Menü

Resilienz durch prozessorientiertes Risikomanagement und die Rolle von Audits und Assessments

Resilienz, Risikomanagement, Cybersecurity

Was ist prozessorientiertes Risikomanagement und welchen Beitrag kann es zur Resilienz von Unternehmen leisten? Dieser Frage geht Benjamin Cevrim, Senior Consultant bei der T&O Unternehmensberatung GmbH, in diesem Fachbeitrag nach.

Der dauerhafte Krisendruck belastet die Unternehmen: angespannte Konjunktur, restriktive Geldpolitik, geopolitische Konflikte, fragile Lieferketten, Regulierungsschübe. In dieser sogenannten Stapelkrise ist „Resilienz“ zum Modewort geworden, doch um Geschäftsmodelle zu stützen, braucht es mehr als Schlagworte. Gerade in der Restrukturierung ist es wichtig, das Unternehmen schnell zu stabilisieren, um am Markt zu bestehen. Wer seine Risiken kennt und diese in Prozesse, Kennzahlen und Entscheidungsroutinen übersetzt, gestaltet die eigene Organisation belastbarer, indem er schnell korrigierend eingreifen kann. Das beschreibt die Fähigkeit der Resilienz gut. So wird aus dem Modewort ein belastbarer Vorteil im Wettbewerb.

Leider managen Organisationen Risiken nur selten strukturiert und reagieren im Zweifelsfall zu spät. Gerade in der Restrukturierung sind Unternehmen damit zu langsam und die Sanierung droht. Risikomanagement fokussiert sich auf die wesentlichen Einflussgrößen und deren Auswirkungen auf Unternehmen. Mit diesen Schritten setzen letztere den richtigen Fokus:

Wesentliche Einflussgrößen und deren Auswirkungen auf Unternehmen

Abb. 1: Wesentliche Einflussgrößen und deren Auswirkungen auf Unternehmen (© Benjamin Cevrim)

Schritt 1: Globale vs. lokale Risikowahrnehmung: Das Richtige im Fokus

Aktuelle Risikoanalysen zeigen deutlich, dass die wahrgenommenen Top Risiken sich je nach Perspektive unterscheiden.

Der Allianz Risk Barometer 2025 (PDF) verdeutlicht im globalen Kontext insbesondere:

  • Cyberangriffe (Systemausfälle, Malware/Ransomware, Datendiebstahl)
  • Klimawandel mit Naturkatastrophen
  • Störungen und Fragmentierung von Lieferketten
  • Strukturelle Instabilität der Weltordnung (Konflikte, Exportkontrollen, neue Zollregime, geopolitische Blöcke)

In der Risk Map 2025 des Kompetenzzentrums und Wissensnetzwerks RiskNET-Community mit starkem Fokus auf Deutschland und die DACH Region zeigt sich ein anderes Bild:

  • Größtes Risiko: Überregulierung und Bürokratie
  • Cyberattacken und IT Infrastruktur „nur“ auf dem zweiten Rang

Der Unterschied ist eindeutig:

  • Global stehen strukturelle, langfristige Risiken im Vordergrund.
  • Lokal dominieren unmittelbar spürbare Hürden (Formulare, Berichtspflichten, Genehmigungsverfahren).

Unternehmen laufen Gefahr, sich operativ in Bürokratieabwehr zu verlieren, während sie elementare Zukunftsrisiken (Cyber, Klima, Lieferkette, geopolitische Brüche) zu wenig systematisch bearbeiten.

Schritt 2: Von der Risiko-Liste zur Restrukturierung: Prozessorientierung als Hebel

Resilienz hat sich in den Medien zu einem Trendwort entwickelt. Es bedeutet, Krisen zu überstehen, sich davon zu erholen und gestärkt daraus hervorzugehen. Hier gibt es nur einen Haken, Unternehmen befinden sich derzeit oftmals in mehreren Krisen zugleich. Man spricht dann von einer sogenannten Stapelkrise. Resilienz ist keine angeborene Fähigkeit und schon gar nicht ein Produkt, das man im Laden kaufen kann, sondern Resilienz muss systematisch aufgebaut werden. Resilient zeigt sich eine Organisation, wenn Probleme und Herausforderungen strukturiert und systematisch bewältigt werden.

Der Umgang mit Risiken hat dabei einen signifikanten Einfluss:

  1. Strukturiert erfassen und bewerten,
  2. in Geschäftsprozesse überführen,
  3. mit klaren Kennzahlen hinterlegen und
  4. laufend überwachen und nachgesteuert werden.

Restrukturierung in der Krise bedeutet daher vor allem, die eigene Prozesslandschaft so aufzustellen, dass sie Risiken und Chancen systematisch begegnen kann. Zuerst sollte das Unternehmen die wirklichen Stellhebel in den wertschöpfungsrelevanten Prozessen identifizieren und dann die Maßnahmen dort zu platzieren, wo sie den größten Effekt auf Stabilität, Kosten und Liefersicherheit entfalten.

