Kontakt aufnehmen

GRASP German GRC
Kostenlos testen

Der risikobasierte Ansatz: Trauen Sie sich was

Veröffentlicht am: 27. August 2025

Max Mustermann

Veröffentlicht am: 27.08.2025

Der risikobasierte Ansatz

Zu Risiken und Nebenwirkungen fragen Sie Ihren Arzt oder Apotheker. Schon an diesem Satz sehen Sie: Risiken bedeuten im deutschen Sprachgebrauch meist nichts Gutes. Um jedoch tiefer ins Risikomanagement im Allgemeinen und in den risikobasierten Ansatz im Speziellen einzusteigen, müssen Sie sich ein Stück weit von dieser Alltagsbedeutung lösen.

Da sowohl das Risk Management als auch der Risk Based Approach aus dem Englischen stammen, gilt es, Risiken nicht nur als Bedrohung, sondern auch als Chancen zu verstehen. Das verdeutlichen Redewendungen wie No Risk, No Fun oder die differenzierte Beschreibung Upside Risk & Downside Risk. Ersteres steht für Chancen, letzteres für Bedrohungen. Zudem ist Risikomanagement die Grundlage für Datenschutz, Informationssicherheit und Business Continuity Management – und erhöht so die Resilienz der eigenen Organisation.

Was ist Risikomanagement?

Risikomanagement ist klar definiert: Zunächst bedeutet es die Identifikation, Bewertung und Priorisierung von Risiken. Darauf folgt der koordinierte und wirtschaftliche Einsatz von Ressourcen, um die Wahrscheinlichkeit oder die Auswirkungen unerwünschter Ereignisse zu minimieren, zu überwachen und zu steuern. Gleichzeitig sollen auch Chancen maximiert werden.

Unternehmen können Risiken also steuern, anstatt sie schicksalhaft als Mischung aus Glück und Pech hinzunehmen. Risikomanagement ist fester Bestandteil der ISO 9001 (Norm für Qualitätsmanagementsysteme). In der Ökonomie gilt Qualitätsmanagement als Summe aller Maßnahmen, die notwendig sind, Prozess- und Arbeitsqualität – und damit die Produkt- und Dienstleistungsqualität – hochzuhalten und zu verbessern. Qualität ist die Erfüllung gestellter Anforderungen, beispielsweise durch Kunden. Diese Anforderungen zu erfüllen, ist immer auch mit Risiken verbunden. Daher gilt es, Risikomanagement professionell zu betreiben, um die gewünschte Qualität sicherzustellen.

Beispiele zum Umgang mit Chancen und Risiken

Mit der Revision der ISO 9001 rückte der Begriff risikobasierter Ansatz stärker in den Fokus. Was ist daran neu? Im Kern hebt der Ansatz die positiven Aspekte des Begriffs „Risiko“ hervor. Zwischen den Zeilen steht: „Trauen Sie sich was.“

Ein Beispiel: Sie haben die Möglichkeit, eine neue Software einzuführen. Aufgrund zu großer Bedenken entscheiden Sie sich dagegen – die Konkurrenz jedoch nicht. Für Ihr Unternehmen könnte das negative Folgen haben. Chancen nicht zu erkennen, kann also selbst wieder ein Risiko darstellen.

Daher gilt: Für die ISO-9001:2015-Zertifizierung ist die Geschäftsführung verpflichtet, den risikobasierten Ansatz im Unternehmen zu implementieren. Spätestens seit Beginn der Corona-Pandemie ist er noch präsenter: Unternehmen mussten in kürzester Zeit Entscheidungen treffen, die vor allem die Prozessqualität betrafen – etwa Remote Work, Lieferkettenanpassungen oder Budgetkürzungen. All dies konnte sowohl Risiken bergen als auch Innovation fördern.

Laut Gartner geben nur 18 % der ERM‑Führungskräfte (Enterprise Risk Management) an, hochwertige Risikoinformationen zu liefern. Noch weniger – nur 14 % – verfügen über wirksame Maßnahmenpläne zur Risikominimierung. Nur 19 % der CROs (Chief Risk Officers) bzw. ERM-Leader haben großes Vertrauen darin, zu erkennen, wann aus einem aufkommenden Risiko eine aktiv zu managende Bedrohung wird Gartner. Diese Zahlen zeigen also, dass weniger als ein Fünftel der relevanten Entscheider aktuell effektiv Risikodezisionen in den geschäftlichen Kontext einbetten und umsetzen können. Keine guten Zahlen

Was ist risikobasiertes Denken?

Eine anschauliche Analogie ist die Überquerung einer Hängebrücke über eine Schlucht. Sobald Sie nach links, rechts oder nach unten blicken, setzt automatisch risikobasiertes Denken ein. Während Sie in Sekunden entscheiden, ob Sie losgehen oder stehenbleiben, lässt sich dieses Prinzip auch auf unternehmerische Risikobewertung übertragen.

