Der risikobasierte Ansatz - Erklärung

Der risikobasierte Ansatz: Trauen Sie sich was

Lesedauer: 11 Minuten | 1270 Wörter | Autor: Thomas Ulrich

Zu Risiken und Nebenwirkungen fragen Sie Ihren Arzt oder Apotheker. Schon an diesem Satz sehen Sie: Risiken bedeuten im deutschen Sprachgebrauch nichts Gutes. Um aber tiefer ins Risikomanagement im Allgemeinen und in den risikobasierten Ansatz im Speziellen einzusteigen, müssen Sie sich ein stückweit von der alltäglichen Bedeutung des Wortes »Risiko« lösen. Da sowohl das »Risk Management« und auch der »Risk Based Approach« aus dem Englischen stammen, gilt es Risiken nicht nur als Bedrohung zu sehen, sondern auch als Möglichkeiten. Das verdeutlichen Floskeln wie »No Risk, No Fun« oder auch der kategorischeren Beschreibung »Upside Risk & Downside Risk«. Erstes ist als Chance zu verstehen, letzteres als Bedrohung. Zudem ist Risikomanagement die Grundlage für Datenschutz, Informationssicherheit und Business Continuity Management, um die Resilienz der eigenen Organisation zu erhöhen.

Risikofaktor Mensch

Was verbirgt sich hinter Risikomanagement?

Risikomanagement ist klar definiert. Im ersten Schritt bedeutet es die Identifikation, Bewertung und Priorisierung von Risiken. Darauf folgt der koordinierte und wirtschaftliche Einsatz von Ressourcen, um die Wahrscheinlichkeit oder die Auswirkungen von unglücklichen Ereignissen zu minimieren, zu überwachen und zu steuern. Gleichzeitig sollen damit auch Chancen maximiert werden.

Risikomanagement gibt Unternehmen also die Möglichkeit, Risiken nicht schicksalergeben als eine Mischung aus Glück und Pech hinzunehmen, sondern zu steuern. Risikomanagement ist mittlerweile fester Bestandteil der ISO 9001 (Norm für Qualitätsmanagementsysteme). In der Ökonomie ist Qualitätsmanagement die Summe aller Maßnahmen, die notwendig sind, Prozessqualität, Arbeitsqualität und damit die Produkt- und Dienstleistungsqualität hochzuhalten und zu verbessern. Qualität ist die Erfüllung der gestellten Anforderungen – beispielsweise durch Kunden. Geforderte Qualität abzuliefern, ist immer auch mit Risiken verbunden. Ein Risiko ist die Auswirkung einer Unsicherheit auf ein erwartetes Ergebnis. Daher gilt es Risikomanagement elegant und professionell zu betreiben, um die gewünschte Qualität liefern zu können.

Beispiele zum Umgang mit Chancen und Risiken

Mit der Revision der ISO 9001 (Norm für Qualitätsmanagement) rückte der Begriff risikobasierter Ansatz stärker in den Fokus. Was ist daran neu? Im Grunde hebt der risikobasierte Ansatz die positiven Aspekte des Begriffs Risiko stärker hervor. Zwischen den Zeilen steht: »Trauen Sie sich was«. Stellen Sie sich vor, Sie haben die Möglichkeit zur Einführung einer neuen Software. Aufgrund zu großer Bedenken entscheiden Sie sich dagegen. Die Konkurrenz aber nicht. Das könnte für Ihr Unternehmen negative Auswirkungen haben. Chancen nicht zu erkennen, kann also für Sie selbst wieder ein Risiko bedeuten.

Daher: Um mit ISO 9001:2015 zertifiziert zu werden zu können, werden vor allem Geschäftsführungen verpflichtet, den risikobasierten Ansatz im Unternehmen zu implementieren. Seit März 2020 ist der risikobasierte Ansatz deutlich präsenter: Mit Beginn der Corona-Pandemie mussten Unternehmen sehr viele Entscheidungen binnen kurzer Zeit treffen, die vor allem die Prozessqualität betraf. Remote-Work, Umstrukturierung von Lieferketten oder Budgetkürzungen – Maßnahmen, die negative Auswirkungen haben können oder gar innovatives Handeln fördern könnten.

