Datenschutz-Akademie » Datenschutz-Wiki » Risikomanagement im Unternehmen
Risikomanagement im Unternehmen
In der heutigen dynamischen und unsicheren Geschäftswelt ist ein effektives Risikomanagement von entscheidender Bedeutung, um Unternehmen vor möglichen Schäden zu schützen und gleichzeitig Chancen zur Maximierung des Erfolgs zu nutzen. Risikomanagement im Unternehmen ist ein strategischer Prozess, dabei hilft, potenzielle Bedrohungen frühzeitig zu erkennen, zu bewerten und entsprechende Maßnahmen zu ergreifen.
Wichtigste Informationen zum Risikomanagement
- Risikomanagements als Prozess zur systematischen Identifizierung, Bewertung, Steuerung und Überwachung von Risiken, die das Erreichen der Unternehmensziele gefährden könnten.
- Das Risikomanagement in Deutschland ist nicht nur eine empfohlene bewährte Praxis, sondern in vielen Fällen auch eine rechtliche Verpflichtung.
- Um Risiken zu managen, gibt es zahlreiche Instrumente und Methoden. Der Einsatz ist abhängig von der Branche und der Unternehmensgröße, gegebenenfalls ist ein Mix aus mehreren sinnvoll.
- Risikomanagement-Software unterstützt Unternehmen und Organisationen dabei, das Risikomanagements effizient und digital durchzuführen.
Inhalt zum Thema Risikomanagement im Unternehmen:
Was ist Risikomanagement?
Die Risikomanagement Definition beinhaltet alle organisatorischen Maßnahmen und Prozesse, mit dem Ziel der Identifikation, Analyse, Bewertung, Steuerung und Überwachung von zukünftigen, unsicheren Ereignissen. Ein Bestandteil ist die Planung und Umsetzung von Maßnahmen, welche die Eintrittswahrscheinlichkeit und Auswirkungen von Risiken vermindern und potenzielle Chancen steigern soll. Risikomanagement zielt darauf ab, ein Risikobewusstsein zu schaffen und Risiken zu vermindern. Das aktiv betriebene Risikomanagement ist eine wichtige Voraussetzung für die Zukunftsfähigkeit von Organisationen.
Grundlagen und Ziele des Risikomanagements im Unternehmen
Ziele des Risikomanagements
Das Risikomanagement zielt darauf ab negative Ereignisse, sowie deren Eintrittswahrscheinlichkeit und Auswirkungen sichtbar zu machen bzw. zu minimieren. Dadurch werden die Stabilität und das Wachstum eines Unternehmens gesteigert und finanziellen Schäden, wie Umsatzverluste oder hohe Kosten, minimiert.
- Risikominderung: Durch ein effektives Risikomanagement sollen potenzielle Gefahren minimiert und Verluste reduziert werden.
- Chancennutzung: Ziel ist es, positive Chancen zu identifizieren und zu nutzen, um das Unternehmen voranzubringen.
Vorteile des Risikomanagements
Ein aktiv betriebenes Risikomanagement hat viele Vorteile für Unternehmen, dazu zählen die Einhaltung gesetzlicher Verpflichtung, eine strategische Kostensenkung oder auch Wettbewerbsvorteile.
Früherkennung von Risiken
Durch eine systematische Analyse können mögliche Risiken rechtzeitig erkannt und proaktiv behandelt werden, bevor sie sich zu größeren Problemen entwickeln.
Verbesserte Entscheidungsfindung
Risikomanagement liefert wichtige Informationen, die es Unternehmen ermöglichen, fundierte Entscheidungen zu treffen und so strategischere Wege einzuschlagen.
Minderung der Haftungsproblematik
Bei Verstößen gegen die unternehmerische Sorgfaltspflicht sind Geschäftsführer schadensersatzpflichtig, haften also für entstandene Schäden. Ein ordnungsgemäß etabliertes Risikomanagement dient der Überwachung potenzieller Risiken und gleichzeitig als Nachweis darüber, dass der Sorgfaltspflicht nachgekommen wurde.
Umsetzung rechtlicher Verpflichtungen
Eine Vielzahl an unternehmerischen Rechtsformen sind in Deutschland dazu verpflichtet, Lageberichte über die Risikosituation im Unternehmen zu erstellen. Dazu kann der Umfang und die Ausgestaltung des Risikomanagementsystems an die Gegebenheiten des Unternehmens angepasst werden.
Strategische Kostenkontrolle
Ein strategisch etabliertes Risikomanagement sorgt für die Senkung der Eintrittswahrscheinlichkeit potenzieller Risiken. Dadurch entstehen langfristig geringere Kosten für das Unternehmen
Wettbewerbsvorteil
Ein funktionierendes Risikomanagement bedeutet ein frühzeitiges Erkennen von potenziellen Risiken, in der Folge können rechtzeitig Gegenmaßnahmen eingeleitet werden. Dieser Zeitvorsprung kann einen Wettbewerbsvorteil gegenüber anderen Unternehmen auf dem Markt bedeuten.
Sicherung der Unternehmensreputation
Ziel ist es, das Image und den Ruf des Unternehmens zu schützen, indem mögliche negative Auswirkungen von Risiken minimiert werden.
Schutz der Mitarbeiter
Risikomanagement zielt darauf ab, die Sicherheit und das Wohlbefinden der Mitarbeiter zu gewährleisten.
Kontinuierliche Verbesserung
Das Risikomanagement soll als kontinuierlicher Prozess betrachtet werden, der sich an veränderte Bedingungen anpasst und ständig verbessert wird.
Rollen und Aufgaben für Mitarbeiter des Risikomanagements
Im Idealfall muss jede Fachabteilung im Unternehmen potenzielle Risiken kennen und geeignete Maßnahmen einleiten. Verantwortlich bleibt allerdings in jedem Fall die Geschäftsleitung bzw. der Vorstand.
In großen Unternehmen sind meist spezielle Abteilungen oder Arbeitsgremien für das Risikomanagement zuständig, diese werden von einem Chief Risk Officer geleitet. Eine weitere Möglichkeit ist es, einen Verantwortlichen zu benennen, der nicht in das operative Geschäft eingebunden ist.
Typische Rollen im Risikomanagement sind:
- Risikomanager: Verantwortlich für die Leitung des gesamten Risikomanagementprozesses und die Koordination aller risikobezogenen Aktivitäten im Unternehmen.
- Risikoanalyst: Zuständig für die Identifikation, Analyse und Bewertung von Risiken, um fundierte Entscheidungsgrundlagen zu liefern.
- Risikobesitzer: Tragen die Verantwortung für bestimmte Risiken und sind dafür zuständig, geeignete Maßnahmen zu ergreifen, um diese Risiken zu kontrollieren oder zu mindern.
- Krisenmanager: Bereiten Pläne vor und koordinieren Maßnahmen im Falle von Krisensituationen, um Schäden zu minimieren und die Geschäftskontinuität sicherzustellen.
- Compliance-Beauftragter: Gewährleistet die Einhaltung gesetzlicher Vorgaben und regulatorischer Anforderungen im Risikomanagementprozess.
- Finanzexperte: Hilft bei der Bewertung finanzieller Risiken und unterstützt bei der Umsetzung finanzieller Schutzmaßnahmen.
- Sicherheitsbeauftragter: Fokussiert sich auf die Identifikation und Bewertung von Sicherheitsrisiken und entwickelt Strategien zur Sicherung der Unternehmenswerte.
- Projektmanager: Integriert Risikomanagement in Projektaktivitäten und sorgt für eine umfassende Risikobewertung während des Projektverlaufs.
- Geschäftsführer: Tragen die Verantwortung für das Risikomanagement und treffen strategische Entscheidungen basierend auf den Risikoanalysen.
- Interne Revision: Unabhängige Einheit, die die Wirksamkeit und Effizienz des Risikomanagementsystems überprüft und Empfehlungen zur Verbesserung gibt.
Begriffsdefinition im Bereich Risikomanagement
Definition Risiko
Unter einem Risiko ist ein potenzielles, zukünftiges Ereignis zu verstehen, welches negative Auswirkungen auf ein Unternehmen hat. In den meisten Normen, Standards und Gesetzen, ist das Risiko wie folgt definiert:
Risiko = Schaden x Eintrittswahrscheinlichkeit
Definition Risikokategorien
Risiken können sowohl interne (z.B. operative Risiken, finanzielle Risiken) als auch externe (z.B. wirtschaftliche, politische oder ökologische Risiken) Ursachen haben:
- Interne Risiken: Betriebsinterne Risiken durch operative Abläufe oder Fehlentscheidungen verursacht.
- Externe Risiken: Äußeren Einflüssen auf das Unternehmen, wie bspw. Gesetzgebung, politische Entscheidungen oder die Wettbewerbs- und Marktsituation.
Diese zwei Risiken können in weitere Kategorien aufgeteilt werden. Risikokategorien sind verschiedene Gruppen oder Typen von Risiken, die in Unternehmen oder Organisationen auftreten können. Sie helfen dabei, Risiken zu organisieren und zu klassifizieren, was eine bessere Identifikation, Analyse und Bewertung ermöglicht. Die Risikokategorien können je nach Branche, Unternehmen und Kontext variieren, aber einige gängige Kategorien umfassen:
- Wirtschaftliche oder finanzielle Risiken: Hierbei geht es um Risiken, die mit der finanziellen Situation eines Unternehmens verbunden sind, wie z.B. Wechselkursschwankungen, Liquiditätsrisiken, Kreditrisiken oder Kapitalbeschaffungsrisiken.
