Risikomanagement in Unternehmen einführen: Tipps zum Warum und Wie
Dr. Gerhard Gietl, Geschäftsführer von VIA Management Consulting, erinnert sich gut an die Zeiten, als Verantwortliche in Unternehmen vor allem mit Desinteresse auf das Thema Risikomanagement reagierten. Diese Zeiten sind vorbei. Die Corona-Pandemie und der Ukraine-Krieg haben vielen vor Augen geführt, wie schnell Ausnahmesituationen eintreten können. Hinzu kommt, dass der Gesetzgeber zunehmend zur Prävention verpflichtet.
Hier gehen wir näher darauf ein, warum ein Risikomanagement für Unternehmen jeder Größe wichtig ist, welche Vorteile ein zertifiziertes Risikomanagementsystem hat und warum es oft sinnvoll ist, Prozesse einfach zu halten.
Wer sollte oder muss ein Risikomanagement einführen?
Grundsätzlich ist es für alle Unternehmen sinnvoll, Risiken systematisch zu identifizieren und zu analysieren sowie – je nach Ergebnis der Analyse – geeignete Maßnahmen zu ergreifen. Immer öfter ist es sogar Pflicht.
Herausgreifen lassen sich in diesem Zusammenhang zwei zentrale Gesetze:
Seit 2008 gibt es einen weltweit gültigen Standard im Bereich Risikomanagement: die DIN ISO 31000. Dabei handelt es sich um eine allgemein gehaltene Norm, die Leitlinien für den Aufbau eines Risikomanagementsystems bereitstellt. Zertifizieren lassen können sich Unternehmen nach der österreichischen Norm ÖNORM D 4901, die sich inhaltlich stark auf die ISO 31000 bezieht.
Lange konzentrierte sich das Thema Risikomanagement auf finanzielle Risiken. Inzwischen verlangen, betont Dr. Gietl, immer mehr gesetzliche Regulierungen ein Risikomanagement für andere Themenfelder. Ein Beispiel dafür ist das Lieferkettengesetz, das Anfang 2023 in Kraft tritt. Es verpflichtet Unternehmen ab einer bestimmten Größe, menschenrechtliche und umweltbezogene Risiken in ihren Lieferketten zu analysieren und ausgehend davon geeignete Maßnahmen zu ergreifen. Die europäische Verordnung Corporate Sustainability Reporting Directive verlangt ab 2024 ein Risikomanagementsystem im Nachhaltigkeitsbereich und im Bereich Governance.
Gut zu wissen:
Risikomanagement ist nicht dasselbe wie Business Continuity Management (BCM). Während Ersteres das zentrale Ziel verfolgt, Risiken vorzubeugen, sorgt Zweiteres dafür, dass Unternehmen in einer Notfallsituation Schäden minimieren und wichtige Geschäftsprozesse weiterlaufen lassen oder schnell wieder aufnehmen können. Zusammengefasst dient ein Risikomanagement dazu, Notfälle zu verhindern, und ein Business Continuity Management dazu, Schäden zu minimieren, wenn ein Notfall eingetreten ist.
Warum ein zertifiziertes Risikomanagement Sinn macht
Das Bewusstsein dafür, dass ein Risikomanagement wichtig ist, wächst. Ein zertifiziertes Risikomanagementsystem aber, so Dr. Gietl, sei immer noch die Ausnahme. „Der Mehrwert der Zertifizierung wird oft nicht gesehen.“
Verantwortlich dafür seien mehrere Gründe. Dazu gehöre, dass das Wort „Risikomanagement“ für viele einen negativen Beigeschmack habe – zu Unrecht. „Nur weil ich Risikomanagement betreibe, heißt das nicht, dass ich viele Risiken habe.“ Der Ansporn, das Vorhandensein eines Risikomanagements nach außen zu zeigen, sei geringer als bei anderen Managementsystemen. Weil sich Firmen für die Implementierung in der Regel ohnehin einen Berater oder eine Beraterin holen, greife auch das Argument der Betriebsblindheit nicht.
Dr. Gietl empfiehlt aus zwei Gründen trotzdem eine Zertifizierung:
- Das System werde so noch einmal von einer externen, unabhängigen Person überprüft.