Auch ohne Corona prognostizierte Gartner schon im Jahr 2018, dass bis 2020 20 % der größeren Unternehmen ihre Risikoentscheidungen effektiv in einen geschäftlichen Kontext einbetten werden. Die tatsächliche Zahl dürfte aufgrund der Corona-Krise stark gestiegen sein. Unternehmen, die sich binnen kürzester Zeit mit Risikomanagement beschäftigen mussten, sind nach wie vor mit großen Herausforderungen konfrontiert.

Risikoevaluierung

Risikoevaluierung

Was ist risikobasiertes Denken?

Der naheliegendste Analogie ist die Überquerung einer Hängebrücke, die über einer Schlucht gespannt ist. Schauen Sie nach links, rechts und nach unten setzt automatisch risikobasiertes Denken ein. Während die Entscheidung loszugehen oder stehenzubleiben, in Ihrem Kopf in wenigen Sekunden getroffen wird, können wir sie auch auf unternehmerische Risikobewertung herunterbrechen. Gehen Sie davon aus, dass die Brücke wackelig und schon betagt ist, haben Sie nun verschiedene Auswahlmöglichkeiten:

  1. Akzeptanz: Sie können das Risiko abzustürzen akzeptieren. Sie gehen über die Brücke.
  2. Vermeidung: Sie können das Risiko auch vermeiden, in dem Sie umplanen. Sie suchen einen Weg durchs Tal. Oder Sie gehen gänzlich nachhause.
  3. Reduktion: Sie könnten das Risiko auch reduzieren. Etwa, indem Sie die Reparatur der Brücke abwarten und die Überquerung erst vornehmen, wenn alle morschen Bretter ausgetauscht wurden.
  4. Transferierung: Sie könnten das Risiko auch umverteilen, in dem Sie eine Versicherung abschließen. Das wird Sie persönlich im Zweifel in dieser konkreten Situation nicht retten, aber Sie könnten die Unfallfolgen für sich selbst oder Ihre Angehörigen abmildern.
  5. Aufteilung: Sie könnten das Risiko auch teilen. Sie könnten mit jemanden kooperieren, in dem Sie zusammen die Brücke überqueren und sich gegenseitig absichern.
  6. Eventualität: Im Risikomanagement existiert auch die Möglichkeit eines Eventualplans. Sie kommen einfach wieder, wenn die Schlucht zugeschüttet wurde oder eine Betonbrücke errichtet wurde.

Der risikobasierte Ansatz: Nicht nur Bedrohung – auch Chancen

Wie bereits erwähnt, ist die Überquerung der Brücke nicht nur eine Bedrohung, sondern auch mit einer Chance verbunden. In allen Situationen, die Brücke zu überqueren, spielt der Faktor Zeit eine Rolle. Auf der anderen Seite der Schlucht wartet eine Chance auf Sie – etwa ein wichtiger Geschäftstermin. Sie müssen nun abwägen, wie schnell Sie den Termin wahrnehmen wollen. Bleiben Sie einfach auf Ihrer Seite der Schlucht, haben Sie kein Risiko. Aber auch keinen Termin – und somit keine Chance, den Deal einzutüten.

Risikomanagement: Chancen und Risiken
Etablieren Sie eine Risiko-Mentalität von guten und schlechten Risiken

Risikomanagement: Chancen und Risiken

Risikomanagement muss unternehmensweit erfolgen: In vielen Unternehmen ist Risikomanagement nach wie vor Abteilungssache. Die Geschäftsführung wird noch zu selten eingebunden, da ein risikobasierter Ansatz auch einen kulturellen Wandel erfordert. Es gibt keine Variante, die Straße vollkommen risikolos zu überqueren. Es gibt keinen perfekten Schutz. Vielen Verantwortlichen fällt es jedoch schwer, sich auf dieses Paradigma einzustellen und sich entsprechend auszutauschen. Dabei ist dieser Schritt sehr wichtig, da es beim risikobasierten Ansatz darum geht, die Effekte unternehmerischer Unsicherheiten für die gesamte Organisation zu erkennen, zu benennen und sie so als Basis zur Planung der nächsten unternehmerischen Schritte zu nutzen.