- Operative Risiken: Diese Kategorie umfasst Risiken, die aus den internen Abläufen und Prozessen eines Unternehmens resultieren, wie z.B. Produktionsstörungen, Technologieausfälle, Lieferkettenprobleme oder Personalengpässe.
- Reputationsrisiken: Risiken, die das Ansehen und die öffentliche Wahrnehmung eines Unternehmens beeinträchtigen können, wie z.B. Skandale, negative Presseberichte oder mangelnde Kundenbindung.
- Rechtliche und regulatorische Risiken: Hierbei geht es um Risiken, die sich aus rechtlichen und regulatorischen Vorgaben ergeben, wie z.B. Verstöße gegen Gesetze, Vertragsbrüche oder Compliance-Probleme.
- Strategische Risiken: Risiken, die sich aus strategischen Entscheidungen und Geschäftsmodellen ergeben, wie z.B. Marktveränderungen, disruptive Technologien oder unzureichende Markteinführungsstrategien.
- Umwelt- und Nachhaltigkeitsrisiken: Risiken, die sich aus Umweltauswirkungen und nachhaltigen Praktiken ergeben, wie z.B. Klimawandel, Ressourcenknappheit oder soziale Verantwortung.
- Marktrisiken: Diese Kategorie umfasst Risiken, die durch Veränderungen in den Marktkonditionen, wie z.B. Zinsänderungen, Aktienkursvolatilität oder Nachfrageschwankungen, entstehen.
- Technologische Risiken: Risiken, die mit der Nutzung von Technologie verbunden sind, wie z.B. Datensicherheitsverletzungen, Cyberangriffe oder IT-Ausfälle.
Definition von Schadensklassen
Im Risikomanagement beziehen sich Schadensklassen auf die Einteilung von Risiken basierend auf ihrem potenziellen Schadensausmaß. Diese Klassifizierung hilft dabei, Risiken nach ihrer Bedeutung und möglichen Konsequenzen zu priorisieren. Die Schadensklassen können je nach Unternehmen oder Organisation variieren, aber typischerweise werden sie in numerische oder alphanumerische Kategorien unterteilt, beispielsweise:
- Niedrig (z.B. Klasse 1 oder A): Risiken mit geringem Schadensausmaß, die wenig Auswirkungen auf das Unternehmen haben und leicht beherrschbar sind.
- Mittel (z.B. Klasse 2 oder B): Risiken mit moderatem Schadensausmaß, die möglicherweise einige Auswirkungen auf das Unternehmen haben und eine angemessene Aufmerksamkeit erfordern.
- Hoch (z.B. Klasse 3 oder C): Risiken mit erheblichem Schadensausmaß, die das Unternehmen schwerwiegend beeinträchtigen können und eine sofortige Reaktion erfordern.
- Sehr hoch (z.B. Klasse 4 oder D): Risiken mit potenziell katastrophalem Schadensausmaß, die eine unmittelbare Handlung erfordern, um schwerwiegende Folgen zu vermeiden.
Die Einteilung in Schadensklassen hilft dabei, Ressourcen und Maßnahmen effizient zu verteilen, indem schwerwiegende Risiken priorisiert werden und angemessene Schritte unternommen werden, um deren Eintrittswahrscheinlichkeit zu verringern oder ihre Auswirkungen zu mindern. Durch die Klassifizierung von Risiken in Schadensklassen können Unternehmen ihre Risikobewertungs- und Managementprozesse optimieren und so besser auf potenzielle Gefahren vorbereitet sein.
Definition der Eintrittswahrscheinlichkeit
Die Eintrittswahrscheinlichkeit im Risikomanagement bezieht sich auf die Wahrscheinlichkeit oder die Möglichkeit, dass ein bestimmtes Risiko oder eine Gefahr tatsächlich eintritt oder sich verwirklicht. Es ist ein quantitatives Maß dafür, wie wahrscheinlich es ist, dass ein bestimmtes Ereignis oder eine Situation eintritt, die potenziell negative Auswirkungen auf ein Unternehmen oder eine Organisation haben könnte.
Die Eintrittswahrscheinlichkeit wird normalerweise auf einer Skala von niedrig bis hoch oder in Prozentwerten angegeben, wobei niedrige Werte eine geringe Wahrscheinlichkeit und hohe Werte eine hohe Wahrscheinlichkeit anzeigen.
Beispiel:
- Ein Risiko mit einer Eintrittswahrscheinlichkeit von 10% hat eine geringe Wahrscheinlichkeit, dass es tatsächlich eintritt.
- Ein Risiko mit einer Eintrittswahrscheinlichkeit von 50% hat eine moderate Wahrscheinlichkeit, dass es eintritt.
- Ein Risiko mit einer Eintrittswahrscheinlichkeit von 90% hat eine hohe Wahrscheinlichkeit, dass es tatsächlich eintritt.
Die Eintrittswahrscheinlichkeit ist ein wichtiger Faktor bei der Risikobewertung, da sie es ermöglicht, Risiken nach ihrer Dringlichkeit und Relevanz zu priorisieren. Risiken mit einer hohen Eintrittswahrscheinlichkeit und einem potenziell signifikanten Schadensausmaß werden als besonders kritisch angesehen und erfordern daher besondere Aufmerksamkeit und geeignete Maßnahmen zur Risikominderung oder -kontrolle. Auf der anderen Seite können Risiken mit einer sehr geringen Eintrittswahrscheinlichkeit möglicherweise weniger Ressourcen erfordern und in der Prioritätenliste nach unten rutschen.
Die Eintrittswahrscheinlichkeit wird oft in Kombination mit dem Schadensausmaß bewertet, um eine umfassende Risikobewertung zu ermöglichen und angemessene Risikomanagementstrategien zu entwickeln.
Risikomanagement mit Robin Data
Effektives Risikomanagement: Erfahren Sie, wie Sie Risiken in Ihrem Unternehmen proaktiv identifizieren, bewerten und kontrollieren können. Mit Robin Data können Sie potenzielle Gefahren frühzeitig erkennen und fundierte Entscheidungen treffen. Schützen Sie Ihr Unternehmen vor unvorhersehbaren Herausforderungen mit unserer maßgeschneiderten Risikomanagement-Lösung. Informieren Sie sich über Vorteile und Ablauf mit Robin Data.
Gesetze, Normen und Standards im Risikomanagement
Im Risikomanagement gibt es verschiedene Gesetze, Normen und Standards, die Unternehmen und Organisationen unterstützen, Risiken zu identifizieren, zu bewerten und angemessen zu steuern.
Der deutsche Gesetzgeber hat seine Anforderungen an das Risikomanagement der Unternehmen in zahlreichen Gesetzen (HGB, AktG, GmbHG etc.) verschärft. Dazu wurde 1998 das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verabschiedet.
Das KonTraG steht für das „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich“ und wurde in Deutschland im Jahr 1998 verabschiedet. Das Hauptziel des KonTraG besteht darin, die Corporate Governance in deutschen Unternehmen zu stärken und das Risikomanagement zu verbessern.
Die wichtigsten Bestimmungen des KonTraG sind:
- Einführung der Pflicht zur Aufstellung eines Risikomanagementsystems: Aktiengesellschaften und Kommanditgesellschaften auf Aktien sind verpflichtet, ein Risikomanagementsystem einzuführen, das angemessen ist, um bestehende Risiken zu erkennen, zu bewerten und zu steuern.
- Einführung der Pflicht zur Aufstellung eines internen Kontrollsystems: Unternehmen müssen ein internes Kontrollsystem einrichten, um die Ordnungsmäßigkeit der Geschäftsvorgänge sicherzustellen und Vermögensschäden zu verhindern.
- Haftung der Unternehmensleitung: Die Geschäftsleitung (Vorstand) und die Überwachungsorgane (Aufsichtsrat) werden stärker in die Verantwortung genommen und können für Verstöße gegen die Pflichten zur Einrichtung eines Risikomanagementsystems oder eines internen Kontrollsystems haftbar gemacht werden.
- Offenlegungspflicht: Unternehmen müssen im Lagebericht Informationen zu den wesentlichen Risiken und dem Risikomanagement offenlegen.
- Prüfung des internen Kontrollsystems: Die Abschlussprüfer sind verpflichtet, das interne Kontrollsystem zu prüfen und darüber einen Bericht zu erstellen.
Mit den Gesetzesänderungen hat die Unternehmensleitung die Pflicht, Risiken zu kontrollieren und Risikomanagement zu betreiben. Die betroffenen Unternehmen müssen ein umfassendes Controlling und Reporting-System einrichten und über Risiken im Leistungsbereich umfassend und schnell informieren.
Weitere Gesetze, Normen und Standards dienen als Leitfaden und Referenz für Unternehmen, um ihre Risikomanagementprozesse zu verbessern und bewährte Verfahren zu implementieren. Die Einhaltung dieser Vorgaben kann dazu beitragen, Risiken proaktiv zu erkennen und zu kontrollieren, was zu einer besseren Sicherheit, Stabilität und langfristigen Erfolg führt.
Weitere wichtige Gesetze, Normen und Standards im Risikomanagement sind:
- ISO 31000: Die ISO 31000 ist eine internationale Norm für Risikomanagement, die Richtlinien und Prinzipien für den effektiven Umgang mit Risiken in Organisationen bietet.
