So Verfolgen Sie Risiken im Jahr 2026: Ein Leitfaden mit Beispielen und Best Practices

Eine praktische Perspektive zur Risikobewältigung in der strategischen Planung unter Verwendung von ISO 31000 als Leitstandard.

Wichtige Trends, Die Das Risikomanagement Im Jahr 2026 Prägen

Wir verfolgen aktiv die aufkommenden Trends in der strategischen Planung, insbesondere deren Auswirkungen auf das Risikomanagement.

Risikobezogene Anwendungsfälle, die 2025 beobachtet wurden:

• Integration des Risikomanagements in die Strategie durch Kaskadierung von Unternehmensrisiken in abgestimmte strategische und funktionale Scorecards, Verknüpfung von Risiken, Szenarien und KPIs über verschiedene Funktionen hinweg.
• Integration des Risikomanagements in die Strategieumsetzung durch kontinuierliche Überwachung präventiver und mitigierender Kontrollen mittels Bowtie-Analyse innerhalb eines einheitlichen Leistungsrahmens.

Hier sind die Veränderungen im Risikomanagement, die wir für 2026 erwarten:

• Immer mehr Vorschriften enthalten explizit Anforderungen an Risikomanagementpraktiken. Das Konzept der Interessensvertreter wird im Risikomanagement immer präsenter.
• KI-Governance wird breit eingeführt, um die mit aufkommender generativer KI verbundenen Risiken zu mindern.
• Bemerkenswerte Datenschutzverletzungen (wie bei Coupang, Aflac und der University of Phoenix) haben das Interesse an der Validierung von Drittanbietern verstärkt.
• Andauernde geopolitische Fragmentierung, Handelsbeschränkungen und makroökonomische Volatilität veranlassen Organisationen im Jahr 2026, ihre Risikomodelle insbesondere entlang der Lieferkette zu erweitern und zu Stresstests zu unterziehen.
• Extreme Wetterereignisse haben das Interesse an der Katastrophenwiederherstellung über den IT-Bereich hinaus erweitert.

Risiko ist ein aktuelles Thema in der Fachwelt. Wir beobachten mehr Risiko- und GRC-Konferenzen in den USA und Europa. Wir werden unsere praktischen Erfahrungen im Risikomanagement durch geplante Konferenzbeiträge teilen.

Einführung: Risiko jenseits von Wahrscheinlichkeit und Auswirkung definieren

Der führende Standard im Bereich des Risikomanagements ist ISO 31000. Es ist faszinierend, die Entwicklung der Standarddefinition von Risiko im Laufe der Zeit zu beobachten:

• Die frühere ISO-Definition von Risiko: „Eine Chance oder Wahrscheinlichkeit eines Verlusts.“
• Die Definition gemäß ISO 31000:2018: „Die Auswirkung von Unsicherheit auf Ziele.“

Was hat sich geändert?

• Die alte Definition erwähnte „Verlust“; die neue verwendet den Begriff „Auswirkung.“ Dieser Wechsel impliziert potenziell positive und negative Auswirkungen und hebt die Bedeutung von immateriellen Dingen wie der Kundenwahrnehmung hervor.
• Die alte Definition verwendete „Chance“ und „Wahrscheinlichkeit“, um die Eintrittswahrscheinlichkeit zu beschreiben. In der modernen Definition begegnen wir der „Auswirkung von Unsicherheit“, auch erklärt als die Auswirkung unvollständigen Wissens. Dieser Ansatz erlaubt mehr Flexibilität bei der Definition von Risiken und geht über das „Wahrscheinlichkeit x Auswirkung“-Modell hinaus.
• Die Hinzufügung des Begriffs „Ziel“ zur neuen Definition unterstreicht, dass Risiken in einem spezifischen Kontext definiert sind, um eine potenzielle Fehlanpassung mit der Gesamtstrategie zu verhindern.

Lassen Sie uns die praktische Anwendung des Risikomanagements in der strategischen Planung unter Verwendung der Leitprinzipien des ISO-Standards erkunden.

1. Risikoanalyse: Systematisch und Stakeholder-Bewusst

Kartieren Sie mögliche Risiken durch systematische Analyse der treibenden Kräfte und ihrer Frühindikatoren im Kontext der Strategie der Organisation und der Interessen der Interessensvertreter.

Die allgemeine Richtlinie der ISO-Norm betont, dass die Risikoanalyse systematisch sein und die Ansichten verschiedener Interessensvertreter berücksichtigen sollte.

Was bedeutet das in der Praxis?

Risikoanalyse: Systematisch

Das Konzept der ’systematischen‘ Risikoanalyse variiert je nach Branche. Im Wesentlichen geht es darum, festgelegte Prozesse und Standards zu befolgen, wie zum Beispiel:

• Regelmäßigkeit der Risikoanalyse
• Quantifizierung des Risikos
• Zuweisung verantwortlicher Personen

Im Folgenden erörtern wir, wie dies auf operativer Ebene umgesetzt werden kann.

Risikoanalyse: Sichtweise der Interessensvertreter

Ähnlich wie in anderen Geschäftsbereichen (betrachten Sie zum Beispiel die Richtlinie zur Nachhaltigkeitsberichterstattung), konzentriert sich der ISO-Standard auf die Definition von Interessensvertretern und erfordert, die Ansichten der Interessensvertreter bei der Risikobewältigung zu berücksichtigen.

In der Praxis bedeutet dies, dass Organisationen:

• Eine Interessensvertreter-Analyse durchführen, um die beteiligten Interessensgruppen zu definieren.
• Die Interessen der Interessensvertreter bei der Erstellung eines Risikomodells im Kontext von Zielen berücksichtigen.

Diese Anforderung des Standards stimmt gut mit dem Ansatz überein, den wir durch unser Strategieumsetzungssystem unterstützen.

Benutzer von BSC Designer finden die Vorlage für die Interessensvertreter-Analyse in ihren Konten.

• Die Liste der Interessensvertreter kann über Einstellungen > Organisation > Strategie definiert werden.
• Die Interessensvertreter aus der Liste werden in die ‚Verantwortlicher‚-Liste aufgenommen und können einem Ziel, Risiko oder Risikominderungsplan zugewiesen werden.

Risikoidentifikation im Kontext von Zielen

Der nächste Schritt der Risikobewertung besteht darin, das spezifische Risiko zu benennen. Der neue ISO-Standard erfordert, dass Risiken im Kontext von Zielen definiert werden. Das Ziel des Standards ist es, die Ausrichtung zwischen dem Risiko und dem Geschäftskontext zu verbessern.

Michael Rasmussen, ein renommierter GRC-Analyst, teilte seine Perspektive auf das Risikomanagement für Wertschöpfung im Vergleich zum Risikomanagement für Compliance:

• „[Ein gutes Tool für das Risikomanagement] beginnt mit den Zielen des Unternehmens und kartiert und verwaltet Risiken im Kontext dieser Ziele (echtes ISO 31000).“

In der strategischen Planung, anstatt eine separate Risikokennzahl zu haben, integrieren Sie Risiken in die Strategie-Kennzahlen.

Bei der wertbasierten Strategiezerlegung brechen wir die strategischen Ambitionen der Interessensvertreter in spezifischere Ziele und Unterziele herunter. An diesem Punkt quantifizieren wir Ziele und definieren Risiken, um den Geschäftskontext, mit dem wir es zu tun haben, besser zu verstehen.

Die meisten der Tools, die wir verwenden, um die Geschäftsumgebung zu analysieren (siehe den Strategie-Analyseabschnitt im Diagramm), werden natürlich bei der Identifizierung von Risiken helfen.

Um ein Risiko im BSC Designer zu definieren:

• Wählen Sie ein bestehendes Ziel aus oder erstellen Sie ein neues.
• Wählen Sie Risiko hinzufügen aus dem Menü des Hinzufügen-Buttons.
• Füllen Sie die relevanten Faktoren im Beschreibungsfeld aus und verwenden Sie den Abschnitt Dokumente, um unterstützende Dokumente hochzuladen.

Um die Ergebnisse der Risikoanalyse einzugeben:

1. Wählen Sie den Wahrscheinlichkeit-Indikator.
2. Geben Sie die anfängliche Risikoeinschätzung in das Inhärent-Feld ein.
3. Geben Sie das akzeptable Risiko in das Akzeptabel-Feld ein.
4. Geben Sie die aktuelle Risikoeinschätzung in das Restrisiko-Feld ein.

Wiederholen Sie die Schritte für den Wirkung-Indikator.

Definition von Frühindikatoren

Die Grundursache des Risikos wird in der ISO als die Wirkung von „unvollständigem Wissen“ bezeichnet.

Wie können wir unsere Risikomodelle im Kontext der treibenden Kräfte verbessern?

