Den Markt und sich selbst objektiv bewerten. Mit den Spezialisten für ECM-Research im deutschsprachigen Raum.

„Risikomanagement - so sichern Sie sich Ihren Unternehmenserfolg“


“Risk is the sugar and salt of life”


Was ist ein Risiko?

Die Anzahl von Definitionen ist umfangreich und konzentriert sich überwiegend auf negative Aspekte eines Risikos. Demnach ist ein Risiko die Nichterreichung eines erwarteten Zielzustandes. Doch nicht immer macht es Sinn Risiken grundlegend zu vermeiden, da es sich ebenso um positive Zielabweichung handeln kann (2). Daher sollte man nicht grundlegend versuchen alle Risiken zu vermeiden, sondern sollte diese analysieren und auf Basis der Ergebnisse entsprechend handhaben. Beispielsweise muss man bei dem Risiko „Fondanlage“ abwägen, ob man das Risiko und damit gleichbedeutend die Chance auf einen finanziellen Mehrwert akzeptiert oder das Risiko vermeiden möchte. Hier zeigt sich deutlich „Risk is the sugar and the salt of life“.

Der Risikomanagementprozess selbst besteht dabei aus den Elementen der Risikoidentifikation, der Analyse und der Bewertung von Risiken, die Risikosteuerung sowie das Berichtswesen.


Abbildung 1: Der Risikomanagementprozess (Quelle: Eigene Darstellung, modelliert mit ADONIS)

Die Risikoidentifikation

Primäres Ziel soll es sein eine Risikolandkarte, auch „Risk Map“ zu erstellen, um das Risikoprofil und die Gesamtrisikolage eines Unternehmens zusammenfassend darzustellen.

Um dieses Ziel zu erreichen, müssen im ersten Schritt die entsprechenden Risiken identifiziert werden (3). Eine vollständige Erfassung aller Risiken eines Unternehmens ist dabei eher unrealistisch. Daher richtet sich der Blick in der Praxis häufig auf bestandsgefährdende, d.h. Unternehmensbedrohende, und wesentliche Risiken. Bei Eintritt eines wesentlichen Risikos kann die Entwicklung des Unternehmens spürbar beeinträchtigt sein (4). Bei der Identifikation, auch Risikoinventur, geht es um die umfassende, systematische und regelmäßige Erfassung aller Risiken, die das Unternehmen betreffen. Grundvoraussetzung ist dabei eine ausreichende Risikosensibilität und ein umfassendes Bewusstsein für Risiken. Zahlreiche Möglichkeiten und methodische Vorgehensweisen sind bei der Identifikation von Risiken denkbar. Besonders bei der Implementierung eines Risikomanagementsystems macht es daher Sinn auf Erfahrungswerte zurückzugreifen. Die Berater der PENTADOC AG können Sie bei dem gesamten Prozess der Konzeption und Einführung eines Risikomanagementsystems aufgrund der theoretischen Kenntnisse sowie ihren Erfahrungsschatz aus dem praktischen Umfeld optimal unterstützen und begleiten.

Im Anschluss an die Sammlung aller Risiken einer Organisationseinheit bzw. übergreifender Risiken sollte, vor allem falls eine große Menge von Risiken gesammelt wurde, eine Klassifizierung der Risiken erfolgen. Bei der sogenannten Risikotypisierung wird in der Literatur, wie auch in der Praxis, eine Vielzahl von Möglichkeiten angewandt. Beispielsweise ist eine Risikoabgrenzung durch folgende Kategorien möglich:

  • Finanzrisiken, wie Liquiditätsrisiken
  • Markt- und Gesellschaftsrisiken, wie Imageschäden oder Kundenabwanderung
  • Operative Risiken, wie Personalrisiken, Sicherheitsrisiken oder Prozessrisiken
  • Externe Risiken, wie Risiken, die sich durch gesetzliche oder gesellschaftliche Neuerungen ergeben.

Es empfiehlt sich hierbei eine individuelle, auf das Unternehmen abgestimmte Risikoklassifikation vorzunehmen. Auch hierbei sollte man als Unternehmen auf erfahrene Risikomanager zurückgreifen.

Um den Unternehmenserfolg langfristig zu sichern sowie den gesetzlichen und gesellschaftlichen Anforderungen zu genügen, muss es Ziel sein, das Risikoprofil von Unternehmen umfassend und detailliert zu erfassen. Um dies zu erreichen, muss es gelingen, eine große Anzahl von Risiken des Unternehmens zu beleuchten und aufzudecken. Dies kann nur mit einem ganzheitlich orientierten Ansatz erreicht werden, d.h. mit der Einbeziehung verschiedenster Aspekte. Oft bilden Kriterien, wie die finanzielle Perspektive, die Kundenperspektive, die technische Betrachtungsweise oder die wirtschaftlichen Aspekte, Orientierungspunkte bei der Sammlung in Risiko- Identifikations- Workshops.

In der Praxis zeigt sich jedoch, dass sich Unternehmen oft einseitig auf Finanzrisiken fokussieren und vergessen dabei beispielsweise den Kunden, der Empfänger der Leistungen ist und im Zentrum aller Handlungen stehen sollte. Ebenso verhält es sich bei Mitarbeiterbezogenen Risiken. Dem Mitarbeiter kommt im sogenannten „Moment of Truth“, d.h. die Situation, wo der der Kunde und der Mitarbeiter aufeinander treffen und interagieren, eine zentrale Rolle zu.

Risiken bezüglich der Mitarbeiterzufriedenheit, deren Einstellung und Verhalten sollten daher zwingend beleuchtet werden. Ebenso können gesundheitliche Risiken der Mitarbeiter Einfluss auf den Unternehmenserfolg nehmen. In Zeiten der Schweine- oder Vogelgrippe oder der erhöhten Arbeitsbelastung kann es zu erhöhten Kranken-, Fluktuations- oder Burn- Out- Quoten kommen. Dies führt schnell dazu, dass Tätigkeiten von Kernprozessen gefährdet sind, was maßgeblich für die Existenz der Unternehmen ist.

Die Analyse und Bewertung von Risiken

Im Anschluss an die Identifikation von Risiken erfolgt die Bewertung der Risiken. Ziel ist es eine Priorisierung der identifizierten Risiken zu erhalten (5). Die Beurteilung erfolgt dabei durch die Festlegung der Eintrittswahrscheinlichkeit und der Schadenshöhe. Auch in diesem Schritt empfehlen sich keine allgemein gültigen und unternehmensübergreifende Instrumente oder Vorgehensweisen.

Jedes Unternehmen muss zur Unternehmenskultur passende Methoden und für die entsprechenden Instrumente individuelle Schwellenwerte sowie Toleranzbereiche definieren. Beim Überschreiten wird dann für die entsprechenden Risiken eine Berichtspflicht ausgelöst.


Abbildung 2: Beispiel einer Risikolandkarte (Quelle: Eigene Darstellung)

Mit den gesammelten Informationen können Risiken gezielt an die Entscheidungsträger kommuniziert werden, die in der Praxis häufig alle bestandsgefährdenden Risiken für Berichtspflichtig einstufen. Zudem erleichtert eine Priorisierung die Entscheidung der Optionen der Risikobewältigung. Gering eingestufte Risiken, bedürfen oft keiner weiteren Überlegungen bezüglich präventiver und schadensbegrenzender Notfallpläne. Wo hingegen bestandsgefährdende Risiken dringlich abgesichert werden müssen.

Auch in diesem Schritt des Risikomanagements ist es wichtig, dass das gesamte Unternehmen eine einheitliche Vorgehensweise, Dokumente sowie Instrumente nutzt. Diese sollten einen strukturierten und logischen Denk- bzw. Lösungsansatz bei der Analyse der Risiken sowie deren Bewertung widerspiegeln.

Die Steuerung von Risiken

Im Anschluss an die Identifikation sowie die Priorisierung der Risiken sind folgende weitere Schritte möglich:

  • Eine Entscheidung muss getroffen werden
  • Das Problem sowie deren Ursachen müssen näher analysiert werden
  • Ein Maßnahmenplan muss erstellt werden.

Um die weiteren Schritte strukturiert durchzuführen und einheitlich zu dokumentieren, werden standardisierte Instrumente genutzt. Das Werkzeug der „Entscheidungsanalyse“ unterstützt die Mitarbeiter dabei, schwierige Beschlüsse zu treffen, auf Basis rationaler und strukturierter Vorgehensweisen. Aufgrund der Dokumentation von definierten Kriterien sowie Entscheidungsalternativen ist die Wahl auch für Dritte nachvollziehbar und transparent. Die sogenannte „Problemanalyse“ hingegen zielt darauf ab, die Ursachen für eine positive oder negative Abweichung zu erkennen.

Müssen Maßnahmenpläne erstellt werden, so umfasst dies alle Mechanismen und Maßnahmen zur Beeinflussung der Risikosituation entweder durch Verringerung der Eintrittswahrscheinlichkeit oder / und des Schadensausmaßes, dem Überwälzen, der Verhinderung oder der Duldung von Risiken (6).


Abbildung 3: Die Risikoidentifikation, Bewertung und Steuerung (Quelle: Eigene Darstellung)

Das Berichtswesen

Zentraler Bestandteil eines Risikomanagementsystems ist die Bündelung von Informationen und die systematische Weiterleitung an die zuständigen Entscheidungsträger. Dabei entscheiden diese im Vorfeld selbst, welche Risiken gesichtet werden sollen, in Form welcher Medien und in welchem Umfang dies erfolgt (7). In der Praxis beschränkt sich das Berichtswesen jedoch oft auf die Risiken mit bestandsgefährdendem Charakter.

Die Entscheidungsträger können anhand der konsolidierten und strukturiert aufgearbeiteten Risikoberichte weitere Vorstellungen und Vorgaben definieren. Auch diese Rückkopplungsmechanismen müssen dokumentiert und an die entsprechenden Organisationseinheiten weitergeleitet werden. Damit schafft das Risikomanagement die Voraussetzungen für die Kontrolle und die Überprüfung der Risiken und sorgt dafür, dass die entsprechenden Interessengruppen gezielt die richtigen Informationen erhalten.


Abbildung 4: Vorgaben durch die Entscheidungsträger (Quelle: Eigene Darstellung)

2) Romeike & Müller – Reichart (2005).

3) Romeike & Müller – Reichart (2005).

4) Deutscher Genossenschafts-Verlag (2009).

5) Deutscher Genossenschafts-Verlag (2009).

6) Romeike & Müller – Reichart (2005).

7) Deutscher Genossenschafts-Verlag (2009).