Zu Risiken und Nebenwirkungen fragen Sie Ihren Arzt oder Apotheker. Schon an diesem Satz sehen Sie: Risiken bedeuten im deutschen Sprachgebrauch nichts Gutes. Um aber tiefer ins Risikomanagement im Allgemeinen und in den risikobasierten Ansatz im Speziellen einzusteigen, müssen Sie sich ein stückweit von der alltäglichen Bedeutung des Wortes »Risiko« lösen. Da sowohl das »Risk Management« und auch der »Risk Based Approach« aus dem Englischen stammen, gilt es Risiken nicht nur als Bedrohung zu sehen, sondern auch als Möglichkeiten. Das verdeutlichen Floskeln wie »No Risk, No Fun« oder auch der kategorischeren Beschreibung »Upside Risk & Downside Risk«. Erstes ist als Chance zu verstehen, letzteres als Bedrohung. Zudem ist Risikomanagement die Grundlage für Datenschutz, Informationssicherheit und Business Continuity Management, um die Resilienz der eigenen Organisation zu erhöhen.

Der risikobasierte Ansatz: Trauen Sie sich was

Was verbirgt sich hinter Risikomanagement?

Risikomanagement ist klar definiert. Im ersten Schritt bedeutet es die Identifikation, Bewertung und Priorisierung von Risiken. Darauf folgt der koordinierte und wirtschaftliche Einsatz von Ressourcen, um die Wahrscheinlichkeit oder die Auswirkungen von unglücklichen Ereignissen zu minimieren, zu überwachen und zu steuern. Gleichzeitig sollen damit auch Chancen maximiert werden.

Risikomanagement gibt Unternehmen also die Möglichkeit, Risiken nicht schicksalergeben als eine Mischung aus Glück und Pech hinzunehmen, sondern zu steuern. Risikomanagement ist mittlerweile fester Bestandteil der ISO 9001 (Norm für Qualitätsmanagementsysteme). In der Ökonomie ist Qualitätsmanagement die Summe aller Maßnahmen, die notwendig sind, Prozessqualität, Arbeitsqualität und damit die Produkt- und Dienstleistungsqualität hochzuhalten und zu verbessern. Qualität ist die Erfüllung der gestellten Anforderungen – beispielsweise durch Kunden. Geforderte Qualität abzuliefern, ist immer auch mit Risiken verbunden. Ein Risiko ist die Auswirkung einer Unsicherheit auf ein erwartetes Ergebnis. Daher gilt es Risikomanagement elegant und professionell zu betreiben, um die gewünschte Qualität liefern zu können.

Beispiele zum Umgang mit Chancen und Risiken

Mit der Revision der ISO 9001 (Norm für Qualitätsmanagement) rückte der Begriff risikobasierter Ansatz stärker in den Fokus. Was ist daran neu? Im Grunde hebt der risikobasierte Ansatz die positiven Aspekte des Begriffs Risiko stärker hervor. Zwischen den Zeilen steht: »Trauen Sie sich was«. Stellen Sie sich vor, Sie haben die Möglichkeit zur Einführung einer neuen Software. Aufgrund zu großer Bedenken entscheiden Sie sich dagegen. Die Konkurrenz aber nicht. Das könnte für Ihr Unternehmen negative Auswirkungen haben. Chancen nicht zu erkennen, kann also für Sie selbst wieder ein Risiko bedeuten.

Daher: Um mit ISO 9001:2015 zertifiziert zu werden zu können, werden vor allem Geschäftsführungen verpflichtet, den risikobasierten Ansatz im Unternehmen zu implementieren. Seit März 2020 ist der risikobasierte Ansatz deutlich präsenter: Mit Beginn der Corona-Pandemie mussten Unternehmen sehr viele Entscheidungen binnen kurzer Zeit treffen, die vor allem die Prozessqualität betraf. Remote-Work, Umstrukturierung von Lieferketten oder Budgetkürzungen – Maßnahmen, die negative Auswirkungen haben können oder gar innovatives Handeln fördern könnten.

