Risiko-Taxonomie entwickeln: So bringen Sie Ordnung in Ihr Risikomanagement

Lesezeit: ca. 7 Minuten | Stand: Februar 2026 | Autor: Marvin Zimbelmann

Die meisten Unternehmen starten ihr Risikomanagement mit dem Risikoregister. Sie sammeln Risiken, bewerten sie und füllen Excel-Listen. Das Problem: Ohne klare Struktur wird daraus eine chaotische Sammlung, in der strategische Risiken neben IT-Problemen stehen und niemand weiß, ob „Fachkräftemangel" jetzt ein operatives oder ein strategisches Risiko ist.

Die Lösung heißt Risiko-Taxonomie. Sie ist das Ordnungssystem, das VOR dem Risikoregister kommen muss – nicht danach. Wie Sie eine Taxonomie entwickeln, die zu Ihrem Unternehmen passt, erfahren Sie hier.

Was ist eine Risiko-Taxonomie – und was nicht?

Eine Risiko-Taxonomie ist die Kategorisierung aller Risikoarten in Ihrem Unternehmen. Sie definiert Hauptkategorien (z. B. „Strategische Risiken") und Unterkategorien (z. B. „Marktveränderungen", „Geschäftsmodell-Disruption") in einer logischen Hierarchie.

Wichtig: Die Risiko-Taxonomie ist nicht zu verwechseln mit der EU-Taxonomie. Die EU-Taxonomie ist ein Klassifikationssystem für nachhaltige Wirtschaftsaktivitäten im Rahmen des European Green Deal. Die Risiko-Taxonomie dagegen ist ein internes Ordnungssystem für Ihr Risikomanagement – komplett unabhängig von der EU-Regulierung.

Und sie ist auch kein Risikokatalog. Der Risikokatalog listet konkrete Einzelrisiken auf. Die Taxonomie liefert die Struktur, in die diese Einzelrisiken einsortiert werden. Erst die Taxonomie, dann der Katalog, dann das Risikoregister.

Warum die Taxonomie der erste Schritt sein muss

Wer direkt mit dem Risikoregister startet, baut ein Haus ohne Fundament. Das zeigt sich spätestens, wenn drei Probleme auftauchen:

Problem 1: Jeder versteht etwas anderes. Der Vertriebsleiter meldet „Umsatzrückgang" als strategisches Risiko. Die Controllerin sieht es als finanzielles Risiko. Der IT-Leiter hätte es als operatives Risiko eingestuft, weil das CRM-System schuld ist. Ohne Taxonomie gibt es keine gemeinsame Sprache.

Problem 2: Doppelungen und Lücken. Ohne Struktur landen manche Risiken dreifach im Register – unter verschiedenen Namen in verschiedenen Abteilungen. Andere Risikobereiche tauchen gar nicht auf, weil niemand dafür zuständig war. Typische blinde Flecken: ESG-Risiken, Reputationsrisiken und geopolitische Risiken.

Problem 3: Keine sinnvolle Aggregation. Wenn Sie dem Vorstand oder der Geschäftsführung berichten wollen, brauchen Sie verdichtete Aussagen. „Unsere größten Risiken liegen im operativen Bereich" ist eine nützliche Aussage. Die setzt aber voraus, dass Sie Risiken sauber kategorisiert haben.

Die IDW PS 340 n.F. fordert explizit eine systematische Erfassung und Kategorisierung von Risiken. Ohne Taxonomie erfüllen Sie diese Anforderung nicht. Und wie im Leitfaden zum RMS-Aufbau beschrieben: Die Taxonomie ist bewusst Schritt 1 von 7, weil alles Weitere darauf aufbaut.

Die typischen Kategorien einer Risiko-Taxonomie

In der Praxis haben sich acht Hauptkategorien bewährt, die für die meisten mittelständischen Unternehmen funktionieren:

• Strategische Risiken: Marktveränderungen, Geschäftsmodell-Risiken, M&A-Risiken, Wettbewerbsdruck. Alles, was die langfristige Ausrichtung des Unternehmens betrifft.

• Operative Risiken: Prozessfehler, Produktionsausfälle, Lieferkettenunterbrechungen, Qualitätsmängel. Die Risiken des Tagesgeschäfts.

