Beim Risikomanagement geht es im Kern darum, die Ziele Ihrer Organisation zu schützen und zu unterstützen. Das Rahmenwerk, das dies ermöglicht, ist nicht nur eine Sammlung von Verfahren, sondern ein lebendiges System, das Ihnen hilft, Unsicherheit mit Vertrauen zu begegnen.
Dieses System basiert auf vier wesentlichen Handlungsfeldern – ergänzt um ein zentrales Element, das alles miteinander verbindet:
In diesem Artikel innerhalb unserer Risk Management Blueprint-Reihe, finden Sie weiterführende Informationen zu diesen Elementen sowie praktische Hinweise und Tipps, wie Sie ein starkes und gesundes Risikomanagement implementieren können.
Das erste entscheidende Element für den Aufbau eines starken und tragfähigen Risikomanagementrahmens ist die Risikoidentifikation. Man kann diesen Schritt als das Frühwarnsystem Ihrer Organisation verstehen. In dieser Phase geht es darum, mögliche Negativentwicklungen und ihre Gründe zu erkennen und noch wichtiger: was zwischen Ihrer Organisation und der Erreichung ihrer Ziele stehen könnte. Dabei geht es nicht nur darum, potenzielle Probleme aufzulisten, sondern ein tiefes Verständnis für die Herausforderungen zu entwickeln, die den Erfolg beeinträchtigen könnten.
Sobald die potenziellen Risiken identifiziert sind, folgt als nächster Schritt die Risikobewertung. Hierbei geht man den Schritt vom initialen Bewusstsein über das Vorhandensein der Risiken hin zu ihrer Bewertung, indem analysiert wird, wie bedeutsam jedes einzelne Risiko ist. Diese Bewertung berücksichtigt sowohl die Eintrittswahrscheinlichkeit als auch die potenziellen Auswirkungen auf die Organisation. Durch dieses Wissen über die Tragweite Ihrer Risiken schaffen Sie die Grundlage für fundierte Entscheidungen. Die Kombination von Eintrittswahrscheinlichkeit und potenziellem Schaden ermöglicht außerdem eine Einordnung über die Schwere der Einzelrisiken im Vergleich untereinander. Daraus folgend können Sie genaue Strategien zum Umgang mit den Risiken ableiten.
Mit den Erkenntnissen aus der Bewertung können Sie zur Risikosteuerung und den Kontrollen übergehen. Das sind die praktischen Maßnahmen, mit denen Sie die erkannten Risiken nach der Analyse steuern. Üblicherweise wird hierbei zwischen den Strategien der Risikoakzeptanz, -übertragung, -reduktion oder -vermeidung unterschieden. Die Einführung von maßnahmenabhängigen Kontrollen ist nicht das Ende des Prozesses – ebenso wichtig ist es, durch eine laufende Risikoüberwachung sicherzustellen, dass alles wie vorgesehen funktioniert.
Die Verbindung all dieser Aktivitäten bringt die eigentliche Motivation des Risikomanagements zum Ausdruck: die Risikobereitschaft. Sie ist der Kompass Ihrer Organisation – sie hilft Ihnen, Ihre Risikomanagement-Maßnahmen zielgerichtet auszurichten und angemessen zu steuern. Die Risikobereitschaft definiert nicht nur, welches Maß an Risiko Ihre Organisation bereit ist einzugehen, sondern auch, welches Restrisiko sie bewusst zu akzeptieren bereit ist.

Wenn wir über Reife im Risikomanagement sprechen, gibt es drei wesentliche Merkmale, die effektive Rahmenwerke auszeichnen: Verhältnismäßigkeit, Konsistenz und Weiterentwicklung. Jedes dieser Elemente spielt eine entscheidende Rolle beim Aufbau eines robusten Risikomanagementsystems.
Gutes Risikomanagement ist verhältnismäßig. Der Fokus sollte mehr auf den großen Risiken mit erheblichen Konsequenzen als auf weniger bedeutsamen liegen. Die Bedeutung dieser Verhältnismäßigkeit wird deutlich, wenn wir reale Daten betrachten.
Statistiken von ORX erzählen eine aufschlussreiche Geschichte über operationelle Risiken.
Die kleinsten Vorfälle – also solche mit Verlusten zwischen 20.000 € und 50.000 € – machen 61 % aller gemeldeten Fälle aus, sind jedoch nur für 5,7 % der gesamten Verluste verantwortlich. Im starken Gegensatz dazu stehen die größten Vorfälle – jene mit Verlusten von über 10 Millionen € –, die zwar nur 0,3 % aller Fälle ausmachen, aber nahezu zwei Drittel der Gesamtverluste verursachen.
Dieses Beispiel verdeutlicht eine entscheidende Erkenntnis: Während kleinere Vorfälle häufig Aufmerksamkeit erfordern, sind es die seltenen, großen Risiken, die in der Regel den größten Teil des Risikobudgets beanspruchen und damit bestandsgefährdend auf Unternehmen wirken können.
Ein zweites Element, das den Reifegrad eines Risikomanagement-Rahmenwerks bestimmt, ist Konsistenz. Dieser Faktor wirkt wie der rote Faden, der das gesamte Risikomanagementsystem zusammenhält. Er stellt sicher, dass der Ansatz des Unternehmens im Umgang mit Risiken auf allen Ebenen kohärent bleibt – von strategischen Entscheidungen zur Kapitalausstattung bis hin zur täglichen Risikoüberwachung als auch organisatorisch in der Unternehmenszentrale und in den Tochtergesellschaften.
Das dritte Element, Weiterentwicklung, erkennt an, dass Risikomanagement ein dynamischer Prozess ist. Man kann es sich als einen kontinuierlichen Zyklus vorstellen, bei dem jedes Element des Rahmenwerks zum nächsten führt. Durch das wiederholte Durchlaufen dieses Zyklus gewinnt man neue Erkenntnisse, die helfen, den gesamten Ansatz weiter zu verfeinern. Die fortlaufende Integration neuer Informationen in die Risikomanagementmaßnahmen stellt sicher, dass das Rahmenwerk relevant und wirksam bleibt – auch dann, wenn sich das Unternehmen und Risikoumfeld weiterentwickeln.

