Jedes Unternehmen ist permanent unterschiedlichsten Risiken ausgesetzt und wird vor potenzielle Chancen gestellt, sowohl intern als auch extern. Es ist die Aufgabe des Risikomanagements dafür zu sorgen, dass mögliche Bedrohungen rechtzeitig und gezielt identifiziert werden.
Diese werden auf ihre potenziellen Auswirkungen bewertet und entsprechend gesteuert, damit definierte Unternehmensziele sicher erreicht und die Unternehmenswerte geschützt werden. Nach der Risikoanalyse (Identifikation und Bewertung) werden entsprechende Maßnahmen eingeleitet, die dazu dienen, Risiken zu verhindern, zu minimieren oder zu übertragen sowie Chancen zu begegnen und sie zu forcieren.
Ein effizientes Risikomanagement hilft dabei interne Vorschriften sowie externe Gesetze einzuhalten und Prozesssicherheit zu schaffen.
Risikomanagementprozess in der Praxis
Der Risikomanagementprozess lässt sich grob in 5 Schritte unterteilen. Nach jeder Phase “Risikoüberwachung” wird ein neuer Zyklus initiiert, sodass stets aktuelle und verlässliche Informationen über alle Bereiche zur Verfügung stehen.
Der Grundstein eines erfolgreichen Risikomanagements ist das Vorhandensein einer unternehmensspezifisch gestalteten Risikostrategie. Sie bestimmt die Definitionen der Begriffe Risiko und Chance und stellt ein Glossar zur Verfügung, um eine einheitliche Verständnisbasis innerhalb des Unternehmens zu schaffen.
Darüber hinaus wird eine Obergrenze für eingehende Risiken definiert sowie Grundsätze bestimmt, wie mit diesen umgegangen werden soll (Risikominimierung, Risikobehebung, Risikovermeidung, Risikoakzeptanz).
Von der Risikostruktur wird die Risikokultur abgeleitet, die dazu dient, das Risikobewusstsein der Mitarbeiter innerhalb des Unternehmens(bereiches) zu stärken. Es werden Verhaltensweisen definiert, um das Bewusstsein und die Bereitschaft zu steigern, Bedrohungen wahrzunehmen und zu melden.
Die Identifikation ist zusammen mit der Bewertung die wichtigste Phase im Risikomanagementprozess und gehört zur Risikoanalyse. Hier geht es darum, frühzeitig bestehende und potenzielle Risiken aufzulisten, die sich negativ oder positiv auf die Existenz des Unternehmens oder die Unternehmensziele auswirken können. Dabei betrachtet man sowohl interne als auch externe Bedrohungen.
Für die Risikoanalyse bedient man sich unterschiedlichen Methoden und Instrumenten, beispielsweise der SWOT-Analyse oder Potenzialanalyse. So lassen sich kunden- und marktspezifische Risiken ermitteln sowie anhand der Bestimmung unternehmensinterner Stärken und Schwächen strategische Erfolgsfaktoren des Unternehmens herausarbeiten.
Im Anschluss an die Risikoidentifikation werden im vorigen Schritt ermittelten Risiken analysiert und bewertet. Bei der Analyse geht es darum, diese ihrem Gefährdungspotenzial nach zu priorisieren, um die kritischsten Bedrohungen vorrangig zu steuern. Folgende Kennzahlen spielen bei der Bewertung eine wichtige Rolle: Eintrittswahrscheinlichkeit, Schadenshöhe und Schadenserwartungswert. Zudem sollten mögliche Wechselbeziehungen mit anderen Risiken ermittelt werden, da sich diese verstärken oder kompensieren können.
Die Einschätzung der potenziellen Ergebniseffekte erfolgt in der Praxis sowohl qualitativ als auch quantitativ, ggf. mit beiden Verfahren. Um die Risikopotenziale zu visualisieren und als Grundlage für strategische Entscheidungen, eignet sich die Ansicht in einer Risikomatrix.
Im Anschluss wird mithilfe der Risikoaggregation die Gesamtrisikoposition und damit die Risikotragfähigkeit des Unternehmens ermittelt.
Ist die Phase der Risikobewertung abgeschlossen, werden geeignete Steuerungsmaßnahmen für die negativen und positiven Risiken bestimmt und eingeleitet, mit dem Ziel eine positive Veränderung der aktuellen Risikosituation zu bewirken. Abgeleitet von der im Vorfeld festgelegten Strategie, wird für jedes Risiko entschieden, wie damit umgegangen werden soll. Ist es vernachlässigbar und kann akzeptiert werden? Muss es auf jeden Fall vermieden werden? Kann es durch entsprechende Gegenmaßnahmen gezielt verringert werden?