Idealerweise führt ein CRO (Chief Risk Manager) oder eine Person, die ähnliche Kompetenzen besitzt die Risikomanagement-Bestrebungen der einzelnen Abteilungen zusammen. Die Beziehung zwischen Risikomanagern und den Geschäftsführen ist in dieser Zeit sehr wichtig, da viele Geschäftsführer Risikoentscheidungen treffen könnten, ohne die Sicherheit ausreichend im Blick zu haben. Der CRO sollte die Risikotoleranz des Unternehmens mit den Geschäftsführern besprechen und feststellen, ob die neuen Maßnahmen, die die Entscheidungsträger ergreifen, innerhalb dieses Bereichs liegen.

Trotz der aktuellen Krisensituation – wichtig ist: Risikomanagement ist keine reine IT-Angelegenheit. Entscheidungen müssen auch mit den Risiko-Stakeholdern mit den Nicht-IT-Bereichen des Unternehmens abgewogen werden. Um zielführende Entscheidungen treffen zu können, muss Restrisiko akzeptiert werden. Die Risiko-Stakeholder haben die Wahl, mehr Risiko zu geringeren Kosten oder weniger Risiko zu höheren Kosten zu akzeptieren. Es ist eine legitime Geschäftsentscheidung, ein beliebiges Risikoniveau zu wählen, das dem Unternehmensergebnis zugutekommt. Die Herausforderung ist das Gleichgewicht zwischen dem Schutzbedarf und den Anforderungen an den Geschäftsbetrieb.

Unternehmerische Risikobewertung

Unternehmerische Risikobewertung: Durch risikobasierten Ansatz wirtschaftliche Vorteile ziehen

Der risikobasierte Ansatz baut also eine starke Wissensgrundlage auf und führt so von einem reaktiven Ansatz zu einer proaktiven Verbesserungskultur. Doch nur, wenn Risiken innerhalb der gesamten Organisation abgewogen werden, steigt die Wahrscheinlichkeit auf eine Leistungssteigerung, um diese Qualität weiter zu gewährleisten. In Folge dessen wird das Kundenvertrauen steigen und Kunden werden zu Ihren Advokaten werden.

Wenn dieser kulturelle Aspekt im Unternehmen akzeptiert ist, stehen Praktiker vor der Herausforderung, Maßnahmen anhand strategischer und überlebensnotwendiger Ziele abzuleiten, die sich nur mit einem systematischen Ansatz priorisieren lassen. Managementsysteme können hier als Mittel der Wahl Abhilfe verschaffen, da sie Ressourcen bündeln und Abläufe effizienter machen.

Baut eine Organisation sukzessive mehrere Managementsysteme auf, kann es unübersichtlich werden und zu Überschneidungen kommen. Abhilfe verschafft in diesem Falle ein integriertes Managementsystem. Insbesondere softwaregestützte Managementsysteme, sprich der Einsatz einer Software zum Aufbau und Betrieb eines Managementsystems, steigern diesen Effizienzgewinn noch deutlicher.

Das Management von Risiken, Audits, Feststellungen und Maßnahmen wird durch die Möglichkeiten der digitalen Dokumentation erleichtert. Idealerweise lassen sich die Grundzüge eines Managementsystems durch eine intuitive Bedienung und einen Zugewinn an Übersichtlichkeit noch leichter erlernen sowie erfassen. Ähnlich den Synergien, die sich aus dem gleichbleibenden Aufbau der High Level Structure (HLS) ergeben, werden Unternehmensstrukturen, Prozesse, Systeme und Applikationen in modernen Lösungen nur einmalig erfasst.

Das könnte Sie auch interessieren:

IT Sicherheitsstandards

7 Aktionen, um Ihre Sicherheitsstandards mit und nach COVID-19 deutlich zu verbessern

Die COVID-19 Pandemie verlangt von den Sicherheitsteams der Unternehmen, sich die von den Cloud-Anbietern bereitgestellten Sicherheits- und Betriebstools genau anzusehen.

Datenschutz: Remote-Work und Videokonferenzen

»Remote-Work und Videokonferenzen: Schon an eine DSFA gedacht?«

Videokonferenzsysteme sind inzwischen kaum mehr wegzudenken, um auch in Krisenzeiten die Kommunikation beizubehalten. Doch wie datenschutzkonform sind Meeting-Tools?

ihr kontakt
Thomas Ulrich, Director Business Consulting, DextraData GmbH
Thomas Ulrich

Director Business Consulting

T +49 201 95975132
M +49 163 8777709
E thomas.ulrich[at]dextradata[dot]com

Kontaktieren Sie Uns

DextraData GmbH
Girardetstraße 4
45131 Essen
T +49 201 959750
E info@dextradata.com

Folgen Sie Uns
FacebookXingLinkedInDextraData YouTube Channel
Abonnieren Sie Uns
Zum Newsletter anmelden
Karriere DatenschutzAGBImpressumSitemap
Cookieeinstellungen
X

Wir verwenden Cookies

Wir nutzen Cookies auf unserer Website. Einige sind notwendig, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.

