Der risikobasierte Ansatz: Trauen Sie sich was

Zu Risiken und Nebenwirkungen fragen Sie Ihren Arzt oder Apotheker. Schon an diesem Satz sehen Sie: Risiken bedeuten im deutschen Sprachgebrauch nichts Gutes. Um aber tiefer ins Risikomanagement im Allgemeinen und in den risikobasierten Ansatz im Speziellen einzusteigen, müssen Sie sich ein stückweit von der alltäglichen Bedeutung des Wortes »Risiko« lösen. Da sowohl das »Risk Management« und auch der »Risk Based Approach« aus dem Englischen stammen, gilt es Risiken nicht nur als Bedrohung zu sehen, sondern auch als Möglichkeiten. Das verdeutlichen Floskeln wie »No Risk, No Fun« oder auch die kategorischere Beschreibung »Upside Risk & Downside Risk«. Erstes ist als Chance zu verstehen, letzteres als Bedrohung. Zudem ist Risikomanagement die Grundlage für Datenschutz, Informationssicherheit und Business Continuity Management, um die Resilienz der eigenen Organisation zu erhöhen.

Was verbirgt sich hinter Risikomanagement?

Risikomanagement ist klar definiert. Im ersten Schritt bedeutet es die Identifikation, Bewertung und Priorisierung von Risiken. Darauf folgt der koordinierte und wirtschaftliche Einsatz von Ressourcen, um die Wahrscheinlichkeit oder die Auswirkungen von unglücklichen Ereignissen zu minimieren, zu überwachen und zu steuern. Gleichzeitig sollen damit auch Chancen, die sich auch Risiken ergeben, maximiert werden.

Risikomanagement gibt Unternehmen also die Möglichkeit, Risiken nicht schicksalergeben als eine Mischung aus Glück und Pech hinzunehmen, sondern zu steuern. Es ist mittlerweile fester Bestandteil der ISO 9001 (Norm für Qualitätsmanagementsysteme). In der Ökonomie ist Qualitätsmanagement die Summe aller Maßnahmen, die notwendig sind, Prozessqualität, Arbeits-und damit die Produkt- und Dienstleistungsqualität hochzuhalten und zu verbessern. Qualität ist die Erfüllung der gestellten Anforderungen – beispielsweise durch Kunden. Geforderte Qualität abzuliefern, ist immer auch mit Risiken verbunden. Ein Risiko ist die Auswirkung einer Unsicherheit auf ein erwartetes Ergebnis. Daher gilt es Risikomanagement elegant und professionell zu betreiben, um die gewünschten Resultate liefern zu können.

Beispiele zum Umgang mit Chancen und Risiken

Mit der Revision der ISO 9001 (Norm für Qualitätsmanagement) rückte der Begriff risikobasierter Ansatz stärker in den Fokus. Was ist daran neu? Im Grunde hebt der risikobasierte Ansatz die positiven Aspekte des Begriffs Risiko stärker hervor. Zwischen den Zeilen steht: »Trauen Sie sich was«. Stellen Sie sich vor, Sie haben die Möglichkeit zur Einführung einer neuen Software. Aufgrund zu großer Bedenken entscheiden Sie sich dagegen. Die Konkurrenz aber nicht. Das könnte für Ihr Unternehmen negative Auswirkungen haben. Chancen nicht zu erkennen, kann also für Sie selbst wieder ein Risiko bedeuten.

Daher: Um mit ISO 9001:2015 zertifiziert werden zu können, werden vor allem Geschäftsführungen verpflichtet, den risikobasierten Ansatz im Unternehmen zu implementieren. Seit März 2020 ist der risikobasierte Ansatz deutlich präsenter: Mit Beginn der Corona-Pandemie mussten Unternehmen sehr viele Entscheidungen binnen kurzer Zeit treffen, die vor allem die Prozessqualität betraf. Remote-Work, Umstrukturierung von Lieferketten oder Budgetkürzungen – Maßnahmen, die negative Auswirkungen haben oder gar innovatives Handeln fördern könnten.