Bei den Arten der Steuerungsmaßnahmen kann man zwischen proaktiven und reaktiven Maßnahmen unterscheiden. Beim Ersteren handelt es sich um Aktivitäten, die bereits vor Eintritt des Risikos eingeleitet werden. Das Ziel dieser Aktivitäten ist es vor allem bei mittleren und großen Risiken die Eintrittswahrscheinlichkeit zu minimieren bzw. zu erhöhen. Reaktive Maßnahmen werden dagegen erst dann umgesetzt, wenn ein Risiko bereits eingetreten ist.
Bei der Risikoüberwachung geht es darum, in regelmäßigen, zuvor festgelegten Abständen zu überprüfen, ob bzw. welche Veränderungen der Risiken die getroffenen Maßnahmen gebracht haben. Man betrachtet die Veränderungen der Eintrittswahrscheinlichkeiten der einzelnen gefährlichen Ereignisse sowie die Tendenz, in welche Richtung die Höhe des potenziellen Schadens gewandert ist. Anhand dieser Betrachtung können mögliche Verbesserungspotenziale identifiziert und umgesetzt werden. Ebenfalls kann man feststellen, ob eventuell neue Risiken zum Vorschein gekommen sind.
Die Überwachung des Risikomanagements gibt Aufschluss über die Funktionsfähigkeit des Prozesses und seine Wirksamkeit. Anhand der Ergebnisse dieser Kontrolle können Schlüsse über Verbesserungsmethoden und die Weiterentwicklung des Risikomanagementprozesses gezogen werden.
Zuletzt wird ein ausführlicher Bericht über die festgestellten Ergebnisse erstellt und den Verantwortlichen überreicht. Der Bericht liefert den Status Quo der Risikosituation im Unternehmen sowie daraus abgeleitete Verbesserungsvorschläge und sorgt somit für eine angemessene Kommunikation innerhalb der Organisation.
- Strategie
Der Grundstein eines erfolgreichen Risikomanagements ist das Vorhandensein einer unternehmensspezifisch gestalteten Risikostrategie. Sie bestimmt die Definitionen der Begriffe Risiko und Chance und stellt ein Glossar zur Verfügung, um eine einheitliche Verständnisbasis innerhalb des Unternehmens zu schaffen.
Darüber hinaus wird eine Obergrenze für eingehende Risiken definiert sowie Grundsätze bestimmt, wie mit diesen umgegangen werden soll (Risikominimierung, Risikobehebung, Risikovermeidung, Risikoakzeptanz).
Von der Risikostruktur wird die Risikokultur abgeleitet, die dazu dient, das Risikobewusstsein der Mitarbeiter innerhalb des Unternehmens(bereiches) zu stärken. Es werden Verhaltensweisen definiert, um das Bewusstsein und die Bereitschaft zu steigern, Bedrohungen wahrzunehmen und zu melden.
- Identifikation
Die Identifikation ist zusammen mit der Bewertung die wichtigste Phase im Risikomanagementprozess und gehört zur Risikoanalyse. Hier geht es darum, frühzeitig bestehende und potenzielle Risiken aufzulisten, die sich negativ oder positiv auf die Existenz des Unternehmens oder die Unternehmensziele auswirken können. Dabei betrachtet man sowohl interne als auch externe Bedrohungen.
Für die Risikoanalyse bedient man sich unterschiedlichen Methoden und Instrumenten, beispielsweise der SWOT-Analyse oder Potenzialanalyse. So lassen sich kunden- und marktspezifische Risiken ermitteln sowie anhand der Bestimmung unternehmensinterner Stärken und Schwächen strategische Erfolgsfaktoren des Unternehmens herausarbeiten.
- Bewertung
Im Anschluss an die Risikoidentifikation werden im vorigen Schritt ermittelten Risiken analysiert und bewertet. Bei der Analyse geht es darum, diese ihrem Gefährdungspotenzial nach zu priorisieren, um die kritischsten Bedrohungen vorrangig zu steuern. Folgende Kennzahlen spielen bei der Bewertung eine wichtige Rolle: Eintrittswahrscheinlichkeit, Schadenshöhe und Schadenserwartungswert. Zudem sollten mögliche Wechselbeziehungen mit anderen Risiken ermittelt werden, da sich diese verstärken oder kompensieren können.
Die Einschätzung der potenziellen Ergebniseffekte erfolgt in der Praxis sowohl qualitativ als auch quantitativ, ggf. mit beiden Verfahren. Um die Risikopotenziale zu visualisieren und als Grundlage für strategische Entscheidungen, eignet sich die Ansicht in einer Risikomatrix.
Im Anschluss wird mithilfe der Risikoaggregation die Gesamtrisikoposition und damit die Risikotragfähigkeit des Unternehmens ermittelt.
- Steuerung
Ist die Phase der Risikobewertung abgeschlossen, werden geeignete Steuerungsmaßnahmen für die negativen und positiven Risiken bestimmt und eingeleitet, mit dem Ziel eine positive Veränderung der aktuellen Risikosituation zu bewirken. Abgeleitet von der im Vorfeld festgelegten Strategie, wird für jedes Risiko entschieden, wie damit umgegangen werden soll. Ist es vernachlässigbar und kann akzeptiert werden? Muss es auf jeden Fall vermieden werden? Kann es durch entsprechende Gegenmaßnahmen gezielt verringert werden?
Bei den Arten der Steuerungsmaßnahmen kann man zwischen proaktiven und reaktiven Maßnahmen unterscheiden. Beim Ersteren handelt es sich um Aktivitäten, die bereits vor Eintritt des Risikos eingeleitet werden. Das Ziel dieser Aktivitäten ist es vor allem bei mittleren und großen Risiken die Eintrittswahrscheinlichkeit zu minimieren bzw. zu erhöhen. Reaktive Maßnahmen werden dagegen erst dann umgesetzt, wenn ein Risiko bereits eingetreten ist.
- Überwachung
Bei der Risikoüberwachung geht es darum, in regelmäßigen, zuvor festgelegten Abständen zu überprüfen, ob bzw. welche Veränderungen der Risiken die getroffenen Maßnahmen gebracht haben. Man betrachtet die Veränderungen der Eintrittswahrscheinlichkeiten der einzelnen gefährlichen Ereignisse sowie die Tendenz, in welche Richtung die Höhe des potenziellen Schadens gewandert ist. Anhand dieser Betrachtung können mögliche Verbesserungspotenziale identifiziert und umgesetzt werden. Ebenfalls kann man feststellen, ob eventuell neue Risiken zum Vorschein gekommen sind.
Die Überwachung des Risikomanagements gibt Aufschluss über die Funktionsfähigkeit des Prozesses und seine Wirksamkeit. Anhand der Ergebnisse dieser Kontrolle können Schlüsse über Verbesserungsmethoden und die Weiterentwicklung des Risikomanagementprozesses gezogen werden.
Zuletzt wird ein ausführlicher Bericht über die festgestellten Ergebnisse erstellt und den Verantwortlichen überreicht. Der Bericht liefert den Status Quo der Risikosituation im Unternehmen sowie daraus abgeleitete Verbesserungsvorschläge und sorgt somit für eine angemessene Kommunikation innerhalb der Organisation.
Innerhalb des Unternehmens muss jedes identifizierte Risiko, negativ oder positiv, einen internen Freigabeprozess durchlaufen. Zunächst erfolgt die Risikobewertung durch denjenigen, der die Bedrohung entdeckt hat (Risk Owner). Er schätzt die Schadenshöhe und die Eintrittswahrscheinlichkeit ein und führt die qualitative/quantitative Bewertungen durch. Zusätzlich werden Best-Case-, Worst-Case- und Expected-Case-Szenarien durchgespielt. Mithilfe einer Zeitraum-Bewertung wird die mögliche Risikoentwicklung eingeschätzt.
Nach der Bewertung wandert das Risiko zur nächsthöheren Ebene, wo es vom Verantwortlichen freigegeben werden muss. Ist die Freigabe erfolgt, wandert das Risiko weiter nach oben, andernfalls wieder zurück zum Risk Owner, der das Risiko dann neu bewerten muss.
Kommt das Risiko bei der Gesellschaft-Geschäftsleitung an, wird bestimmt, ob dieses für den ganzen Konzern oder nur für das Tochterunternehmen relevant ist.
Durch die Freigabe der dezentralen Geschäftsleitung wird es an das Risikomanagement der Holding weitergeleitet. Der Mutterkonzern sammelt alle gemeldeten Risiken der Tochtergesellschaften ein und aggregiert diese. Anschließend werden Steuerungsmaßnahmen bestimmt. Für den Vorstand wird schließlich ein ausführlicher Bericht erstellt, der alle relevanten Kennzahlen und Daten beinhaltet.