Auch ohne Corona prognostizierte Gartner schon im Jahr 2018, dass bis 2020 20 % der größeren Unternehmen ihre Risikoentscheidungen effektiv in einen geschäftlichen Kontext einbetten werden. Die tatsächliche Zahl dürfte aufgrund der Corona-Krise stark gestiegen sein. Unternehmen, die sich binnen kürzester Zeit mit Risikomanagement beschäftigen mussten, sind nach wie vor mit großen Herausforderungen konfrontiert.

Beispiele zum Umgang mit Chancen und Risiken

Risikoevaluierung

Was ist risikobasiertes Denken?

Der naheliegendste Analogie ist die Überquerung einer Hängebrücke, die über einer Schlucht gespannt ist. Schauen Sie nach links, rechts und nach unten setzt automatisch risikobasiertes Denken ein. Während die Entscheidung loszugehen oder stehenzubleiben, in Ihrem Kopf in wenigen Sekunden getroffen wird, können wir sie auch auf unternehmerische Risikobewertung herunterbrechen. Gehen Sie davon aus, dass die Brücke wackelig und schon betagt ist, haben Sie nun verschiedene Auswahlmöglichkeiten:

  1. Akzeptanz: Sie können das Risiko abzustürzen akzeptieren. Sie gehen über die Brücke.
  2. Vermeidung: Sie können das Risiko auch vermeiden, in dem Sie umplanen. Sie suchen einen Weg durchs Tal. Oder Sie gehen gänzlich nachhause.
  3. Reduktion: Sie könnten das Risiko auch reduzieren. Etwa, indem Sie die Reparatur der Brücke abwarten und die Überquerung erst vornehmen, wenn alle morschen Bretter ausgetauscht wurden.
  4. Transferierung: Sie könnten das Risiko auch umverteilen, in dem Sie eine Versicherung abschließen. Das wird Sie persönlich im Zweifel in dieser konkreten Situation nicht retten, aber Sie könnten die Unfallfolgen für sich selbst oder Ihre Angehörigen abmildern.
  5. Aufteilung: Sie könnten das Risiko auch teilen. Sie könnten mit jemanden kooperieren, in dem Sie zusammen die Brücke überqueren und sich gegenseitig absichern.
  6. Eventualität: Im Risikomanagement existiert auch die Möglichkeit eines Eventualplans. Sie kommen einfach wieder, wenn die Schlucht zugeschüttet wurde oder eine Betonbrücke errichtet wurde.

Der risikobasierte Ansatz: Nicht nur Bedrohung – auch Chancen

Wie bereits erwähnt, ist die Überquerung der Brücke nicht nur eine Bedrohung, sondern auch mit einer Chance verbunden. In allen Situationen, die Brücke zu überqueren, spielt der Faktor Zeit eine Rolle. Auf der anderen Seite der Schlucht wartet eine Chance auf Sie – etwa ein wichtiger Geschäftstermin. Sie müssen nun abwägen, wie schnell Sie den Termin wahrnehmen wollen. Bleiben Sie einfach auf Ihrer Seite der Schlucht, haben Sie kein Risiko. Aber auch keinen Termin – und somit keine Chance, den Deal einzutüten.

Etablieren Sie eine Risiko-Mentalität von guten und schlechten Risiken

Risikomanagement: Chancen und Risiken

Risikomanagement muss unternehmensweit erfolgen: In vielen Unternehmen ist Risikomanagement nach wie vor Abteilungssache. Die Geschäftsführung wird noch zu selten eingebunden, da ein risikobasierter Ansatz auch einen kulturellen Wandel erfordert. Es gibt keine Variante, die Straße vollkommen risikolos zu überqueren. Es gibt keinen perfekten Schutz. Vielen Verantwortlichen fällt es jedoch schwer, sich auf dieses Paradigma einzustellen und sich entsprechend auszutauschen. Dabei ist dieser Schritt sehr wichtig, da es beim risikobasierten Ansatz darum geht, die Effekte unternehmerischer Unsicherheiten für die gesamte Organisation zu erkennen, zu benennen und sie so als Basis zur Planung der nächsten unternehmerischen Schritte zu nutzen.

