Risiken gibt es überall. Bedrohungen, Gefahren und potenzielle Probleme innerhalb eines Projektes rechtzeitig zu erkennen, ist daher essenziell für jedes Management. Wie Unternehmen mögliche Schäden vermeiden oder minimieren können, ist Thema des Risikomanagements. Welche Arten von Risiken vorkommen können, wie Sie diese rechtzeitig erkennen und damit umgehen können, erklärt Ihnen dieser Artikel anhand von Beispielen aus der Praxis.

→ Praktische Vorlage für Ihren Projektplan [Kostenloser Download]



Was ist Risikomanagement?

Das Risikomanagement ist ein Teil des Projektmanagements. Es umfasst alle systematischen Aktivitäten eines Unternehmens im Umgang mit Risiken. Als Risiko werden unsichere Ereignisse bezeichnet, die noch nicht eingetreten, aber wahrscheinlich sind. Ziel des Risikomanagements ist es, Bedrohungen und Gefahren für das Unternehmen aufzuzeigen, zu bewerten und abzuwenden.

Warum Risikomanagement?

Die Grundaufgabe für jedes Unternehmen besteht darin,Chancen rechtzeitig wahrzunehmen und Risiken bereits im Vorfeld zu vermeidenoder zu verringern. Das Vertrauen der Kunden und Mitarbeiterinnen sowie externer Anteilseigner hängt entscheidend davon ab, wie sie dieFähigkeit des Unternehmens einschätzen, Risiken zu erkennen, diese transparent zu machen, Hintergründe zu beleuchten und Lösungswege aufzuzeigen.

Wenn der Eindruck entsteht, dass ein Unternehmen oder einProjektblindlings in jede Falle tappt, führt dies fast unweigerlich zum Vertrauensverlust. Das wiederum kann einen wirtschaftlichen Schaden, etwa einen Umsatzverlust oder den Verlust wertvoller Angestellter, nach sich ziehen und sollte unbedingt vermieden werden.

Ziele im Risikomanagement: Gefahren erkennen und abwehren

Das Risikomanagement hat es zur Aufgabe, Unternehmen vor potenziellen Bedrohungen zu schützen und diese abzuwehren. Ziel ist es:

  • Risiken frühzeitig zu erkennen,
  • Eintrittswahrscheinlichkeiten zu ermitteln,
  • Risiken und ihre Schadenshöhe zu bewerten,
  • Maßnahmen zur Abwendung von Risiken einzuführen,
  • Unternehmen vor finanziellen sowie rufschädigenden Ereignissen zu bewahren.

Die Umsetzung des Risikomanagements liegt somit im eigenen Interesse eines jeden Unternehmens. Dennoch: Risiken können auch Auswirkungen auf Umwelt, Angestellte und die Gesellschaft allgemein haben, weshalb es eine Reihe von Gesetzen zur Risikovermeidung gibt.

Das Risk Management wird verpflichtend

Neben den genannten wirtschaftlichen Gründen hat das Risikomanagement schon bald einen rechtlichen Hintergrund. Laut dem Lieferkettengesetz sind Unternehmen mit mehr als 3.000 Angestellten ab dem 1. Januar 2023 verpflichtet, ein Risikomanagement umsetzen. Ein Jahr später, also ab dem 1. Januar 2024, gilt der gleiche Grundsatz für Unternehmen ab einer Größe von mehr als 1.000 Mitarbeitenden.

Der Gesetzgeber will durch die Neuerung sicherstellen, dass Risiken, die Umweltschäden, Menschenrechtsverletzungen oder schlechte Arbeitsbedingungen herbeiführen können, frühzeitig erkannt werden.

Was gehört zum Risikomanagement?

Das Risikomanagement umfasst grob gesagt die Identifikation, Analyse, Bewertung sowie Kommunikation von potenziellen Risiken. Gleichzeitig ist es auch für die Planung und Durchführung der Maßnahmen verantwortlich, um diese Risiken einzudämmen. Wie das Risikomanagement konkret umgesetzt wird, hängt von den individuellen Unternehmensprozessen oder dem jeweiligen Projekt ab.