Effizientes Risikomanagement mit Risikomanagement-System
Um wirkungsvolles und verlässliches Risikomanagement zu betreiben, ist es ratsam ein strukturiertes und workflowbasiertes Risikomanagementsystem einzuführen und es in die Unternehmenssteuerung zu integrieren. So kann die Transparenz der Daten und Prozesse gewährleistet und der Risikomanagementprozess zu jedem Zeitpunkt nachvollzogen werden. Das obligatorische Risikofrühwarnsystem des Risikomanagementsystems versetzt Sie in die Lage, potenzielle Bedrohungen frühzeitig zu identifizieren, sodass Sie effektive Risikosteuerung betreiben können.
Unsere etablierte Softwarelösung für Risikomanagement antares RiMIS bietet Ihnen umfangreiche Funktionen für das Governance-, Risk- und Compliancemanagement.
Jürgen Günther
Geschäftsführung
Ansprechpartner für GRC Management Software
Der beste Weg, Ihnen die Fähigkeiten unserer Software für Chancen- und Risikomanagement zu zeigen, ist eine Live-Präsentation. Wir präsentieren das Leistungsspektrum, live und für Sie ohne Aufwand, direkt auf Ihrem Bildschirm per Web-Session oder persönlich bei Ihnen vor Ort.
Wir gehen auf Ihre Fragen ein und sorgen dafür, dass Sie die Software genau kennenlernen. Wir zeigen Ihnen den Lösungsweg zu konkreten Anforderungen.
Wählen Sie Ihre gewünschte Option aus und vereinbaren Sie eine Live-Präsentation.
Ihre Vorteile mit antares RiMIS
Vorausschauend
Risiken werden nicht nur pragmatisch katalogisiert, das integrierte Frühwarnsystem (Risikofrüherkennunssystem) unserer GRC-Lösung versetzt Sie auch in die Lage, proaktiv Risiken entgegenzuwirken und den idealen Weg mit Hilfe des Maßnahmencontrollings zu finden.
Schnell
Die kurze Implementierungszeit und die individuelle Erweiterbarkeit fügen sich reibungslos und störungsfrei in Ihren Arbeitsablauf ein. Mit antares RiMIS eine optimale Risikostrategie generien in kürzester Zeit.
Benutzerfreundlich
Komplexe Prozesse sind durch die intuitive Oberflächenstruktur und durch das moderne, webbasierte Design einfach zu bedienen. Selbsterklärende Cockpitansichten und Grafiken erleichtern den täglichen Umgang und sorgen für schnelle Ergebnisse z.B. durch Drill-Down-Methodik.
Zugelassen
Entspricht § 317 Abs. 4 HGB und dem Prüfungsstandard IDW PS 340, erfüllt die BilMoG-Anforderungen und bereitet den Weg, Verstößen gegen den Sarbanes-Oxley Act vorzubeugen. Berücksichtigt die Gesichtspunkte des KonTraG, ISO 31000, IDW (E) PS 981, COSO II sowie ONR 49000 und ÖNORM S 2410 und richtet sich nach der IEC 62198.
Individuell
Optimale Anbindung an Ihre IT-Umgebung ermöglicht neben dem standardisierten Datentransfer ein individuelles Design, das sich Ihren Richtlinien und Anforderungen im Risikomanagement anpasst.
Zeitsparend
Die intuitive Maskenstruktur und der E-Mail-gestützte Workflow von der Erfassung bis zum automatisch erstellten Bericht (Risikobericht) sorgen für einen reibungslosen und effizienten Risikomanagementprozess.
Download
Best-Practice-Bericht kostenlos erhalten!
Der Risikomanagementprozess im Überblick. Integrieren Sie in wenigen Tagen ein Risikomanagement-System in Ihr Unternehmen. Die Implementierung unserer Softwarelösung veranschaulicht als Prozess im Best-Practice-Bericht.
RiMIS-Produktbroschüre kostenlos erhalten!
Erkennen Sie Risiken frühzeitig und steuern diese wirkungsvoll. Seit 2001 installieren wir unsere GRC- (Governance – Risk – Compliance) Softwarelösung – antares RiMIS. Weitere Merkmale und Funktionen entnehmen Sie unserer Produktbroschüre.
RiMIS-Flyer kostenlos erhalten!
Eine Kurzübersicht der Merkmale und Funktionen entnehmen Sie unserem Flyer.
Unser Versprechen
Unsere Softwarelösungen für Analyse, Planung & Steuerung, Governance, Risk & Compliance sowie individuelle Business Intelligence-Lösungen als auch spezifische Branchenlösungen helfen Ihnen Ihr tägliches Geschäft besser zu beherrschen und vorausschauend zu agieren. Getreu unserem Motto:
