Christian Horres

Experte für Business Continuity Management und Risikomanagement mit über zehn Jahren Erfahrung in der Beratung von Unternehmen aus dem Bereich kritische Infrastrukturen. Sein Fokus liegt auf der Umsetzung praxisnaher Resilienzstrategien sowie der Integration internationaler Standards wie ISO 22301 und ISO 27001. Im Noveledge-Netzwerk bringt er sein Fachwissen ein, um Organisationen bei der nachhaltigen Stärkung ihrer Widerstandsfähigkeit zu unterstützen.

Zwei Perspektiven auf die selbe Herausforderung

In Organisationen entstehen Risiken auf unterschiedlichen Ebenen. Manche betreffen die langfristige Ausrichtung und Zukunftsfähigkeit des Unternehmens, andere wirken direkt im Alltag auf Prozesse, Abläufe und Ressourcen. Um diese unterschiedlichen Einflussbereiche systematisch zu steuern, wird das Risikomanagement häufig in eine strategische und eine operative Ebene unterteilt. Beide Perspektiven ergänzen sich und tragen dazu bei, Risiken ganzheitlich zu betrachten und angemessen zu steuern.

Strategisches Risikomanagement

Das strategische Risikomanagement richtet den Blick auf Risiken, die die langfristige Entwicklung und das Geschäftsmodell einer Organisation beeinflussen können. Es beschäftigt sich mit Faktoren wie Marktveränderungen, neuen Wettbewerbern, technologischen Entwicklungen, politischen Rahmenbedingungen oder großen Investitionsentscheidungen. Ziel ist es, rechtzeitig zu erkennen, welche Entwicklungen Chancen oder Risiken für die strategische Ausrichtung darstellen, und darauf basierend Entscheidungen zu treffen.

Wesentliche Aspekte sind die Bewertung externer Einflussfaktoren, die Einschätzung der Auswirkungen strategischer Entscheidungen sowie die Priorisierung langfristiger Maßnahmen. Hier liegt die Verantwortung in der Regel bei der Unternehmensführung oder strategischen Steuerungsebenen, da Entscheidungen auf dieser Ebene weitreichende Konsequenzen für die gesamte Organisation haben.

Operatives Risikomanagement

Im Gegensatz dazu beschäftigt sich das operative Risikomanagement mit Risiken, die im täglichen Geschäft entstehen. Es umfasst alle Risiken, die aus Abläufen, Prozessen, Systemen, Ressourcen oder internen Abhängigkeiten resultieren. Dazu zählen beispielsweise Prozessfehler, technische Störungen, Lieferengpässe, Ausfälle von IT-Systemen oder personelle Engpässe.

Der Fokus liegt darauf, Störungen frühzeitig zu erkennen, die Auswirkungen auf die laufende Leistungserbringung einzuschätzen und angemessene Maßnahmen vorzubereiten. Operative Risiken wirken meist kurzfristig und direkt auf die tägliche Funktionsfähigkeit eines Unternehmens. Daher sind hier vor allem Fachbereiche, operative Führungskräfte und Prozessverantwortliche eingebunden, die Abläufe konkret beobachten und steuern können.

Praxisorientierter Überblick

Risikomanagement ist in Organisationen ein strukturierter Prozess, um Gefahren, Unsicherheiten und Chancen systematisch zu behandeln. Es dient dazu, Schäden zu vermeiden, die Zielerreichung zu sichern und die Handlungsfähigkeit auch in Krisensituationen aufrechtzuerhalten. Normative Grundlage ist vor allem die ISO 31000:2018 „Risikomanagement – Leitlinien“, ergänzt durch branchenspezifische Standards (z. B. ISO 27005 für Informationssicherheit, ISO 22301 für Business Continuity).

Risikokontext festlegen

Die Festlegung des Risikokontexts ist die Grundlage jedes Risikomanagementprozesses. Hier wird geklärt:

• Interner Kontext: Ziele, Strategien, Prozesse, Ressourcen, Unternehmenskultur.
• Externer Kontext: Marktbedingungen, rechtliche Vorgaben, technologische Trends, geopolitische Risiken.
• Stakeholder: Erwartungen von Eigentümern, Kunden, Aufsichtsbehörden, Öffentlichkeit.

Praktisch bedeutet das: Erst wenn der Rahmen klar ist, lassen sich Risiken korrekt einordnen. Ein häufiges Problem ist, dass Organisationen Risiken nur aus der eigenen Sicht betrachten und externe Faktoren unterschätzen.

Risikoidentifizierung

In diesem Schritt werden potenzielle Gefahrenquellen, Bedrohungen und Chancen systematisch erfasst. Instrumente sind:

• Checklisten und Risikokataloge (z. B. für IT, Compliance, Personal, Produktion).
• Workshops mit Führungskräften und Experten.
• Analyse historischer Vorfälle (z. B. Schadensfälle, Ausfälle, Krisen).
• Szenario-Techniken.

Praxisproblem: Viele Risikokataloge sind statisch oder unvollständig. Neue Gefahren (Cyber-Angriffe, geopolitische Schocks, Lieferkettenabhängigkeiten) tauchen darin nicht auf – wodurch das Management eine Scheinsicherheitbekommt.

Risikoanalyse und -bewertung

Die Analyse erfolgt in zwei Dimensionen:

1. Eintrittswahrscheinlichkeit
2. Schadensausmaß (Impact)

Dargestellt wird dies häufig in einer Risikomatrix, wie sie auch in der ISO 31000 visualisiert ist. Risiken werden darin in Klassen wie „niedrig“, „mittel“, „hoch“ oder „kritisch“ eingeordnet.

Ergänzende Aspekte in der Praxis:

• Kumulation von Risiken (z. B. mehrere kleine IT-Ausfälle führen zu einem kritischen Gesamtrisiko).
• Korrelationen (ein Lieferantenausfall zieht Produktions- und Finanzrisiken nach sich).
• Rest- vs. Bruttorisiko: Bewertung vor und nach Maßnahmen.

Risikosteuerung / Risikobehandlung

Optionen im Umgang mit Risiken sind:

• Vermeiden (Aktivitäten einstellen, die Risiko verursachen)
• Vermindern (Kontrollmechanismen, Notfallpläne)
• Übertragen (z. B. Versicherungen, Outsourcing)
• Akzeptieren (bewusst tragen, wenn Maßnahmen unverhältnismäßig teuer wären)

Hier ist entscheidend, dass die Maßnahmen dokumentiert und überprüft werden, da sie sonst im Tagesgeschäft an Wirkung verlieren.

Monitoring und Kommunikation

Risikomanagement ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Regelmäßige Reviews, interne Audits, Reports an die Geschäftsleitung und offene Kommunikation mit Stakeholdern sind notwendig, um die Wirksamkeit sicherzustellen.

Governance-Struktur: Three Lines of Defense

Das Modell der Three Lines of Defense (3LoD), entwickelt und empfohlen durch das Institute of Internal Auditors (IIA, 2013), schafft eine klare Aufgabenverteilung:

• First Line (Management/operative Einheiten):
  
  • Verantwortlich für die direkte Risikoidentifizierung und -steuerung im Tagesgeschäft.
  • Beispiele: Produktion prüft Sicherheitsstandards, IT-Abteilung setzt Firewalls, HR achtet auf Compliance in Personalprozessen.
    
• Second Line (Risikomanagement & Compliance-Funktion):
  
  • Entwickelt Methoden, Policies und Kontrollmechanismen.
  • Unterstützt das operative Management mit Werkzeugen (z. B. Risikokataloge, Reporting-Systeme).
  • Stellt sicher, dass Risiken transparent erfasst und nach einheitlichen Kriterien bewertet werden.
    
• Third Line (Interne Revision):
  
  • Prüft unabhängig, ob die ersten beiden Linien ihre Aufgaben korrekt erfüllen.
  • Berichtspflicht direkt an den Vorstand oder Aufsichtsrat.
    
• Externe Prüfungsinstanz (z. B. Wirtschaftsprüfer, Aufsichtsbehörden):
  
  • Kontrolliert zusätzlich, ob Gesetze, Normen und externe Vorgaben eingehalten werden.
    
• Vorstand / Geschäftsleitung:
  
  • Trägt die Gesamteverantwortung für das Risikomanagementsystem.
  • Muss sich auf die Ergebnisse aller drei Linien verlassen können.

Vorteil: Dieses Modell schafft Transparenz und Nachvollziehbarkeit, reduziert Verantwortungsdiffusion und erlaubt es der Unternehmensleitung, einen Gesamtüberblick über die Risikolage zu gewinnen.

Risikomanagement ist ein strukturierter, klar definierter Prozess, der nur dann funktioniert, wenn er:

• vom Kontext her richtig verankert wird,
• Risiken umfassend identifiziert (auch jenseits statischer Kataloge),
• realistisch bewertet (inkl. Abhängigkeiten und Korrelationen),
• systematisch gesteuert und
• in eine klare Governance-Struktur eingebettet ist.

Das Modell der Three Lines of Defense sorgt dabei für Verantwortungs- und Kontrollklarheit, sodass Risikomanagement nicht zur Pflichtübung verkommt, sondern zu einem wirksamen Instrument der Unternehmenssicherheit und Resilienz.