Risikomanagement-Prozess im Überblick

Durch gezielte Kontrolle zum unternehme­rischen Erfolg

Unternehmen werden permanent vor potenzielle Chancen und Risiken gestellt. Diese werden auf ihre möglichen Auswirkungen bewertet und entsprechend gesteuert, damit definierte Unternehmensziele sicher erreicht und die Unternehmenswerte geschützt werden.

Download Produktbroschüre

Risikomanagement-Prozess in der Praxis

Der Risikomanagement-Prozess lässt sich grob in 5 Schritte unterteilen. Nach jeder “Risikoüberwachung”-Phase wird ein neuer Zyklus initiiert, sodass stets aktuelle und verlässliche Informationen über alle Bereiche zur Verfügung stehen.

Schritt für Schritt

Der Grundstein eines erfolgreichen Risikomanagements ist das Vorhandensein einer unternehmensspezifisch gestalteten Risiko­strategie. Sie bestimmt die Definitionen der Begriffe Risiko und Chance und stellt ein Glossar zur Verfügung, um eine einheitliche Verständnisbasis innerhalb des Unternehmens zu schaffen.

Darüber hinaus wird eine Obergrenze für eingehende Risiken definiert sowie Grundsätze bestimmt, wie mit diesen umgegangen werden soll (Risikominimierung, Risikobehebung, Risikovermeidung, Risikoakzeptanz).

Von der Risikostruktur wird die Risikokultur abgeleitet, die dazu dient, das Risikobewusstsein der Mitarbeiter innerhalb des Unternehmens(-bereiches) zu stärken. Es werden Verhaltensweisen definiert, um das Bewusstsein und die Bereitschaft zu steigern, Bedrohungen wahrzunehmen und zu melden.

Die Identifikation ist zusammen mit der Bewertung die wichtigste Phase im Risikomanagement­prozess und gehört zur Risikoanalyse. Hier geht es darum, frühzeitig bestehende und potenzielle Risiken aufzulisten, die sich negativ oder positiv auf die Existenz des Unternehmens oder die Unternehmensziele auswirken können. Dabei betrachtet man sowohl interne als auch externe Bedrohungen.

Für die Risikoanalyse bedient man sich unterschiedlichen Methoden und Instrumenten, beispielsweise der SWOT-Analyse oder Potenzialanalyse. So lassen sich kunden- und marktspezifische Risiken ermitteln sowie anhand der Bestimmung unternehmensinterner Stärken und Schwächen strategische Erfolgsfaktoren des Unternehmens herausarbeiten.

Im Anschluss an die Risikoidentifikation werden im vorigen Schritt ermittelten Risiken analysiert und bewertet. Bei der Analyse geht es darum, diese ihrem Gefährdungs­potenzial nach zu priorisieren, um die kritischsten Bedrohungen vorrangig zu steuern. Folgende Kennzahlen spielen bei der Bewertung eine wichtige Rolle: Eintritts­­wahrscheinlichkeit, Schadenshöhe und Schadens­­erwartungs­wert. Zudem sollten mögliche Wechsel­beziehungen mit anderen Risiken ermittelt werden, da sich diese verstärken oder kompensieren können.

Die Einschätzung der potenziellen Ergebniseffekte erfolgt in der Praxis sowohl qualitativ als auch quantitativ, ggf. mit beiden Verfahren. Um die Risikopotenziale zu visualisieren und als Grundlage für strategische Entscheidungen, eignet sich die Ansicht in einer Risikomatrix.

Im Anschluss wird mithilfe der Risikoaggregation die Gesamt­risiko­position und damit die Risikotragfähigkeit des Unternehmens ermittelt.

Ist die Phase der Risikobewertung abgeschlossen, werden geeignete Steuerungs­maßnahmen für die negativen und positiven Risiken bestimmt und eingeleitet, mit dem Ziel eine positive Veränderung der aktuellen Risiko­situation zu bewirken. Abgeleitet von der im Vorfeld festgelegten Strategie, wird für jedes Risiko entschieden, wie damit umgegangen werden soll. Ist es vernachlässigbar und kann akzeptiert werden? Muss es auf jeden Fall vermieden werden? Kann es durch entsprechende Gegenmaßnahmen gezielt verringert werden?

Bei den Arten der Steuerungs­maßnahmen kann man zwischen proaktiven und reaktiven Maßnahmen unterscheiden. Beim Ersteren handelt es sich um Aktivitäten, die bereits vor Eintritt des Risikos eingeleitet werden. Das Ziel dieser Aktivitäten ist es vor allem bei mittleren und großen Risiken die Eintrittswahrscheinlichkeit zu minimieren bzw. zu erhöhen. Reaktive Maßnahmen werden dagegen erst dann umgesetzt, wenn ein Risiko bereits eingetreten ist.

