Risiko-Management

Verantwortungsvolle Unternehmensführung

Was ist Risiko-Management?

Ein Risiko im unternehmerischen Sinne entsteht durch das Abweichen von Zielvorgaben, Gesetzen oder Normen. Im Risiko-Management ist es das Ziel dieses Abweichen frühzeitig zu erkennen, Maßnahmen zur Korrektur oder im besten Falle zur Vermeidung einzuleiten. Das Durchführen der Maßnahmen muss überwacht und ihr Erfolg gemessen sowie beurteilt werden. Risiko-Management ist Führungsaufgabe und wesentlicher Bestandteil für eine verantwortungsvolle Unternehmensführung (Corporate Governance).

Risiko-Management-System

Beim Aufsetzen eines Risiko-Management-Systems ist vieles zu beachten. Wir beraten Unternehmen bei der methodischen und inhaltlichen Ausgestaltung ihres Risiko-Managements. Wir empfehlen  im besten Falle bereits zu Beginn mit einer Software zu arbeiten und die Prozesse vollständig zu digitalisieren, da dies die zukünftigen Prozesse wesentlich effizienter gestaltet. Wir als SAVISCON GmbH bieten ebenfalls ein solches digitales Tool an: Mit unserem GRC-COCKPIT können Sie Ihr Risiko-Management strukturieren und konsistent abbilden. Lesen Sie jetzt mehr zu unserem Consulting-Angebot und zu unserer Software-Lösung:

Foto Geschäftsmann stoppt Dominoeffekt mit Hand

Mit einem digitalen Risiko-Management Tool können Sie Risiken frühzeitig erkennen, passende Maßnahmen ergreifen und den vollständigen Prozess dokumentieren.

Foto Schild mit DIN ISO 31000

DIN ISO 31000 als Risiko-Management-Fundament

Grundlage des Risiko-Managements ist die DIN ISO 31000:2018. Diese Norm legt die Leitlinien fest, die ein Unternehmen in Bezug auf Risiken verfolgen sollte. Genauer: Die Norm definiert grundlegende Begriffe aus dem Risiko-Management, legt die Grundsätze fest, fördert die Integration des Risiko-Managements in weitere bedeutende Funktionen sowie Prozesse der Organisation (Rahmenwerk) und definiert den Risiko-Management-Prozess.

Je nach Branche gibt es noch weitere Normen, die für das Durchführen des Risiko-Managements relevant sind. So sind beispielsweise im Gesundheitswesen die DIN ISO 9001:2015 und 15224:2017 weit verbreitet. Während die ISO 9001:2015 branchenunabhängig die allgemeinen Anforderungen an ein Qualitätsmanagementsystem definiert, ist die ISO 15224:2017 auf die Gesundheitsbranche zugeschnitten. Sie legt dabei die Schwerpunkte vor allem auf die Themen Patientenversorgung, Risikomanagement und Personalentwicklung.

Ist Risiko-Management wichtig?

Ja! Denn Risiko-Management ist viel mehr als das bloße Einhalten von Normen und Gesetzen. Es gibt immer bestimmte Zielgruppen, deren Erwartungen es zu erfüllen gilt, beispielsweise Kunden, Mitarbeiter, Geschäftspartner oder Lieferanten. Das kann nicht immer vollständig gelingen. In solchen Fällen ist es wichtig, eine positive Fehlerkultur zu leben und die Vorgehensweise für den Fall des Risikoeintritts im Rahmen des Risiko-Managements klar zu definieren. Das schützt Ihr Unternehmen vor Reputationsschäden, schafft Transparenz gegenüber den Mitarbeitern und weckt Vertrauen bei Kunden und Lieferanten.

Und natürlich gibt es da auch noch die stetig steigenden Anforderungen aus Gesetzen, Normen, Standards und Verträgen, sowie die steigenden Risiken aus den immer stärker ineinandergreifenden Prozessen. Ein strukturiertes Risiko-Management hilft Ihnen dabei, den Überblick zu behalten und beispielsweise den Aufwand beim Aufbereiten der Informationen für Audits oder externe Prüfungen gering zu halten. Und nicht zu vergessen: Ein strukturiertes Risiko-Management schützt vor drastischen Sanktionen. Die Bußgelder bei Nichteinhalten von Normen und Gesetzen werden immer höher und sind zuweilen existenzgefährdend. Es drohen ebenfalls Verbote oder Einschränkungen in der Geschäftsfähigkeit. Organ-Mitglieder oder leitende Angestellte haften auch immer häufiger persönlich – hier drohen ebenfalls Bußgelder oder sogar Berufsverbote. Umso wichtiger ist ein konsistentes Risiko-Management.

Übrigens:

Bei Gericht ist die Schuldfrage in Verbindung mit Vorsatz oder Fahrlässigkeit relevant für das Strafmaß. Wenn man ein systematisches Vorgehen im Bereich des Risiko-Managements vorweisen kann, beispielsweise durch den Einsatz eines geeigneten, digitalen Tools, wird das in der Regel positiv bewertet.

Wir als SAVISCON GmbH bieten mit unserem GRC-COCKPIT ein solches Tool an.

Welche Risiken gibt es in Unternehmen?

In jedem Unternehmen gibt es Risiken, diese variieren je nach Branche. Dennoch gibt es gemeingültige Risiken, gehen wir mal von einem regulären Arbeitstag aus:

  • Personalengpässe
  • Datenpannen
  • Ansteckende Krankheiten / Epidemien
  • Brandrisiko
  • Einbruchrisiko
  • Datenverlust
  • Ausfall kritischer Systeme
  • Ausfall eines Zulieferers (Dienstleisters)
  • …..usw.