Auch ohne Corona prognostizierte Gartner schon im Jahr 2018, dass bis 2020 20 % der größeren Unternehmen ihre Risikoentscheidungen effektiv in einen geschäftlichen Kontext einbetten werden. Die tatsächliche Zahl dürfte aufgrund der Corona-Krise stark gestiegen sein. Unternehmen, die sich binnen kürzester Zeit mit Risikomanagement beschäftigen mussten, sind nach wie vor mit großen Herausforderungen konfrontiert.

Risikoevaluierung

Was ist risikobasiertes Denken?

Die naheliegendste Analogie ist die Überquerung einer Hängebrücke, die über eine Schlucht gespannt ist. Schauen Sie nach links, rechts und nach unten setzt automatisch risikobasiertes Denken ein. Die Entscheidung loszugehen oder stehenzubleiben, die in Ihrem Kopf in wenigen Sekunden getroffen wird, können wir auch auf unternehmerische Risikobewertung herunterbrechen. Gehen Sie davon aus, dass die Brücke wackelig und schon betagt ist, haben Sie nun verschiedene Auswahlmöglichkeiten:

  1. Akzeptanz: Sie können das Risiko abzustürzen akzeptieren. Sie gehen über die Brücke.
  2. Vermeidung: Sie können das Risiko auch vermeiden, in dem Sie umplanen. Sie suchen einen Weg durchs Tal. Oder Sie gehen gänzlich nachhause.
  3. Reduktion: Sie könnten das Risiko auch reduzieren. Etwa, indem Sie die Reparatur der Brücke abwarten und die Überquerung erst vornehmen, wenn alle morschen Bretter ausgetauscht wurden.
  4. Transferierung: Sie könnten das Risiko auch umverteilen, in dem Sie eine Versicherung abschließen. Das wird Sie persönlich im Zweifel in dieser konkreten Situation nicht retten, aber Sie könnten die Unfallfolgen für sich selbst oder Ihre Angehörigen abmildern.
  5. Aufteilung: Sie könnten das Risiko auch teilen. Sie könnten mit jemanden kooperieren, in dem Sie zusammen die Brücke überqueren und sich gegenseitig absichern.
  6. Eventualität: Im Risikomanagement existiert auch die Möglichkeit eines Eventualplans. Sie kommen einfach wieder, wenn die Schlucht zugeschüttet wurde oder eine Betonbrücke errichtet wurde.

Der risikobasierte Ansatz: Nicht nur Bedrohung – auch Chancen

Wie bereits erwähnt, ist die Überquerung der Brücke nicht nur eine Bedrohung, sondern auch mit einer Chance verbunden. In allen Situationen, die Brücke zu überqueren, spielt der Faktor Zeit eine Rolle. Auf der anderen Seite der Schlucht wartet eine Chance auf Sie – etwa ein wichtiger Geschäftstermin. Sie müssen nun abwägen, wie schnell Sie den Termin wahrnehmen wollen. Bleiben Sie einfach auf Ihrer Seite der Schlucht, haben Sie kein Risiko. Aber auch keinen Termin – und somit keine Chance, den Deal einzutüten.

Etablieren Sie eine Risiko-Mentalität von guten und schlechten Risiken.

Risikomanagement: Chancen und Risiken

Risikomanagement muss unternehmensweit erfolgen: In vielen Unternehmen ist Risikomanagement nach wie vor Abteilungssache. Die Geschäftsführung wird noch zu selten eingebunden, da ein risikobasierter Ansatz auch einen kulturellen Wandel erfordert. Es gibt keine Variante, die Straße vollkommen risikolos zu überqueren. Es gibt keinen perfekten Schutz. Vielen Verantwortlichen fällt es jedoch schwer, sich auf dieses Paradigma einzustellen und sich entsprechend auszutauschen. Dabei ist dieser Schritt sehr wichtig, da es beim risikobasierten Ansatz darum geht, die Effekte unternehmerischer Unsicherheiten für die gesamte Organisation zu erkennen, zu benennen und sie so als Basis zur Planung der nächsten unternehmerischen Schritte zu nutzen.

