Eine praktische Perspektive zur Risikobewältigung in der strategischen Planung unter Verwendung von ISO 31000 als Leitstandard.
Wichtige Trends, die das Risikomanagement im Jahr 2025/2026 prägen
Wir verfolgen aktiv die aufkommenden Trends in der strategischen Planung, insbesondere deren Auswirkungen auf das Risikomanagement.
Hier sind die Veränderungen im Risikomanagement, die wir für 2025/2026 erwarten:
- Mehr Vorschriften beinhalten ausdrücklich Anforderungen an Risikomanagementpraktiken. Das Konzept der Interessensvertreter wird im Risikomanagement immer verbreiteter.
- Der GRC-Trend nimmt zu, mit einer sichtbaren Verschiebung vom Risikobericht zum aktiven Risikomanagement. Zum Beispiel sehen wir, dass traditionelle Risikoregister durch praktischere zielorientierte Risikodokumentationen ergänzt werden.
- KI-Governance wird weithin übernommen, um die mit aufkommender generativer KI verbundenen Risiken zu mindern.
- Bemerkenswerte Datenschutzverletzungen (wie der Ausfall von CrowdStrike) haben das Interesse an der Validierung von Drittanbietern erhöht.
- Die anhaltenden Trends wirtschaftlicher und politischer Instabilität zwingen Organisationen dazu, ihre Risikomodelle zu erweitern, insbesondere im Bereich der Lieferkette.
- Extreme Wetterereignisse haben das Interesse an der Katastrophenwiederherstellung über den IT-Kern hinaus erweitert.
Risiko ist ein aktuelles Thema in der Fachwelt. Wir sehen mehr Risiko- und GRC-Konferenzen in den USA und Europa. Wir werden unsere praktischen Erfahrungen im Risikomanagement durch geplante Konferenzvorträge teilen.
Einführung: Risiko jenseits von Wahrscheinlichkeit und Auswirkung definieren
Der führende Standard im Bereich des Risikomanagements ist ISO 31000. Es ist faszinierend, die Entwicklung der Standarddefinition von Risiko im Laufe der Zeit zu beobachten:
- Die frühere ISO-Definition von Risiko: „Eine Chance oder Wahrscheinlichkeit eines Verlusts.“
- Die Definition gemäß ISO 31000:2018: „Die Auswirkung von Unsicherheit auf Ziele.“
Was hat sich geändert?
- Die alte Definition erwähnte „Verlust“; die neue verwendet den Begriff „Auswirkung.“ Dieser Wechsel impliziert potenziell positive und negative Auswirkungen und hebt die Bedeutung von immateriellen Dingen wie der Kundenwahrnehmung hervor.
- Die alte Definition verwendete „Chance“ und „Wahrscheinlichkeit“, um die Eintrittswahrscheinlichkeit zu beschreiben. In der modernen Definition begegnen wir der „Auswirkung von Unsicherheit“, auch erklärt als die Auswirkung unvollständigen Wissens. Dieser Ansatz erlaubt mehr Flexibilität bei der Definition von Risiken und geht über das „Wahrscheinlichkeit x Auswirkung“-Modell hinaus.
- Die Hinzufügung des Begriffs „Ziel“ zur neuen Definition unterstreicht, dass Risiken in einem spezifischen Kontext definiert sind, um eine potenzielle Fehlanpassung mit der Gesamtstrategie zu verhindern.
Lassen Sie uns die praktische Anwendung des Risikomanagements in der strategischen Planung unter Verwendung der Leitprinzipien des ISO-Standards erkunden.
1. Risikoanalyse: Systematisch und Stakeholder-Bewusst
Kartieren Sie mögliche Risiken durch systematische Analyse der treibenden Kräfte und ihrer Frühindikatoren im Kontext der Strategie der Organisation und der Interessen der Interessensvertreter.
Die allgemeine Richtlinie der ISO-Norm betont, dass die Risikoanalyse systematisch sein und die Ansichten verschiedener Interessensvertreter berücksichtigen sollte.
Was bedeutet das in der Praxis?
Risikoanalyse: Systematisch
Das Konzept der ’systematischen‘ Risikoanalyse variiert je nach Branche. Im Wesentlichen geht es darum, festgelegte Prozesse und Standards zu befolgen, wie zum Beispiel:
- Regelmäßigkeit der Risikoanalyse
- Quantifizierung des Risikos
- Zuweisung verantwortlicher Personen
Im Folgenden erörtern wir, wie dies auf operativer Ebene umgesetzt werden kann.