Risikomanagementprozess: Schritt für Schritt erklärt

Ein strukturierter Risikoprozess setzt sich also regelmäßig mit dem Ist- sowie Soll-Zustand von Projekten auseinander. Nur so kann eine hohe Qualitätssicherung gewährleistet und das Unternehmen vor Problemen bewahrt werden. Dabei definieren im Risikomanagement sechs zentrale Aufgaben denProzess:

1. Risikoidentifikation

Besondere Bedeutung kommt dem Identifizieren von Risiken zu, denn nur ein Problem, das erkannt wurde, kann auch behoben werden. Die Angestellten der Fachabteilungen kennen ihr Arbeitsgebiet und die dazugehörigen Risiken in der Regel am besten und sollten daher in den Prozess eingebunden werden. Risiken bestehen in jederPhase des Projektes, daher sollte die Risikoerfassung und -analyse bereits ein zentraler Bestandteil derProjektplanung sein.

2. Risikoanalyse

Das Messen und Analysierenvon Risiken ist ein sinnvolles Instrument des Risikomanagements. Die Quantifizierung und genaue Betrachtung von Störfällen in der Lieferkette etwa können wichtige Hinweise auf Vorsichtsmaßnahmen liefern, um Schaden vom Unternehmen abzuwenden.

3. Risikobewertung

Nicht jedes Risiko stellt direkt eine massive Bedrohung für den Erfolg des Projektes oder Unternehmens dar. Eine Risikobewertung beinhaltet daher eine Vielzahldenkbarer Risiken in Form verschiedener Szenarien. Die Risiken werden nach der Bewertung priorisiert. Der Hauptfokus liegt dabei auf den Top-Risiken des jeweiligen Unternehmens.

Für die Einordnung kann beispielsweise eine Risikomatrix genutzt werden, auf der die Skala in die Werte „gering“, „mittel“ und „hoch“ eingeteilt ist. Betrachtet werden für die Bewertung von Risiken die beiden Faktoren Schadensausmaß und Eintrittswahrscheinlichkeit.

4. Risikoberichterstattung

Wenn das Sicherheitsteam oder andere Mitarbeiter und Mitarbeiterinnen eine potenzielle Gefahr für das Unternehmen oder Projekt erkannt haben, ist es wichtig, dass eine Dokumentationder Risikosituation stattfindet. Der Grund besteht darin, dass anhand der Dokumentation ein verwendbarerBerichtzum Risikocontrolling erstattet werden kann. Auf dieser Grundlage kann die Formulierung der Strategie erfolgen.

5. Maßnahmenplan

Sind die Risiken bewertet, geht es an die Umsetzung der eindämmenden Maßnahmen. Risiken mit höherer Priorisierung werden dabei in den Fokus genommen. Geringe Risiken hingegen müssen nicht zwangsläufig durch Maßnahmen abgefangen werden. Dennoch sollten Unternehmen jedes Risiko stets einkalkulieren.

Einwirksames Risikomanagementist durchgeplant und organisiert.Organisieren Sie daher Ihre Sicherheitsmechanismen so, dass allen Beteiligten die Zuständigkeiten klar sind.

Beziehen Sie auch Ihre Kundinnen und Kunden ein, indem Sie beispielsweise Informationen über Ihre Sicherheitsstandards und zuständige Angestellte zugänglich machen. Wenn Sie Ihr Unternehmen wirkungsvoll vor Risiken schützen, bedeutet das immer auch den Schutz der Kundschaft. Auf diese Weise kann Ihr Risikomanagement zu gesteigertem Kundenvertrauen führen, das wiederum den Geschäftserfolg befördert.

6. Risikoüberwachung

Das Formulieren derRisikostrategiesetzt eine genaue Kenntnis der Situation, des Unternehmenssystems und seines Umfeldes voraus. Daher hat die Entwicklung der Strategie zur Risikovermeidung oder -minderung ein besonderes Gewicht. Es empfiehlt sich, die Umsetzung von derartigen Sicherheitsmaßnahmen regelmäßig zu überwachen und zu kontrollieren, damit „unliebsame“ Verfahrensschritte nicht ausgelassen werden.

Welche Risikoarten gibt es?

Wer Risiken erkennen und bewerten will, muss zunächst wissen, welche Quellen mögliche Gefahren mit sich bringen und wie sie einzuordnen sind. Im Risikomanagement wird daher grundlegend in diese zwei Arten unterschieden: interne Risiken und externe Risiken. Darüber hinaus sehen sich Unternehmen häufig mit Risikoarten der folgenden Kategorien konfrontiert:

Wirtschaftliche Risiken

Wirtschaftliche Risiken wie der Verlust eines oder gleich mehrerer Kunden gehören zum täglichen Geschäft eines Unternehmens. Auch Wettbewerbsmanöver von Mitbewerbern und Mitbewerberinnen, die sich beispielsweise durch ihre Preispolitik kurzfristige Wettbewerbsvorteile verschaffen können, sind ein Standard im Geschäftsleben. Verhandlungen mit Kreditgebenden über Kreditrahmen und Konditionen können für Unternehmen ebenfalls eine Quelle potenzieller Probleme darstellen.

