Risiko-Management
Verantwortungsvolle Unternehmensführung
Verantwortungsvolle Unternehmensführung
Ein Risiko im unternehmerischen Sinne entsteht durch das Abweichen von Zielvorgaben, Gesetzen oder Normen. Im Risiko-Management ist es das Ziel dieses Abweichen frühzeitig zu erkennen, Maßnahmen zur Korrektur oder im besten Falle zur Vermeidung einzuleiten. Das Durchführen der Maßnahmen muss überwacht und ihr Erfolg gemessen sowie beurteilt werden. Risiko-Management ist Führungsaufgabe und wesentlicher Bestandteil für eine verantwortungsvolle Unternehmensführung (Corporate Governance).
Beim Aufsetzen eines Risiko-Management-Systems ist vieles zu beachten. Wir beraten Unternehmen bei der methodischen und inhaltlichen Ausgestaltung ihres Risiko-Managements. Wir empfehlen im besten Falle bereits zu Beginn mit einer Software zu arbeiten und die Prozesse vollständig zu digitalisieren, da dies die zukünftigen Prozesse wesentlich effizienter gestaltet. Wir als SAVISCON GmbH bieten ebenfalls ein solches digitales Tool an: Mit unserem GRC-COCKPIT können Sie Ihr Risiko-Management strukturieren und konsistent abbilden. Lesen Sie jetzt mehr zu unserem Consulting-Angebot und zu unserer Software-Lösung:
Mit einem digitalen Risiko-Management Tool können Sie Risiken frühzeitig erkennen, passende Maßnahmen ergreifen und den vollständigen Prozess dokumentieren.
Grundlage des Risiko-Managements ist die DIN ISO 31000:2018. Diese Norm legt die Leitlinien fest, die ein Unternehmen in Bezug auf Risiken verfolgen sollte. Genauer: Die Norm definiert grundlegende Begriffe aus dem Risiko-Management, legt die Grundsätze fest, fördert die Integration des Risiko-Managements in weitere bedeutende Funktionen sowie Prozesse der Organisation (Rahmenwerk) und definiert den Risiko-Management-Prozess.
Je nach Branche gibt es noch weitere Normen, die für das Durchführen des Risiko-Managements relevant sind. So sind beispielsweise im Gesundheitswesen die DIN ISO 9001:2015 und 15224:2017 weit verbreitet. Während die ISO 9001:2015 branchenunabhängig die allgemeinen Anforderungen an ein Qualitätsmanagementsystem definiert, ist die ISO 15224:2017 auf die Gesundheitsbranche zugeschnitten. Sie legt dabei die Schwerpunkte vor allem auf die Themen Patientenversorgung, Risikomanagement und Personalentwicklung.
Ja! Denn Risiko-Management ist viel mehr als das bloße Einhalten von Normen und Gesetzen. Es gibt immer bestimmte Zielgruppen, deren Erwartungen es zu erfüllen gilt, beispielsweise Kunden, Mitarbeiter, Geschäftspartner oder Lieferanten. Das kann nicht immer vollständig gelingen. In solchen Fällen ist es wichtig, eine positive Fehlerkultur zu leben und die Vorgehensweise für den Fall des Risikoeintritts im Rahmen des Risiko-Managements klar zu definieren. Das schützt Ihr Unternehmen vor Reputationsschäden, schafft Transparenz gegenüber den Mitarbeitern und weckt Vertrauen bei Kunden und Lieferanten.
Und natürlich gibt es da auch noch die stetig steigenden Anforderungen aus Gesetzen, Normen, Standards und Verträgen, sowie die steigenden Risiken aus den immer stärker ineinandergreifenden Prozessen. Ein strukturiertes Risiko-Management hilft Ihnen dabei, den Überblick zu behalten und beispielsweise den Aufwand beim Aufbereiten der Informationen für Audits oder externe Prüfungen gering zu halten. Und nicht zu vergessen: Ein strukturiertes Risiko-Management schützt vor drastischen Sanktionen. Die Bußgelder bei Nichteinhalten von Normen und Gesetzen werden immer höher und sind zuweilen existenzgefährdend. Es drohen ebenfalls Verbote oder Einschränkungen in der Geschäftsfähigkeit. Organ-Mitglieder oder leitende Angestellte haften auch immer häufiger persönlich – hier drohen ebenfalls Bußgelder oder sogar Berufsverbote. Umso wichtiger ist ein konsistentes Risiko-Management.
Bei Gericht ist die Schuldfrage in Verbindung mit Vorsatz oder Fahrlässigkeit relevant für das Strafmaß. Wenn man ein systematisches Vorgehen im Bereich des Risiko-Managements vorweisen kann, beispielsweise durch den Einsatz eines geeigneten, digitalen Tools, wird das in der Regel positiv bewertet.