Schritt 3: Anforderungen an eine prozessorientierte Restrukturierung

Damit Risiken nicht in Präsentationen und Registerlisten verharren, sondern steuerungsrelevant werden, müssen die Prozesse im Unternehmen bestimmten Mindestanforderungen entsprechen:

Anforderung an prozessorientierte Restrukturierung

Abb. 2: Anforderung an prozessorientierte Restrukturierung (© Benjamin Cevrim)

Klare Definition und Verantwortlichkeit

  • Prozesse sind eindeutig beschrieben und die Ziele, Inputs, Outputs sowie Schnittstellen sind definiert.
  • Rollen und Verantwortlichkeiten („Process Owner“ & „Process Team“) sind festgelegt und werden gelebt.
  • Randbedingungen (zum Beispiel regulatorische Anforderungen, IT Abhängigkeiten, Lieferantenabhängigkeiten) sind pro Prozess transparent.

Ohne diese Basis lassen sich Risiken nur allgemein („IT Risiko“, „Lieferkettenrisiko“) diskutieren, aber nicht konkret bearbeiten.

Messbarkeit durch geeignete Kennzahlen

Die Prozesse müssen so gestaltet sein, dass sie messbar sind. Dabei ist wichtig, ein Kennzahlensystem mit mehreren Ebenen aufzubauen:

  • (Prozess-) Ergebniskennzahlen:
    zeigen, ob der Prozess den gewünschten Beitrag zur Strategie bringt: Marktanteil, OTIF (Ontime in Full-Lieferquote), Umsatz, Durchlaufzeit, Kundenzufriedenheit, Fehlerrate, Reklamationsquote, Wiederanlaufzeit nach Störungen
  • (Prozess-) Leistungskennzahlen:
    dokumentieren, ob der Prozess so leistungsfähig ist wie gewünscht, zum Beispiel Plan-/Zieldurchlaufzeit, Plan-/Ist-Termintreue, Plan-/Ist-Aufwand, etc.
  • Schnittstellenkennzahlen:
    überwachen Übergaben zwischen Abteilungen, IT Systemen oder externen Partnern, zum Beispiel Datenqualität, Vollständigkeit von Auftragsinformationen, Zeit bis zur Bestätigung.
  • Übergeordnete Kennzahlen (Prozessgruppen / Wertströme):
    fassen die Wirkung mehrerer Prozesse zusammen, z.B. OEE, Lieferfähigkeit, Service Level, EBITDA Beitrag, Fehlerkostenquote.

Damit diese Kennzahlen für das Risikomanagement nutzbar werden, müssen sie:

  • zielgerichtet sein (kein Selbstzweck, sondern abgeleitet aus Unternehmens und Risikostrategie),
  • vergleichbar sein (Zeitverläufe, Benchmarks, Prozessvarianten),
  • sensitiv sein (Veränderungen in der Risikosituation müssen erkennbar durchschlagen).

Ein oft anzutreffendes Negativbeispiel: Die Kennzahl „Anzahl bearbeiteter Tickets“ in einer IT Abteilung sagt kaum etwas über Risikoreduktion aus. Relevanter wären Kennzahlen wie mittlere Wiederherstellungszeit kritischer Systeme (MTTR), Anteil rechtzeitig eingespielter Sicherheitsupdates oder Quote erfolgreich bestandener Security Tests.

Schritt 4: Audit, Interne Audits und Interne Revision als Wirksamkeitsnachweis – „Assurance“ zwischen Prozessdesign und Steuerung

Damit prozessorientiertes Risikomanagement in der Restrukturierung nicht bei Prozessbeschreibungen und Kennzahlen stehen bleibt, benötigt es eine systematische Wirksamkeitsprüfung. Audits (im Sinne von internen Audits nach Managementsystem-Logik), die Interne Revision sowie themenspezifische Assessments übernehmen hier eine zentrale Rolle. Sie schaffen evidenzbasiert Klarheit darüber, ob Risiken richtig adressiert und Maßnahmen tatsächlich wirksam umgesetzt werden.