- Digital operational resilience for the financial sector and amending regulations (DORA): Einheitlicher Aufsichtsrahmen mit dem Ziel der Verbesserung der digitalen, operativen Widerstandsfähigkeit von EU-Finanzunternehmen, einschließlich IKT-Drittdienstleistern.
- EU-DSGVO: Die Europäische Datenschutz-Grundverordnung regelt den Schutz personenbezogener Daten und ist relevant für das Risikomanagement von Unternehmen in Bezug auf den Umgang mit sensiblen Informationen.
- Sarbanes-Oxley Act (SOX): Ein US-amerikanisches Gesetz, das die Transparenz und Genauigkeit von Unternehmensfinanzen verbessert und die Verantwortlichkeit des Top-Managements stärkt.
- ISO 27001: Eine Norm für Informationssicherheitsmanagement, die Risikobewertung und -kontrolle im Zusammenhang mit der Informationssicherheit in Organisationen adressiert.
- ISO 9001: Eine internationale Norm für Qualitätsmanagement, die auf die Identifizierung und Steuerung von Qualitätsrisiken abzielt.
- ISO 22301: Eine Norm für Business Continuity Management, die darauf abzielt, Risiken von Geschäftsunterbrechungen zu identifizieren und entsprechende Maßnahmen zur Aufrechterhaltung der Geschäftskontinuität zu ergreifen.
- ITIL (Information Technology Infrastructure Library): Ein Framework für IT-Service-Management, das Risiken im IT-Bereich adressiert und Strategien für die Servicekontinuität festlegt.
- COSO (Committee of Sponsoring Organizations of the Treadway Commission): Ein Rahmenwerk, das Risikomanagement, interne Kontrolle und Corporate Governance fördert.
- ISO 19600: Eine Norm für Compliance Management, die Unternehmen dabei unterstützt, rechtliche und regulatorische Anforderungen zu erfüllen und Risiken im Zusammenhang mit der Einhaltung zu minimieren.
- BAIT: Ist ein Risikomanagement-Frameworks, das von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) entwickelt wurden. BAIT steht für „Bankaufsichtliche Anforderungen an die IT“, darüber hinaus enthält BAIT zusätzliche Anforderungen für die IT-Governance und -Risikomanagement von Kreditinstituten.
- VAIT: Ist ein Risikomanagement-Framework, das ebenfalls von Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) entwickelt wurden. VAIT der Steht für „Versicherungsaufsichtliche Anforderungen an die IT“ und richtet sich speziell an Versicherungsunternehmen.
- DORA: Der Digital Operational Resilience Act (DORA) ist ein neuer EU-Rechtsakt, der die digitale Widerstandsfähigkeit von Finanzinstituten verbessern soll. DORA legt eine Reihe von Risikomanagement-Anforderungen an Unternehmen fest.
Das Risikomanagement als Bestandteil von ISO-Normen
Die ISO 31000 eine allgemeine Norm für Risikomanagement, die für alle Arten von Risiken und Organisationen gilt, während die ISO 31001 speziell auf das Risikomanagement in Projekten fokussiert ist und als ergänzende Richtlinie zur ISO 31000 für den Projektmanagementkontext dient. Beide Normen tragen dazu bei, Risikomanagementprozesse zu verbessern und den Umgang mit Risiken in Unternehmen und Projekten zu optimieren.
- ISO 31000: Die ISO 31000 ist eine internationale Norm für Risikomanagement, die Richtlinien und Prinzipien für den effektiven Umgang mit Risiken in Organisationen bietet. Diese Norm legt allgemeine Grundsätze, Rahmenbedingungen und Prozesse für das Risikomanagement fest und kann auf alle Arten von Risiken und Organisationen angewendet werden. Sie bietet einen breiten und umfassenden Ansatz für das Risikomanagement und ist nicht spezifisch auf eine bestimmte Branche oder ein bestimmtes Anwendungsfeld ausgerichtet.
- ISO 31001: Im Gegensatz zur ISO 31000 ist die ISO 31001 speziell auf das Risikomanagement in Projekten ausgerichtet. Diese Norm bietet Leitlinien und Empfehlungen für das Risikomanagement innerhalb des Projektmanagements. Sie unterstützt Projektmanager und Projektteams dabei, Risiken im Projektumfeld zu identifizieren, zu bewerten und zu steuern, um die erfolgreiche Umsetzung des Projekts sicherzustellen. Die ISO 31001 kann als spezifische Ergänzung oder Anwendung der ISO 31000 im Projektmanagement betrachtet werden.
Rechtliche Bedeutung
In Deutschland hat das Risikomanagement eine erhebliche rechtliche Bedeutung, insbesondere für Unternehmen und Organisationen in verschiedenen Sektoren. Die Relevanz des Risikomanagements wird durch verschiedene Gesetze, Verordnungen und Regelungen festgelegt, die Unternehmen dazu verpflichten, Risiken angemessen zu identifizieren, zu bewerten und zu kontrollieren. Hier sind einige wichtige Aspekte der rechtlichen Bedeutung des Risikomanagements in Deutschland:
- Aktiengesetz (AktG) und GmbH-Gesetz (GmbHG): Gemäß diesen Gesetzen sind Vorstände und Geschäftsführer von Aktiengesellschaften und GmbHs verpflichtet, ein angemessenes Risikomanagementsystem einzuführen und aufrechtzuerhalten, um die Risiken des Unternehmens zu identifizieren, zu überwachen und zu kontrollieren.
- KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich): Dieses Gesetz legt fest, dass Unternehmen, die kapitalmarktorientiert sind oder bestimmte Größenkriterien erfüllen, ein Risikofrüherkennungssystem implementieren müssen, um potenzielle Risiken rechtzeitig zu erkennen und Gegenmaßnahmen zu ergreifen.
- HGB (Handelsgesetzbuch): Gemäß den handelsrechtlichen Bestimmungen müssen Unternehmen im Lagebericht ihre Risiken und Chancen darstellen, um eine umfassende Einschätzung der wirtschaftlichen Lage zu ermöglichen.
- Compliance-Anforderungen: Unternehmen müssen die Einhaltung von gesetzlichen Bestimmungen, regulatorischen Vorgaben und ethischen Standards gewährleisten. Ein effektives Risikomanagement hilft dabei, Verstöße zu minimieren und rechtliche Konsequenzen zu vermeiden.
- Branchenspezifische Vorgaben: In einigen Sektoren gibt es spezifische rechtliche Anforderungen an das Risikomanagement, beispielsweise in der Finanzbranche (z.B. Basel III) oder im Gesundheitswesen (z.B. Medizinproduktegesetz).
- Versicherungsrecht: Versicherungsunternehmen unterliegen strengen Vorschriften bezüglich des Risikomanagements, um die Sicherheit der Versicherungsnehmer zu gewährleisten und die Finanzstabilität des Unternehmens zu sichern.
Das Risikomanagement in Deutschland ist also nicht nur eine empfohlene bewährte Praxis, sondern in vielen Fällen auch eine rechtliche Verpflichtung, die sicherstellen soll, dass Unternehmen angemessene Vorkehrungen treffen, um Risiken zu erkennen und zu managen, um wirtschaftliche Stabilität, Compliance und langfristigen Erfolg zu gewährleisten.
Berührungspunkte mit anderen Abteilungen
Im Unternehmen sind mehrere Abteilungen in den Prozess des Risikomanagements involviert, da Risiken verschiedene Aspekte des Geschäftsbetriebs betreffen können. Die wichtigsten Abteilungen, die in das Risikomanagement eingebunden sind, sind:
- Unternehmensleitung (Vorstand/Geschäftsführung): Die Geschäftsführung trägt die Gesamtverantwortung für das Risikomanagement im Unternehmen. Sie ist dafür verantwortlich, die Risikostrategie festzulegen, die Risikobereitschaft zu definieren und die Umsetzung von Risikomanagementprozessen zu überwachen.
- Finanzabteilung: Die Finanzabteilung ist in das Risikomanagement eingebunden, da viele Risiken finanzielle Auswirkungen haben können. Sie unterstützt bei der Bewertung finanzieller Risiken, erstellt Finanzanalysen und -prognosen und trägt zur Identifizierung von Maßnahmen zur Risikominderung bei.
- Controlling: Das Controlling spielt eine wichtige Rolle bei der Überwachung und Berichterstattung von Risiken. Es unterstützt bei der Identifizierung von Key Risk Indicators (KRIs) und der Entwicklung von Risiko-Berichtssystemen für das Management.
- Personalabteilung: Die Personalabteilung ist in das Risikomanagement eingebunden, da es Risiken im Zusammenhang mit Personalmanagement gibt, wie z.B. Fluktuation, Fehlzeiten oder Fachkräftemangel. Sie kann auch zur Entwicklung von Maßnahmen zur Risikobewältigung im Personalbereich beitragen.
- Rechtsabteilung: Die Rechtsabteilung spielt eine wichtige Rolle bei der Identifizierung und Bewältigung von rechtlichen Risiken, wie z.B. Einhaltung gesetzlicher Vorschriften, Vertragsrisiken und Haftungsfragen.
- IT-Abteilung: Die IT-Abteilung ist für die Identifizierung und Minderung von IT-Risiken verantwortlich, wie z.B. Cyber-Sicherheit, Datenschutz und Datensicherung.
- Compliance-Abteilung: Die Compliance-Abteilung spielt eine wesentliche Rolle im Risikomanagement eines Unternehmens. Ihre Aufgaben und Verantwortlichkeiten sind eng mit der Identifizierung, Bewertung und Kontrolle von Risiken verbunden, die sich aus rechtlichen und regulatorischen Anforderungen ergeben.
