aggregieren.

Welche Software eignet sich für Risikomanagement?

Es gibt viele Tools, die den Umgang mit Risiken adressieren. Hier finden Sie eine Liste ohne Anspruch auf Vollständigkeit und ohne Bewertung:

Sicherlich lässt sich die Liste leicht ergänzen, zumal es zahlreiche Produkte gibt, die Risikomanagement unterstützen, originär aber einen anderen Vermarktungsschwerpunkt haben.

Risikomanagement Guide Download

Wollen Sie den Risikomanagement Guide kostenlos downloaden?

Alles Wichtige über Risikomanagement auf einen Blick.

  • Definition
  • Ziele und Tätigkeiten
  • Begriffe und Methoden

Wissen auf 8 Seiten zum Mitnehmen.

Impuls zum Diskutieren:

Neben dem Risikomanagement hat sich in den letzten Jahren das Chancenmanagement in vielen Unternehmen etabliert. Ist dies evtl. für die Entwicklung von Produkten und Dienstleistungen ein besserer Ansatz?

Hinweise:

Haben Sie Lust auf einen neuen Lieblings-Newsletter?

Die Inhalte auf dieser Seite dürfen Sie gerne teilen oder verlinken.

[1] ISO-Norm 31000:2018 Risikomanagement

Scrum als Framework mit einem iterativen, inkrementellen Ansatz, versucht die Vorhersagbarkeit und die Risikokontrolle zu verbessern. Hätten Sie das mit Risikomanagement in Verbindung gebracht?

Hier finden Sie eine persönliche Einschätzung, wie agiles Risikomanagement funktionieren kann.

In gewisser Hinsicht ist auch die Verwendung von Sicheren Passwörtern eine Form von Risikomanagement.

Hier finden Sie ein interessantes Video über Nachhaltiges Risikomanagement im Projektmanagement – der gesamte Prozess Schritt für Schritt.

Hier finden Sie ergänzende Informationen aus unserer Rubrik Wissen kompakt:

Wissen kompakt: Was ist Chancenmanagement?

Was ist Chancenmanagement?

Wissen kompakt: Was ist eine Risikomatrix?

Was ist eine Risikomatrix?

Wissen kompakt: Wie funktioniert Priorisierung?

Wie funktioniert Priorisierung?