Risikoanalyse: Sichtweise der Interessensvertreter
Ähnlich wie in anderen Geschäftsbereichen (betrachten Sie zum Beispiel die Richtlinie zur Nachhaltigkeitsberichterstattung), konzentriert sich der ISO-Standard auf die Definition von Interessensvertretern und erfordert, die Ansichten der Interessensvertreter bei der Risikobewältigung zu berücksichtigen.
In der Praxis bedeutet dies, dass Organisationen:
- Eine Interessensvertreter-Analyse durchführen, um die beteiligten Interessensgruppen zu definieren.
- Die Interessen der Interessensvertreter bei der Erstellung eines Risikomodells im Kontext von Zielen berücksichtigen.
Diese Anforderung des Standards stimmt gut mit dem Ansatz überein, den wir durch unser Strategieumsetzungssystem unterstützen.
Benutzer von BSC Designer finden die Vorlage für die Interessensvertreter-Analyse in ihren Konten.
- Die Liste der Interessensvertreter kann über Einstellungen > Organisation > Strategie definiert werden.
- Die Interessensvertreter aus der Liste werden in die ‚Verantwortlicher‚-Liste aufgenommen und können einem Ziel, Risiko oder Risikominderungsplan zugewiesen werden.
Risikoidentifikation im Kontext von Zielen
Der nächste Schritt der Risikobewertung besteht darin, das spezifische Risiko zu benennen. Der neue ISO-Standard erfordert, dass Risiken im Kontext von Zielen definiert werden. Das Ziel des Standards ist es, die Ausrichtung zwischen dem Risiko und dem Geschäftskontext zu verbessern.
Michael Rasmussen, ein renommierter GRC-Analyst, teilte seine Perspektive auf das Risikomanagement für Wertschöpfung im Vergleich zum Risikomanagement für Compliance:
- „[Ein gutes Tool für das Risikomanagement] beginnt mit den Zielen des Unternehmens und kartiert und verwaltet Risiken im Kontext dieser Ziele (echtes ISO 31000).“
In der strategischen Planung, anstatt eine separate Risikokennzahl zu haben, integrieren Sie Risiken in die Strategie-Kennzahlen.
Bei der wertbasierten Strategiezerlegung brechen wir die strategischen Ambitionen der Interessensvertreter in spezifischere Ziele und Unterziele herunter. An diesem Punkt quantifizieren wir Ziele und definieren Risiken, um den Geschäftskontext, mit dem wir es zu tun haben, besser zu verstehen.
Die meisten der Tools, die wir verwenden, um die Geschäftsumgebung zu analysieren (siehe den Strategie-Analyseabschnitt im Diagramm), werden natürlich bei der Identifizierung von Risiken helfen.
Um ein Risiko im BSC Designer zu definieren:
- Wählen Sie ein bestehendes Ziel aus oder erstellen Sie ein neues.
- Wählen Sie Risiko hinzufügen aus dem Menü des Hinzufügen-Buttons.
- Füllen Sie die relevanten Faktoren im Beschreibungsfeld aus und verwenden Sie den Abschnitt Dokumente, um unterstützende Dokumente hochzuladen.
Um die Ergebnisse der Risikoanalyse einzugeben:
- Wählen Sie den Wahrscheinlichkeit-Indikator.
- Geben Sie die anfängliche Risikoeinschätzung in das Inhärent-Feld ein.
- Geben Sie das akzeptable Risiko in das Akzeptabel-Feld ein.
- Geben Sie die aktuelle Risikoeinschätzung in das Restrisiko-Feld ein.
Wiederholen Sie die Schritte für den Wirkung-Indikator.
Definition von Frühindikatoren
Die Grundursache des Risikos wird in der ISO als die Wirkung von „unvollständigem Wissen“ bezeichnet.
Wie können wir unsere Risikomodelle im Kontext der treibenden Kräfte verbessern?
Zusätzlich zu Wahrscheinlichkeitsindikatoren definieren Sie Frühindikatoren. Zum Beispiel könnten dies Frühwarnindikatoren für Wirtschaftskrisen oder sogar Kriege sein. Indem wir allgemeine treibende Kräfte in spezifischere Faktoren übersetzen, erhöhen wir die Chance, einen zuverlässigen Frühwarnindikator zu finden.