- Qualitätsmanagement: Die Qualitätsmanagementabteilung hat eine wichtige Rolle im Risikomanagement eines Unternehmens. Obwohl das Qualitätsmanagement und das Risikomanagement unterschiedliche Schwerpunkte haben, überschneiden sich ihre Aufgaben und Ziele in einigen Bereichen.
- Risikomanagementabteilung: In größeren Unternehmen gibt es oft eine spezielle Risikomanagementabteilung oder eine Funktion, die sich ausschließlich dem Risikomanagement widmet. Diese Abteilung koordiniert und unterstützt die Risikomanagementaktivitäten im gesamten Unternehmen und entwickelt Risikomanagementstrategien.
- Interne Revision: Die interne Revision überprüft und bewertet die Effektivität der Risikomanagementprozesse und -kontrollen und gibt Empfehlungen zur Verbesserung der Risikomanagementpraktiken.
Eine effektive Zusammenarbeit und Kommunikation zwischen diesen Abteilungen ist entscheidend, um Risiken proaktiv zu erkennen und geeignete Maßnahmen zur Risikobewältigung zu ergreifen. Das Risikomanagement sollte als unternehmensweiter Prozess betrachtet werden, bei dem verschiedene Abteilungen eng zusammenarbeiten, um die Sicherheit, Stabilität und den Erfolg des Unternehmens zu gewährleisten.
Instrumente und Methoden des Risikomanagements
Um Risiken darzustellen und sie zu managen, gibt es zahlreiche Instrumente und Methoden. Der Einsatz ist abhängig von der Branche und der Unternehmensgröße. Jedes Unternehmen muss entsprechend seinen Bedürfnissen die passenden Instrumente wählen – gegebenenfalls auch einen Mix aus mehreren.
Audits im Risikomanagement
Audits im Risikomanagement sind formelle Überprüfungen und Prüfungen des Risikomanagementprozesses einer Organisation durch interne oder externe Prüfer. Das Ziel solcher Audits ist es, die Wirksamkeit und Angemessenheit des Risikomanagementsystems zu beurteilen, um sicherzustellen, dass die Risiken angemessen identifiziert, bewertet und bewältigt werden.
Es gibt verschiedene Arten von Risikomanagement-Audits:
- Internes Audit: Interne Prüfer innerhalb der Organisation führen eine unabhängige Bewertung des Risikomanagementprozesses durch. Sie überprüfen, ob die Risikomanagementrichtlinien und -verfahren ordnungsgemäß implementiert und eingehalten werden und ob die getroffenen Maßnahmen angemessen sind.
- Externes Audit: Externe Prüfer von unabhängigen Wirtschaftsprüfungsgesellschaften oder Behörden führen eine Bewertung des Risikomanagementprozesses durch, um die Einhaltung von Gesetzen, Vorschriften oder Standards sicherzustellen. Externe Audits können auch dazu dienen, die Qualität und Transparenz der Risikoberichterstattung zu überprüfen.
- Management Review: Die Geschäftsleitung oder das Top-Management führen regelmäßige Bewertungen des Risikomanagementprozesses durch, um sicherzustellen, dass das Risikomanagement den geschäftlichen Anforderungen und Zielen entspricht und effektiv funktioniert.
Audits im Risikomanagement spielen eine wichtige Rolle, um sicherzustellen, dass das Risikomanagement angemessen gestaltet und umgesetzt wird und dass Risiken wirksam bewältigt werden. Sie tragen zur kontinuierlichen Verbesserung des Risikomanagements bei und unterstützen die Organisation dabei, Risiken proaktiv zu steuern und ihre Geschäftsziele erfolgreich zu erreichen.
Das Balanced-Scorecard
Die Balanced Scorecard (BSC) ist ein strategisches Managementinstrument, das ursprünglich von Robert S. Kaplan und David P. Norton entwickelt wurde. Es dient dazu, die strategischen Ziele und Leistungskennzahlen eines Unternehmens ausgewogen zu messen und zu überwachen. Die BSC ermöglicht es, die Unternehmensstrategie in konkrete Ziele und Kennzahlen umzusetzen und die Fortschritte in den verschiedenen Dimensionen der Unternehmensleistung zu verfolgen.
Im Zusammenhang mit dem Risikomanagement kann die Balanced Scorecard erweitert werden, um auch die Performance im Umgang mit Risiken zu messen und zu steuern. Die Integration des Risikomanagements in die Balanced Scorecard ermöglicht eine ganzheitliche Betrachtung der Unternehmensperformance, bei der die Risiken und Chancen berücksichtigt werden.
Die Erweiterung der Balanced Scorecard um das Risikomanagement erfolgt typischerweise in den folgenden Schritten:
- Definition der Risikostrategie: Die Risikostrategie des Unternehmens wird in die Balanced Scorecard integriert. Dazu gehören die Festlegung der Risikoappetit, -toleranz und -ziele, um sicherzustellen, dass die Risiken im Einklang mit den strategischen Zielen des Unternehmens stehen.
- Risikokennzahlen: Neben den herkömmlichen Leistungskennzahlen werden auch spezifische Risikokennzahlen entwickelt und in die Scorecard aufgenommen. Diese können beispielsweise die Anzahl und Art der identifizierten Risiken, die Risikobewältigungserfolge, die Reaktionszeiten auf Risiken oder andere relevante Risikomaße umfassen.
- Risikokategorien: Die Balanced Scorecard kann Risikokategorien oder -dimensionen enthalten, die die verschiedenen Arten von Risiken widerspiegeln, mit denen das Unternehmen konfrontiert ist, z. B. finanzielle Risiken, operationelle Risiken, strategische Risiken, Compliance-Risiken usw.
- Risikobewertung und -bewältigung: Die Erfassung und Bewertung von Risiken sowie die geplanten oder umgesetzten Maßnahmen zur Risikobewältigung werden in die Scorecard integriert, um die Fortschritte und Wirksamkeit des Risikomanagements zu überwachen.
- Risikoberichterstattung: Die Balanced Scorecard kann auch als Kommunikationsinstrument dienen, um die relevanten Stakeholder über den Risikomanagementstatus und die Risikoperformance des Unternehmens zu informieren.
Durch die Integration des Risikomanagements in die Balanced Scorecard wird eine ganzheitliche Sicht auf die Unternehmensleistung ermöglicht, die sowohl die finanzielle Performance als auch die Effektivität und Effizienz des Risikomanagements berücksichtigt. Dies unterstützt das Management bei der Identifizierung kritischer Risiken, der Priorisierung von Maßnahmen und der Erreichung einer ausgewogenen Leistung in Bezug auf die Unternehmensstrategie und das Risikomanagement.
Die Delphi-Methode
Die Delphi-Methode ist eine Technik im Risikomanagement, die dazu dient, Meinungen und Expertenwissen von einer Gruppe von Fachleuten zu sammeln und konsensuale Entscheidungen zu treffen. Sie wurde ursprünglich in den 1950er Jahren für Prognosen und Planungen in der Zukunftsforschung entwickelt und wird heutzutage auch in verschiedenen anderen Bereichen, einschließlich des Risikomanagements, angewendet.
Der Ablauf der Delphi-Methode im Risikomanagement ist in der Regel wie folgt:
- Auswahl von Experten: Eine Gruppe von Experten oder Fachleuten, die über relevante Kenntnisse und Erfahrungen im jeweiligen Fachgebiet verfügen, wird ausgewählt. Die Experten können intern oder extern sein und sollten verschiedene Perspektiven und Hintergründe repräsentieren.
- Erste Befragung: Der Initiator der Delphi-Methode stellt den Experten eine Reihe von Fragen oder Aussagen im Zusammenhang mit dem Risikomanagement. Die Experten antworten unabhängig voneinander und anonym.
- Zusammenfassung und Feedback: Die Antworten der Experten werden anonymisiert und zusammengefasst. Die Ergebnisse werden dann an die Teilnehmer zurückgegeben, wodurch sie die Möglichkeit erhalten, die aggregierten Antworten und Meinungen der Gruppe zu überprüfen und zu bewerten.
- Zweite Befragung: Auf Basis der Zusammenfassung und des Feedbacks aus der ersten Runde haben die Experten nun die Möglichkeit, ihre Antworten zu überarbeiten oder ihre Positionen zu revidieren. Die zweite Befragung kann auch zusätzliche Fragen beinhalten, um weiteres Expertenwissen zu erfassen.
- Iterative Durchführung: Die Schritte 3 und 4 werden so lange wiederholt, bis ein gewisser Grad an Konsens oder Konvergenz erreicht ist. Die Anonymität der Experten und die Möglichkeit, ihre Positionen zu überdenken, ermöglichen eine schrittweise Annäherung an einen gemeinsamen Konsens.
Die Delphi-Methode ist besonders nützlich, wenn es um komplexe Probleme geht, bei denen keine klaren Antworten oder eindeutige Lösungen vorliegen. Durch die Nutzung des kollektiven Wissens und der Erfahrungen von Experten können realistische Einschätzungen von Risiken und Chancen gewonnen werden. Die Methode trägt dazu bei, voreingenommene Ansichten oder Dominanzen einzelner Meinungen zu minimieren und eine informierte Entscheidungsfindung zu ermöglichen.