an den geschäftlichen Prioritäten ausgerichtet, glaubwürdig und nützlich.

Konsistent über alle Bestandteile hinweg: Risikotaxonomie, Risikobereitschaft, Heatmaps, Überwachung und Maßnahmen

Fortlaufende Weiterentwicklung durch Erfahrungen: aus Vorfällen und der Risikobereitschaft, der Qualität der Bewertungen, Aussagekraft der Kennzahlen
Die effektivsten Organisationen verstehen, dass Risikomanagement nicht nur aus Rahmenwerken und Verfahren besteht. Erfolgreiche Führungskräfte schaffen eine unternehmensweite Risikokultur. Ein Weg, sich hervorzuheben, ist die Art und Weise, wie über Risiken kommuniziert wird. Scheuen Sie sich nicht davor, über Vorfälle im Bereich operationeller Risiken zu sprechen, sondern nutzen Sie diese Erfahrungen als wertvolle Lernchancen.
Diese Offenheit erstreckt sich auch auf den Umgang von Organisationen mit Risikoberichten. Durch die umfassende Dokumentation sowohl von Vorfällen als auch von Beinahe-Vorfällen entsteht eine wertvolle Wissensquelle für kontinuierliche Verbesserungen und eine erhöhte Risikowahrnehmung.
Was reife Organisationen jedoch wirklich auszeichnet, ist ihr proaktiver Entwicklungsansatz.
Warten Sie nicht auf regulatorische Feststellungen oder Prüfungsbemerkungen, um Verbesserungen anzustoßen. Streben Sie stattdessen aktives Benchmarking und Beratung an, um Ihre Risikomanagementpraxis gezielt zu stärken.
Starke Governance im Risikomanagement beruht auf klaren Verantwortlichkeiten und wirksamer Kommunikation, bspw. getrieben durch rollenbezogenes Schulungs- und Informationswesen, doch das Wesentliche liegt darin, diese Elemente durch Führung zum Leben zu erwecken.
Wenn das Management mit gutem Beispiel vorangeht, wird die strikte Einhaltung von Governance-Prinzipien Teil der DNA der Organisation. Diese Führung schafft ein Umfeld, in dem jeder seine Rolle im Risikomanagement versteht – egal, ob er Teil der ersten, zweiten oder dritten Verteidigungslinie ist.
Schulungen spielen in diesem System eine entscheidende Rolle. Jede Verteidigungslinie benötigt dafür spezifische Kompetenzen, welche effektive Organisationen stets sicherstellen, indem ihre Mitarbeiterinnen und Mitarbeiter diese Fähigkeiten durch angebotene strukturierte Programme und kontinuierliche Unterstützung entwickeln.
Zu erkennen, wo sich Ihre Organisation auf ihrem Weg im Risikomanagement befindet, ist entscheidend für Verbesserungen. Dieses Verständnis entsteht durch sorgfältige Bewertungen über mehrere Dimensionen der Risikomanagementpraxis hinweg. Hiermit können Sie Einblicke aus unterschiedlichen Perspektiven der drei Verteidigungslinien gewinnen, die Übereinstimmung mit den Vorgaben, wie bspw. des Instituts der Wirtschaftsprüfer, messen und den Fortschritt über die Zeit verfolgen.
Dieser umfassende Bewertungsansatz ermöglicht es Organisationen nicht nur, ihren aktuellen Status zu verstehen, sondern auch klare Wege zur Verbesserung zu identifizieren. Ziel ist es, eine Basis für kontinuierliche Weiterentwicklung zu schaffen, sodass die Risikomanagement-Fähigkeiten parallel zur Entwicklung der Organisation wachsen.
Als Orientierung für die Ausgestaltung und Beurteilung eines Risikomanagementsystems kann – je nach Unternehmenskontext – auch der IDW PS 981 herangezogen werden. Dieser Prüfungsstandard des Instituts der Wirtschaftsprüfer in Deutschland (IDW) definiert Anforderungen an ein angemessenes und wirksames Risikomanagementsystem und dient als anerkannter Maßstab sowohl für die interne Ausgestaltung als auch für eine externe Prüfung. Er eignet sich besonders als Referenzrahmen für Unternehmen, die ihr Risikomanagementsystem strukturiert weiterentwickeln oder seine Wirksamkeit transparent nachweisen möchten.
Sehen Sie sich unsere vollständige Risk Management Blueprint-Reihe an.
Diese Reihe vermittelt umfangreiches Fachwissen und Know-how zu den Grundlagen des Risikomanagements.