Wir als SAVISCON GmbH bieten mit unserem GRC-COCKPIT ein solches Tool an.
In jedem Unternehmen gibt es Risiken, diese variieren je nach Branche. Dennoch gibt es gemeingültige Risiken, gehen wir mal von einem regulären Arbeitstag aus:
Das und noch viel mehr kann eintreten. Welche Maßnahmen werden Sie im Ernstfall ergreifen? Wie sehen Ihre Notfallpläne aus? Es ist wichtig, einen Plan zu haben, um im Risikofall handlungsfähig zu bleiben.
Es gibt reichlich Anforderungen (Normen, Gesetze), aus deren Nichteinhaltung sich verschiedene Risiken für Unternehmen ergeben können. Auch hier finden – je nach Branche – unterschiedliche Gesetze und Normen Anwendung. Hier ein kleiner Auszug von den allgemein gültigen:
Also: erstellen Sie Ihre persönliche Risiko-Strategie. Dazu müssen Sie alle Risiken für Ihr Unternehmen analysieren, bewerten, steuern und überwachen.
Um die Risiken für Ihr Unternehmen zu analysieren, können Sie unterschiedlich vorgehen:
Bottom-Up
Bei diesem Ansatz gehen Sie von den Ihnen bereits bekannten Risiken, den dazugehörigen Maßnahmen sowie Überwachungsaktionen aus und identifizieren mit Ihren Fachleuten regelmäßig weitere potenzielle Risiken.
Top-Down
Hierbei nehmen Sie sich die bestehenden Normen und Gesetze zur Hand und leiten von dort die potenziellen Risiken für Ihr Unternehmen ab.
Der Mix aus beidem
Sie können auch beide Vorgehensweisen kombinieren und jeweils dort einsetzen, wo was besser passt.
Um Risiken zu bewerten, hat sich ein einfaches System bei vielen Unternehmen in der Praxis bewährt. Dazu bewertet man in wenigen Stufen die Eintrittswahrscheinlichkeit eines Risikos und das Schadensausmaß, falls das Risiko eintritt. Die Ergebnisse werden in einer Risikomatrix abgebildet (siehe Bild). Diese Ersteinschätzung geschieht in der Praxis häufig durch Experten, die dann die unterschiedlichen Risiken auch in Relevanzklassen unterteilen (priorisieren). Hierbei müssen Sie selbst definieren, welche Risiken für Ihr Unternehmen akzeptabel sind und welche nicht.
Nachdem Sie die Risiken bewertet und priorisiert haben, folgt nun das Festlegen der konkreten Maßnahmen.
Bei diesem Punkt überprüfen Sie, ob die von Ihnen festgelegten Maßnahmen gegriffen haben und Sie das Risiko minimiert oder sogar eliminiert haben.
Konzentrieren Sie sich erst auf das Wesentliche, nehmen Sie sich also zuerst die potenziell existenzgefährdenden Normen/Risiken sowie Risikoszenarien vor.
sehr gering
gering
mittel
hoch
Datenschutzpannen müssen unverzüglich, oder spätestens bis zu 72 Stunden nach Bekanntwerden des Vorfalls, an die zuständige Aufsichtsbehörde gemeldet werden, wenn die Verletzung zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (Art. 33 DSGVO). Für bestimmte Rechtsverstöße drohen Bußgelder in Höhe von bis zu 4 % des Jahresumsatzes eines Unternehmens, beziehungsweise 20 Mio. Euro – dabei gilt der jeweils höhere Wert. Das bezieht sich auf den gesamten weltweiten Jahresumsatz des Unternehmens und nicht etwa nur auf den in Europa.
Mit dem passenden Risiko-Management können Unternehmen Risiken vermeiden oder auf ein Minimum reduzieren. Dazu müssen Risiken identifiziert, bewertet, gesteuert und überwacht werden. In jeder Branche gibt es spezielle Gesetze und Normen, die es zu beachten gilt.
Am effektivsten können Sie ihre Risikostrategie mit einem digitalen Tool festhalten, kontrollieren und dokumentieren, das Ihnen bei Bedarf auch Berichte auf Knopfdruck ausgibt. Wir als SAVISCON GmbH bietet mit unserem GRC-COCKPIT ein solches Tool an. Kontaktieren Sie uns gerne für eine individuelle Beratung und ein maßgeschneidertes Angebot:
Alle Informationen zum Risikomanagement gehören zusammen. Excel, E-Mail und Co. sind nicht mehr als digitale Zettelwirtschaft. Arbeiten Sie besser mit einem kollaborativen digitalen Tool, das alle notwendigen Informationen und Tätigkeiten an einem zentralen Ort zusammenführt und zusammengehörige Daten mit-einander verknüpft. Ein solches Tool sollte: