Erläuterung des Unternehmensrisikomanagements: Der (un)vollständige Leitfaden

Die Kunst und Wissenschaft des Umgangs mit Unsicherheit – denn bei ERM geht es ebenso sehr um Urteilsvermögen und Kultur wie um Kontrollen und Daten.

Madeline Reigh
Madeline Reigh Oktober 23, 2025 6 min gelesen Hören Sie sich die AI-Übersicht an
Was ist eine Tabletop-Übung zur Notfallwiederherstellung?

Stellen Sie sich vor, Sie stellen fest, dass die Hälfte Ihrer Lieferanten seit einem Jahr nicht mehr bewertet wurde – oder dass der Einsatz von KI in Ihrem Unternehmen schneller wächst, als Ihr Governance-Rahmen mithalten kann. Laut einer aktuellen Studie von „ “ ist diese mangelnde Transparenz für viele Unternehmen Realität, von denen viele dadurch möglicherweise unwissentlich mit eskalierenden, sich verschärfenden Risiken konfrontiert sind.

Enterprise Risk Management (ERM) wurde entwickelt, um Ordnung ins Chaos zu bringen. In der Praxis ist ERM jedoch kein statisches Rahmenwerk, sondern eine lebendige Disziplin, die die Wissenschaft von Daten, Prozessen und Compliance mit der Kunst des Urteilsvermögens, der Kultur und der Anpassungsfähigkeit verbindet. Diese Mischung aus Struktur und Intuition entscheidet darüber, ob ERM zu einem echten strategischen Vorteil wird oder nur eine weitere Berichterstattungsfunktion ist, die als „die Abteilung des Neins“ bekannt ist.

Wir nennen dies den (un)vollständigen Leitfaden, da jedes ERM-Programm einzigartig ist. Das Rahmenwerk mag universell sein, aber wie Sie es anwenden, hängt von Ihrer Branche, Ihrer Reife und Ihrer Risikobereitschaft ab.

In diesem Beitrag behandeln wir folgende Themen:
  1. Die Wissenschaft: Was ist Unternehmensrisikomanagement?
  2. Die Kunst: Warum ERM-Programme wichtiger denn je sind
  3. Sechs Schritte zur Umsetzung eines strategischen ERM-Programms
  4. Kunst und Wissenschaft verbinden: Best Practices für die Aufrechterhaltung eines Unternehmensrisikomanagementprogramms
  5. Nächste Schritte: Optimierung des Unternehmensrisikomanagements mit Mitratech

Die Wissenschaft: Was ist Unternehmensrisikomanagement?

Enterprise Risk Management (ERM) ist ein ganzheitlicher Ansatz zur Identifizierung, Bewertung, Steuerung und Überwachung von Risiken in einem Unternehmen. Anstatt Risiken nach Abteilungen oder Funktionen zu isolieren, bietet ERM einen einheitlichen Rahmen, der sicherstellt, dass jede Art von Risiko – von strategischen und Reputationsrisiken über finanzielle und regulatorische Risiken bis hin zu Cyber- und Drittparteienrisiken – auf vernetzte Weise behandelt wird.

Diese einheitliche Perspektive ist wichtig, da Risiken selten – wenn überhaupt – isoliert auftreten. Ein Cybersicherheitsvorfall kann sich auf Lieferketten, Compliance-Verpflichtungen und den Ruf auswirken, während eine unzureichende Überwachung von Drittanbietern operative, finanzielle und regulatorische Konsequenzen nach sich ziehen kann. ERM stellt sicher, dass Führungskräfte das „große Ganze“ im Blick behalten und flexibel reagieren können.

Die Kunst: Warum ERM-Programme wichtiger denn je sind

Enterprise Risk Management (ERM) war schon immer wichtig, aber in der heutigen Zeit, in der sich das Tempo, der Umfang und die Vernetzung von Risiken weiter beschleunigen, ist es besonders entscheidend. 

