swissaxis

Projekte und Tools für: Risk-Management, IKS, Business Continuity, Compliance
    Management, Cyber Security

Riskmanagement & IKS News

Chancen erfolgreich wahrnehmen dank Risk Management

Erfolgsversprechende Geschäftschancen schützen mittels relevantem Risikomanagement

Jede Organisation, die Chancen erfolgreich wahrnehmen möchte, trifft unweigerlich auf Herausforderungen und Krisen, die es zu meistern gilt.

Alle Entscheidungen und Aktivitäten sind deshalb mit Risiken verbunden, und das Risikomanagement (RM) dient dazu, die Chancen z.B. aus der strategischen Geschäftsplanung selbstbewusst ergreifen zu können.

In der Praxis hat sich ein 5-Schritte-Prozess bewährt, um keine Chance zu verpassen, resp. die mit jeder Chance einhergehenden Risiken zu managen.

  1. Festlegen von Umfang und Kontext der Risikobeurteilung
  2. Festlegen Risikokategorien und -kriterien
  3. Risikoidentifikation
  4. Risikoanalyse und -bewertung
  5. Risikobehandlung

 

Schritt 1: Festlegen von Umfang und Kontext der Risikobeurteilung

Der erste Schritt besteht darin, den Umfang, die Grenzen und den Kontext festzulegen. Dies gewährleistet eine bessere Nutzung von Zeit, Aufwand und Ressourcen der Organisation.

Ein sinnvoller Ansatz ist die strategische Geschäftsplanung, die Unternehmensbereiche und die (grössere) Projekte auf Chancen und Risiken zu untersuchen.

 

Der Erarbeitungsprozess – in Anlehnung an die ISO-Norm 31000:2018 für das Risikomanagement – gliedert sich wie folgt:

Schritt 2: Festlegung der Risikokategorien und -kriterien

Risikokriterien sind eine Reihe von Regeln oder Aussagen, die eine einheitliche Entscheidungsfindung ermöglichen. Die Verwendung von Risikokriterien unterstützt eine bessere Entscheidungsfindung.

Ein zielführender Ansatz ist es, die Risikokriterien in Risikokategorien zu bündeln.

Es empfiehlt sich die Einteilung in drei Kategorien von Risiken, die jeweils einen anderen Risikomanagementansatz erfordern.

Vermeidbare Risiken entstehen aus der Organisation heraus und bringen keinen strategischen Nutzen. Sie sollten vermieden oder kosteneffizient beseitigt werden.

Strategische Risiken sind Risiken, die eingegangen werden, um einen höheren strategischen Nutzen zu erzielen. Es sollten Schritte unternommen werden, um ihre Wahrscheinlichkeit und Auswirkungen kosteneffizient zu verringern.

Externe Risiken sind unkontrollierbare Risiken. Sie erfordern besondere Prozesse, die Manager dazu ermutigen, diese Risiken offen zu diskutieren und kosteneffiziente Wege zu finden, um ihre Wahrscheinlichkeit zu verringern oder ihre Folgen abzumildern.

Schritt 3: Risikoidentifikation

Aus Schritt 1 und 2 ergibt sich der Rahmen für die Identifizierung und Zuteilung der zu den Chancen gehörenden Risiken. Das Resultat kann übersichtlich in einer Matrix der Risikokategorien und der Risikoherkunft dargestellt werden.

Schritt 4: Risikoanalyse und -bewertung

Ein Risiko zu analysieren, bedeutet das Risiko zu verstehen und ist die Grundlage für die Bewertung.

Eine eigentliche Bewertung ist nur für die strategischen und externen Risiken notwendig, denn die vermeidbaren Risiken können/sollen vermieden oder kosteneffizient beseitigt werden.

Die Vermeidung der Risiken kann mittels internem Kontrollsystem (IKS) erfolgen.

Vorgehen: In einem Bottom-up-Ansatz die Prozesse nach vermeidbaren Risiken durchkämmen und die «Schlüssel-Checks» zur Vermeidung/Beseitigung der Prozessrisiken als Kontrollen in ein dynamisches IKS einpflegen.

 

Für jedes zu bewertende Risiko muss entschieden werden,

  • wer bewertet (interne, externe Experten und wie viele) und
  • wie oft soll bewertet werden.

Die Bewertung selbst erfolgt nach einem einheitliche Raster für Eintretenswahrscheinlichkeit, Schadenhöhe und Einfluss auf die Reputation.

Je grösser die Anzahl der Bewerter und je öfter bewertet wird, desto notwendiger wird eine Dynamisierung des RM-Prozesses.

 

Das Resultat der Bewertung(en) erhält der sog. Risk Owner und sein Stellvertreter.

Schritt 5: Risikobehandlung

Die Behandlung strategischer und externer Risiken erfordert einen umfassenden Ansatz, der sowohl präventive als auch reaktive Massnahmen umfasst.

Es ist in der Verantwortung der Risk Owner, dass zeitgerechte angemessene Massnahmen ergriffen werden.

Organisatorisch ist festzulegen, wer über die Durchführung der Massnahmen entscheidet. Meistens ist es sinnvoll, die Entscheide gemeinsam als Leitungsorgan zu fällen, da Kosten und Nutzen oft in mehreren Bereichen anfallen.

 

Es versteht sich von selbst, dass die Umsetzung der Massnahmen, resp. deren Ergebnis ebenfalls überwacht werden muss – am sinnvollsten als Teil desselben dynamischen RM-Prozesses wie für die Risikobewertung.

Fazit: Es besteht ein signifikanter Zusammenhang zwischen langfristigem Erfolg und dem bewussten Umgang mit Risiken.

Die Integration von Risiko und Strategie ermöglicht es den Leitungsorganen, die besten Chancen auszuwählen und relevante Risiken zu managen.

Quellen: Reading Guide on HBR’s 10 Must Reads on Managing Risk 2024 HBR
A practical guide to ISO 31000:2018

image_pdfAls PDF speichern

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert