Risikomanagement handhaben

Was ist ein Risiko?

Ein Risiko entsteht, wenn bezogen auf ein Ereignis eine negative Abweichung oder ein Schaden auftreten kann. Die verbundenen Risiken sind um so höher, je höher der eventuelle Schaden sein kann und je höher die Eintrittswahrscheinlichkeit ist.

Was ist Risikomanagement?

Strategisches Risikomanagement ist ein internes Kontrollsystem in Unternehmen. Ziel ist es, Transparenz im Unternehmensbereich bezüglich der wesentlichen Risiken zu erlangen. Zum Identifizieren werden die Risiken systematische aus verschiedenen Perspektiven erfasst und bewertet. Es werden sowohl strategische Risiken als auch operationelle Risiken berücksichtigt.

Der Fokus des Risikomanagements liegt eindeutig auf der Bewertung von Risiken und den möglichen Auswirkungen. Betrachtet man die identifizierten Risiken aus der umgekehrten Perspektive, lassen sich durchaus potenzielle Chancen für Unternehmen erkennen.

Die Umkehrung des Risikos: die potenzielle Chance

Essenzieller Bestandteil des Risikomanagements sollte auch die Betrachtung potenzieller Chancen sein. Eine Chance im engeren Sinn entsteht, wenn bezogen auf ein Ereignis günstige Auswirkungen also Vorteile bzw. Potenziale auftreten können. Eine Chance ist um so größer, je größer der eventuelle Vorteile sein kann und je höher die Eintrittswahrscheinlichkeit ist.

Risikobasiertes Denken vs. Risikomanagement

Der größte Unterschied zwischen risikobasiertem Denken und Risikomanagement liegt darin begründet, dass die Managementsystemnormen:

• ISO 9001:2015
• ISO 14001:2015
• ISO 50001:2018
• ISO 45001:2018

zwar die Identifizierung von Chancen und Risiken fordern, diese aber nicht bewertet werden müssen. Das heißt, dass keine explizite Einstufung der Chance oder des Risikos gefordert ist, was ein typisches Merkmal des Risikomanagements ist.

Auf der anderen Seite werden im Risikomanagement in der Regel nur besondere Risiken adressiert. Beim risikobasierten Denken geht es neben dem Umgang mit Risiken auch um deren Umkehrung – den Chancen. Chancen und Risiken sind oftmals direkt miteinander verbunden: betrachtet man das Gegenteil zu einem Risiko, erkennt man potenzielle Chancen.

Wer unternehmerisch tätig ist, der tut dies, um Chancen auf dem Markt zu nutzen. Dabei entstehen aber auch Risiken. Die Organisation muss für sich selbst abwägen, welche Risiken sie akzeptieren und welche Chancen sie nutzen will.

Was verfolgt das risikobasierte Denken?

Eine wesentliche Neuerung der aktuellen Normstandards für Managementsysteme sind die „Maßnahmen zum Umgang mit Risiken und Chancen (Kapitel 6.1). Damit wurde der Grundsatz des risikobasierten Denkens in die Standards eingeführt.

Dieses Konzept ersetzt u.a. die früheren Elemente Vorbeugungsmaßnahmen (ISO 9001:2008) bzw. Nichtkonformität, Korrektur- und Vorbeugemaßnahmen (ISO 14001:2005). In den aktuellen Normstandards wird explizit der Zusammenhang zwischen den Kapiteln hergestellt, die das risikobasierte Denken fordern:

• 4.1 Kontext der Organisation – Externe & interne Einflussfaktoren
• 4.2 Interessierte Parteien – Erfordernisse & Erwartungen
• 4.4 Prozesse
• 6.1 Risiken und Chancen
• 9.3 Managementbewertung

Damit lässt sich risikobasiertes Denken als Ansatz beschreiben, der die oben genannten Elemente berücksichtigt und verkettet. Die analysierten Aspekte werden als Chancen und Risiken bewertet und priorisiert.

Methoden für das Risikomanagement

Risikobewertung ist im unternehmerischen Alltag an vielen Stellen verankert. Meistens wird sie aus betriebswirtschaftlicher oder aus Sicht des Marketings dargelegt.

Da bereits zahlreiche Methoden zur Risikobewertung bekannt sind, sollten solche ausgewählt werden, die sich bewährt haben sowie „Best Practice“ entsprechen.

Bewährte Methoden aus dem Managementumfeld werden im Folgenden vorgestellt.

SWOT Analyse

• Strength – Stärken
• Weakness – Schwächen
• Opportunities – Chancen
• Threats – Bedrohungen

PESTEL Analyse

Die PESTEL Analyse ist eine Methodik zur strategischen Betrachtung des Umfelds eines Unternehmens. PESTEL ist ein Akronym (engl.) für:

• Political – Politische Risiken
• Economic – Ökonomische Risiken / Wirtschaftliche Risiken
• Social – Soziale Risiken
• Technological – Technische Risiken
• Environmental – Ökologische Risiken / Umweltrisiken
• Legal – Rechtliche Risiken

Methode der Wertkette nach PORTER

Managementkonzept, das die Wertschöpfungskette einer Organisation mit folgenden Perspektiven verfolgt:

1. Führung
2. Ressourcen
3. Prozesse/Organisation
4. Innovationen

Entwickelt wurde die Methode vom Ökonom Michael E. Porter.

FMEA Methode

Die FMEA Methode ist eine Entwicklungs- und planungsbegleitende System- und Risikoanalyse, um potenzielle Arten von Risiken in Systemen, Produkten oder Prozessen zu identifizieren.

HACCP

HACCP ist eine strukturierte und präventive Methode zur Vermeidung von Gefahren im Zusammenhang mit Lebensmitteln. HACCP ist ein Akronym (engl.) für: Hazard Analysis and Critical Control Points – Gefährdungsanalyse und kritische Kontrollpunkte.

Risikomatrix

Mit der Risikomatrix werden verschiedene potenzielle Risiken von Produkten oder Prozessen ermittelt, beispielsweise:

• Trend/ Veränderung zur vergangenen Periode
• Häufigkeit/ Wahrscheinlichkeit des Auftretens
• Wirkung/ Auswirkung des Ereignisse

Eine häufig im Arbeitsschutz eingesetzte Risikomatrix mit zwei Faktoren (Wahrscheinlichkeit x Schadensschwere) ist die nach NOHL.

Geeignete Methoden zur Umsetzung der Risikobewertung

Da sowohl externe als auch interne Einflussfaktoren zu berücksichtigen sind, eignen sich die PESTEL Analyse sowie die PORTER Analyse besonders zur Ermittlung der Chancen und Risiken innerhalb einer Organisation. Verfeinert werden kann die Methode mit einer Risikomatrix zur Priorisierung der analysierten Chancen und Risiken.