Ich akzeptiere

Individuelle Cookie Einstellungen

Nur notwendige Cookies akzeptieren

Datenschutzerklärung Impressum

X

Datenschutzeinstellungen

Hier finden Sie eine Übersicht über alle verwendeten Cookies. Sie können Ihre Zustimmung zu ganzen Kategorien geben oder sich weitere Informationen anzeigen lassen und so nur bestimmte Cookies auswählen.

Notwendige Cookies

Diese Cookies ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Website erforderlich.

Cookie Informationen anzeigen

Cookie Informationen verbergen

DextraData Cookie

Dieser Cookie speichert Ihre Cookie Präferenzen.

Anbieter:DextraData GmbH
Cookiename:DextraData Cookie
Laufzeit:90

Google Tag Manager

Wir verwenden den Google Tag Manager als Container für das Google AdWords Conversion Tracking, um den Erfolg unserer Werbemaßnahmen zu messen. Nach bestimmten Zielerreichungen auf unserer Website ("Conversions") - wie einer Kontaktanfrage oder die Anmeldung zu unserem Newsletter - wird diese Zielerreichung von Google erfasst. Darüber hinaus wird Google anhand von zuvor gesetzten Cookies zuordnen, welche Werbeanzeigen vorher angeklickt wurden und somit für die Zielerreichung ausschlaggebend waren.

Anbieter:Google LLC
Cookiename:Google Tag Manager
Laufzeit:720
Host:Google LLC

Cookies für Statistiken

Statistik Cookies erfassen Informationen anonym. Diese Informationen helfen uns zu verstehen, wie unsere Besucher unsere Website nutzen.

Cookie Informationen anzeigen

Cookie Informationen verbergen

Google Analytics

Dieser Cookie wird eingesetzt, um Ihre Nutzung unserer Websites auszuwerten, eine zielgruppenspezifische Anzeigenausspielung zu ermöglichen und um Reports über die Websiteaktivitäten zusammenzustellen. Auf Basis der statistischen Daten können wir unsere Leistungsdarstellung auf unserer Webseite fortlaufend verbessern und unsere Remarketing-Werbemaßnahmen optimieren.

Anbieter:Google LLC
Cookiename:Google Analytics
Laufzeit:780
Datenschutzlink:https://policies.google.com/privacy?hl=de
Host:Google LLC

Cookies für Marketing

Marketing Cookies werden von Drittanbietern oder Publishern verwendet, um personalisierte Werbung anzuzeigen. Sie tun dies, indem sie Besucher über Websites hinweg verfolgen.

Cookie Informationen anzeigen

Cookie Informationen verbergen

Marketo

Wir setzen Technologien von Marketo EMEA Ltd. zum Versand von Newslettern und anderen Mailings (Informationen über Messen, Einladungen zu Webcasts usw.) ein. Mit diesem Cookie können wir statistische Daten über die Nutzung unserer Website in Verbindung zu den Mailingaktivitäten sammeln, um unser Angebot entsprechend zu optimieren.

Anbieter:Marketo EMEA Ltd.
Cookiename:Marketo
Laufzeit:730
Datenschutzlink:https://documents.marketo.com/de/legal/datenschutz/
Host:Marketo

LinkedIn

Wir setzen diesen Cookie ein, um Ihnen Anzeigen auf dem Netzwerk LinkedIn auszuspielen, die Ihren persönlichen Interessen entsprechen. Zudem sollen sie die Häufigkeit beschränken, mit der Ihnen eine bestimmte Werbung angezeigt wird und gleichzeitig die Effektivität der jeweiligen Werbekampagne messen.

Anbieter:LinkedIn Corporation
Cookiename:LinkedIn
Laufzeit:360
Datenschutzlink:https://www.linkedin.com/legal/privacy-policy
Host:LinkedIn Corporation

Speichern

ZurückNur notwendige Cookies akzeptieren

Datenschutzerklärung Impressum