Die Entscheidungsbaum-Analyse
Die Entscheidungsbaum-Analyse, auch als Entscheidungsbaum-Methode oder Decision Tree Analysis bezeichnet, ist eine wichtige Technik im Risikomanagement und der Entscheidungsfindung. Sie dient dazu, komplexe Entscheidungssituationen zu analysieren, mögliche Handlungsoptionen zu bewerten und die besten Entscheidungen unter Berücksichtigung von Unsicherheit und Risiken zu treffen.
Der Entscheidungsbaum ist eine grafische Darstellung, die aus einem Baumdiagramm besteht und verschiedene Entscheidungspfade darstellt. Jeder Knoten im Baum repräsentiert eine Entscheidung, und jeder Zweig steht für eine mögliche Handlungsoption oder ein Ereignis mit Wahrscheinlichkeiten. Die Endknoten des Baumes zeigen die möglichen Ergebnisse oder Auswirkungen der Entscheidungen an.
Der Ablauf der Entscheidungsbaum-Analyse im Risikomanagement ist in der Regel wie folgt:
1. Identifikation der Entscheidungen: Zunächst werden die zu treffenden Entscheidungen und die möglichen Handlungsoptionen klar definiert. Dabei werden auch die zu berücksichtigenden Unsicherheiten und Ereignisse erfasst, die die Entscheidungen beeinflussen könnten.
2. Festlegung der Wahrscheinlichkeiten: Für jedes Ereignis oder Unsicherheit, das den Verlauf der Entscheidungen beeinflusst, werden Wahrscheinlichkeiten zugeordnet. Diese Wahrscheinlichkeiten können auf historischen Daten, Experteneinschätzungen oder anderen Informationsquellen basieren.
3. Erstellung des Entscheidungsbaums: Der Entscheidungsbaum wird grafisch dargestellt, indem die Entscheidungen, Handlungsoptionen und die zugehörigen Wahrscheinlichkeiten in Form von Verzweigungen dargestellt werden.
4. Bewertung der Ergebnisse: An den Endknoten des Baums werden die möglichen Ergebnisse oder Auswirkungen der Entscheidungen zusammengeführt. Dabei werden auch die Wahrscheinlichkeiten der verschiedenen Szenarien berücksichtigt.
5. Optimale Entscheidung treffen: Die Entscheidungsbaum-Analyse ermöglicht es, die erwarteten Werte der verschiedenen Entscheidungspfade zu berechnen. Auf dieser Basis kann die optimale Entscheidung identifiziert werden, indem der Pfad mit dem besten erwarteten Wert gewählt wird.
Die Entscheidungsbaum-Analyse ist insbesondere in Situationen nützlich, in denen mehrere Handlungsoptionen zur Verfügung stehen und unsichere Ereignisse die Ergebnisse beeinflussen können. Sie unterstützt Entscheidungsträger dabei, die Auswirkungen von Unsicherheit und Risiken zu berücksichtigen und bessere Entscheidungen zu treffen, indem sie eine fundierte Bewertung der möglichen Szenarien ermöglicht.
Die FMEA (Failure Modes and Effects Analysis)
Die FMEA (Failure Modes and Effects Analysis) ist eine bewährte Methode im Risikomanagement, die verwendet wird, um potenzielle Fehler (Failure Modes) in Prozessen, Produkten oder Systemen zu identifizieren, die zu unerwünschten Auswirkungen (Effects) führen könnten. Die FMEA ist weit verbreitet und wird in verschiedenen Branchen, einschließlich der Automobilindustrie, Luft- und Raumfahrt, Gesundheitswesen und anderen technischen Bereichen, eingesetzt.
Der Zweck der FMEA besteht darin, mögliche Risiken und Schwachstellen frühzeitig zu erkennen, um geeignete Vorbeugungs- oder Korrekturmaßnahmen zu ergreifen, bevor ein Fehler auftritt und schwerwiegende Konsequenzen nach sich zieht.
Der FMEA-Prozess umfasst in der Regel die folgenden Schritte:
1. Identifikation der zu analysierenden Elemente: Zuerst werden die Prozesse, Produkte oder Systeme ausgewählt, die analysiert werden sollen. Dies können beispielsweise Produktionsprozesse, Bauteile eines Produkts oder Funktionen eines Systems sein.
2. Bildung eines FMEA-Teams: Ein interdisziplinäres Team von Fachexperten wird zusammengestellt, um die FMEA durchzuführen. Das Team kann Ingenieure, Techniker, Qualitätssicherungsmitarbeiter, Projektmanager und andere relevante Experten umfassen.
3. Identifikation der Failure Modes: Das Team identifiziert alle möglichen Fehlermodi (Failure Modes), die während des Betriebs des analysierten Elements auftreten könnten. Ein Fehlermodus beschreibt, wie das Element versagen könnte.
4. Bewertung der Severity (Schweregrad): Jeder identifizierte Fehlermodus wird anhand seiner potenziellen Auswirkungen auf den Prozess, das Produkt oder das System bewertet. Dabei wird ermittelt, wie schwerwiegend die Konsequenzen eines Fehlers sein könnten.
5. Bewertung der Occurrence (Häufigkeit des Auftretens): Für jeden Fehlermodus wird bewertet, wie wahrscheinlich es ist, dass dieser Fehlermodus tatsächlich auftritt.
6. Bewertung der Detection (Entdeckungswahrscheinlichkeit): Die Wahrscheinlichkeit, dass ein Fehlermodus während der Inspektion, Überwachung oder Tests vor dem Eintreten von Auswirkungen entdeckt wird, wird bewertet.
7. Berechnung der Risiko-Prioritätszahl (RPZ): Die RPZ wird berechnet, indem die Severity, Occurrence und Detection bewertet und multipliziert werden. Dadurch werden die kritischsten Fehlermodi priorisiert.
8. Ableitung von Maßnahmen: Basierend auf den Bewertungen und der RPZ werden geeignete Vorbeugungs- oder Korrekturmaßnahmen entwickelt, um das Risiko eines Fehlers zu reduzieren oder zu eliminieren.
Die FMEA ist ein proaktives und systematisches Instrument zur Risikoanalyse, das dazu beiträgt, die Qualität, Sicherheit und Zuverlässigkeit von Prozessen, Produkten oder Systemen zu verbessern und potenzielle Probleme frühzeitig zu erkennen und zu beheben.
IKS (Internes Kontrollsystem)
Das Interne Kontrollsystem (IKS) ist ein wesentlicher Bestandteil des Risikomanagements und bezieht sich auf die Maßnahmen und Verfahren, die eine Organisation implementiert, um Risiken zu erkennen, zu überwachen und zu steuern. Das Hauptziel des IKS ist es, die Effektivität und Effizienz der Geschäftsprozesse sicherzustellen, die Zuverlässigkeit der Finanzberichterstattung zu gewährleisten und die Einhaltung von Gesetzen, Richtlinien und internen Vorgaben sicherzustellen.
Das IKS kann verschiedene Elemente umfassen, wie beispielsweise interne Kontrollrichtlinien, Verfahren, interne Kontrollmechanismen, automatisierte Kontrollen, segregierte Aufgaben, regelmäßige Prüfungen und Überwachung sowie Schulungen für Mitarbeiter. Es ist darauf ausgerichtet, potenzielle Risiken zu identifizieren, frühzeitig zu erkennen und entsprechende Gegenmaßnahmen zu ergreifen, um potenzielle Schäden oder Verluste zu minimieren.
Die Monte-Carlo-Simulation
Die Monte-Carlo-Simulation ist eine computergestützte statistische Methode, die dazu dient, Unsicherheit in einem Modell zu berücksichtigen und probabilistische Ergebnisse zu erzeugen. Sie wird in verschiedenen Bereichen angewendet, wie zum Beispiel in der Finanzwirtschaft, Ingenieurwesen, Risikomanagement, Projektplanung, Physik, und vielen anderen Gebieten, wo komplexe Modelle und zufällige Variablen eine Rolle spielen.
Der Name „Monte-Carlo“ stammt von der Stadt Monte Carlo in Monaco, die für ihre Spielkasinos bekannt ist und Glücksspiele mit zufälligen Ergebnissen verbindet. Die Monte-Carlo-Simulation nutzt das Konzept des Zufalls, um eine Vielzahl möglicher Ergebnisse eines Modells zu berechnen.
Der Ablauf einer Monte-Carlo-Simulation ist in der Regel wie folgt:
- Modellentwicklung: Zunächst wird ein mathematisches oder statistisches Modell erstellt, das das zu untersuchende System oder Phänomen beschreibt. Das Modell kann komplexe Gleichungen, Beziehungen oder Wahrscheinlichkeitsverteilungen enthalten.
- Definition der Unsicherheit: Die Variablen im Modell, die unsicher oder zufällig sind, werden identifiziert. Diese unsicheren Variablen können beispielsweise Marktpreise, Wetterbedingungen, Produktionsausfälle oder andere Faktoren sein, die Schwankungen unterliegen.
- Zufallszahlen generieren: Die Monte-Carlo-Simulation verwendet Zufallszahlengeneratoren, um Werte für die unsicheren Variablen zu erzeugen. Diese Zufallszahlen werden entsprechend der angenommenen Wahrscheinlichkeitsverteilungen erzeugt.
- Simulation: Die Simulation führt das Modell mehrmals durch, wobei für jede Durchführung zufällige Werte für die unsicheren Variablen verwendet werden. Dadurch entsteht eine Vielzahl von möglichen Ergebnissen.
- Ergebnisanalyse: Die gesammelten Ergebnisse werden analysiert, um statistische Kennzahlen wie Durchschnitt, Standardabweichung, Wahrscheinlichkeitsverteilungen, Risikomaße oder andere interessante Metriken zu ermitteln.
