Risikomanagementsysteme – eine lästige Herausforderung?

Risikomanagementsysteme sind Überwachungssysteme zur Früherkennung von unternehmensgefährdenden Risiken und Abwehr beziehungsweise Minimierung von rechtlicher, wirtschaftlicher und finanzieller Schädigung eines Konzerns. Das bedeutet, dass jedes Unternehmen, ob groß oder klein, von einem gut ausgefeilten Risikomanagement profitiert.

Die ISO 31000 Risikomanagement – Grundsätze und Richtlinien (u.A.) weist Ihnen hierfür den Weg. Dort finden sich hilfreiche Anregungen zur praktikablen Erfüllung der rechtlichen Standards Ihres Risikomanagements. Von Experten erprobte Konzepte führen Sie spielend leicht zum Erfolg. Das bedeutet nicht, dass Ihre bereits etablierten Kontroll- und Managementansätze falsch oder nicht verwendbar sind. Rechtskonforme Unternehmen bedienen sich zur Kontrolle sowieso bereits Systemen wie exakter Finanzberichterstattung und Nachvollziehbarkeit der Arbeitsprozesse, diese sind nur nicht zwingend in ein effizientes Risikomanagementsystem eingegliedert. Dieses wird zwar gesetzlich verlangt, vom Gesetzgeber in seinen Einzelheiten jedoch nicht vorgegeben. Die genaue Ausformung hängt von individuellen Faktoren wie der Unternehmensgröße, der Risikoeinschätzung und der Erwartung an das Managementsystem ab, weshalb die gesetzlichen Rahmenbedingungen einen Masterplan gar nicht mitliefern können. Also verlangt Compliance mit den rechtlichen und normativen Systemanforderungen des unternehmenseigenen Risikomanagements einen hohen Anteil Eigeninitiative.

So herausfordernd wie das auf den ersten Blick auch erscheinen mag, stellt sich genau das aber als entscheidender Vorteil heraus. Es ermöglicht Ihnen, auf eigene unternehmensinterne Kontrollprozesse auf- und diese zu einem optimalen Risikomanagementsystem auszubauen.

Erste Schritte für die Systematisierung des Risikomanagements im Unternehmen:

    • Ziele klar definieren
    • Potenzielle Risiken und Risikofelder identifizieren und bewerten, Scope festlegen
    • Abläufe und Verantwortlichkeiten zur Identifikation, Dokumentation und Kommunikation festlegen
    • Einstufungs-/Bewertungskriterien etablieren:
      o was kann ein Risiko darstellen?
      o Wie ist das Gefahrenpotenzial einzustufen?
    • Risikobehandlung systematisieren:
      o Wie können Risiken analysiert werden?
      o Wie können Risiken verringert/verhindert werden?
    • Kompetente Verantwortliche auswählen und in Risk Management schulen
    • Zyklische, fortlaufende Überwachung und Optimierung des Systems initiieren

Im Zuge eines erfolgreichen Risikomanagements geht es im Wesentlichen um die Frage: was könnte alles schiefgehen?

Die Antwort hierauf muss jedoch kontinuierlich aktualisiert werden, da sich ständig neue Probleme ergeben können. Ein Prozessablauf, der in der Vergangenheit funktioniert hat, muss nicht immer zuverlässig sein, neue Marktentwicklungen und Möglichkeiten können neues Gefahrenpotenzial mit sich ziehen, neue Gesetze und Richtlinien können zu der Veraltung des Risikomanagements führen. Im selben Zug ist es wichtig, sich mit allen beteiligten Parteien kontinuierlich auszutauschen – sowohl intern als auch unternehmensextern. Insbesondere die Geschäftsleitung muss dem Kontroll- und Transparenzgesetz (KonTraG) zufolge immer über den aktuellen Status des Risikomanagements im Bilde sein. Produktmanagement-, Qualitätsmanagement– und weitere Kontrollsysteme erleichtern das Risikomanagement dazu enorm, da die Systeme für einen störungsfreien Betriebsablauf nahtlos ineinandergreifen.

Aber Achtung! – Umgang mit Risiken

Verschiedene Bereiche im Unternehmen sind auf verschiedene Weise risikoanfällig. So kann sich für beispielsweise die IT-Sicherheit ein spezieller Standard anbieten, der auf die spezifischen Risiken und Anforderungen in Bezug auf Cyber-Attacken zugeschnitten ist. Standards für Teilbereiche sind im Umkehrschluss aber nicht zwingend auf das gesamte Unternehmen übertragbar.

Ziel der ISO 31000 ist es, alle Bereiche und Funktionen eines Unternehmens abzudecken – ein zentrales Risikomanagement, welches die Basisanforderungen jedes Teilbereiches abdeckt. Die Risikobewertung und -behandlung muss dennoch für jedes einzelne Unternehmen angemessen sein und individuell angepasst werden. Hierbei empfiehlt es sich, eine mehrfarbige Risikobewertung vorzunehmen, die eine Übersicht für Ihre spezifischen Risiken nach Eintrittswahrscheinlichkeit und Folgen bietet. Die daraus resultierenden Maßnahmen zur Risikobehandlung müssen der Gefährdung und den verfügbaren zeitlichen und finanziellen Ressourcen Ihres Unternehmens entsprechen – nicht jedes kleine Problem erfordert sofortigen, aufwendigen Handlungsbedarf, andere müssen unmittelbar bewältigt werden. Selbstverständlich ist es zudem wichtig, verbleibende Restrisiken im Auge zu behalten. Dieser Prozess verläuft entsprechend dem PDCA-Zyklus und muss sich ständig wiederholen, um eine möglichst lückenlose Risikobewältigung zu garantieren.

Fazit

Wenn Sie ein Risikomanagementsystem etablieren, können Sie an das anknüpfen, was im Unternehmen schon angewendet wird und den Mitarbeitern bereits vertraut ist. So stellt das Managementsystem keine umwälzende Neuerung dar, fordert aber dennoch eine ständige Aktualisierung und Weiterentwicklung. Durch sorgfältige Analyse können Sie alle Komponenten und Prozesse identifizieren, die für das Risikomanagement von Bedeutung sind und sie rechtzeitig bewältigen, um die Sicherheit, die Compliance und den wirtschaftlichen Erfolg Ihres Unternehmens langfristig zu gewährleisten.

Bildnachweis: (C) geralt, CC0 v1.0, Pixabay