Eine CRIC-Taxonomie bezeichnet die Kategorisierung von Ursachen (Causes), Risiken (Risks), Auswirkungen (Impacts)und Kontrollen (Controls), bevor Sie Ihr Risikomanagement-Framework einsetzen. Dieser strukturierte Ansatz hilft Ihnen, Ihre Risikobewertung gezielt durchzuführen und Ereignisse korrekt einzuordnen.

Im dritten Artikel unserer Risk Management Blueprint-Reihe erfahren Sie mehr darüber, wofür CRIC steht, welche unterschiedlichen Taxonomien es gibt und wie sie Ihnen helfen können, ein widerstandsfähigeres Unternehmen gegenüber Risiken aufzubauen. 

Die Grundlage: Die CRIC-Taxonomie verstehen

Wenn Sie die Risiken Ihrer Organisation analysieren, ist es entscheidend zu verstehen, dass diese nicht isoliert existieren. Jedes Risiko hat eine Ursache, die es auslöst, eine Auswirkung, die Ihr Unternehmen betrifft, und Kontrollen, die helfen können, es zu steuern. Diese vernetzte Betrachtung unterstützt Sie dabei, vom reinen Aufnehmen von Risiken hin zum aktiven Risikomanagement zu gelangen.

Eine effektive Risikotaxonomie erstellen

Ihre Risikotaxonomie muss speziell für Ihre Organisation funktionieren – aber was macht sie wirklich effektiv?

Zunächst muss sie relevant für das einzigartige Risikoprofil und die Exponierung Ihres Unternehmens sein. So wie jedes Unternehmen eigene Stärken hat, sieht sich auch jedes Unternehmen unterschiedlichen Herausforderungen und Risiken gegenüber.

Außerdem sollte Ihre Taxonomie dem „MECE-Prinzip“ folgen – Mutually Exclusive und Collectively Exhaustive (gegenseitig ausschließend und vollständig). In der Praxis ergibt sich daraus ein umfassendes, aber klares Klassifizierungssystem:

  • Mutually Exclusive (gegenseitig ausschließend): Jede Kategorie ist eindeutig; ein Element kann nur einer Kategorie zugeordnet werden. Es gibt keine Überschneidungen zwischen den Kategorien. 
  • Collectively Exhaustive (vollständig): Zusammen decken die Kategorien alle möglichen Elemente ab. Es bleibt kein Risiko, keine Ursache, keine Kontrolle oder Auswirkung unberücksichtigt.

Praxis-Tipp: Konzentrieren Sie Ihr Reporting auf die zweite Ebene der Kategorisierung. Dieser Ansatz liefert ausreichend Details, um umsetzbar zu sein, ohne zu überfordern. Spezifischere Details auf der dritten Ebene können Sie dann nach Bedarf anpassen.

Die Taxonomie zeigt zudem die Bedeutung von Ursachen und Kontrollen auf. Sie bilden die Grundlage für Ihre führenden Key Risk Indicators (KRIs).

,,CRIC" Taxonomie und Architektur


Die Entwicklung von Risikokategorien

Ein konsistentes Risikomanagement erfordert eine klare und nachvollziehbare Strukturierung von Risiken. In der Praxis hat sich gezeigt, dass Risikokategorien insbesondere dann wirksam sind, wenn sie entlang ihrer Ursachen bzw. Entstehungskontexte (Causes) aufgebaut sind. Beispielweise haben sich in produzierenden Unternehmen Risikokategorien häufig aus dem Qualitäts- und Prozessmanagement entwickelt (z. B. klassische Ursachencluster wie Mensch, Maschine, Material, Methode, Umfeld und Messung). Mit steigender Variantenvielfalt, stärker vernetzten Anlagen, zunehmender Komplexität von Geschäftsmodellen und komplexeren Lieferketten wurden diese Ansätze jedoch um Themen wie Lieferantenrisiken, Daten- und Cyber/IT-Risiken sowie Geschäftskontinuität erweitert. Bewährt hat sich heute eine unternehmensweite, ursachenorientierte Taxonomie, die Risiken entlang zentraler Geschäftsbereiche und Steuerungsdimensionen strukturiert.

Diese Einteilung schafft eine gute Balance zwischen Übersichtlichkeit und Steuerungsrelevanz:

1. Strategische und Marktbezogene Risiken2. Operative Risiken und Wertschöpfungsrisiken3. Finanzielle 
Risiken
  • Marktentwicklung, Wettbewerb, Nachfrage 
  • Fehlentscheidungen in Strategie oder Portfolio 
  • M&A / Expansion 
  • Projektmanagement
  • Innovations- und Technologierisiken 
  • Produktion / Leistungserbringung 
  • Lieferketten / Einkauf (z. B. Single Sourcing) 
  • Qualität / Prozesse 
  • Projektabwicklung / Engineering 
  • Personelle / HR-Risiken
  • Liquidität 
  • Währungs-, Zins- und Preisrisiken 
  • Forderungsausfälle 
  • Kostenüberschreitungen 


4. Compliance-, Rechts- und Governance-Risiken5. IT-, Daten-
und Cyberrisiken		6. Externe Risiken
und Umfeldrisiken
  • Gesetzesverstöße 
  • Vertragsrisiken 
  • Exportkontrolle / Sanktionen 
  • Interne Richtlinien / Governance 
  • IT-Ausfälle 
  • Cyberangriffe 
  • Datenqualität / Datenverfügbarkeit 
  • Systemabhängigkeiten 
  • Geopolitik 
  • Naturereignisse 
  • Pandemien 
  • Regulatorische Veränderungen


Während Risikokategorien die Herkunft und Struktur von Risiken beschreiben, dient die Auswirkungs-Taxonomie der Bewertung ihrer potenziellen Konsequenzen und bildet die Grundlage für Priorisierung und Steuerung.

Auswirkungs-Taxonomie

Diese Taxonomie ist nach Schweregrad und zentralen Auswirkungskategorien gegliedert. Sie fließt direkt in Ihre Risikobewertungs-Heatmap ein und schafft so eine direkte Verbindung zwischen der Auswirkungs-Taxonomie und dem Risikobewertungsprozess.

Die wichtigsten Auswirkungskategorien sind:

  • Finanzielle Auswirkungen
  • Produktion und Lieferfähigkeit
  • Kunden- und Projektfolgen sowie Reputationsverluste
  • Compliance-, Normen- und Sicherheitskonsequenzen

Beispiel einer Auswirkungstaxonomie (Maschinenbau): abgestimmt mit der Heatmap

Bewertung
Finanziell
Produktion & Lieferfähigkeit
Kunde & Reputation
Compliance & Sicherheit
Sehr hoch
Hohe Kosten durch Ausschuss/Nacharbeit, Vertragsstrafen oder Projektverzug; wesentlicher Ergebnisbeitrag gefährdet.Stopp der Produktion oder massive Kapazitätsverluste; kritische Liefertermine werden verfehlt.Kundenstillstand oder Projektabbruch möglich; erheblicher Vertrauensverlust und Eskalation.Schwerer Verstoß gegen Normen oder Anforderungen an die Sicherheit (z. B. Produktsicherheit); behördliche Maßnahmen möglich.
Hoch
Erhebliche Mehrkosten (Sonderprüfungen, Nacharbeit) mit spürbarem Ergebnisimpact.Bedeutende Unterbrechung; Lieferverzug bei Schlüsselaufträgen.Reklamation/Sortieraktion; erhöhtes Risiko, nicht wieder beauftragt zu werden.Wesentlicher Verstoß, der Korrekturmaßnahmen und Audits erfordert.
Mittel
Begrenzte Mehrkosten, intern beherrschbar.Kurzfristige Störung ohne nachhaltigen Lieferverzug.Einzelne Beanstandung, durch schnelle Reaktion kompensierbar.Geringe Abweichung, formal zu dokumentieren und zu beheben.
Gering
Unwesentliche Kosten.Keine spürbare Störung.Keine extern wahrnehmbare Auswirkung.Kein relevanter Verstoß.


Aufbauend auf der übergeordneten Risikotaxonomie werden Risiken im nächsten Schritt entlang ihrer konkreten Ursachen analysiert. Während die Risikokategorien eine strukturierende Einordnung auf hoher Ebene ermöglichen und typische Risikoquellen bündeln, dient die Ursachentaxonomie der systematischen Herleitung und detaillierten Analyse der zugrunde liegenden Treiber von Risiken.

Sie stellt damit kein alternatives Kategorisierungssystem dar, sondern ergänzt die Risikokategorien um eine analytische Perspektive, insbesondere zur Identifikation neuer Risiken und zur Ableitung geeigneter Steuerungsmaßnahmen. Gemeinsam bilden diese Ebenen die Grundlage für ein integriertes Verständnis von Ursachen (Causes), Risiken (Risks), Auswirkungen (Impact) und Kontrollen (Controls) im Sinne des CRIC-Ansatzes.

Ursachentaxonomie: Das PPSE-Rahmenwerk

Bei der Analyse von Risikoursachen bietet das PPSE-Rahmenwerk eine umfassende Struktur:

  • People (Menschen): Betrachtung von Ressourcenmanagement, Kompetenzniveaus und Engagement
  • Process (Prozesse): Untersuchung von operativen Abläufen und Workflows
  • System (Systeme): Bewertung der technischen Infrastruktur und Fähigkeiten
  • External events (Externe Ereignisse): Analyse unter Verwendung des PESTLE-Akronyms:
    • Political (Politisch): Regierungspolitik, Stabilität, Handelspolitik, Steuerpolitik
    • Economic (Ökonomisch): Inflationsraten, Zinssätze, Wirtschaftswachstum, Arbeitslosenquote
    • Social (Soziokulturell): Bevölkerungswachstum, Altersstruktur, Lebensstile, Bildungsniveau
    • Technological (Technologisch): Innovationen, F&E-Aktivitäten, Automatisierung, technischer Wandel
    • Legal (Rechtlich): Arbeitsrecht, Verbraucherschutz, Wettbewerbsrecht, Gesundheits- und Sicherheitsvorschriften
    • Environmental (Ökologisch/Umwelt): Klimawandel, Nachhaltigkeit, Umweltgesetze, CO2-Ziele

Beispiele für Ursachentaxonomie: Level 1 & 2 - PPSE

MenschenProzessSystemeExterne Ereignisse (PESTLE)
RessourcenVereinfacht/schwerfällig IntegrationPolitische Änderungen (Wahlen, Konflikte)
KompetenzAktuell/VeraltetKapazitätWirtschaft (Inflation, Rezession)
EngagementFormalisiertPerformanceSoziale Präferenzen, Aktivismus, Medien
AbhängigkeitDokumentiertInstandhaltungGesetzliche/regulatorische Anforderungen
EthikIntegriert/isoliertVeralterungUmweltänderungen, Wetterereignisse


Aufbauend auf der Identifikation von Ursachen und Auswirkungen bildet die Kontrolltaxonomie die Grundlage für die gezielte Steuerung von Risiken. Sie strukturiert Maßnahmen entlang ihrer Wirkungsweise und unterstützt damit eine transparente und wirksame Risikosteuerung.

Kontroll-Taxonomie: Ihre Risikomanagement-Tools

Die Kontrollen in Ihrer Taxonomie lassen sich entlang ihrer Wirkungsweise in vier praxiserprobte Kategorien einteilen:

  • Präventive Kontrollen: Verhindern, dass Probleme überhaupt auftreten
  • Lenkende Kontrollen: Leiten die korrekte Ausführung von Prozessen oder Handlungen
  • Detektive Kontrollen: Identifizieren Probleme, sobald sie auftreten
  • Behebende Kontrollen: Beheben Probleme nach ihrer Entdeckung

Die Kategorien präventiver, detektiver und behebender Kontrollen sind im Rahmenwerk des Institute of Internal Auditors (IIA) verankert. Lenkende Kontrollen werden in der Praxis häufig ergänzend geführt, da sie eine wichtige Steuerungsfunktion übernehmen, die sich von den übrigen Typen inhaltlich abgrenzt.

Kontrolltaxonomie: Beispiele

Präventive Kontrollen:

Lenkende Kontrollen: 

Behebende Kontrollen:

Behebende Kontrollen:

  • Aufgabentrennung
  • Zugangskontrollen
  • Genehmigungsstufen
  • Freigaben im 4-Augen-Prinzip
  • Prozessbeschreibungen / Handbücher
  • Einarbeitung
  • Teamleitung
  • Beschwerde-management
  • Root-Cause-Analyse und Wirksamkeitsnachweis 
  • Backups und Systemredundanzen
  • Beschwerdemanagement
  • Root-Cause-Analyse und Wirksamkeitsnachweis 
  • Backups und Systemredundanzen


Wichtig zu beachten:

Qualität schlägt Quantität. In der Praxis hat sich gezeigt, dass eine gut strukturierte Kontroll-Taxonomie mit typischerweise 20 bis 50 klar definierten Kontrolltypen auf der zweiten Kategorisierungsebene oft wirksamer ist als eine Liste mit mehreren hundert Einträgen. Entscheidend ist nicht die Anzahl der Kontrollen, sondern die Trennschärfe der Kategorien und die Übersichtlichkeit für die Anwenderinnen und Anwender. Eine zu granulare Taxonomie erhöht den Pflegeaufwand und erschwert die konsistente Zuordnung – was letztlich die Steuerungsqualität senkt, statt sie zu verbessern. Streben Sie daher eine Struktur an, die vollständig genug ist, um alle wesentlichen Kontrollmechanismen abzudecken, aber kompakt genug, um im täglichen Betrieb handhabbar zu bleiben.

Ihre Risikotaxonomie sollte sich mit Ihrer Organisation weiterentwickeln. Planen Sie, sie jährlich zu überprüfen und zu aktualisieren, unter Berücksichtigung von:

  • Erkenntnissen aus Ihrem Risk and Control Self-Assessment (RCSA)
  • Lessons learned aus Vorfällen
  • Veränderungen im Geschäftsumfeld
  • Neuen Herausforderungen und Chancen

Das Ziel besteht nicht nur darin, Risiken zu dokumentieren, sondern ein umsetzbares Rahmenwerk zu schaffen, das Ihnen hilft, diese wirksam zu steuern. Durch die Beibehaltung dieses dynamischen Ansatzes schaffen Sie eine resilientere Organisation, die besser auf zukünftige Herausforderungen vorbereitet ist.


Möchten Sie den nächsten Schritt gehen, um Ihr Risikomanagement zu stärken?

Lassen Sie uns gemeinsam erkunden, wie wir Sie dabei unterstützen können, eine Risikotaxonomie zu entwickeln, die auf Ihre spezifischen Anforderungen und Ziele zugeschnitten ist.

Dieser Artikel wurde verfasst von

Entdecken Sie die weiteren Beiträge unserer Risk Management Blueprint-Reihe