Zunehmende Komplexität von Risiken

Risiken treten nicht isoliert auf – Cybervorfälle, Störungen durch Dritte, regulatorische Änderungen und vieles mehr wirken sich oft gegenseitig verstärkend aus. Ohne eine strukturierte, unternehmensweite Sichtweise laufen Organisationen Gefahr, unvorbereitet zu sein.

Entwicklung der Risikowahrnehmung zum Werttreiber

Auf der jüngsten Enterprise Risk Conference von Gartner betonten Führungskräfte, dass die Komplexität der Regulierung und die Überwachung der KI zu den größten neuen Risiken zählen. ERM wird nun als Wettbewerbsvorteil angesehen – unverzichtbar, um sich in einem sich wandelnden rechtlichen Umfeld in verschiedenen Regionen zurechtzufinden.

Wenn Risikomanagement gut gemacht wird, geht es über die reine Vermeidung von Verlusten hinaus. Es liefert Erkenntnisse, die Unternehmen dabei helfen, bessere Entscheidungen zu treffen, ihre Widerstandsfähigkeit zu verbessern und sogar Wachstumschancen aufzudecken.

ERM verwandelt Risiken von einem nachrangigen Thema in einen Treiber für den Unternehmenswert. Ähnlich wie andere Treiber für den Unternehmenswert erfordert es eine konsequente Pflege, regelmäßige Marktaktivitäten und den Austausch mit anderen Risikoexperten. Wenn Sie sich noch immer auf Rahmenwerke wie das Drei-Linien-Modell(3LoD) oder den COSO-Würfel beziehen, ist es Zeit für eine Aktualisierung. 

Globale behördliche Kontrolle

Ein wichtiger Grund, warum Unternehmen in Enterprise-Risk-Management-Programme (ERM) investieren, ist die Welle globaler Vorschriften und Offenlegungspflichten, die mehr Transparenz, Rechenschaftspflicht und Widerstandsfähigkeit verlangen.

Zu den globalen Vorschriften und Standards, die sich auf ERM-Programme auswirken, gehören:

  • DSGVO (Datenschutz-Grundverordnung) – EU: Verpflichtet Organisationen dazu, Rechenschaftspflicht und Datenschutz durch Technikgestaltung nachzuweisen, wodurch ein strukturiertes Risikomanagement für personenbezogene Daten unerlässlich wird.
  • NIS2-Richtlinie (Netz- und Informationssicherheit) – EU: Erweitert die Verpflichtungen zur Überwachung von Cyberrisiken in kritischen Sektoren und schreibt Risikobewertungen, die Meldung von Vorfällen und die Rechenschaftspflicht auf Vorstandsebene vor.
  • DORA (Digital Operational Resilience Act) – EU: Verlangt von Finanzdienstleistungsunternehmen, dass sie ihre Widerstandsfähigkeit in Bezug auf IT-, Dritt- und Cyberrisiken unter Beweis stellen, was eine kontinuierliche Überwachung und die Integration von ERM erfordert.
  • CSRD (Corporate Sustainability Reporting Directive) – EU: Erweitert die ESG-Offenlegungspflichten und verpflichtet Unternehmen dazu, Risiken in den Bereichen Umwelt, Soziales und Unternehmensführung gemäß globalen Berichtsstandards zu bewerten und zu managen.
  • Cybersicherheits-Offenlegungsvorschriften der US-Börsenaufsichtsbehörde SEC: Börsennotierte Unternehmen müssen wesentliche Cyberrisiken, Governance-Strukturen und Vorfälle melden – dies erfordert vom Vorstand initiierte ERM-Programme für Cyber-Resilienz.
  • SOX (Sarbanes-Oxley Act) – USA: Erfordert interne Kontrollen und Risikomanagementprozesse, um die Genauigkeit der Finanzberichterstattung sicherzustellen.
  • Britischer Corporate Governance Kodex: Erwartet von den Vorständen die Einrichtung und Aufrechterhaltung eines robusten Risikomanagement- und internen Kontrollrahmens, wobei ERM in die Unternehmensführung eingebettet wird.
  • APRA Prudential Standards (Australien): Standards wie CPS 230 (Operational Risk Management) verlangen von Finanzinstituten umfassende Risikomanagement-Rahmenwerke.
  • IFRS-Nachhaltigkeitsstandards (ISSB-Standards – global): Ab 2024 müssen klimabezogene und nachhaltigkeitsbezogene Risiken offengelegt werden, wodurch die Notwendigkeit integrierter ERM-Prozesse betont wird.