Idealerweise führt ein CRO (Chief Risk Manager) oder eine Person, die ähnliche Kompetenzen besitzt die Risikomanagement-Bestrebungen der einzelnen Abteilungen zusammen. Die Beziehung zwischen Risikomanagern und den Geschäftsführen ist in dieser Zeit sehr wichtig, da viele Geschäftsführer Risikoentscheidungen treffen könnten, ohne die Sicherheit ausreichend im Blick zu haben. Der CRO sollte die Risikotoleranz des Unternehmens mit den Geschäftsführern besprechen und feststellen, ob die neuen Maßnahmen, die die Entscheidungsträger ergreifen, innerhalb dieses Bereichs liegen.

Trotz der aktuellen Krisensituation – wichtig ist: Risikomanagement ist keine reine IT-Angelegenheit. Entscheidungen müssen auch mit den Risiko-Stakeholdern mit den Nicht-IT-Bereichen des Unternehmens abgewogen werden. Um zielführende Entscheidungen treffen zu können, muss Restrisiko akzeptiert werden. Die Risiko-Stakeholder haben die Wahl, mehr Risiko zu geringeren Kosten oder weniger Risiko zu höheren Kosten zu akzeptieren. Es ist eine legitime Geschäftsentscheidung, ein beliebiges Risikoniveau zu wählen, das dem Unternehmensergebnis zugutekommt. Die Herausforderung ist das Gleichgewicht zwischen dem Schutzbedarf und den Anforderungen an den Geschäftsbetrieb.

Risikomanagement Chancen und Risiken

Unternehmerische Risikobewertung: Durch risikobasierten Ansatz wirtschaftliche Vorteile ziehen

Der risikobasierte Ansatz baut also eine starke Wissensgrundlage auf und führt so von einem reaktiven Ansatz zu einer proaktiven Verbesserungskultur. Doch nur, wenn Risiken innerhalb der gesamten Organisation abgewogen werden, steigt die Wahrscheinlichkeit auf eine Leistungssteigerung, um diese Qualität weiter zu gewährleisten. In Folge dessen wird das Kundenvertrauen steigen und Kunden werden zu Ihren Advokaten werden.

Wenn dieser kulturelle Aspekt im Unternehmen akzeptiert ist, stehen Praktiker vor der Herausforderung, Maßnahmen anhand strategischer und überlebensnotwendiger Ziele abzuleiten, die sich nur mit einem systematischen Ansatz priorisieren lassen. Managementsysteme können hier als Mittel der Wahl Abhilfe verschaffen, da sie Ressourcen bündeln und Abläufe effizienter machen.

Baut eine Organisation sukzessive mehrere Managementsysteme auf, kann es unübersichtlich werden und zu Überschneidungen kommen. Abhilfe verschafft in diesem Falle ein integriertes Managementsystem. Insbesondere softwaregestützte Managementsysteme, sprich der Einsatz einer Software zum Aufbau und Betrieb eines Managementsystems, steigern diesen Effizienzgewinn noch deutlicher.

Das Management von Risiken, Audits, Feststellungen und Maßnahmen wird durch die Möglichkeiten der digitalen Dokumentation erleichtert. Idealerweise lassen sich die Grundzüge eines Managementsystems durch eine intuitive Bedienung und einen Zugewinn an Übersichtlichkeit noch leichter erlernen sowie erfassen. Ähnlich den Synergien, die sich aus dem gleichbleibenden Aufbau der High Level Structure (HLS) ergeben, werden Unternehmensstrukturen, Prozesse, Systeme und Applikationen in modernen Lösungen nur einmalig erfasst.