1. März 2010 - Risikomanagement nach ISO 31000

Warum jedes Unternehmen ein System zum Umgang mit Risiken braucht

Chancen sind schnell identifiziert, Risiken allerdings werden oft spät erkannt. In manchen Fällen, wie die hohe Zahl von Unternehmenskrisen und Insolvenzen zeigt, zu spät. Meist scheinen die Probleme überraschend und unvorhersehbar aufzutreten. Die Ursachen liegen allerdings meist in der mangelnden Sorgfalt im Umgang mit Risiken.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Risiken frühzeitig identifizieren

Risiken müssen bei einer Reihe von Unternehmensaktivitäten bedacht werden.

Risikobetrachtungen spielen eine wichtige Rolle bei der strategischen Planung für die weitere Entwicklung, bei Prozessen und Projekten, die durchgeführt werden, bei den Auswirkungen auf die Menschen, die Umwelt und die Natur, bei Sicherheitsbetrachtungen, bei Marktentwicklungen, bei Finanzentscheidungen oder bei der Gestaltung und Sicherung eines guten Images.

Risiken umfassend betrachten

Die vorhandenen Risikomanagementsysteme der Unternehmen beschränken sich meist nur auf bestimmte Anwendungsbereiche oder die Betrachtung von Einzelrisiken.

Hierdurch wird deutlich, dass die Unternehmen zwar verstanden haben, wie wichtig ein funktionierendes Risikomanagement ist, jedoch wird es in der Praxis nur wenig gelebt.

Oft fehlt der „rote Faden“. Doch bereits eingeführte Systeme können als Ausgangsplattform angesehen werden, auf denen aufgebaut werden kann.

Externe und Interne Faktoren berücksichtigen

Wichtig für die erfolgreiche Einführung und Umsetzung des Risikomanagementsystems sind die Festlegung und Definition des Rahmens. Hier sind sowohl externe wie auch interne Bedingungen zu berücksichtigen.

Zu den internen Rahmenbedingungen zählen Strategie, Politik, Planungen, die internen Werte, die Organisationsstruktur etc. Hier spielen

  • Verantwortlichkeiten,
  • Organisation,
  • Führungsverhalten und Managementqualität,
  • Werte und Kultur und
  • das Informationssystem, die Ziele und Strategie der Organisation

eine wichtige Rolle.

Zu den äußeren Rahmenbedingungen gehören soziokulturelle, politische, rechtliche, ordnungsrechtliche, finanzielle, wirtschaftliche und wettbewerbsorientierte Bedingungen. Weiterhin aber auch Werte und deren Wahrnehmung bei den Anspruchsgruppen.

Unternehmensanalyse steht am Anfang

Eine Möglichkeit zur Erfassung aller für ein Unternehmen relevanten Risiken sind Workshops. Sie setzen sich aus der Unternehmensleitung, den Beteiligten und Verantwortlichen des Risikomanagements und fachkundigen Mitarbeitern zusammen (diese Zusammensetzung ist idealtypisch und abhängig von der Unternehmensgröße).

Eine Moderation dieser Workshops durch Externe wäre dabei durchaus denkbar und sinnvoll, einerseits aus Akzeptanzgründen, andererseits, um Betriebsblindheit zu vermeiden.

Systematische Vorgehensweise

Eine wirkungsbezogene Strukturierung der Risiken kann z. B. eine Einteilung in Ertrags-, Liquiditäts- und Vermögensrisiken sein. Würde man eine ursächliche Abgrenzung der Risiken vornehmen, wäre eine mögliche Strukturierung in

  • Geschäftsrisiken,
  • IT-Risiken,
  • Einkaufs-Risiken,
  • Personalrisiken usw.

denkbar. Schließlich kann man bei der Unternehmensentscheidung operative Risiken, die sich i. d. R. kurzfristig bemerkbar machen, von strategischen Risiken, die sehr häufig eine langfristige Wirkung haben, abgrenzen.