Sechs Schritte zur Umsetzung eines strategischen ERM-Programms

Ein erfolgreiches ERM-Programm erfordert einen strukturierten Prozess und eine kulturelle Ausrichtung. Das ERM-Framework von Mitratech umfasst sechs wichtige Schritte:

  1. Kontext definieren

    Legen Sie die Risikobereitschaft und -kapazität Ihres Unternehmens fest, stimmen Sie die Risikotaxonomie ab und richten Sie Governance-Strukturen ein.

  2. Risiken identifizieren

    Verwenden Sie vordefinierte Szenarien, datengestützte Bewertungen und funktionsübergreifende Zusammenarbeit, um über offensichtliche Probleme hinaus auch bedeutende Risiken zu erfassen.

  3. Risiken qualifizieren

    Verstehen Sie die Ursachen, klassifizieren Sie Risiken und bewerten Sie deren Auswirkungen und Wahrscheinlichkeit, um Objektivität zu gewährleisten.

  4. Risiken quantifizieren

    Gehen Sie über qualitative Beurteilungen hinaus, indem Sie den „Value at Risk“ mithilfe von geführten Schätztools und Simulationen berechnen.

  5. Risiken verwalten

    Implementieren Sie Strategien zur Risikominderung, passen Sie das Risikoengagement an die Risikobereitschaft an und fördern Sie kontinuierliche Aktualisierungen und die Zusammenarbeit innerhalb des gesamten Unternehmens.

  6. Gesamtportfolio

    Führen Sie Simulationen durch, überwachen Sie Risiken in Echtzeit und erstellen Sie Berichte, die sich direkt an den Vorstand richten und eine datengestützte Entscheidungsfindung ermöglichen.

Kunst und Wissenschaft verbinden: Best Practices für die Aufrechterhaltung eines Unternehmensrisikomanagementprogramms

Um ERM lebendig und effektiv zu halten, müssen Unternehmen von regelmäßigen Überprüfungen zu einer kontinuierlichen, technologiegestützten Überwachung übergehen.

Bewährte Verfahren:

  • Kontinuität schaffen: Risiken entwickeln sich täglich weiter, daher sollte ERM ein fortlaufender Prozess sein und nicht nur eine vierteljährliche Checkliste.
  • Silos aufbrechen: Verbinden Sie Risikodisziplinen – Cyber, ESG, Dritte, IT – innerhalb einer einzigen Plattform für vollständige Transparenz.
  • Technologie nutzen: KI-gestützte Risikomanagementlösungen helfen dabei, Bewertungen zu automatisieren, die Berichterstattung zu optimieren und vorausschauende Erkenntnisse zu gewinnen.
  • Fördern Sie eine risikobewusste Kultur: Beziehen Sie Stakeholder aller Ebenen ein, von den Geschäftsbereichen bis zur Geschäftsleitung, um eine gemeinsame Verantwortung aufzubauen.
  • Halten Sie sich an Vorschriften: Ordnen Sie Risiken kontinuierlich Gesetzen und Standards zu, um sicherzustellen, dass Ihr Unternehmen jederzeit für Audits bereit ist.

Bei ERM geht es nicht darum, Unsicherheiten zu beseitigen, sondern darum, sicher durch sie hindurch zu navigieren.

3 Schlüssel für ein erfolgreiches ERM-Programm

Was sind sie und warum machen sie einen so großen Unterschied?

Mitratech-Mitarbeiter
Sicherstellung der Konformität mit dem Datenaustausch mit Dritten: Wichtige Vorschriften und bewährte Praktiken

Untersuchen Sie die wichtigsten Überlegungen und Empfehlungen zur Einhaltung der Vorschriften zur gemeinsamen Nutzung von Daten durch Dritte.

Mitratech-Mitarbeiter
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.