Die Stärke der Monte-Carlo-Simulation liegt darin, dass sie die Auswirkungen von Unsicherheit und Komplexität in einem Modell berücksichtigt und probabilistische Ergebnisse liefert. Dies ermöglicht eine realistischere Einschätzung von Risiken und Chancen und hilft, bessere Entscheidungen zu treffen, indem verschiedene Szenarien und ihre Wahrscheinlichkeiten bewertet werden.
Die Risikomatrix
Eine Risikomatrix, auch als Risiko-Matrix oder Risiko-Bewertungsmatrix bezeichnet, ist ein hilfreiches Instrument im Risikomanagement zur Bewertung und Priorisierung von Risiken. Sie dient dazu, die Wahrscheinlichkeit und die Auswirkungen eines Risikos zu quantifizieren und es in einer visuellen Darstellung einzustufen.
Eine typische Risikomatrix besteht aus zwei Achsen:
- Eintrittshäufigkeit: Diese Achse repräsentiert die Eintrittswahrscheinlichkeit eines Risikos und wird oft in verschiedene Stufen (z. B. von „selten“ bis „sehr häufig“) unterteilt. Die Eintrittswahrscheinlichkeit gibt an, wie wahrscheinlich es ist, dass ein bestimmtes Risiko eintritt.
- Auswirkungen / Schadenshöhe: Diese Achse zeigt die möglichen Auswirkungen eines Risikos auf die Ziele, das Projekt oder die Organisation. Auch hier können verschiedene Stufen oder Bewertungen verwendet werden (z. B. von „vernachlässigbar“ bis „existenzbedrohend“).
Die Schnittpunkte der beiden Achsen bilden dann die einzelnen Risikozellen, in denen die Risiken entsprechend ihrer Eintrittswahrscheinlichkeit und ihrer Auswirkungen positioniert werden.
Anhand dieser Positionierung in der Risikomatrix können die Risiken anschließend in Kategorien eingeteilt werden, die häufig durch Farben oder Zahlen repräsentiert werden:
- Türkis (geringes Risiko): Hier werden Risiken platziert, die eine geringe Eintrittswahrscheinlichkeit und geringe Auswirkungen haben.
- Grün (mittleres Risiko): In dieser Zone befinden sich Risiken, die entweder eine moderate Eintrittswahrscheinlichkeit mit moderaten Auswirkungen oder eine geringe Eintrittswahrscheinlichkeit mit hohen Auswirkungen haben.
- Orange (hohes Risiko): Risiken in dieser Zone haben eine hohe Eintrittswahrscheinlichkeit und mittlere Auswirkungen oder eine moderate Eintrittswahrscheinlichkeit und hohe Auswirkungen.
- Rot (sehr hohes Risiko): Hier werden Risiken platziert, die sowohl eine sehr hohe Eintrittswahrscheinlichkeit als auch katastrophale Auswirkungen haben.
Durch die visuelle Darstellung der Risiken in der Risikomatrix können Entscheidungsträger schnell erkennen, welche Risiken besondere Aufmerksamkeit und Maßnahmen erfordern und welche weniger kritisch sind. Dies erleichtert die Priorisierung von Risiken und die Festlegung angemessener Gegenmaßnahmen im Rahmen des Risikomanagements.
Die SWOT-Analyse
Eine SWOT-Analyse ist ein bewährtes strategisches Instrument zur Bewertung der internen Stärken (Strengths) und Schwächen (Weaknesses) sowie der externen Chancen (Opportunities) und Risiken (Threats) eines Unternehmens, Projekts oder einer Organisation. Die Analyse ermöglicht es, einen ganzheitlichen Überblick über die gegenwärtige Position und die zukünftigen Perspektiven zu gewinnen.
Die einzelnen Komponenten der SWOT-Analyse sind wie folgt:
- Stärken (Strengths): Hier werden die internen positiven Aspekte eines Unternehmens oder Projekts erfasst, die es von Wettbewerbern abheben und einen Wettbewerbsvorteil bieten können. Das können zum Beispiel spezielle Kompetenzen, einzigartige Ressourcen, starke Markenidentität oder eine etablierte Kundenzufriedenheit sein.
- Schwächen (Weaknesses): Diese Komponente bezieht sich auf die internen negativen Faktoren, die das Unternehmen oder Projekt einschränken oder Schwierigkeiten verursachen können. Schwächen können beispielsweise in ineffizienten Prozessen, begrenzten Ressourcen, mangelnder Expertise oder technologischen Defiziten liegen.
- Chancen (Opportunities): Externe Faktoren, die eine positive Wirkung auf das Unternehmen oder Projekt haben könnten, werden unter diesem Aspekt erfasst. Das können beispielsweise neue Marktchancen, sich ändernde Kundenbedürfnisse, Technologietrends oder positive regulatorische Entwicklungen sein.
- Risiken (Threats): In dieser Kategorie werden externe Faktoren aufgeführt, die potenzielle Gefahren und Risiken für das Unternehmen oder Projekt darstellen können. Dazu gehören zum Beispiel wachsender Wettbewerb, politische Unsicherheiten, wirtschaftliche Abschwünge oder sich verändernde Marktbedingungen.
Die SWOT-Analyse wird häufig in der Strategieentwicklung, der Geschäftsplanung, der Projektbewertung und anderen Entscheidungsprozessen eingesetzt. Sie hilft dabei, eine klare Sicht auf die internen Stärken und Schwächen eines Unternehmens zu erhalten und gleichzeitig die externen Chancen und Risiken zu berücksichtigen. Die gewonnenen Erkenntnisse aus der SWOT-Analyse können als Grundlage für die Festlegung von strategischen Zielen und die Formulierung von Handlungsempfehlungen dienen, um die Wettbewerbsfähigkeit und den Erfolg des Unternehmens oder Projekts zu verbessern.
Die Risikoregister
Das Risikoregister ist ein zentrales Dokument im Risikomanagement, das alle erfassten Risiken einer Organisation oder eines Projekts systematisch und strukturiert auflistet. Es dient als eine Art Datenbank oder Verzeichnis, in dem alle relevanten Informationen zu den identifizierten Risiken zusammengeführt und verwaltet werden. Das Risikoregister ist ein wichtiges Werkzeug, um den Überblick über die Risiken zu behalten und gezielte Maßnahmen zur Risikobewältigung zu ergreifen.
Das Risikoregister enthält typischerweise die folgenden Informationen zu jedem identifizierten Risiko:
- Risikoidentifikation: Eine eindeutige Bezeichnung oder Nummer des Risikos, um es eindeutig zu identifizieren und zu unterscheiden.
- Beschreibung des Risikos: Eine klare und detaillierte Beschreibung des Risikos, einschließlich der Ursachen, Auswirkungen und möglicher Szenarien.
- Kategorie: Die Zuordnung des Risikos zu einer bestimmten Risikokategorie, z. B. Finanzrisiken, operationelle Risiken, strategische Risiken, Compliance-Risiken usw.
- Eintrittswahrscheinlichkeit: Die Wahrscheinlichkeit, dass das Risiko tatsächlich eintritt, typischerweise auf einer Skala von niedrig bis hoch oder in Prozentangaben.
- Auswirkung: Die potenzielle Auswirkung oder Konsequenz des Risikos, typischerweise auf einer Skala von geringfügig bis katastrophal oder in monetären Werten.
- Risikoprioritätszahl (RPZ): Eine Kennzahl, die die Priorität des Risikos basierend auf Eintrittswahrscheinlichkeit und Auswirkung berechnet, um die Dringlichkeit der Behandlung zu bestimmen.
- Verantwortlichkeiten: Die Personen oder Teams, die für die Überwachung und Bewältigung des Risikos zuständig sind, sowie die festgelegten Maßnahmen und Fristen.
- Status: Der aktuelle Status des Risikos, ob es aktiv ist, bewältigt wurde oder noch überwacht wird.
- Maßnahmen zur Risikobewältigung: Die geplanten oder bereits umgesetzten Maßnahmen zur Reduzierung oder Behandlung des Risikos.
- Fortschritt und Verlauf: Informationen über den Fortschritt der getroffenen Maßnahmen und mögliche Veränderungen im Risikoprofil.
Das Risikoregister wird kontinuierlich aktualisiert, wenn neue Risiken identifiziert werden, sich die Eintrittswahrscheinlichkeiten oder Auswirkungen ändern oder wenn Maßnahmen zur Risikobewältigung implementiert werden. Es ist ein wichtiges Instrument für die Transparenz, Kommunikation und Dokumentation im Risikomanagementprozess und unterstützt die Organisation dabei, einen umfassenden Überblick über ihre Risikolandschaft zu erhalten und effektiv mit den Risiken umzugehen.
Das Risikomanagement-Handbuch
Ein Risikomanagement-Handbuch ist ein schriftliches Dokument oder Leitfaden, das die Grundlagen, Ziele, Strukturen und Verfahren des Risikomanagements in einer Organisation oder einem Unternehmen festlegt. Es dient als zentrales Referenzdokument und bietet einen klaren Rahmen für das Risikomanagement innerhalb der Organisation. Das Risikomanagement-Handbuch kann auch als Risikomanagement-Richtlinie oder -Policy bezeichnet werden.