Bei der Risikoüberwachung geht es darum, in regelmäßigen, zuvor festgelegten Abständen zu überprüfen, ob bzw. welche Veränderungen der Risiken die getroffenen Maßnahmen gebracht haben. Man betrachtet die Veränderungen der Eintritts­­wahrscheinlichkeiten der einzelnen gefährlichen Ereignisse sowie die Tendenz, in welche Richtung die Höhe des potenziellen Schadens gewandert ist. Anhand dieser Betrachtung können mögliche Verbesserungs­­potenziale identifiziert und umgesetzt werden. Ebenfalls kann man feststellen, ob eventuell neue Risiken zum Vorschein gekommen sind.

Die Überwachung des Risikomanagements gibt Aufschluss über die Funktionsfähigkeit des Prozesses und seine Wirksamkeit. Anhand der Ergebnisse dieser Kontrolle können Schlüsse über Verbesserungs­­methoden und die Weiter­entwicklung des Risikomanagement­­prozesses gezogen werden.

Zuletzt wird ein ausführlicher Bericht über die festgestellten Ergebnisse erstellt und den Verantwortlichen überreicht. Der Bericht liefert den Status Quo der Risiko­situation im Unternehmen sowie daraus abgeleitete Verbesserungs­­vorschläge und sorgt somit für eine angemessene Kommunikation innerhalb der Organisation.

Innerhalb des Unternehmens muss jedes identifizierte Risiko, negativ oder positiv, einen internen Freigabeprozess durchlaufen. Zunächst erfolgt die Risikobewertung durch denjenigen, der die Bedrohung entdeckt hat (Risk Owner). Er schätzt die Schadenshöhe und die Eintritts­wahrscheinlichkeit ein und führt die qualitative/quantitative Bewertungen durch. Zusätzlich werden Best-Case-, Worst-Case- und Expected-Case-Szenarien durchgespielt. Mithilfe einer Zeitraum-Bewertung wird die mögliche Risikoentwicklung eingeschätzt.

Nach der Bewertung wandert das Risiko zur nächsthöheren Ebene, wo es vom Verantwortlichen freigegeben werden muss. Ist die Freigabe erfolgt, wandert das Risiko weiter nach oben, andernfalls wieder zurück zum Risk Owner, der das Risiko dann neu bewerten muss.

Kommt das Risiko bei der Gesellschaft-Geschäftsleitung an, wird bestimmt, ob dieses für den ganzen Konzern oder nur für das Tochterunternehmen relevant ist.

Durch die Freigabe der dezentralen Geschäftsleitung wird es an das Risikomanagement der Holding weitergeleitet. Der Mutterkonzern sammelt alle gemeldeten Risiken der Tochtergesellschaften ein und aggregiert diese. Anschließend werden Steuerungs­maßnahmen bestimmt. Für den Vorstand wird schließlich ein ausführlicher Bericht erstellt, der alle relevanten Kennzahlen und Daten beinhaltet.

Effizientes Risikomanagement mit System

Um wirkungsvolles und verlässliches Risikomanagement zu betreiben, ist es ratsam, ein strukturiertes und workflowbasiertes Risikomanagement-System einzuführen und es in die Unternehmens­steuerung zu integrieren. So kann die Transparenz der Daten und Abläufe gewährleistet und der Risikomanagement­prozess zu jedem Zeitpunkt nachvollzogen werden. Das obligatorische Risiko­frühwarnsystem des Risikomanagement-Systems versetzt Sie in die Lage, potenzielle Bedrohungen frühzeitig zu identifizieren, sodass Sie effektive Risikosteuerung betreiben können.

Unsere etablierte Softwarelösung für Risikomanagement antares RiMIS® bietet Ihnen umfangreiche Funktionen für das Governance-, Risk- und Compliance-Management.

Lesen Sie mehr über antares RiMIS®

Download

Erkennen Sie Risiken frühzeitig und steuern Sie diesen wirkungsvoll entgegen – mit unserer GRC-Softwarelösung antares RiMIS®.

Ihre Anfrage zu antares RiMIS®

vielen Dank für Ihr Interesse an unserer etablierten Softwarelösung für Risiko- und Chancenmanagement - antares RiMIS®.

Die Lösung zeichnet sich durch vielfältige Einsatz-, individuelle Gestaltungsmöglichkeiten und einfache Benutzerführung aus. Weitere Funktionen entnehmen Sie folgender Produktbroschüre.

Haben Sie Fragen zu antares RiMIS® oder zum Unternehmen? Zögern Sie nicht und kontaktieren Sie uns unter der Rufnummer 07331/3076-0 oder per E-Mail unter info@antares-is.de. Wir melden uns umgehend bei Ihnen.