Angenommen, die Brücke ist wackelig und alt. Sie haben mehrere Optionen:

  • Akzeptanz: Sie akzeptieren das Risiko und gehen über die Brücke.
  • Vermeidung: Sie vermeiden das Risiko, indem Sie einen anderen Weg wählen oder nach Hause gehen.
  • Reduktion: Sie warten, bis die Brücke repariert ist, und überqueren sie erst dann.
  • Transferierung: Sie schließen eine Versicherung ab, um die Unfallfolgen abzufedern.
  • Aufteilung: Sie überqueren die Brücke gemeinsam mit jemandem und sichern sich gegenseitig ab.
  • Eventualität: Sie kehren zurück, wenn eine Betonbrücke errichtet oder die Schlucht zugeschüttet wurde.

Risiken sind also nicht nur Bedrohungen, sondern immer auch mit Chancen verbunden. Auf der anderen Seite der Brücke könnte beispielsweise ein wichtiger Geschäftstermin warten. Verzichten Sie auf den Übergang, vermeiden Sie zwar das Risiko – aber auch die Chance.

Risiko-Mentalität: Gute und schlechte Risiken unterscheiden

Risikomanagement muss unternehmensweit erfolgen. In vielen Unternehmen ist es jedoch noch Abteilungssache, und die Geschäftsführung wird zu selten eingebunden. Dabei erfordert ein risikobasierter Ansatz einen kulturellen Wandel: Es gibt keinen vollkommen risikolosen Weg. Perfekten Schutz gibt es nicht.

Umso wichtiger ist es, Risiken unternehmensweit zu erkennen, zu benennen und als Basis für künftige Schritte zu nutzen. Idealerweise führt ein CRO (Chief Risk Officer) oder eine vergleichbare Rolle die Bemühungen der Abteilungen zusammen. Gerade in Krisenzeiten ist die Zusammenarbeit zwischen Geschäftsführung und Risikomanagement entscheidend, um Entscheidungen im Rahmen der Risikotoleranz zu treffen.

Risikomanagement ist zudem keine reine IT-Angelegenheit. Auch Stakeholder aus Nicht-IT-Bereichen müssen eingebunden werden. Dabei geht es darum, ein Gleichgewicht zwischen Schutzbedarf und geschäftlichen Anforderungen zu finden – sei es mehr Risiko bei geringeren Kosten oder weniger Risiko bei höheren Kosten.

Unternehmerische Risikobewertung: Wirtschaftliche Vorteile ziehen

Der risikobasierte Ansatz schafft eine Wissensgrundlage, die von reaktiven Maßnahmen hin zu einer proaktiven Verbesserungskultur führt. Nur wenn Risiken organisationsweit abgewogen werden, steigt die Wahrscheinlichkeit, die Leistungsfähigkeit und Qualität langfristig zu sichern. Das wiederum stärkt das Kundenvertrauen und kann Kund:innen zu Fürsprechern machen.

Ist dieser kulturelle Aspekt etabliert, müssen Maßnahmen anhand strategischer und überlebensnotwendiger Ziele priorisiert werden. Managementsysteme bieten hier eine wichtige Grundlage, indem sie Ressourcen bündeln und Abläufe effizienter gestalten.

Wachsen Organisationen und implementieren mehrere Managementsysteme, kann es unübersichtlich werden. Ein integriertes Managementsystem schafft Abhilfe. Insbesondere softwaregestützte Lösungen erhöhen den Effizienzgewinn deutlich: Sie erleichtern das Management von Risiken, Audits, Feststellungen und Maßnahmen durch digitale Dokumentation und intuitive Bedienung.

So lassen sich Strukturen, Prozesse und Systeme zentral erfassen – ähnlich den Synergien, die sich aus der High Level Structure (HLS) ergeben.

Jetzt GRASP 30 Tage kostenlos testen!

Text auf Button: Get Started Free Trial starten

Weitere Beiträge zum Thema

GRASP ist ein Produkt der DextraData GmbH

Siegel Software Made and Hosted in Germany
Siegel Allianz für Cyber-Sicherheit Siegel Lizensierte IT-Grundschutz-Inhalte Siegel ISO 27001 Zertifizierung

Module

ISMS - Software für Informationssicherheit

DSMS - Software für Datenschutzmanagement

Internal Audit - Software für Auditmanagement

QM - Software für Qualitätsmanagement

BCM - Software für Business Continuity Management

Verknüpfung von GRASP mit Business-Apps

Regularien & Zertifizierungen

NIS2 Umsetzungsgesetz erfüllen

Zertifizierung nach ISO/IEC 27001 umsetzen

BSI-Standard 200-4 etablieren

DSGVO-Anforderungen umsetzen

Neues bei GRASP

Unternehmen

Über uns

GRASP FAQs

Trust Center - Unser Versprechen

Sie haben noch Fragen?
Kontaktieren Sie uns gerne!

© DextraData GmbH

Impressum

AGB

Datenschutzerklärung

Cookie-Einstellungen