In einem Risikomanagement-Handbuch werden typischerweise folgende Elemente und Informationen enthalten:
- Zielsetzung: Eine klare Definition der Ziele und Zwecke des Risikomanagements in der Organisation. Dies kann beinhalten, wie das Risikomanagement zur Erreichung der Unternehmensziele beitragen soll und welche strategischen Aspekte berücksichtigt werden sollen.
- Verantwortlichkeiten: Die Zuständigkeiten und Verantwortlichkeiten der verschiedenen Akteure im Risikomanagement werden festgelegt. Dazu gehören die Rollen der Geschäftsführung, des Risikomanagers, des Risikomanagement-Teams und anderer relevanten Stakeholder.
- Risikomanagement-Rahmen: Eine Beschreibung des strukturellen Rahmens des Risikomanagements, einschließlich der Festlegung von Risikomanagementprozessen, -methoden und -tools.
- Risikobewertung: Die Kriterien und Methoden zur Identifizierung, Bewertung und Priorisierung von Risiken werden beschrieben. Das kann auch die Verwendung von Risikomatrices oder die Berechnung von Risikoprioritätszahlen (RPZ) einschließen.
- Risikobewältigung: Die Strategien und Maßnahmen zur Bewältigung der identifizierten Risiken werden festgelegt. Das umfasst die Definition von Risikominderungsmaßnahmen, Risikoübertragungsoptionen und Risikoakzeptanzkriterien.
- Risikokommunikation: Die Kommunikationswege und -verfahren für die Berichterstattung über Risiken und Risikomanagementaktivitäten werden beschrieben. Dies umfasst auch die Interaktion mit relevanten Stakeholdern.
- Überwachung und Berichterstattung: Die Prozesse zur Überwachung der Risikosituation und zur Berichterstattung über den Fortschritt der Risikobewältigungsmaßnahmen werden festgelegt.
- Kontinuierliche Verbesserung: Die Methoden zur kontinuierlichen Überprüfung und Verbesserung des Risikomanagementprozesses werden beschrieben, um sicherzustellen, dass das Risikomanagement angemessen, aktuell und wirksam bleibt.
Das Risikomanagement-Handbuch sollte gut strukturiert, leicht verständlich und für alle relevanten Mitarbeiter zugänglich sein. Es ist ein wichtiges Dokument, das als Orientierungshilfe für das Risikomanagement in der Organisation dient und sicherstellt, dass das Risikomanagement effektiv und konsistent durchgeführt wird.
Die Risikoprioritätszahl (RPZ)
Die Risikoprioritätszahl (RPZ) ist eine wichtige Kennzahl im Risikomanagement, die dazu dient, die Priorität von Risiken festzulegen und sie entsprechend ihrer Bedeutung zu rangieren. Die RPZ ermöglicht es, Risiken in einer standardisierten und objektiven Weise zu bewerten, um Ressourcen und Maßnahmen gezielt auf die am stärksten betroffenen Risiken zu lenken.
Die Berechnung der Risikoprioritätszahl erfolgt in der Regel durch Multiplikation von zwei oder mehr Einzelbewertungen, die jeweils verschiedene Aspekte eines Risikos berücksichtigen. Die genaue Formel kann je nach Unternehmen oder Organisation variieren, aber typischerweise umfasst sie folgende Komponenten:
- Eintrittswahrscheinlichkeit (EW): Diese Komponente bewertet die Wahrscheinlichkeit, dass ein bestimmtes Risiko tatsächlich eintritt. Sie wird oft auf einer Skala von beispielsweise 1 bis 5 oder von „sehr niedrig“ bis „sehr hoch“ bewertet.
- Auswirkung (AI): Diese Komponente bewertet die potenziellen Auswirkungen oder Konsequenzen eines Risikos, wenn es eintritt. Auch hier kann eine Skala von 1 bis 5 oder von „geringfügig“ bis „katastrophal“ verwendet werden.
- Erkennbarkeit (ER): In einigen Fällen wird auch die Erkennbarkeit des Risikos berücksichtigt, also wie leicht oder schwierig es ist, das Risiko frühzeitig zu erkennen und angemessen darauf zu reagieren.
Die RPZ wird dann berechnet, indem die Einzelbewertungen multipliziert werden, beispielsweise: RPZ = EW x AI x ER.
Eine höhere RPZ deutet auf ein Risiko hin, das eine höhere Priorität und mehr Aufmerksamkeit erfordert, da es eine höhere Eintrittswahrscheinlichkeit und/oder schwerwiegendere Auswirkungen hat. Risiken mit niedrigeren RPZ-Werten werden als weniger kritisch eingestuft und können möglicherweise mit geringerer Dringlichkeit behandelt werden.
Die Risikoprioritätszahl ist ein wertvolles Instrument im Risikomanagement, da es den Entscheidungsträgern hilft, ihre begrenzten Ressourcen und Maßnahmen effizient auf die wichtigsten und dringendsten Risiken zu konzentrieren und eine bessere Risikosteuerung und -bewältigung zu ermöglichen.
Kennenlern-Meeting mit Robin Data buchen
Gerne zeigen wir Ihnen in einem persönlichen Online-Termin, wie Sie Ihre Anforderungen mit Robin Data ComplianceOS® umsetzen können. Bekommen Sie einen Einblick in den Aufbau und den Funktionsumfang und stellen Sie Ihre Fragen aus Anwendersicht. Buchen Sie zunächst ein kurzes Kennenlern-Meeting mit uns.
Aufbau eines Risikomanagements
Ein effektiver Aufbau eines Risikomanagements besteht aus mehreren miteinander verbundenen Schritten und stellt sicher, dass ein Unternehmen oder eine Organisation besser auf unvorhergesehene Ereignisse und potenzielle Gefahren vorbereitet ist und Chancen nutzen kann, um die Geschäftsziele zu erreichen.
1. Festlegung des Kontexts und der Ziele
Zunächst müssen die Ziele und der Kontext des Risikomanagements festgelegt werden. Das umfasst die Identifizierung der relevanten Geschäftsziele, die Bestimmung der Risikobereitschaft und die Festlegung des Umfangs des Risikomanagementprozesses.
2. Verantwortlichkeiten festlegen
Die Festlegung von Verantwortlichkeiten im Risikomanagement ist entscheidend, um sicherzustellen, dass der Risikomanagementprozess effektiv und reibungslos abläuft. Die Verantwortlichkeiten sollten klar definiert und allen Beteiligten bekannt sein.
3. Risikoidentifikation
In diesem Schritt werden potenzielle Risiken identifiziert, die die Erreichung der Geschäftsziele gefährden könnten. Hierbei können Techniken wie Brainstorming, Interviews mit Experten, SWOT-Analysen (Stärken, Schwächen, Chancen, Risiken) und Checklisten verwendet werden.
4. Risikoanalyse
In diesem Schritt werden die identifizierten Risiken genauer untersucht und ihre möglichen Auswirkungen auf das Unternehmen bewertet. Quantitative und qualitative Methoden werden verwendet, um die Wahrscheinlichkeit des Eintretens und die Schwere der Folgen zu bestimmen. Beispiele für Analysetechniken sind die Monte-Carlo-Simulation, Delphi-Methode und Entscheidungsbaum-Analyse.
5. Risikobewertung
Die Risikobewertung beinhaltet die Priorisierung der identifizierten Risiken basierend auf ihrer Bedeutung und Dringlichkeit. Hierbei können verschiedene Bewertungsmethoden wie die Risikomatrix oder die Risikoprioritätszahl (RPZ) angewendet werden.
6. Risikobewältigung
Nach der Identifikation, Analyse und Bewertung von Risiken ist es wichtig, angemessene Strategien und Maßnahmen zu entwickeln, um mit den Risiken umzugehen. Hierbei können verschiedene Ansätze gewählt werden, darunter:
- Risikovermeidung: Maßnahmen ergreifen, um das Risiko vollständig zu vermeiden, indem man bestimmte Aktivitäten oder Entscheidungen ablehnt oder verändert.
- Risikominderung: Maßnahmen ergreifen, um die Eintrittswahrscheinlichkeit oder die Auswirkungen eines Risikos zu reduzieren. Das können beispielsweise redundante Systeme, Sicherheitsmaßnahmen oder Schulungsprogramme sein.
- Risikoübertragung: Risiken an Dritte übertragen, z. B. durch Versicherungen oder Outsourcing.
- Risikoakzeptanz: Das Risiko bewusst in Kauf nehmen, wenn die potenziellen Vorteile die potenziellen Schäden überwiegen oder wenn das Risiko als unvermeidbar angesehen wird.
7. Implementierung und Umsetzung
Die identifizierten Maßnahmen werden in die Praxis umgesetzt, um die Risiken zu bewältigen. Hierbei ist es wichtig, klare Verantwortlichkeiten festzulegen und sicherzustellen, dass die Maßnahmen angemessen und effektiv umgesetzt werden.
8. Risikokommunikation
Eine klare und effektive Kommunikation über Risiken ist entscheidend, um alle relevanten Stakeholder angemessen zu informieren. Dies umfasst sowohl interne als auch externe Kommunikation und kann mithilfe von Risikokommunikationsplänen und -strategien erreicht werden.
9. Risikomonitoring und -überwachung
Das Risikomanagement ist ein fortlaufender Prozess. Daher ist es wichtig, die identifizierten Risiken und die Wirksamkeit der ergriffenen Maßnahmen kontinuierlich zu überwachen und zu bewerten. Falls erforderlich, können Anpassungen vorgenommen werden, um die Effektivität des Risikomanagements aufrechtzuerhalten.