Da Unternehmen nicht nur innerhalb ihrer Grenzen agieren, sondern in vielerlei Beziehungen zu ihrer Umwelt stehen, kann man auch zwischen internen und externen Risiken unterscheiden.

Gerade weil jedes Unternehmen ein anderes Umfeld hat, lässt sich die Notwendigkeit erkennen, für jedes Unternehmen eine individuelle Risikoidentifikation durchzuführen.

Erstellen eines Risikokatalogs

Das Ergebnis der Risikoidentifikation ist ein Risikokatalog.

In diesem werden die Risiken nach Kategorien systematisiert und dokumentiert. Der Risikokatalog ist auch die Grundlage für die nächsten Schritte der Risikoanalyse und der Risikobewertung, d. h., alle erfassten Risiken im Risikokatalog müssen bei der Risikobewertung bewertet werden.

Der maßgebliche Erfolg der Risikoidentifikation hängt von der gewählten Systematik ab und entscheidet, ob sich die Risiken klar voneinander abgrenzen lassen und ob sie vollständig erfasst wurden. Dazu kann z. B. eine Checkliste erstellt werden, die eine systematische Kategorisierung der Risiken ermöglicht, beispielsweise wenn sie gemeinsame Charakteristika aufweisen.

Bislang hat sich in der Unternehmenspraxis noch keine einheitliche Systematisierung durchgesetzt, da die Gliederungsmöglichkeiten nahezu unbegrenzt sind.

Vorteile des Risikomanagements

Risikomanagement ist nicht nur ein weiteres Managementsystem für Organisationen, sondern kann die Schutzansätze von bestehenden Managementsystemen zusammenfassen. Risikomanagement kann als Bindeglied aller Managementsysteme verstanden werden.

Mit einem Risikomanagementsystem nach ISO 31000 ist es möglich, die Wahrscheinlichkeit der Zielerreichung zu erhöhen. Ein zielgerichtetes Management ist fähig, Risiken zu erkennen und Risiken zu steuern, um Chancen zu nutzen und die negativen Folgen von Risiken zu minimieren.

Ein weiterer Vorteil besteht in der Erhöhung des Vertrauens in die Leistungsfähigkeit und Verlässlichkeit der Organisation. Hierzu zählen die erhöhte Rechtssicherheit und die erhöhte Führungssicherheit innerhalb der Organisation. Dies wiederum führt zu Vertrauen bei Anteilseignern, bei Mitarbeitern und bei überwachenden Stellen.

Weiterhin führt ein Risikomanagementsystem zur Verbesserung der Handlungsfähigkeit innerhalb der Organisation. Die Grundlage für die Entscheidungsfindung wird wesentlich verbessert, was auch zu einer grundlegenden Verbesserung des Entscheidungserfolgs führt. Interne Kontrollen werden objektiviert und verbessert. Die Allokation von Ressourcen verbessert sich, die Effizienz und Effektivität verbessern sich.

Als Folge eines Risikomanagementsystems nach ISO 31000 wird das Risikopotenzial selbst verringert. Werden die Abläufe und Verfahren regelmäßig einer Bewertung unterzogen und werden daraus Verbesserungen kontinuierlich abgeleitet, so wird sich die Organisation dahingehend wandeln, dass risikobehaftete Abläufe zunehmend durch diejenigen ausgetauscht werden, die ein geringeres Risiko bergen.

Folgen dieser Risikoabsenkung sind

  • ein verbesserter Datenschutz,
  • ein verbesserter Arbeits- und Gesundheitsschutz,
  • eine bessere Schadensverhütung oder
  • qualitätsbezogene Produktverbesserungen.

Alle diese genannten Verbesserungen führen zu einer robusten und belastbaren Organisation, die somit langfristig über ein stabiles Fundament für weitere Geschäftsaktivitäten verfügt.


Prof. Dr. Udo Weis
Herausgeber „Risikomanagement nach ISO 31000“

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln