Eines der grundlegendsten Konzepte im Risikomanagement ist die Risikobereitschaft. Sie ist das Fundament Ihres Risikomanagements, die Basis, auf der alle Ihre Entscheidungen im Risikomanagement aufbauen.
Auch wenn sie auf den ersten Blick einfach erscheinen mag, ist sie tatsächlich viel nuancierter und umfassender, als viele annehmen.

Lassen Sie uns die wesentlichen Elemente der Risikobereitschaft betrachten und ein praktisches Rahmenwerk vorstellen, wie sie korrekt in das Risikomanagement Ihrer Organisation implementiert werden kann.
 

Die strategische Grundlage der Risikobereitschaft

Wenn wir über Risikobereitschaft sprechen, geht es im Kern darum, wie Organisationen bewusste Entscheidungen über ihre Risikobereitschaft treffen. Jede Institution muss ihr Wachstums- und Renditeziel gegen das Potenzial für Verluste abwägen. Z.B. in der Finanzindustrie erkennt der Basler Ausschuss für Bankenaufsicht diesen Balanceakt in seinen Aufsichtsrichtlinien an und verlangt daher, dass die Vorstände ihre Risikobereitschaft klar formulieren. Auch außerhalb regulierter Branchen wird die Definition der Risikobereitschaft implizit erwartet: So verlangt z. B. der IDW PS 981 im Rahmen der Festlegung von Unternehmenszielen und Risikostrategien eine konsistente Ableitung, wie viel Risiko zur Zielerreichung akzeptiert wird. Internationale Frameworks wie COSO ERM fordern explizit die Definition einer Risikobereitschaft als verbindendes Element zwischen Strategie, Zielsystem und operativem Risikomanagement.

Risikobereitschaft bedeutet jedoch mehr, als nur anzugeben, welche Risiken und Verluste akzeptabel sind. Wenn eine Organisation Kontrollen oder Überwachungssysteme implementiert, investiert sie Ressourcen, die anderswo eingesetzt werden könnten.

Daher müssen Sie sich folgende Fragen stellen:

  • In welchen Bereichen oder Aktivitäten können wie eher geeignet sein, Risiken einzugehen oder näher zu akzeptieren?
  • Wo müssen wir Risiken restriktiv ablehnen oder mit Maßnahmen aktiv reduzieren? 
  • Wie viel sind wir bereit, für Risikosteuerungsmaßnahmen auszugeben?
  • Was ist das richtige Gleichgewicht zwischen Schutz und operativer Effizienz?

Die drei Dimensionen der Risikobereitschaft

Die Risikobereitschaft basiert auf drei grundlegenden Bausteinen, die über Ihre Appetite-KRIs gemessen werden (mehr dazu in unserem neunten Artikel Key Risk Indicators: Ihr Frühwarnsystem für die Organisation).

Für jeden dieser Bausteine können Sie sich folgende Fragen stellen, um ein besseres Verständnis dafür zu bekommen, wie Ihre Organisation aktuell mit diesen Aspekten umgeht:

Risikobereitschaft und KRIs Struktur
Expositionsgrenzen

Ihre Expositionsgrenzen können als die Grenzen Ihrer Risikoeintrittsaktivitäten verstanden werden.
Fragen Sie sich: Wie viel Risiko sind Sie bereit, in verschiedenen Bereichen Ihrer Organisation einzugehen?

  • Wie sensibel sind die Daten, mit denen Sie arbeiten?
  • Wie umfangreich ist Ihre technische Infrastruktur?
  • In welchen geografischen Regionen sind Sie tätig?
  • Welche Produkte und Dienstleistungen bieten Sie an?

Wie interagieren diese Elemente in Ihrer Organisation? Welche Risikogrenzen sind unter Berücksichtigung Ihrer strategischen Ziele sinnvoll?

Kontrollanforderungen

Die erforderlichen Schutzmaßnahmen sind nicht einfach willkürliche Regeln – sie sind Ihre Verteidigungsmechanismen.

  • Welche präventiven Kontrollen benötigen Sie, um Probleme von vornherein zu verhindern?
  • Wie werden Sie Probleme frühzeitig erkennen?
  • Welche korrektiven Maßnahmen sollten bereitstehen?
  • Woran erkennen Sie, ob Ihre Kontrollen funktionieren?

Tolerierte Vorfälle

Hier trifft Theorie auf Realität. Selbst mit den besten Kontrollen werden Vorfälle und damit Schäden auftreten. Die zentralen Fragen sind:

  • Welches Ausmaß an Vorfällen ist Ihre Organisation bereit zu tolerieren?
  • Wie schnell muss auf unterschiedliche Arten von Ereignissen reagiert werden?
  • Ab welchem Punkt erfordert ein Vorfall eine Eskalation?

Suchen Sie nach einer Möglichkeit, Ihre Risiken zu kategorisieren?  Unsere Risikofachleute haben eine benutzerfreundliche Vorlage entwickelt, mit der Sie Ihre Risiken bewerten können. Fokussieren Sie sich auf die richtigen Risiken!

Ansätze zur Ableitung der Risikobereitschaft je Risikotyp

Ihre Risikobereitschaft kann je nach Risikokategorie unterschiedlich ausfallen. Nachfolgend finden Sie Beispiele für verschiedene Risiken, jeweils mit einem unterschiedlichen Ansatz aus Sicht der Risikobereitschaft.

Informationssicherheit

Wenn es um das Risiko des Verlusts sensibler Daten geht, haben sehr wenige bis gar keine Organisationen eine Toleranz für diesen Risikotyp. Dies ist typischerweise ein Risiko, bei dem Organisationen den ALARP-Ansatz („As Low As Reasonably Practicable „ oder „so niedrig wie vernünftigerweise praktikabel“) verfolgen. Das bedeutet, dass es am besten ist, die möglichst wirksamen Grenzen und Kontrollen zu implementieren.

Interner Betrug

Obwohl Organisationen in der Regel Nulltoleranz gegenüber Betrug erklären, erfordert die Realität einen differenzierteren Ansatz. Da dies meist eine nachträgliche Aussage ist (d. h. Betrüger werden sanktioniert, nicht dass Betrug unmöglich gemacht wird), ist es am besten, die richtige Kombination aus präventiven und korrektiven Kontrollen zu haben.

Servicekontinuität

Dies ist vielleicht der einfachste Bereich, um ihn zu messen, was die Verwaltung jedoch nicht einfacher macht. Hier ist es möglich, eine unterschiedliche Risikobereitschaft für verschiedene Unterbrechungen der Kontinuität zu haben. Konkrete Kennzahlen wie die Recovery Time Objectives (RTOs) sind hier ein zuverlässiger Ausdruck des Risikobereitschaftsgrades für Kontinuitätsrisiken.

Strategische Investitionen

Es gibt auch „positive“ Risiken oder Situationen, in denen man eher bereit ist, Risiken einzugehen. Im Gegensatz zu anderen Risikotypen, bei denen man sich hauptsächlich gegen negative Folgen absichert, erfordern strategische Investitionen oder die Umsetzung eines neuen Projekts, dass man kalkulierte Risiken aktiv eingeht.

Beispiele für Kennzahlen zur Risikobereitschaft

RisikoBereitschaftLimitKontrollenBereitschaft KRIs
InformationssicherheitMinimal (ALARP)Speicherort der Daten; Volumen pro Server; TransaktionsüberwachungVerschlüsselungsregeln; Datenübertragungsregeln; Anwendungsverwaltung
  • Überschreitungen der Expositionsgrenzwerte
  • Ergebnisse der Kontrolltests
  • Fehlende Kontrollen, fehlende Informationen
  • Beinaheunfälle und Zwischenfälle
  • Whistleblowing und andere Warnmeldungen
Interner BetrugKeine Toleranz (ggf. Sanktionen, falls man erwischt wird)Befugnis Übertragung; MachtkonzentrationAufgabentrennung; Erkennung von Ausreißern
GeschäftskontinuitätAngepasst an die Art und Kritikalität der DienstleistungEinzelne Abhängigkeiten; kritische Lieferanten; Outsourcing-Risiko; Risiko durch Schlüsselpersonen