In der strategischen Planung unterscheiden wir diese prädiktiven/Frühindikatoren, die mit Erfolgsfaktoren übereinstimmen, von Indikatoren, die Ergebnisse messen (Spätindikatoren).
Um einen prädiktiven Frühindikator im BSC Designer zu erstellen:
- Erstellen Sie einen neuen Indikator.
- Wechseln Sie zum Kontext-Tab.
- Ändern Sie den Typ des Indikators zu „Frühindikator“.
Risk Management Example. Dieser Indikator wird bei der Berechnung der Leistung seines übergeordneten Ziels nicht berücksichtigt, aber wir können ihn verfolgen und verwenden, um Risikofindung oder Risikominderungsinitiativen zu quantifizieren.
2. Risikoanalyse: Wahrscheinlichkeit, Wirkung, Anfälligkeit
Machen Sie Risiken spezifischer, indem Sie Attribute wie Wahrscheinlichkeit, Wirkung und Anfälligkeit quantifizieren.
Die Risikoanalyse ist eine umfassende Praxis, die sich auf das Verständnis von Risiken und deren potenziellen Auswirkungen auf die Organisation konzentriert. Unten bieten wir Vorschläge zur Risikoanalyse im Kontext der strategischen Planung an.
Wahrscheinlichkeits-/Wahrscheinlichkeitsindikator Definieren
Der Wahrscheinlichkeitsindikator kann definiert werden:
- Qualitativ, zum Beispiel auf der Skala [Niedrig, Mittel, Hoch] oder
- Quantitativ, zum Beispiel auf der Skala [0 bis 100%].
Die quantitative Skala eignet sich für Fälle, in denen das Risikereignis genügend empirische Daten besitzt, um seine Wahrscheinlichkeit über einen bestimmten Zeitraum abzuschätzen.
Risk Management Example. 
Benutzer von BSC Designer können qualitative Messeinheiten (eine benutzerdefinierte Skala [„Selten, Unwahrscheinlich, Möglich, Wahrscheinlich, Gewiss“]) definieren, die die Software in spezifische Werte umwandeln kann.
Risk Management Example. Risikoauswirkungs-Indikator
Ähnlich wie der Eintrittswahrscheinlichkeits-Indikator können wir den Risiko-Indikator quantitativ auf einer Skala von 0 bis 100% definieren.
Eine alternative Option wäre es, eine Dollar-Skala für den Risikoauswirkungs-Indikator zu verwenden.
Risk Management Example. Ähnlich wie der Eintrittswahrscheinlichkeits-Indikator können wir eine benutzerdefinierte quantitative Skala für die Auswirkung definieren:
Risk Management Example. Verwundbarkeitsindikator
Die Einschätzung der Wahrscheinlichkeit des Risikos und seiner möglichen Auswirkungen berücksichtigt nicht die Empfindlichkeit der Organisation gegenüber dieser Art von Risiko.
Bei der Diskussion über Frühindikatoren haben wir Aspekte des Geschäftsumfelds quantifiziert, die die Entwicklung bestimmter treibender Kräfte vorhersagen könnten. Im Fall von Verwundbarkeiten führen wir eine ähnliche Analyse durch, konzentrieren uns jedoch auf die Organisation und ihre Infrastruktur.
Zum Beispiel könnten wir bestehende Schwachstellen in der Cybersicherheit durch Kriegsspiele oder Angriffssimulationen bewerten. Weitere spezifische Beispiele finden Sie im Cybersicherheitsartikel.
„Verwundbarkeit“ kann gemäß dem CVSS auf der Skala von 0 bis 10 mit der Optimierungsfunktion „Minimierung“ quantifiziert werden.
Risiko Mit Der Effektivität Der Internen Kontrollen Abstimmen
Eine Möglichkeit, die Wahrscheinlichkeit oder Auswirkung eines Risikos einzuschätzen, besteht darin, die Effektivität der internen Kontrollen zu bewerten.
Die Effektivität der Kontrollen wird durch Spätindikatoren validiert. Wenn diese im grünen Bereich sind, können wir eine niedrigere Risikoeinschätzung erwarten.
Zeitfaktoren Verfolgen
Die ständige Änderung der treibenden Kräfte sowie die Initiativen zur Risikoprävention führen zu Änderungen in der Risikobewertung.