Zusätzlich zu Wahrscheinlichkeitsindikatoren definieren Sie Frühindikatoren. Zum Beispiel könnten dies Frühwarnindikatoren für Wirtschaftskrisen oder sogar Kriege sein. Indem wir allgemeine treibende Kräfte in spezifischere Faktoren übersetzen, erhöhen wir die Chance, einen zuverlässigen Frühwarnindikator zu finden.

In der strategischen Planung unterscheiden wir diese prädiktiven/Frühindikatoren, die mit Erfolgsfaktoren übereinstimmen, von Indikatoren, die Ergebnisse messen (Spätindikatoren).

Um einen prädiktiven Frühindikator im BSC Designer zu erstellen:

• Erstellen Sie einen neuen Indikator.
• Wechseln Sie zum Kontext-Tab.
• Ändern Sie den Typ des Indikators zu „Frühindikator“.

Ändern des Indikator-Typs zu Frühindikator. Quelle: Risk Management Example.

Dieser Indikator wird bei der Berechnung der Leistung seines übergeordneten Ziels nicht berücksichtigt, aber wir können ihn verfolgen und verwenden, um Risikofindung oder Risikominderungsinitiativen zu quantifizieren.

2. Risikoanalyse: Wahrscheinlichkeit, Wirkung, Anfälligkeit

Machen Sie Risiken spezifischer, indem Sie Attribute wie Wahrscheinlichkeit, Wirkung und Anfälligkeit quantifizieren.

Die Risikoanalyse ist eine umfassende Praxis, die sich auf das Verständnis von Risiken und deren potenziellen Auswirkungen auf die Organisation konzentriert. Unten bieten wir Vorschläge zur Risikoanalyse im Kontext der strategischen Planung an.

Definieren Sie den Indikator für Wahrscheinlichkeit/Eintrittswahrscheinlichkeit

Der Indikator für Eintrittswahrscheinlichkeit kann definiert werden:

• Qualitativ, zum Beispiel auf der Skala [Niedrig, Mittel, Hoch] oder
• Quantitativ, zum Beispiel auf der Skala [0 bis 100%].

Die quantitative Skala eignet sich für Fälle, in denen das Risikoevent genügend empirische Daten hat, um seine Eintrittswahrscheinlichkeit über einen bestimmten Zeitraum abzuschätzen.

Eine quantitative Skala zur Messung der Eintrittswahrscheinlichkeit von Risiken. Quelle: Risk Management Example.

Benutzer von BSC Designer können qualitative Messeinheiten definieren (eine benutzerdefinierte Skala [„Selten, Unwahrscheinlich, Möglich, Wahrscheinlich, Gewiss“]), die die Software in spezifische Werte umwandeln kann.

Eine qualitative Skala zur Bewertung der Eintrittswahrscheinlichkeit von Risiken. Quelle: Risk Management Example.

Risikoauswirkungsindikator

Ähnlich wie beim Wahrscheinlichkeitsindikator können wir den Risikoindikator quantitativ auf einer Skala von 0 bis 100% definieren.

Eine alternative Option wäre, eine Dollar-Skala für den Risikoauswirkungsindikator zu verwenden.

Auswirkungsindikator auf einer Dollar-Skala gemessen. Quelle: Risk Management Example.

Ähnlich wie beim Wahrscheinlichkeitsindikator können wir eine benutzerdefinierte quantitative Skala für die Auswirkung definieren:

Qualitative Skala für den Risikoauswirkungsindikator. Quelle: Risk Management Example.

Verwundbarkeitsindikator

Die Einschätzung der Wahrscheinlichkeit des Risikos und seiner möglichen Auswirkungen berücksichtigt nicht die Empfindlichkeit der Organisation gegenüber dieser Art von Risiko.

Bei der Diskussion über Frühindikatoren haben wir Aspekte des Geschäftsumfelds quantifiziert, die die Entwicklung bestimmter treibender Kräfte vorhersagen könnten. Im Fall der Verwundbarkeit führen wir eine ähnliche Analyse durch, konzentrieren uns jedoch auf die Organisation und ihre Infrastruktur.

Zum Beispiel könnten wir bestehende Cybersecurity-Schwachstellen durch Wargaming oder Angriffssimulation bewerten. Weitere spezifische Beispiele finden Sie im Cybersecurity-Artikel.

„Verwundbarkeit“ kann gemäß dem CVSS auf der Skala von 0 bis 10 mit der Optimierungsfunktion „Minimierung“ quantifiziert werden.

Risiko Mit Der Effektivität Der Internen Kontrollen Abstimmen

Eine Möglichkeit, die Wahrscheinlichkeit oder Auswirkung eines Risikos einzuschätzen, besteht darin, die Effektivität der internen Kontrollen zu bewerten.

Die Effektivität der Kontrollen wird durch Spätindikatoren validiert. Wenn diese im grünen Bereich sind, können wir eine niedrigere Risikoeinschätzung erwarten.

Zeitfaktoren Verfolgen

Die ständige Änderung der treibenden Kräfte sowie die Initiativen zur Risikoprävention führen zu Änderungen in der Risikobewertung.

Verfolgen Sie die Entwicklung des Risikos im Laufe der Zeit und notieren Sie relevante Ideen für den Lern- und Verbesserungszyklus.

Um dies in BSC Designer zu automatisieren:

• Legen Sie ein Aktualisierungsintervall für Risikoindikatoren fest.

• Verwenden Sie den internen Kalender und das Wert-Feld, um den Indikator mit aktuellen Daten zu aktualisieren.
• Verwenden Sie die Kommentarfunktion, um relevante Notizen zum Update hinzuzufügen.

3. Risiko­behandlung: Entscheidung, Wie Auf Das Risiko Reagiert Werden Soll

Implementieren Sie Minderungspläne für die Risiken und verfolgen Sie den Erfolg der Implementierung mit den Status der Initiativen und Risikominderungsindikatoren.

Entsprechend den festgelegten Schwellenwerten akzeptabler Risiken und basierend auf den Ergebnissen der Risikoanalyse formulieren die Entscheidungsträger eine Reaktionsstrategie für das Risiko mit möglichen Optionen wie:

• Risiken als nicht relevant entfernen
• Überwachung innerhalb des bestehenden Risikomodells
• Einführung eines Risikobehandlungsplans
• Infragestellung der Risikoanalyse
• Infragestellung des Kontexts (Ziel oder Ambition der Interessensvertreter)

In BSC Designer:

• Nutzen Sie Risikominderungs­initiativen, um Risikobehandlungspläne zu notieren.
• Richten Sie den Fortschrittsindikator an der Risikominderungs­initiative aus.
• Verwenden Sie das Statusfeld des Risikos, um dessen aktuellen Status gemäß dem akzeptierten Risikomanagement-Workflow anzuzeigen.

Track status of risk mitigation initiative. Quelle: Risk Management Example.

• Fügen Sie zusätzliche Elemente über den Initiativen-Dialog hinzu (neue Risiken, Initiativen, Begründungen, Hypothesen, erwartete Ergebnisse)
• Fügen Sie relevante Daten für die Risikobehandlung hinzu, wie Budget, Zeitplan, Fortschrittsindikator, Verantwortliche Personen
• Laden Sie relevante unterstützende Dokumente hoch

4. Risikoüberwachung: Ein Neuer Blick auf das Risikopotenzial

Verfolgen Sie die Entwicklung des Risikopotenzials im Laufe der Zeit mit Schlüsselrisikoindikatoren und Dashboards.

Die Indikatoren, die wir zur Definition der Risiken verwendet haben, sind für ein bestimmtes Aktualisierungsintervall konfiguriert. Verantwortliche, die den Risikoindikatoren zugewiesen sind, erhalten Benachrichtigungen über bevorstehende Aktualisierungsintervalle und verpasste Aktualisierungen.

Es ist auch möglich, im Dashboard die Indikatoren zu visualisieren, die nicht rechtzeitig aktualisiert wurden.

Die Details aller Updates (Person, die aktualisiert hat, wann das Update gemacht wurde, ob der vorherige Wert geändert wurde) können über das Audit-Protokoll für die Indikatoren visualisiert werden.

Auf der Ebene des Governance-Scorecards kann die regelmäßige Risikoanalyse durch einen speziellen Indikator quantifiziert werden:

• Fügen Sie die „Systematische Risikoanalyse durchführen“ zum Governance-Scorecard hinzu.
• Konfigurieren Sie den Indikator so, dass er vierteljährlich oder jährlich aktualisiert wird.
• Weisen Sie die Person/das Team, das für die regelmäßige Risikoanalyse verantwortlich ist, als Eigentümer dieses Indikators zu, um E-Mail-Erinnerungen über bevorstehende Updates zu erhalten.
• Richten Sie diesen Indikator an entsprechenden Indikatoren aus niedrigeren Ebenen aus, die Risikoanalysen in bestimmten Bereichen quantifizieren.

Dashboards

Zusätzlich zur Überwachung mit regelmäßig aktualisierten Indikatoren sollten Sie in Betracht ziehen, ein Dashboard mit relevanten Diagrammen hinzuzufügen:

• Ein Diagramm mit einer Liste der Risiken, deren Status, Fortschritt der Behandlung, Verantwortliche
• Eigene Diagramme für die kritischsten Risiken
• Diagramme für den Risiko-Index und seine Änderung im Laufe der Zeit.

Ein Dashboard mit Risiko-Diagrammen. Quelle: Risk Management Example.

Gewichteter Risiko-Index

Eine der beliebten Methoden zur Meldung von Risikoereignissen ist die Verwendung eines gewichteten Risiko-Indexes. Ein einfacher Index könnte so aussehen:

• Ereignisse mit geringer Wirkung (Gewichtung = 5%)
• Ereignisse mit mittlerer Wirkung (Gewichtung = 15%)
• Ereignisse mit hoher Wirkung (Gewichtung = 30%)
• Kritische Ereignisse (Gewichtung = 50%)

Die Verwendung des Index hilft, eine Manipulation des Indikators zu verhindern, indem hoch bewertete Ereignisse nicht durch minderwertige Lösungen maskiert werden.

Ein Beispiel für einen gewichteten Risiko-Index. Quelle: Risk Management Example.

In BSC Designer:

• Verwenden Sie die Hinzufügen-Schaltfläche, um eine hierarchische Struktur von Indikatoren zu erstellen.
• Verwenden Sie die Gewichtungseigenschaft auf der Leistungsregisterkarte, um den Indikatoren eine entsprechende Gewichtung zuzuweisen.

Risikomanagement im großen Maßstab: Risikoregister vs. Zielzentrierte Risikodefinitionen

Beim Skalieren von risikobezogenen Praktiken kombinieren Organisationen typischerweise diese zwei Methoden des Risikomanagements, um die Risikosichtbarkeit und Ausrichtung auszugleichen:

• Verwendung eines Risikoregisters Scorecards für allgemeine Risiken und
• Fokussierung auf zielzentrierte Risikodefinitionen für spezifischere Risiken.

Ein Beispiel für ein Risikoregister in einer funktionalen Scorecard, automatisiert durch BSC Designer. Quelle: Risk Register.

Umfassende Risikoanalyse – Bowtie-Methode

Oben haben wir uns auf die quantitative Analyse spezifischer Risiken konzentriert. Aber was ist, wenn wir ein detaillierteres Verständnis von Unsicherheiten im Zusammenhang mit einem bestimmten Risikoereignis benötigen – einem, das mehrere Bedrohungen und Folgen über verschiedene Dimensionen hinweg umfasst?

In solchen Fällen bietet die Bowtie-Risikoanalysemethode eine klare und strukturierte Sicht auf dieses spezifische Risikoereignis, indem nicht nur das Ereignis selbst, sondern auch dessen Präventions- und Minderungsmaßnahmen abgebildet werden.

Folien

Fazit: Integration von Risiko in die strategische Planung

Wir sprechen nicht mehr über separate Disziplinen des Risikomanagements, der Compliance und der Governance. Das sich schnell ändernde Geschäftsumfeld zwingt Organisationen dazu, nach einem integrierten GRC-Rahmenwerk zu suchen.

Wie in unserem Strategie-Implementierungssystem beschrieben, umfasst die praktische Umsetzung:

• Komplexe Probleme in spezifische Bereiche zu unterteilen, die durch dedizierte Strategie- und Funktions-Scorecards verwaltet werden.
• Ziele mit geeigneten Risikodefinitionen, Indikatoren und Initiativen zu formulieren.
• Scorecards auf Interessensbereiche wie Compliance, Cybersicherheit oder die Lieferkette zu fokussieren.

Nutzen Sie Risk Management Example Vorlage

BSC Designer hilft Organisationen bei der Implementierung ihrer komplexen Strategien:

1. Melden Sie sich für einen kostenlosen Plan auf der Plattform an.
2. Verwenden Sie die Risk Management Example Vorlage als Ausgangspunkt. Sie finden sie unter Neu > Neue Scorecard > Weitere Vorlagen.
3. Folgen Sie unserem Strategie-Implementierungssystem, um Stakeholder und strategische Ambitionen in eine umfassende Strategie zu integrieren.

Fangen Sie noch heute an und sehen Sie, wie BSC Designer Ihre Strategieimplementierung vereinfachen kann!