- Der Nachweis eines Managementsystems schaffe nach außen immer mehr Vertrauen.
Der Risikomanagementprozess – zentrale Schritte
Dr. Gietl beobachtet häufig, dass der Aufwand für die Einführung eines Risikomanagements überschätzt werde. „Risiken identifizieren, analysieren und bewerten müssen Unternehmen ja ohnehin, zum Beispiel im Qualitätsmanagement. Der Aufwand dafür, das systemisch zu fassen, ist oft nicht mehr groß.“
Auch hätten Unternehmen viele Freiheiten bei der Auswahl von Methoden beziehungsweise Instrumenten im Risikomanagement.
Entscheidend sei, folgende Schritte in einem Risikomanagementprozess zu beachten:
- Kontext festlegen:
Zunächst müssen Unternehmen den Unternehmenskontext definieren. Wichtige Aspekte in diesem Zusammenhang sind zum Beispiel die Märkte, in denen sie tätig sind.
- Risiken identifizieren:
Anschließend geht es darum, geeignete Tools für die Identifikation von Risiken zu finden und einzusetzen. Häufig, so Dr. Gietl, gäbe es diese ohnehin schon im Unternehmen. So findet die Fehlermöglichkeits- und -einflussanalyse (FMEA) bereits in vielen Branchen Anwendung.
- Risiken analysieren und bewerten:
Identifizierte Risiken müssen analysiert und bewertet werden. Um das Niveau von Risiken einzuschätzen und zu priorisieren, brauchen Unternehmen passende Kriterien.
- Maßnahmen festlegen:
Anhand der Bewertung von Risiken können Verantwortliche die Frage beantworten, wie sie mit diesen umgehen. So gibt es zum Beispiel die Möglichkeit, ein Unternehmen gegen ein Risiko zu versichern, das Risiko zu akzeptieren und Geld für den Ernstfall zurückzulegen oder das Risiko zu vermeiden und beispielsweise aus einem bestimmten Produktbereich auszusteigen. Nicht zuletzt bestehe die Option, nichts zu tun. Das könne auch dann sinnvoll sein, wenn die Schadenshöhe sehr hoch, die Eintrittswahrscheinlichkeit aber verschwindend gering sei.
- Kontrollieren:
Durch eine systematische Überwachung von Risiken erkennen Unternehmen, ob sich Eintrittswahrscheinlichkeiten verändern oder ob beschlossene Maßnahmen ausreichen, um Risiken zu verhindern.
TÜV NORD – Ihr Partner für berufliche Weiterbildungen
- Über 900 qualifizierte Referentinnen und Referenten geben ihr Know-how in über 520 verschiedenen Seminarthemen täglich an Sie weiter.
- Wir bieten Ihnen volle Flexibilität. Entscheiden Sie selbst, ob Sie an unserem OnlineCampus, einer Präsenzschulung oder an einer für Sie konzipierten Inhouse-Schulung teilnehmen möchten.
- Wir stehen für Qualität. Unsere Zertifikate und Bescheinigungen sind Qualitätssiegel für Sie und Ihr Unternehmen.
Unsere Seminar-Empfehlungen für Sie
Notfall- und Krisenmanager (TÜV)
Wir geben Ihnen in unserem Notfall-und-Krisenmanagement-Seminar ganz gezielte Handlungsanweisungen, wie Sie Krisen schnell und effektiv identifizieren, wie Sie optimal reagieren und mit Angst und Stress kontrolliert umgehen. Denn gute organisatorische, personelle, wirtschaftliche, kommunikative und juristische Vorbereitungen im Rahmen der Krisenprävention helfen Ihnen dabei, auch bei hoher persönlicher Belastung Krisen zu managen, um diese zu isolieren und bestenfalls zu eliminieren.
Profitieren Sie während und nach der Weiterbildung Krisenmanagement und Notfallmanagement von unseren umfangreichen Unterrichtsmaterialien mit Fakten, Statistiken, Tipps, Tricks und Fällen aus der Praxis.
Chancen- und Risikomanagement-Koordinator (TÜV)
Unser zweitägiges Seminar vermittelt Ihnen einen praxisorientierten Überblick und das spezifische Fachwissen, um als Koordinator bzw. Koordinatorin das Chancen- und Risikomanagement in Verbindung mit dem Integrierten Managementsystem (IMS) bereichsübergreifend im Unternehmen einzuführen.