Verfolgen Sie die Entwicklung des Risikos im Laufe der Zeit und notieren Sie relevante Ideen für den Lern- und Verbesserungszyklus.
Um dies in BSC Designer zu automatisieren:
- Legen Sie ein Aktualisierungsintervall für Risikoindikatoren fest.
- Verwenden Sie den internen Kalender und das Wert-Feld, um den Indikator mit aktuellen Daten zu aktualisieren.
- Verwenden Sie die Kommentarfunktion, um relevante Notizen zum Update hinzuzufügen.
3. Risikobehandlung: Entscheidung, Wie Auf Das Risiko Reagiert Werden Soll
Implementieren Sie Minderungspläne für die Risiken und verfolgen Sie den Erfolg der Implementierung mit den Status der Initiativen und Risikominderungsindikatoren.
Entsprechend den festgelegten Schwellenwerten akzeptabler Risiken und basierend auf den Ergebnissen der Risikoanalyse formulieren die Entscheidungsträger eine Reaktionsstrategie für das Risiko mit möglichen Optionen wie:
- Risiken als nicht relevant entfernen
- Überwachung innerhalb des bestehenden Risikomodells
- Einführung eines Risikobehandlungsplans
- Infragestellung der Risikoanalyse
- Infragestellung des Kontexts (Ziel oder Ambition der Interessensvertreter)
In BSC Designer:
- Nutzen Sie Risikominderungsinitiativen, um Risikobehandlungspläne zu notieren.
- Richten Sie den Fortschrittsindikator an der Risikominderungsinitiative aus.
- Verwenden Sie das Statusfeld des Risikos, um dessen aktuellen Status gemäß dem akzeptierten Risikomanagement-Workflow anzuzeigen.
Risk Management Example. - Fügen Sie zusätzliche Elemente über den Initiativen-Dialog hinzu (neue Risiken, Initiativen, Begründungen, Hypothesen, erwartete Ergebnisse)
- Fügen Sie relevante Daten für die Risikobehandlung hinzu, wie Budget, Zeitplan, Fortschrittsindikator, Verantwortliche Personen
- Laden Sie relevante unterstützende Dokumente hoch
4. Risikoüberwachung: Ein Neuer Blick auf das Risikopotenzial
Verfolgen Sie die Entwicklung des Risikopotenzials im Laufe der Zeit mit Schlüsselrisikoindikatoren und Dashboards.
Die Indikatoren, die wir zur Definition der Risiken verwendet haben, sind für ein bestimmtes Aktualisierungsintervall konfiguriert. Verantwortliche, die den Risikoindikatoren zugewiesen sind, erhalten Benachrichtigungen über bevorstehende Aktualisierungsintervalle und verpasste Aktualisierungen.
Es ist auch möglich, im Dashboard die Indikatoren zu visualisieren, die nicht rechtzeitig aktualisiert wurden.
Die Details aller Updates (Person, die aktualisiert hat, wann das Update gemacht wurde, ob der vorherige Wert geändert wurde) können über das Audit-Protokoll für die Indikatoren visualisiert werden.
Auf der Ebene des Governance-Scorecards kann die regelmäßige Risikoanalyse durch einen speziellen Indikator quantifiziert werden:
- Fügen Sie die „Systematische Risikoanalyse durchführen“ zum Governance-Scorecard hinzu.
- Konfigurieren Sie den Indikator so, dass er vierteljährlich oder jährlich aktualisiert wird.
- Weisen Sie die Person/das Team, das für die regelmäßige Risikoanalyse verantwortlich ist, als Eigentümer dieses Indikators zu, um E-Mail-Erinnerungen über bevorstehende Updates zu erhalten.
- Richten Sie diesen Indikator an entsprechenden Indikatoren aus niedrigeren Ebenen aus, die Risikoanalysen in bestimmten Bereichen quantifizieren.
Dashboards
Zusätzlich zur Überwachung mit regelmäßig aktualisierten Indikatoren sollten Sie in Betracht ziehen, ein Dashboard mit relevanten Diagrammen hinzuzufügen:
- Ein Diagramm mit einer Liste der Risiken, deren Status, Fortschritt der Behandlung, Verantwortliche
- Eigene Diagramme für die kritischsten Risiken
- Diagramme für den Risiko-Index und seine Änderung im Laufe der Zeit.
Risk Management Example. 