10. Bewertung und Berichterstattung
Regelmäßige Bewertungen des Risikomanagementprozesses helfen dabei, seine Wirksamkeit zu beurteilen und gegebenenfalls Verbesserungen vorzunehmen. Die Ergebnisse und Fortschritte sollten in Berichten dokumentiert und der Geschäftsleitung und anderen relevanten Stakeholdern präsentiert werden.
Erfolgsmessgrößen im Risikomanagement
Erfolgsmessgrößen im Risikomanagement sind Kennzahlen und Metriken, die verwendet werden, um den Erfolg und die Wirksamkeit des Risikomanagementprozesses zu bewerten. Sie dienen dazu, die Fortschritte bei der Identifizierung, Bewertung, Bewältigung und Überwachung von Risiken zu verfolgen und sicherzustellen, dass das Risikomanagement den erwarteten Nutzen bringt und den Anforderungen der Organisation gerecht wird.
Die Erfolgsmessgrößen können je nach den spezifischen Zielen und der Natur des Risikomanagementprozesses variieren, aber typische Beispiele für Erfolgsmessgrößen im Risikomanagement sind:
- Risikoreduktion: Die Verringerung der Anzahl und Schwere der identifizierten Risiken im Laufe der Zeit zeigt, dass das Risikomanagement effektiv ist und dazu beiträgt, potenzielle Probleme frühzeitig zu erkennen und zu adressieren.
- Effizienz und Effektivität: Die Effizienz misst die Kosten und Ressourcen, die für das Risikomanagement aufgewendet werden, während die Effektivität die Ergebnisse und den Wert des Risikomanagementprozesses bewertet. Ein ausgewogenes Verhältnis zwischen Effizienz und Effektivität ist wichtig, um sicherzustellen, dass das Risikomanagement angemessen durchgeführt wird und einen Mehrwert bietet.
- Reaktionszeiten: Die Zeit, die benötigt wird, um auf identifizierte Risiken zu reagieren und entsprechende Maßnahmen zu ergreifen, ist ein wichtiger Indikator für die Agilität des Risikomanagementprozesses.
- Vermeidung von Risikoeintritt: Die Verhinderung oder Minimierung von Risikoeintritten zeigt, dass der Risikomanagementprozess dazu beiträgt, potenzielle Risiken rechtzeitig zu erkennen und zu verhindern, dass diese tatsächlich eintreten.
- Vermeidung von Verlusten: Die Begrenzung von finanziellen Verlusten oder anderen negativen Konsequenzen aufgrund von Risiken ist ein kritischer Indikator für den Erfolg des Risikomanagementprozesses.
- Verbesserung der Risikokommunikation: Eine verbesserte und transparente Kommunikation über Risiken und Risikomanagementaktivitäten zwischen den verschiedenen Ebenen der Organisation und relevanten Stakeholdern zeigt eine gestärkte Risikokultur und -sensibilität.
Die Auswahl der Erfolgsmessgrößen sollte gut abgestimmt sein auf die spezifischen Ziele und Prioritäten des Risikomanagementprozesses und regelmäßig überprüft und aktualisiert werden, um sicherzustellen, dass die Messgrößen die tatsächliche Leistung des Risikomanagementprozesses widerspiegeln. Erfolgsmessgrößen spielen eine wichtige Rolle bei der kontinuierlichen Verbesserung des Risikomanagements und der Sicherstellung, dass das Risikomanagement den beabsichtigten Nutzen für die Organisation bringt.
Der Einsatz von Risikomanagement-Software
Risikomanagement-Software ist eine spezielle Art von Softwarelösung, die Unternehmen und Organisationen dabei unterstützt, den gesamten Prozess des Risikomanagements effizient und digital zu planen, durchzuführen und zu überwachen. Diese Softwarelösungen wurden entwickelt, um den Umgang mit Risiken in einer Organisation zu vereinfachen und zu verbessern, indem sie verschiedene Funktionen und Tools zur Risikoerfassung, Bewertung, Bewältigung, Überwachung und Berichterstattung bieten.
Risikomanagement-Software kann als Cloud-basierte Lösung oder als lokal installierte Anwendung verfügbar sein. Die Auswahl der geeigneten Risikomanagement-Software hängt von den spezifischen Anforderungen und Größen des Unternehmens ab. Die Nutzung dieser Software unterstützt Unternehmen dabei, Risiken proaktiv zu steuern, den Risikomanagementprozess zu optimieren und die Entscheidungsfindung zu verbessern.
Vorteile der Nutzung von Risikomanagement-Software
Die Nutzung von Risikomanagement-Software hilft Unternehmen, den gesamten Risikomanagementprozess professionell zu strukturieren, die Zusammenarbeit zu erleichtern und einen besseren Überblick über ihre Risikolandschaft zu erhalten. Durch die Automatisierung vieler Prozesse können Ressourcen eingespart und die Risikobewältigung optimiert werden. Darüber hinaus trägt eine verbesserte Transparenz und Berichterstattung zur besseren Entscheidungsfindung und zum Aufbau eines robusten Risikomanagementsystems bei.
- Zentrale Datenspeicherung: Risikomanagement-Software ermöglicht die zentrale Datenspeicherung aller Informationen zu identifizierten Risiken, Bewertungen, Maßnahmen und Statusberichten. Dadurch haben alle relevanten Mitarbeiter und Abteilungen Zugriff auf aktuelle und konsistente Informationen.
- Strukturierte Risikoerfassung: Die Software unterstützt bei der systematischen Erfassung und Dokumentation von Risiken. Sie bietet oft vorgefertigte Vorlagen und Formulare, um sicherzustellen, dass alle relevanten Informationen erfasst werden.
- Automatisierte Risikobewertung: Risikomanagement-Software ermöglicht die automatische Berechnung von Risikoprioritätszahlen (RPZ) oder anderen Bewertungen auf Grundlage von Eintrittswahrscheinlichkeit, Auswirkung und anderen Kriterien. Dadurch werden Bewertungsprozesse beschleunigt und standardisiert.
- Risikomonitoring und Frühwarnsystem: Die Software ermöglicht eine kontinuierliche Überwachung von Risiken und verfügt oft über Frühwarnsysteme, die es ermöglichen, frühzeitig auf sich entwickelnde Risiken zu reagieren.
- Workflow-Unterstützung: Risikomanagement-Software bietet oft Workflow-Funktionalitäten, um die Verfolgung von Maßnahmen und Zuständigkeiten zu erleichtern. Das erleichtert die Zusammenarbeit und die Koordination zwischen den Teams.
- Berichterstattung und Analyse: Die Software ermöglicht die Erstellung von übersichtlichen Berichten und Analysen über den aktuellen Stand der Risiken und des Risikomanagementprozesses. Das erleichtert die Kommunikation mit der Geschäftsleitung und anderen Stakeholdern.
- Integration in andere Systeme: Viele Risikomanagement-Softwarelösungen lassen sich nahtlos in andere Unternehmenssysteme wie ERP-Systeme oder Business Intelligence-Tools integrieren. Dadurch können Daten einfach ausgetauscht und Synergien genutzt werden.
- Skalierbarkeit: Risikomanagement-Software kann je nach den Anforderungen und Größe des Unternehmens skaliert werden. Sie ist sowohl für kleine Unternehmen als auch für große Organisationen geeignet.
- Datensicherheit und Datenschutz: Moderne Risikomanagement-Software bietet oft hohe Sicherheitsstandards und Datenschutzmaßnahmen, um vertrauliche Unternehmensinformationen zu schützen.
Video: Risikomanagement mit Robin Data ComplianceOS® durchführen
Risikomanagement mit Robin Data ComplianceOS® durchführen:
Die Bedeutung von Risikoprävention und einer systematischen Risikobetrachtung nimmt für Organisationen stetig zu, um den Schutz vor finanziellen Schäden zu gewährleisten und die organisatorische Zukunft sicher zu gestalten. In der Aufzeichnung der Robin Data Hacks erhalten Sie einen umfassenden Einblick in die Anforderungen an ein effektives Risikomanagement, als Grundlage vieler Management-Systeme und unterschiedlicher Compliance-Felder. Die Robin Data Hacks finden online statt, die Teilnahme ist kostenfrei. Weitere Informationen, Termine und die Möglichkeit zur Anmeldung.
Kennenlern-Meeting mit Robin Data buchen
Gerne zeigen wir Ihnen in einem persönlichen Online-Termin, wie Sie Ihre Anforderungen mit Robin Data ComplianceOS® umsetzen können. Bekommen Sie einen Einblick in den Aufbau und den Funktionsumfang und stellen Sie Ihre Fragen aus Anwendersicht. Buchen Sie zunächst ein kurzes Kennenlern-Meeting mit uns.
Fazit
Ein effektives Risikomanagement ist der Schlüssel zur Sicherheit und Chancennutzung in einer unsicheren Geschäftsumgebung. Indem Unternehmen Risiken proaktiv identifizieren, analysieren und geeignete Strategien zur Minderung implementieren, können sie mögliche Schäden minimieren und gleichzeitig vorteilhafte Möglichkeiten erkennen. Das Risikomanagement sollte als integrierter und kontinuierlicher Prozess betrachtet werden, der die Stabilität und den langfristigen Erfolg eines Unternehmens gewährleistet.
- Internes Kontrollsystem - 10. September 2024
- TISAX-Anforderungen: Schritt für Schritt Zertifizierung vorbereiten - 8. Januar 2024
- Audit-Management: Audits effizienter umsetzen - 26. Oktober 2023