Aus der Praxis im Umfeld von Audit- und Assessment-Formaten lassen sich drei typische Schwachstellen erkennen, die in Restrukturierungssituationen besonders häufig auftreten:

  1. Design-Lücke (Konzept passt nicht zur Risikorealität): Risiken werden zwar benannt, aber im Prozessdesign nicht konsequent in Kontrollen, Verantwortlichkeiten, Schwellenwerte und Eskalationslogiken übersetzt. Ergebnis: „Risikomanagement“ existiert formal, ohne operative Steuerungswirkung.
  2. Umsetzungslücke (Kontrollen werden nicht gelebt): Rollen wie Process Owner sind definiert, jedoch fehlen Nachweise über Durchführung, Aktualität und Konsequenzen bei Abweichungen (zum Beispiel fehlende Freigaben, unklare Vertretungsregeln, Medienbrüche).
  3. Mess-Lücke (Kennzahlen steuern nicht, sondern berichten): Kennzahlen sind vorhanden, aber nicht sensitiv genug, zu spät verfügbar oder ohne klare Trigger für Maßnahmen. Gerade in Krisenlagen führt das zu „Reporting-Routinen“ statt zu wirksamer Steuerung.
Schwachstellen in Audit- und Assessment-Formaten

Abb. 3: Schwachstellen in Audit- und Assessment-Formaten (© Benjamin Cevrim)

Audit- und Revisionsansätze können diese Lücken schließen, wenn sie inhaltlich nicht als reine Konformitätsprüfung verstanden werden, sondern als prozessorientierte Wirksamkeitsprüfung. Aus der Praxis und den Diskussionen im Fachkreis Audit & Assessment der DGQ zeigt sich ein bewährtes Vorgehen, bei dem der Ansatz einer klassischer Prüfungslogik angewendet wird:

  • Risiko–Kontrolle–Kennzahl–Maßnahme (Konsistenzkette),
  • Nachweisführung (Was belegt die Durchführung und Wirksamkeit?),
  • Eskalation & Entscheidung (Welche Schwellenwerte lösen welche Entscheidung aus?),
  • Schnittstellenrobustheit (Übergaben zwischen Bereichen/IT/Lieferanten als Fehlerquellen).

Externe Potenzialanalysen (Operation Due Diligence) als Beschleuniger

In Restrukturierungen ist Zeit ein kritischer Faktor. Externe Potenzialanalysen im Sinne einer Operation Due Diligence können den beschriebenen Assurance-Ansatz erheblich verstärken, weil sie:

  • schnell einen unabhängigen Realitätsabgleich liefern (Prozessfähigkeit vs. Planannahmen),
  • Schwachstellen in End-to-End-Prozessen sichtbar machen (inkl. Schnittstellen, Datenqualität, operativer Governance),
  • Benchmarks und „Best-in-Class“-Vergleiche einbringen,
  • die Umsetzbarkeit von Maßnahmen (Ressourcen, Taktung, Abhängigkeiten) nüchtern bewerten.

Damit wird Audit/Assessment nicht zum „zusätzlichen Prüfaufwand“, sondern zum gezielten Instrument, um zwischen Prozessdesign (Schritt 3) und Steuerungszyklus (Schritt 4) belastbare Evidenz zu schaffen:

  • Was funktioniert bereits?
  • Was ist nur Papier?
  • Wo sind die wenigen Punkte mit maximaler Hebelwirkung?

Schritt 5: Systematische Nachverfolgung und Bewertung

Kennzahlen allein erzeugen noch keine Resilienz. Es braucht einen etablierten und gelebten Management Zyklus gemäß PDCA. Dieser Zyklus ist der Kern einer restrukturierungsfähigen Organisation: Risiken werden nicht nur dokumentiert, sondern führen zu nachvollziehbaren, messbaren Eingriffen in Prozesse und Strukturen.

Beispiel: Sensitivitätsanalyse von Prozessen

Ein praxisnaher Ansatz zur Priorisierung von Restrukturierungsmaßnahmen ist die Sensitivitätsanalyse von Prozessen:

Die relevanten Prozesse des Wertstroms (am Beispiel eines Isolierglasherstellers: Zuschnitt, Veredelung, Zusammenbau, Qualitätssicherung, Logistik) sind zu identifizieren. Für jeden Prozess wird analysiert, in welchem Umfang er zu Fehlerkosten, Lieferverzug, Qualitätsabweichungen oder Sicherheitsrisiken beiträgt. Prozessauswahl und Prozessanalyse sollte stets mit den Systembeauftragten (IMS, Prozessmanager, …) und eine sachkundige Person wie ein Risikomanager durchgeführt werden. Anschließend wird bewertet, wie stark bestimmte Maßnahmen (zum Beispiel zusätzliche Prüfungen, Automatisierungsschritte, redundante Ressourcen, IT Backup Konzepte) diesen Beitrag reduzieren können.

Das Ergebnis könnte so aussehen:

  • Nicht alle Prozesse sind gleich kritisch.
  • Einige wenige Prozesse haben überproportional großen Einfluss auf Stabilität, Kosten und Liefersicherheit.
  • Genau dort lohnt es sich, im Rahmen von Restrukturierung gezielt Ressourcen zu konzentrieren und Maßnahmen zu verankern.