Idealerweise führt ein CRO (Chief Risk Officer) der eine Person, die ähnliche Kompetenzen besitzt die Risikomanagement-Bestrebungen der einzelnen Abteilungen zusammen. Die Beziehung zwischen Risikomanagement und Geschäftsführung ist in dieser Zeit sehr wichtig, da viele Verantwortliche Risikoentscheidungen treffen könnten, ohne die Sicherheit ausreichend im Blick zu haben. Der CRO sollte die Risikotoleranz des Unternehmens mit der Geschäftsführung besprechen und feststellen, ob die neuen Maßnahmen, die die Entscheidungsträger ergreifen, innerhalb dieses Bereichs liegen.

Wichtig ist: Risikomanagement ist keine reine IT-Angelegenheit. Entscheidungen müssen auch mit den Risiko-Stakeholdern mit den Nicht-IT-Bereichen des Unternehmens abgewogen werden. Um zielführende Entscheidungen treffen zu können, muss Restrisiko akzeptiert werden. Die Risiko-Stakeholder haben die Wahl, mehr Risiko zu geringeren Kosten oder weniger Risiko zu höheren Kosten zu akzeptieren. Es ist eine legitime Geschäftsentscheidung, ein beliebiges Risikoniveau zu wählen, das dem Unternehmensergebnis zugutekommt. Die Herausforderung ist das Gleichgewicht zwischen dem Schutzbedarf und den Anforderungen an den Geschäftsbetrieb.

Unternehmerische Risikobewertung: Durch den risikobasierten Ansatz wirtschaftliche Vorteile ziehen

Der risikobasierte Ansatz baut also eine starke Wissensgrundlage auf und führt so von einem reaktiven Ansatz zu einer proaktiven Verbesserungskultur. Doch nur, wenn Risiken innerhalb der gesamten Organisation abgewogen werden, steigt die Wahrscheinlichkeit auf eine Leistungssteigerung, um diese Qualität weiter zu gewährleisten. Infolgedessen wird das Kundenvertrauen steigen und Kunden werden zu Ihren Advokaten werden.

Wenn dieser kulturelle Aspekt im Unternehmen akzeptiert ist, stehen Praktiker vor der Herausforderung, Maßnahmen anhand strategischer und überlebensnotwendiger Ziele abzuleiten, die sich nur mit einem systematischen Ansatz priorisieren lassen. Wie lässt sich dies umsetzen?

 

5 Tipps für Ihr Werkzeug

  1. Managementsysteme können hier als Mittel der Wahl Abhilfe verschaffen, da sie Ressourcen bündeln und Abläufe effizienter machen.
  2. Baut eine Organisation sukzessive mehrere Managementsysteme auf, kann es unübersichtlich werden und zu Überschneidungen kommen. Abhilfe verschafft in diesem Falle ein integriertes Managementsystem.
  3. Insbesondere softwaregestützte Managementsysteme, sprich der Einsatz einer Software zum Aufbau und Betrieb eines Managementsystems, steigern diesen Effizienzgewinn noch deutlicher.
  4. Das Management von Risiken, Audits, Feststellungen und Maßnahmen wird durch die Möglichkeiten der digitalen Dokumentation erleichtert.
  5. Idealerweise lassen sich die Grundzüge eines Managementsystems durch eine intuitive Bedienung und einen Zugewinn an Übersichtlichkeit noch leichter erlernen sowie erfassen. Ähnlich der Synergien, die sich aus dem gleichbleibenden Aufbau der High Level Structure (HLS) ergeben, werden Unternehmensstrukturen, Prozesse, Systeme und Applikationen in modernen Lösungen nur einmalig erfasst.
ihr kontakt
Dominique Schröder, Technical Consultant, DextraData GmbH
Kontaktieren Sie Uns

DextraData GmbH
Girardetstraße 4
45131 Essen
T +49 201 959750
E info@dextradata.com

Folgen Sie Uns
FacebookXingLinkedInDextraData YouTube Channel
Abonnieren Sie Uns
Zum Newsletter anmelden
Karriere DatenschutzAGBImpressumSitemap