Risikomanagement im Unternehmen - Top oder Flop?

Risikomanagement - wünschenswert, aber nicht zwingend?

Risikomanagement ist Teil der Sorgfaltspflicht der obersten Leitung eines Unternehmens. Es ist kein optionales Nice-to-have, sondern eine rechtlich verankerte Führungsaufgabe.

So hat der Verwaltungsrat gemäss OR 716a die Oberaufsicht über die mit der Geschäftsführung betrauten Personen, namentlich im Hinblick auf die Befolgung der Gesetze, Statuten, Reglemente und Weisungen. Hier kommen automatisch Risiken ins Spiel, da kein Unternehmen seine internen und externen Vorgaben vollumfänglich, unbestritten, zu jeder Zeit und nachweisbar einhalten kann und will. Das liegt nur schon daran, als dass viele Gesetze und Verordnungen auf einer sehr hohen Flugebene gehalten sind und einiges an Interpretations- und Handlungsspielraum geben.  

Das Management von Risiken umfasst gemäss dem KMU-Portal des SECO alle Aktivitäten zur Identifikation, Bewertung und Behandlung von Risiken, sei es strategischer, finanzieller oder operativer Art. Entscheidend ist: Agieren statt reagieren.

Allgemeingültige Kernaspekte eines guten Risikomanagements:

• Risiken systematisch identifizieren und priorisieren
• Verantwortlichkeiten klar zuweisen
• Massnahmen planen, umsetzen und kontrollieren
• Laufend überwachen und verbessern

Schon gut – aber bitte ohne Cyberkram?

Viele Unternehmen sehen ihr Risikomanagement traditionell in den Bereichen Finanzen, Betrieb und Compliance. Das war lange Zeit logisch: Die grössten Bedrohungen kamen aus Märkten, Produktion, Lieferketten oder dem Personalbereich. Doch mit der fortschreitenden Digitalisierung haben sich die Spielregeln verändert. Prozesse sind heute stärker automatisiert, vernetzter und abhängiger von IT-Systemen sowie vom Cyberraum (Webshops, Partneranbindungen, etc.). Damit steigt nicht nur die Effizienz, sondern auch die Komplexität – und mit ihr das Risiko.

Cyberrisiken sind längst keine Randerscheinung mehr. Ein erfolgreicher Angriff kann Produktion, Vertrieb oder ganze Geschäftsmodelle lahmlegen. Die Kosten solcher Vorfälle stehen denen klassischer Risiken in nichts nach. Wer also nur auf finanzielle oder operative Risiken schaut, übersieht einen zentralen Teil des heutigen Unternehmensrisikos.

Ein modernes Risikomanagement muss IT- resp. Cyberaspekte zwingend berücksichtigen. Zum Beispiel mit Hilfe des IKT-Minimalstandards kann die Cyberresilienz eines Unternehmens standardisiert analysiert werden.  

Ob IT- und Cyberrisiken im bestehenden Risikomanagement integriert oder über ein separates Informationssicherheitsmanagementsystem (ISMS) geführt werden, ist nicht so entscheidend. Entscheidend ist, dass die Risiken gesamtheitlich analysiert und gegeneinander gewogen werden. Nur so bleibt das Risikomanagement vollständig, aktuell und unternehmensrelevant.

Risikomanagement-Tool? Ich hab doch Excel.

Klar – Excel ist flexibel, bekannt und für einfache Risikoübersichten durchaus brauchbar. Doch spätestens, wenn mehrere Personen zusammenarbeiten, Versionen entstehen und Massnahmen nachverfolgt werden müssen, stösst Excel an seine Grenzen. Transparenz, Nachvollziehbarkeit und konsistente Datenpflege bleiben auf der Strecke.

Ein modernes Risikomanagement braucht mehr als Tabellen. Es braucht Struktur, Nachverfolgbarkeit und klare Verantwortlichkeiten. Genau hier setzt fortControl an - die Lösung wurde entwickelt, um insbesondere auch Schweizer KMU den Aufbau und Betrieb eines ISMS zu ermöglichen – schnell, einfach und professionell.

Mit fortControl wird Risikomanagement:

• Nachvollziehbar: Jede Änderung, Bewertung und Entscheidung ist dokumentiert und auditierbar.  
• Kollaborativ: Teams, externe Partner und Berater arbeiten gleichzeitig und strukturiert an denselben Daten.  
• Effizient: Toolgestützte Prozesse im Bereich der Assessments und der Risikoanalyse. Filter und Dashboards zeigen sofort, wo Handlungsbedarf besteht.

👉 Wie baue ich ein effizientes ISMS? Lese "in 8 Schritten zu einem ISMS"