Praxisnah erfahren Sie von unseren Referentinnen und Referenten, wie Sie sowohl existenzgefährdende Risiken frühzeitig erkennen als auch Chancen für Ihr Unternehmen identifizieren. So sind Sie in der Lage, gemeinsam mit den jeweiligen Prozessverantwortlichen die Kundenzufriedenheit zu erhöhen, wirtschaftlich gewinnbringende Entscheidungen zu initiieren und damit zum langfristigen Erfolg und zur Widerstandsfähigkeit des Unternehmens beizutragen.
Risikomanager (TÜV) - Risk Manager
Mit der Teilnahme am Seminar Risikomanager (TÜV) – Risk Manager lernen Sie die Anforderungen an ein systematisches Risikomanagement (RMS) kennen. Bauen Sie für sich die perfekte Grundlage, um ein RMS in Ihrem Unternehmen, gemäß aktueller gesetzlicher und normativer Regelungen (z. B. ISO 31000, OENORM D 4900 ff) zu etablieren oder in bereits vorhandene Managementsysteme, wie z. B. ISO 9001, zu integrieren.
Risikomanagement einführen – häufige Fehler vermeiden
Letzten Endes, so Dr. Gietl, gehe es bei einem Risikomanagement immer um eines: auf Basis von Eintrittswahrscheinlichkeit und Schadenshöhe eine Entscheidung über Maßnahmen zu treffen. „Dieses Ziel haben viele aus den Augen verloren. In großen Unternehmen wird ein Risikomanagement oft zu komplex aufgebaut.“
Ein anderer häufiger Fehler bestehe darin, dass Führungskräfte vergessen, dass sie die Risikoeigner seien.
Normativ werden aber drei Rollen im Risikomanagement beschrieben:
- Risikoeigner
- Systembeauftragte, die das Risikomanagement systemisch beauftragen
- Risikomanager, die die Koordination in den Abteilungen übernehmen
Alle drei Rollen genau zu definieren, sei entscheidend für den Erfolg eines Risikomanagementsystems, betont Dr. Gietl.
Schließlich komme es in vielen Unternehmen zu einer „Weiterschieberitis“. Das liege daran, dass es im Risikomanagement um präventive Maßnahmen gehe und diese im Tagesgeschäft schnell in den Hintergrund gerieten. Im schlimmsten Fall werde ein Risikomanagement dann zu etwas, wovon man zwar spreche, das aber nicht stattfinde.
Wir geben Ihnen einen umfassenden Einblick in die Auswirkungen von künstlicher Intelligenz auf die Arbeitswelt. Erfahren Sie von unseren KI-Expertinnen und -Experten, wie sich auch Ihr Berufsalltag durch den Einfluss künstlicher Intelligenz grundlegend verändert.
Prävention gewinnt an Bedeutung
Natürlich war es schon immer sinnvoll für Akteure in der Wirtschaft, vorausschauend zu denken und schwerwiegenden Risiken präventiv zu begegnen. Trotzdem war ein systematisches Risikomanagement lange Mangelware in deutschen Unternehmen. Dort, wo es vorhanden war, konzentrierte es sich auf wenige ausgewählte Risiken, allen voran solchen, die zu einer Insolvenz führen könnten.
Dies hat sich in der jüngsten Vergangenheit geändert. Krisen wie der Ukraine-Krieg und die Corona-Pandemie sowie neue Gesetze haben dazu geführt, dass der Stellenwert des Risikomanagements gestiegen ist – auch bei externen Stakeholdern wie Kunden und Geschäftspartnern. Damit wird es für Unternehmen immer wichtiger, systematisch Risiken zu identifizieren, zu analysieren und zu bewerten.
Die gute Nachricht ist: Ein Risikomanagement lässt sich oft einfach in bestehende Prozesse integrieren und erfordert nicht unbedingt viel Aufwand. Solange Verantwortliche einige grundlegende Dinge im Kopf behalten, profitieren alle Beteiligten davon.
Ihre Ansprechpartnerin
Portfoliomanagement
Große Bahnstraße 31, Hamburg
Tel.: +49 40 8557-1566
npaetzel@tuev-nord.de