Redundanzen; freie Kapazitäten; Cross-Training; Backups


Investments/ProjekteAbwägung zwischen erwarteten Vorteilen und RisikenInvestitionswert, Konzentration auf Länder/Produkte/Dritte, Abhängigkeit von Schlüsselpersonen

Qualitätsüberwachung, striktes Management, Feedback zum Prozess, Plan B


Die Risikobereitschaftsmatrix: ein praktischer Rahmen

Die RCSA-Matrix (Risk & Control Self-Assessment) ist eine hervorragende Methode, um die Wahrscheinlichkeit und die Auswirkungen Ihrer Risiken, die Sie bereit sind zu akzeptieren, zu übersetzen. 

Stellen Sie sich diese Matrix als eine Karte mit vier unterschiedlichen Bereichen vor. Jeder Bereich erfordert einen eigenen Ansatz und hat eine andere Farbe, um den Grad der Risikoakzeptanz darzustellen: 

Zone 1: Geschäftskosten

Dies sind Ihre alltäglichen Risiken – diejenigen, die Sie nicht vermeiden können, die aber hinsichtlich Verlusts und Auswirkungen beherrschbar sind.

Zone 2: Gut beherrschte Risiken

Hier sollten sich die meisten Ihrer wesentlichen Risiken befinden.
Auch wenn diese Risiken größer sind, sollten sie sehr gut gemindert werden können. 

Zone 3: Kontrolllücken 

Dies ist Ihre Gefahrenzone – hier finden sich erhebliche Risiken ohne angemessene Kontrollen. 

Zone 4: Restrisiken unter Extrembedingungen

Diese Zone umfasst Risiken mit hohem Schadenspotenzial, die trotz umfassender Steuerungsmaßnahmen nicht vollständig eliminiert werden können – etwa Extremszenarien oder sogenannte Tail-Risks. Auch wenn das Eintreten solcher Ereignisse selten ist, können ihre Auswirkungen bestandsgefährdend sein. Das Ziel ist nicht die vollständige Vermeidung – diese wäre unverhältnismäßig aufwändig oder schlicht nicht möglich –, sondern eine gezielte Minderung der potenziellen Schadenshöhe sowie die Sicherstellung einer angemessenen Reaktionsfähigkeit im Eintrittsfall (z. B. durch Notfallpläne oder Versicherungslösungen)

Heatmap (Risikobereitschaftsmatrix)


Risikobereitschaft in der Praxis: der duale Ansatz

Es gibt zwei Möglichkeiten, die Risikobereitschaft innerhalb des Risikomanagement-Rahmens anzuwenden. Einerseits gibt es den Top-down-Ansatz. In diesem Fall werden die strategischen Risiken in die entsprechenden Risikoexpositionen, Kontrollen und Überwachungsmaßnahmen übersetzt. Dies ist die „orthodoxe“ Vorgehensweise.

Andererseits kann man auch den Bottom-up-Ansatz nutzen. Beobachten Sie, was in Ihrer Organisation tatsächlich geschieht. Welche Risiken werden kontrolliert, welche nicht? Leiten Sie aus diesen Beobachtungen ab, wie sie sich auf die Toleranz und die Risikobereitschaft auswirken. Dies hilft, die tatsächlichen Beobachtungen mit der gewünschten Zielsetzung zu vergleichen und etwaige Lücken zu identifizieren.

Risikobereitschaft in der Praxis: Bottom-up-Ansatz

Wenn Sie Ihr Risikobereitschaftsrahmen implementieren oder verfeinern möchten,  denken Sie daran: Es geht nicht darum, perfekte Systeme zu schaffen.  Entscheidend ist, effektive Strukturen aufzubauen, die mit den Zielen Ihres Unternehmens im Einklang stehen.


Diese Reihe vermittelt umfangreiches Fachwissen und Know-how zu den Grundlagen des Risikomanagements.

Kontaktieren Sie unsere Expertinnen und Experten.

Dieser Artikel wurde verfasst von

Entdecken Sie die weiteren Beiträge unserer Risk Management Blueprint-Reihe