Risikomanagement
Risikomanagement ist der systematische Umgang mit Unsicherheit in einem Unternehmen. Es identifiziert Risiken, bewertet sie nach Eintrittswahrscheinlichkeit und Schadensausmaß, entwickelt Maßnahmen und überwacht die Wirkung. Im Mittelstand ist Risikomanagement Pflicht aufgrund des KonTraG für Aktiengesellschaften und Pflichtbestandteil eines Qualitätssystems nach DIN EN ISO 9001:2015 (risikobasiertes Denken). Auch ohne formale Pflicht zahlt sich ein durchdachter Umgang mit Risiken aus, weil viele Schäden vermieden oder zumindest in ihrer Wirkung gemildert werden können.
Definition und Norm
Maßgeblich ist die DIN ISO 31000 (Risikomanagement, Leitlinien). Sie definiert Risikomanagement als koordinierte Aktivitäten zur Lenkung und Kontrolle einer Organisation in Bezug auf Risiken. Ergänzend liefert die DIN ISO 31010 (Verfahren der Risikobeurteilung) konkrete Methoden. Im Finanzbereich kommen MaRisk, Solvency II und Basel-Regelwerke hinzu, im Datenschutz die DSGVO mit der Risikoanalyse für die Verarbeitung personenbezogener Daten.
Methoden der Risikobeurteilung
- Risk-Workshop: Brainstorming mit Schlüsselpersonen aus mehreren Bereichen.
- Risikomatrix: Eintrittswahrscheinlichkeit gegen Schadensausmaß, mit klaren Schwellen.
- FMEA: Fehlermöglichkeits- und Einflussanalyse, vor allem in Produktion und IT.
- HAZOP: Hazard and Operability Study, in chemischer und Verfahrenstechnik.
- Bow-Tie-Analyse: Visualisierung von Ursachen, Ereignis und Folgen.
- Monte-Carlo-Simulation: stochastische Bewertung quantitativer Risiken.
Strategien
- Vermeiden: Aktivität nicht ausführen, Lieferanten wechseln.
- Reduzieren: Wahrscheinlichkeit oder Schaden senken, etwa durch Schutzmaßnahmen.
- Übertragen: Versicherung, Vertrag, Auslagerung an Dritte.
- Akzeptieren: bewusst tragen bei kleinen oder kontrollierbaren Risiken.
Risikomanagement im Mittelstand
Im Mittelstand reicht oft eine schlanke Praxis: jährliches Risk-Workshop mit Schlüsselpersonen, Risikoregister mit Top 10, Maßnahmenplan, vierteljährliches Review im Führungskreis. Wichtige Themen sind häufig Cyberangriff, Schlüsselpersonen, Klumpenrisiko bei Großkunden, Lieferantenausfall und Compliance. Wer Risikomanagement nur einmal aufsetzt und dann ablegt, verschenkt den Nutzen. Lebende Pflege ist entscheidend.
Räume und IT
Risk-Workshops leben von visueller Arbeit. Whiteboards, Pinnwände, mobile Tische und gute Akustik unterstützen ehrliche Diskussion. Eine durchdachte Büroplanung sieht solche Mehrzweckräume vor. Auf der digitalen Seite kommen GRC-Plattformen (Governance, Risk, Compliance) wie BWise, Risk-Management-Module von SAP oder spezialisierte Lösungen wie LogicGate zum Einsatz. IT-Dienstleistungen für den Mittelstand begleiten Auswahl, Integration und sicheren Betrieb.
Synonyme
Risk Management, Risikosteuerung, Enterprise Risk Management (ERM). ERM steht für eine umfassendere, unternehmensweit integrierte Sicht im Vergleich zu funktionalem Risikomanagement.
Abgrenzung zu
- Krisenmanagement: Reaktion im Ernstfall, ergänzt Risikomanagement.
- Compliance: rechtliche Pflichterfüllung, Teilbereich.
- Geschäftsfortführungsmanagement (BCM): Aufrechterhaltung kritischer Prozesse.
- Versicherung: Werkzeug der Risikoübertragung.
Siehe auch
- Risiko
- Krisenmanagement
- Geschäftsfortführungsmanagement (BCM)
- Compliance Management
- Cybersicherheit
Literaturhinweise
- DIN ISO 31000: Risikomanagement, Leitlinien.
- DIN ISO 31010: Verfahren der Risikobeurteilung.
- KonTraG: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich.
- BaFin: MaRisk.
- COSO ERM Framework.