Kombiniert mit einem geeigneten Kennzahlensystem können Unternehmen so nachvollziehen, ob etwa:

  • Cyberrisiken durch Maßnahmen in kritischen IT Prozessen tatsächlich zu weniger produktionsrelevanten Ausfällen führen.
  • Lieferkettenrisiken durch Anpassungen in Beschaffungs und Planungsprozessen spürbar verringert werden.
  • Bürokratische Anforderungen effizient in bestehende Prozesse und Managementsysteme integriert werden, ohne zusätzlichen „Wildwuchs“ auszulösen.

Schritt 6: Managementsysteme nutzen & Doppelstrukturen vermeiden

Viele Organisationen verfügen bereits über Elemente etablierter Managementsysteme (zum Beispiel Qualität, Umwelt, Energie, Informationssicherheit, Datenschutz). Häufig werden Anforderungen jedoch als Insellösungen isoliert voneinander umgesetzt – hier ein paar Beispiele:

  • Mehrere Teams bearbeiten Nachhaltigkeit, Umweltschutz und Energieeffizienz parallel.
  • Die Umsetzung von NIS2 läuft unabhängig von Verantwortlichen für DSGVO und ISMS nach ISO 27001.
  • Neue Berichtspflichten werden in separaten Tools und Prozessen abgebildet.

Die Folge: Doppelarbeit, Medienbrüche und schwer steuerbare Strukturen treten auf. Hingegen nutzt ein prozessorientiertes Risikomanagement Managementsysteme als Rahmen und integriert neue regulatorische und technologische Anforderungen:

  • in bestehende Prozesse, statt zusätzliche Schattenprozesse zu schaffen,
  • in ein zentrales, abgestimmtes Kennzahlsystem, statt isolierte Reporting Inseln aufzubauen.

Mit klarer Verantwortlichkeit, statt unkoordiniertem Aktionismus.

Fazit: Restrukturierung braucht messbare Strukturen und Prozesse, nicht nur gute Absichten.

Wenn Stapelkrisen zum Dauerzustand geworden sind, reicht es nicht, Resilienz als Leitbild zu proklamieren. Bei einer nachhaltigen Restrukturierung müssen Unternehmen:

  • globale und lokale Risikoperspektiven zusammenführen,
  • Risiken konsequent in Prozesse überführen,
  • Kennzahlensysteme aufbauen, die Risikorelevanz abbilden (Designlücke vermeiden),
  • Maßnahmen systematisch nachverfolgen und bewerten (Umsetzungslücke vermeiden),
  • mit den Ergebnissen der Messungen konsequent arbeiten und zahlenbasiert Entscheidungen treffen (Messlücke vermeiden).

Organisationen mit gut entwickelten, gelebten Prozessstrukturen und einem durchdachten Kennzahlsystem können schneller und zielgerichteter auf äußere Einflüsse reagieren, eben resilienter. Der Weg aus der Restrukturierung wird so vom einmaligen Kraftakt zur kontinuierlichen, messbaren Fähigkeit des Unternehmens, mit Veränderungen umzugehen. Das ist gelebte Resilienz im Sinne des Unternehmens.

 

Über den Autor:
Benjamin Çevrim ist Senior Consultant bei der T&O Unternehmensberatung GmbH und spezialisiert auf die Implementierung sowie Optimierung integrierter Managementsysteme mit Fokus auf den klassischen Systemen, sowie Prozess-, Risiko- und Nachhaltigkeitsmanagement. Der Master of Arts in Risiko- und Compliancemanagement verbindet seine Beratungsexpertise mit aktivem ehrenamtlichem Engagement in der DGQ, unter anderem in den Fachkreisen Audit und Assessment, Nachhaltigkeit sowie im Regionalkreis Hannover. In seinen Publikationen und Projekten legt er besonderen Wert darauf, normative Anforderungen in schlanke, resiliente Unternehmensprozesse zu überführen.

Audit

Auditor Qualität

Als DGQ-Qualitätsbeauftragter und DGQ-Qualitätsmanagement-beauftragter lernen Sie intern und Lieferanten nach DIN
EN ISO 9001 erfolgreich zu auditieren. Somit leisten Sie einen entscheidenden Beitrag zum Erfolg Ihres Qualitätsmanagementsystems.

Mehr Details
Ein scharf fokussiertes rotes Paragraphenzeichen steht auf einer rustikalen Holzoberfläche, im unscharfen Hintergrund wechseln weitere rote und weiße Paragraphensymbole vor einem warmbraunen Hintergrund.

KI-Verordnung: Rechtliche Anforderungen in Unternehmen

Die EU hat mit der KI-Verordnung (AI Act) einen rechtlichen Rahmen für den Einsatz von künstlicher Intelligenz geschaffen. Lernen Sie in diesem Seminar die rechtlichen Anforderungen anhand praktischer Beispiele kennen.

Mehr Details
Deutsche Gesellschaft für Qualität 647 Bewertungen auf ProvenExpert.com