Gewichteter Risiko-Index
Eines der beliebten Mittel zur Meldung von Risikoereignissen ist die Verwendung eines gewichteten Risiko-Indexes. Ein einfacher Index könnte so aussehen:
- Ereignisse mit geringer Wirkung (Gewichtung = 5%)
- Ereignisse mit mittlerer Wirkung (Gewichtung = 15%)
- Ereignisse mit hoher Wirkung (Gewichtung = 30%)
- Kritische Ereignisse (Gewichtung = 50%)
Die Verwendung des Indexes hilft, eine Manipulation des Indikators zu verhindern, indem hoch bewertete Ereignisse nicht durch geringwertige Lösungen maskiert werden.
Risk Management Example. In BSC Designer:
- Verwenden Sie die Hinzufügen-Schaltfläche, um eine hierarchische Struktur von Indikatoren zu erstellen.
- Verwenden Sie die Gewichtungseigenschaft auf der Leistung-Registerkarte, um den Indikatoren eine relevante Gewichtung zuzuweisen.
Risikomanagement im großen Maßstab: Risikoregister vs. zielzentrierte Risikodefinitionen
Beim Skalieren risikobezogener Praktiken kombinieren Organisationen typischerweise diese zwei Methoden des Risikomanagements, um Risikosichtbarkeit und Ausrichtung auszugleichen:
- Verwendung eines Risikoregisters Scorecards für allgemeine Risiken und
- Fokus auf zielzentrierte Risikodefinitionen für spezifischere Risiken.
Risk Register. Umfassende Risikoanalyse – Bowtie-Methode
Oben haben wir uns auf die quantitative Analyse spezifischer Risiken konzentriert. Aber was ist, wenn wir ein detaillierteres Verständnis der Unsicherheiten im Zusammenhang mit einem bestimmten Risikoevent benötigen—eines, das mehrere Bedrohungen und Konsequenzen über verschiedene Dimensionen hinweg beinhaltet?
In solchen Fällen bietet die Bowtie-Risikoanalysemethode eine klare und strukturierte Sicht auf dieses spezifische Risikoevent, indem sie nicht nur das Ereignis selbst, sondern auch dessen Präventions- und Minderungsmaßnahmen darstellt.
Folien
Sitzung: 'Risikomanagement mit BSC Designer' ist Teil des laufenden Lernprogramms von BSC Designer, das sowohl als Online- als auch als Vor-Ort-Workshop angeboten wird. Erfahren Sie mehr....
Fazit: Integration von Risiko in die strategische Planung
Wir sprechen nicht mehr von separaten Disziplinen des Risikomanagements, Compliance und Governance. Das sich schnell verändernde Geschäftsumfeld zwingt Organisationen dazu, nach einem integrierten GRC-Framework zu suchen.
Wie in unserem Strategie-Implementierungssystem dargelegt, umfasst die praktische Umsetzung:
- Aufteilung komplexer Probleme in spezifische Bereiche, die durch dedizierte Strategie- und Funktions-Scorecards verwaltet werden.
- Formulierung von Zielen mit entsprechenden Risiko-Definitionen, Indikatoren und Initiativen.
- Fokussierung der Scorecards auf Interessensgebiete wie Compliance, Cybersicherheit oder die Lieferkette.
Nutzen Sie Risk Management Example Vorlage
BSC Designer hilft Organisationen bei der Implementierung ihrer komplexen Strategien:
- Melden Sie sich für einen kostenlosen Plan auf der Plattform an.
- Verwenden Sie die
Risk Management Example Vorlage als Ausgangspunkt. Sie finden sie unter Neu > Neue Scorecard > Weitere Vorlagen. - Folgen Sie unserem Strategie-Implementierungssystem, um Stakeholder und strategische Ambitionen in eine umfassende Strategie zu integrieren.
Fangen Sie noch heute an und sehen Sie, wie BSC Designer Ihre Strategieimplementierung vereinfachen kann!
Alexis Savkin ist Senior Strategy Consultant und CEO von BSC Designer, einer Plattform für Strategiearchitektur und -umsetzung. Er verfügt über mehr als 20 Jahre Erfahrung in diesem Bereich und hat einen Hintergrund in angewandter Mathematik und Informationstechnologie. Alexis ist Autor des „Strategy Implementation System“. Er hat über 100 Artikel zu Strategie und Leistungsmessung veröffentlicht, spricht regelmäßig auf Branchenveranstaltungen und seine Arbeiten werden häufig in der akademischen Forschung zitiert.