Technische Risiken

Risiken im technischen Bereich sind in der heutigen Zeit ein besonders sensibles Thema. Computer oder Software können Störungen aufweisen, Maschinen können Defekte haben. Auch Probleme in der Logistik, beispielsweise bei Zulieferern oder Speditionen, können Risiken für Ihr Unternehmen oder Ihr Projekt bergen.

Die Eindämmung dieser Risiken zugunsten von mehr Sicherheit hat in den vergangenen Jahren daher immer mehr an Bedeutung gewonnen, nicht zuletzt aufgrund der jüngsten Datenschutzskandale. Unternehmen reagieren darauf mit besonderen Schutzmaßnahmen, die ein ganzheitliches Konzept bilden.

Rechtliche Risiken

Rechtliche Risiken sind vor allem für die Unternehmensführung und verantwortliche Manager und Managerinnen vorhanden. Ein mangelhaftes Controlling, eine fehlerhafte Bilanzbuchhaltung, Fehlentscheidungen oder auch Fehlverhalten können Gesetzesverstöße darstellen und Strafen nach sich ziehen.

Externe Einflussgrößen

Einflüsse von extern stellen ein weiteres Risiko dar, das bedacht werden sollte. Umwelteinflüsse wie Unwetter, aber auch Angriffe durch Hacker, politische Entwicklungen wie die Veränderung relevanter Steuersätze sowie der mediale Einfluss bilden ein vielseitiges Risikoportfolio, das Bedrohungen für Projekte und Unternehmen mit sich bringen kann.

Die Bewertung des Risikomanagements in Unternehmen

Wie ausgeprägt und gelungen das Risikomanagement in Unternehmen durchgeführt wird, kann anhand von Reifegradmodellen beschrieben werden. Ein typisches Konzept, das hierfür genutzt wird, ist das sechsstufige Modell nach Gleißner und Mott. Die beiden Wirtschaftswissenschaftler beschreiben die folgenden Szenarien:

Stufe 1: Unternehmen besitzen kein Risikobewusstsein und haben somit kein gelungenes Risikomanagement implementiert.

Stufe 2: Das Risikomanagement ist vielmehr ein Schadensmanagement, das zwar wesentliche Risiken wie Arbeitsschutz sowie Umweltschutz berücksichtigt, jedoch keine konkreten Maßnahmenpläne definiert.

Stufe 3: Unternehmen setzen ein regulatorisches Risikomanagement um, bei dem Risiken stetig überwacht werden. Risikobewältigung wird jedoch nur bei drastischen Risiken umgesetzt. Dazu erfolgt eine Risikoaggregation.

Stufe 4: Unternehmen führen ein ökonomisches und entscheidungsorientiertes Risikomanagement, welches durch Softwaresysteme gestützt wird. Einzelrisiken werden als Gesamtrisiko aggregiert und abgewendet.

Stufe 5: Bei dieser Stufe verfolgen Unternehmen ein integriertes, wertorientiertes Risikomanagement, das mit dem operativen Bereich eng verbunden ist.

Stufe 6: Das holistische Risikomanagement oder auch Embedded Risk Management ist fest in der Unternehmenskultur verankert und wird bei jeder Managemententscheidung herangezogen.

KonTraG, MaRisk und ISO 31000: Vorschriften und Standards im Risikomanagement

Der Gesetzgeber schreibt Unternehmen ein relativ hohes Maß an Risikomanagement vor. Das Handelsgesetzbuch (HGB), Aktiengesetzbuch (AktG) und das GmbH-Gesetz sind nur einige Beispiele für Gesetzestexte, die Vorschriften und Normen enthalten, die sich auf das Risikomanagement beziehen. Damit die Gesetze und Standards rechtssicher umgesetzt werden können, benötigen Unternehmen ein internes Kontrollsystem (IKS).

Das Risikobegrenzungsgesetz, das 2008 im Deutschen Bundestag beschlossen wurde, ist beispielsweise ein Bundesgesetz für den Finanzmarkt, das explizit die Gestaltung von Kreditverträgen und die Abtretung von Forderungen zum Inhalt hat. Sein Ziel ist im offiziellen Namen bereits definiert: „Gesetz zur Begrenzung der mit Finanzinvestitionen verbundenen Risiken“. Das Risikomanagement ist alsokeinePrivatsache, sondern Pflicht für Unternehmen.

