Risikomanagement einfach erklärt – Einführung & Beispiele | DICIS AG

Was ist Risikomanagement?

Risikomanagement hilft Unternehmen, operative, rechtliche und prozessuale Risiken zu identifizieren und durch vorbeugende Maßnahmen zu vermindern. Es ist ein wichtiger Bestandteil eines Qualitätsmanagements und eines Qualitätsmanagementsystems. Die intensive Auseinandersetzung mit Unternehmensrisiken ist beispielsweise eine zwingende Voraussetzung für eine Zertifizierung nach ISO 9001:2026.

Zum Risikomanagement gehört auch der Blick auf die Chancenseite. In der Revision ISO 9001:2026 wird dieser Aspekt sogar noch einmal deutlich geschärft. Es geht nicht nur darum, Risiken zu vermeiden, sondern vor allem auch, Chancen zu identifizieren. Damit ist Risikomanagement ein Treiber unternehmensinterner Innovation sowie der kontinuierlichen Verbesserung: Unternehmen, die Risiken und Chancen erkennen sowie Ideen entwickeln um diese zu überwinden, erhalten neue Ideen für die Prozessoptimierung.

Eine ISO 9001 Zertifizierung fordert kein explizites Risikomanagement, jedoch ein risikobasiertes Denken. (Hinweis: Diese Inhalte wurden von https://www.innolytics.de/was-ist-risikomanagement/ übernommen und erweitert.)

Was sind die Grundlagen eines Risikomanagements?

Dass sich das aktive Management von Risiken durch alle Tätigkeiten eines Unternehmens zieht, ist ein wichtiger Teil der ISO 9001 Philosophie. Unternehmen sind angehalten, sich mit Risiken in ihren Geschäftsprozessen und in ihren Märkten auseinanderzusetzen. Mit ISO 31000: 2018 hat die International Organization for Standardization Leitlinien für die Behandlung von Risiken, denen Organisationen ausgesetzt sind, erlassen. Risikomanagement ist auch ein wichtiger Teil anderer ISO-Normen wie ISO 27001 (Informationssicherheit) und ISO 14001:2026.

Welche ISO-Norm fordert ein Risikomanagement?

Das Risikomanagement hat mit ISO 31001 zwar eine eigenständige Norm. Zugleich ist es aber Bestandteil vieler anderer ISO-Normen. Das hat einen einfachen Grund: Risikomanagement ist ein wichtiger Teil des unternehmerischen Handelns.

Chancen und Risiken gegeneinander abzuwägen und Entscheidungen nach einer sorgfältigen Abwägung zu treffen, ist Bestandteil vieler Managementmethoden. Zwei Beispiele:

  • Mit der sogenannten SWOT-Analyse bewerten Unternehmen ihre Stärken und Schwächen sowie Chancen und Risiken in bestimmten Situationen.

  • Die sogenannte PEST-Analyse setzt sich mit politischen, ökonomischen, sozialen und technologischen Entwicklungen auseinander. Auch hier ist die Bewertung von Risiken ein wichtiger Teil.

Beim Risikomanagement handelt es sich daher nicht um eine einheitliche Managementdisziplin, die isoliert von anderen Unternehmensaktivitäten betrachtet werden kann. Vielmehr ist Risikomanagement ein essenzieller Bestandteil aller Unternehmensaktivitäten.

Wie funktioniert Risikomanagement in der Praxis?

Ein Risikomanagement verfolgt das Ziel, realistische Annahmen über die Risiken zu treffen, denen Unternehmen ausgesetzt sind. So wird beispielsweise im Innovationsprozess von Unternehmen das potenzielle Risiko von Neuerungen explizit mitbewertet. Die Ursache liegt auf der Hand: Innovation birgt kurzfristig größere Risiken als die Fortsetzung des Erprobten und Bestehenden.

Hier drei Beispiele für die Identifikation von Risiken im Risikomanagement.

  • Beispiel für operative Risiken: Ein Unternehmen möchte seine Produktionskapazitäten ausbauen und deshalb ein Gebäude, das bisher als Lagerhalle für neue Teile genutzt wurde, zu einer weiteren Produktionsstraße ausbauen. Lieferanten sollen Teile künftig verstärkt „Just-in-time“ anliefern, also direkt zum Produktionsbeginn. Die Chancen und Kosteneinsparungen werden sehr schnell deutlich. Ein Risikomanagement bewertet die potenziellen Risiken aus dieser Veränderung. So kann die Produktion stillstehen, wenn Teile nicht rechtzeitig angeliefert werden, fehlerhafte Teile können aufgrund geringer Lagerhaltung nicht so schnell gegen funktionierende ausgetauscht werden und das Unternehmen kann möglicherweise Kundenaufträge nicht mehr zu den bisher möglichen Lieferzeiten realisieren.

  • Beispiel für rechtliche Risiken: Unternehmen, die beispielsweise im Bereich der Arbeitssicherheit keine Gefährdungsbeurteilung erstellt und keine Fachkraft für Arbeitssicherheit bestellt haben, tragen das rechtliche Risiko, bei einer Kontrolle durch die Berufsgenossenschaft diese Mängel innerhalb kürzester Zeit abstellen zu müssen und riskieren Bußgelder.

  • Beispiel für prozessuale Risiken: Bei der Bearbeitung von Kundenbeschwerden über Abteilungsgrenzen hinweg gehen wichtige Informationen verloren, die dem Unternehmen helfen könnten, die Kundenzufriedenheit mit Produkten und Angeboten zu steigern. Das prozessuale Risiko ergibt sich daraus, dass Informationen über Kundenbeschwerden durch den festgelegten Prozess nicht zu den Geschäftseinheiten gelangen, die beispielsweise für die Produktentwicklung oder den Aufbau digitaler Geschäftsmodelle zuständig sind.

Die Identifikation, Analyse und Behandlung von Risiken ist Bestandteil jeder Zertifizierung – unabhängig davon, ob es sich um ISO 9001, ISO 14001 oder ISO 27001 handelt. Damit ist Risikomanagement – ob formal ausgeprägt oder als risikobasiertes Denken – die grundlegende Basis jeder Managementsystem-Zertifizierung.