Das und noch viel mehr kann eintreten. Welche Maßnahmen werden Sie im Ernstfall ergreifen? Wie sehen Ihre Notfallpläne aus? Es ist wichtig, einen Plan zu haben, um im Risikofall handlungsfähig zu bleiben.

Welche Anforderungen gibt es für Unternehmen?

Es gibt reichlich Anforderungen (Normen, Gesetze), aus deren Nichteinhaltung sich verschiedene Risiken für Unternehmen ergeben können. Auch hier finden – je nach Branche – unterschiedliche Gesetze und Normen Anwendung. Hier ein kleiner Auszug von den allgemein gültigen:

  • Datenschutz: DSGVO und Bundesdatenschutzgesetz
  • IT-Sicherheitsgesetz
  • KontrAG / AktG z. B. § 91
  • Arbeitsrechtliche Normen und Vorschriften
  • ISO 31000 / Risikomanagement
  • Bürgerliches Gesetzbuch (BGB) z. B. §§ 630a ff.
  • ….usw.

Also: erstellen Sie Ihre persönliche Risiko-Strategie. Dazu müssen Sie alle Risiken für Ihr Unternehmen analysieren, bewerten, steuern und überwachen.

Risiko-Management-Zyklus

Risiken analysieren

Um die Risiken für Ihr Unternehmen zu analysieren, können Sie unterschiedlich vorgehen:

Bottom-Up
Bei diesem Ansatz gehen Sie von den Ihnen bereits bekannten Risiken, den dazugehörigen Maßnahmen sowie Überwachungsaktionen aus und identifizieren mit Ihren Fachleuten regelmäßig weitere potenzielle Risiken.

Top-Down
Hierbei nehmen Sie sich die bestehenden Normen und Gesetze zur Hand und leiten von dort die potenziellen Risiken für Ihr Unternehmen ab.

Der Mix aus beidem
Sie können auch beide Vorgehensweisen kombinieren und jeweils dort einsetzen, wo was besser passt.

Risiken bewerten

Um Risiken zu bewerten, hat sich ein einfaches System bei vielen Unternehmen in der Praxis bewährt. Dazu bewertet man in wenigen Stufen die Eintrittswahrscheinlichkeit eines Risikos und das Schadensausmaß, falls das Risiko eintritt. Die Ergebnisse werden in einer Risikomatrix abgebildet (siehe Bild). Diese Ersteinschätzung geschieht in der Praxis häufig durch Experten, die dann die unterschiedlichen Risiken auch in Relevanzklassen unterteilen (priorisieren). Hierbei müssen Sie selbst definieren, welche Risiken für Ihr Unternehmen akzeptabel sind und welche nicht.

Risikosteuerung

Nachdem Sie die Risiken bewertet und priorisiert haben, folgt nun das Festlegen der konkreten Maßnahmen.

Risikoüberwachung

Bei diesem Punkt überprüfen Sie, ob die von Ihnen festgelegten Maßnahmen gegriffen haben und Sie das Risiko minimiert oder sogar eliminiert haben.

Tipp

Konzentrieren Sie sich erst auf das Wesentliche, nehmen Sie sich also zuerst die potenziell existenzgefährdenden Normen/Risiken sowie Risikoszenarien vor.

1
2
3
4
Abbildung Risikomatrix
1

sehr gering

2

gering

3

mittel

4

hoch

Datenschutzpannen melden

Datenschutzpannen müssen unverzüglich, oder spätestens bis zu 72 Stunden nach Bekanntwerden des Vorfalls, an die zuständige Aufsichtsbehörde gemeldet werden, wenn die Verletzung zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (Art. 33 DSGVO). Für bestimmte Rechtsverstöße drohen Bußgelder in Höhe von bis zu 4 % des Jahresumsatzes eines Unternehmens, beziehungsweise 20 Mio. Euro – dabei gilt der jeweils höhere Wert. Das bezieht sich auf den gesamten weltweiten Jahresumsatz des Unternehmens und nicht etwa nur auf den in Europa.

Digitales Risiko-Management Tool

Mit dem passenden Risiko-Management können Unternehmen Risiken vermeiden oder auf ein Minimum reduzieren. Dazu müssen Risiken identifiziert, bewertet, gesteuert und überwacht werden. In jeder Branche gibt es spezielle Gesetze und Normen, die es zu beachten gilt.

Am effektivsten können Sie ihre Risikostrategie mit einem digitalen Tool festhalten, kontrollieren und dokumentieren, das Ihnen bei Bedarf auch Berichte auf Knopfdruck ausgibt. Wir als SAVISCON GmbH bietet mit unserem GRC-COCKPIT ein solches Tool an. Kontaktieren Sie uns gerne für eine individuelle Beratung und ein maßgeschneidertes Angebot:

Tipp

Alle Informationen zum Risikomanagement gehören zusammen. Excel, E-Mail und Co. sind nicht mehr als digitale Zettelwirtschaft. Arbeiten Sie besser mit einem kollaborativen digitalen Tool, das alle notwendigen Informationen und Tätigkeiten an einem zentralen Ort zusammenführt und zusammengehörige Daten mit-einander verknüpft. Ein solches Tool sollte:

  • Aufgaben zu Organisationen zuordnen können
  • Termine planen und daran erinnern können
  • Bedarfsgerechte und automatische Eskalationsabläufe aufsetzen
  • Normen und Risiken miteinander verknüpfen
  • Maßnahmen mit den Risiken verknüpfen
  • Möglichkeiten bieten, Maßnahmen zu überwachen und automatische Erinnerungen zu senden
  • Möglichkeiten bieten die Überwachungshandlungen zu planen und zu dokumentieren
  • Automatisch Berichte erstellen

Mehr zum Thema Risiko-Management in unserem Blog:

Sinnbild Business Continuity Management