Weitere Gesetze und Vorschriften, die Sie im Zusammenhang mit Risikomanagement je nach Branche kennen sollten, sind folgende:

  • KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich)
  • MaRisk (für Banken)
  • VAG (Versicherungsaufsichtsgesetz)
  • Solvency II
  • Sarbanes-Oxley Act

Darüber hinaus gibt es eine Reihe von Standards, die die Qualität und den Prozess des Risikomanagements definieren. Dazu gehören:

  • ISO/IEC 27002:2022
  • COBIT
  • DIN ISO 31000:2018
  • Corporate Governance Index
  • OECD

Risikomanagement: Diese Methoden gibt es

Um ein effektives Risikomanagement einzuführen, haben sich unterschiedliche Methoden und Konzepte etabliert. Nachfolgend geben wir Ihnen einen Überblick über die wichtigsten:

  • ALARP: Bei dieser Risikomatrix geht es darum, die Risiken „As Low As Reasonably Practicable“ zu halten, das heißt auf Deutsch in etwa „so niedrig wie vernünftigerweise praktikabel“. Die Matrix dient der Bewertung von Schadensausmaß und Eintrittswahrscheinlichkeit einer Gefahr.
  • FMEA: Bei dieser Methode wird eine Fehlermöglichkeits- und Einflussanalyse durchgeführt.
  • FTA: Bei der Fault Tree Analysis oder Fehlerbaumanalyse wird die Wahrscheinlichkeit von Risiken analysiert. Dazu werden Fehlerquellen und ihre Ursachen identifiziert, woraus schließlich ein Fehlerbaum entsteht.
  • Risk Monitoring: Mithilfe des Risk Monitorings behalten Sie alle möglichen Risiken im Blick. Dazu wird in der Regel auf Softwaresysteme zurückgegriffen, die eine kontinuierliche Überwachung ermöglichen.
  • DRBFM: Die Methode „Design Review Based in Failure Modes“ basiert auf dem Vier-Augen-Prinzip. Ein spezielles Design-Review-Team wird eingerichtet, das stetig Design sowie Funktion eines Projektes bewertet.

Risikomanagement: Beispiel aus der Praxis

Stellen Sie sich folgendes Szenario vor: Ein Münchener Eventmanager plant einen Galaabend für einen großen und einflussreichen Verein. Er sorgt für eine schöne Location, das Catering und eine Band mit Equipment und Lightshow. Sein Ziel ist es nicht nur, einen gelungenen Abend für Gäste und Auftraggebende zu organisieren, sondern auch Empfehlungen und Folgeaufträge zu bekommen.

Bei der Überlegung, welche Störungen auftreten könnten, bezieht er sein Team ein. Dieses trägt einige Risiken in einem Brainstorming zusammen: Der Caterer oder die Caterin liefert verspätet, die Band sagt kurzfristig ab oder es gibt einen Kurzschluss in der Technik, bei dem das Bandequipment zerstört wird.

Im nächsten Schritt werdenalle Risiken eingeschätzt. Wie hoch ist beispielsweise die Wahrscheinlichkeit, dass ein Kurzschluss alle Instrumente der Band zerstört? Ein Kurzschluss ist zwar nichts Ungewöhnliches (mittlere Risikostufe), aber die komplette Zerstörung des gesamten Equipments ist eher unwahrscheinlich und birgt daher als Fall ein eher geringes Risiko.

Wenn allerdings aufgrund der baulichen Gegebenheiten und einer undichten Decke dennoch ein hohes Risiko für einen solch schwerwiegenden technischen Defekt besteht, sollte ein Plan B bereitstehen und Abhilfe schaffen, wie beispielsweise vorbereitete Musik vom DJ-Pult. Im Vorfeldfür alle wichtigen Risiken gerüstet zu sein, ist also auch für kleinere Unternehmen eine wichtige Strategie.

Fazit: Risikomanagement ist ein Muss für Unternehmen

Risiken gehören zum Alltag im Geschäftsleben. Der Umgang mit ihnen kann den Unterschied zwischen Erfolg und Misserfolg ausmachen. Die durch die Risikoanalyse im Rahmen des Projektmanagements angestoßenen Prozesse dienen dazu, dem Unternehmen ein Steuerungselement zur Sicherung des Unternehmenserfolgs gegen potenzielle Probleme zur Verfügung zu stellen. Risikomanagement liegt also im Interesse jedes Unternehmens, auch in dem der kleinen und mittelständischen.

New call-to-action

Titelbild: mimithian / Unsplash

Ursprünglich veröffentlicht am 16. März 2023, aktualisiert am März 16 2023

Themen:

Projekt-Management