• Finanzielle Risiken: Liquiditätsengpässe, Währungsrisiken, Kreditausfälle, Zinsänderungen. Alles, was direkt auf die Bilanz schlägt.

• Compliance-Risiken: Gesetzesverstöße, Bußgelder, Sanktionsverstöße, Datenschutz-Verletzungen. Die regulatorische Dimension.

• ESG-Risiken: Klimarisiken, Menschenrechtsverletzungen in der Lieferkette, Umweltschäden, Greenwashing-Vorwürfe. Seit CSRD und LkSG kein „Nice-to-have" mehr.

• Personalrisiken: Fachkräftemangel, Schlüsselpersonen-Abhängigkeit, Know-how-Verlust, Arbeitssicherheit. Der Faktor Mensch.

• Externe Risiken: Geopolitische Entwicklungen, Naturkatastrophen, Pandemien, regulatorische Umbrüche. Risiken, die Sie nicht kontrollieren können.

• Technologie- & Innovationsrisiken: Cyber-Angriffe, IT-Systemausfälle, technologische Disruption, KI-Risiken. Durch den EU AI Act und NIS2 ein wachsender Bereich.

Diese acht Kategorien decken das ab, was ISO 31000 und COSO ERM als vollständiges Risikouniversum beschreiben. Sie sind breit genug, um nichts zu übersehen – und schmal genug, um handhabbar zu bleiben.

Wie viele Kategorien sind richtig?

Die Frage klingt banal, ist aber entscheidend. In der Praxis gibt es zwei typische Fehler:

Zu wenige Kategorien (3–4). Beispiel: Nur „Intern", „Extern" und „Finanziell". Das Problem: Die Kategorien sind so breit, dass sie keine echte Orientierung bieten. Cyber-Risiken und Personalrisiken landen im selben Topf. Die Aggregation wird wertlos.

Zu viele Kategorien (15+). Beispiel: Eigene Kategorien für „Reiserisiken", „Vertragslaufzeiten", „Rohstoffpreise" und „Social Media Shitstorms". Das Problem: Niemand kann sich die Struktur merken, die Zuordnung wird willkürlich und der Pflegeaufwand explodiert.

Die Faustregel: 6 bis 10 Hauptkategorien, jeweils 3 bis 5 Unterkategorien. Das ergibt 25 bis 50 Unterkategorien – genug Granularität für eine differenzierte Steuerung, wenig genug für die tägliche Anwendbarkeit.

Für ein produzierendes Unternehmen im Mittelstand mit 200 Mitarbeitern reichen oft 7 Hauptkategorien mit insgesamt 30 Unterkategorien. Ein international tätiger Konzern braucht vielleicht 10 Hauptkategorien mit 50 Unterkategorien. Aber mehr als das wird fast immer kontraproduktiv.

So entwickeln Sie Ihre eigene Taxonomie: Der 5-Schritte-Prozess

Schritt 1: Bestandsaufnahme

Sammeln Sie, was bereits vorhanden ist. Bestehende Risikolisten, Audit-Berichte, Versicherungspolicen, Vorfallsdokumentationen. Daraus ergibt sich ein erstes Bild der Risikolandschaft.

Schritt 2: Standard-Taxonomie als Startpunkt

Nehmen Sie die acht Kategorien aus diesem Artikel als Ausgangsbasis. Nicht alles muss bei Null anfangen. Ein bewährtes Rahmenwerk anzupassen ist effizienter als ein eigenes zu erfinden.

Schritt 3: Branchenspezifische Anpassung

Hier wird es individuell. Ein Logistikunternehmen braucht unter „Operative Risiken" andere Unterkategorien als ein Softwarehaus. Ein Chemieunternehmen wird „Umweltrisiken" granularer aufschlüsseln als ein Finanzdienstleister.

Fragen Sie sich: Welche Risiken sind in unserer Branche spezifisch? Was zeigen Branchenverbände und Fachpublikationen als Top-Risiken? Wo haben wir in der Vergangenheit tatsächlich Schäden erlitten?

Schritt 4: Workshop mit Schlüsselpersonen

Eine Taxonomie, die am Schreibtisch des Risikomanagers entsteht, scheitert in der Praxis. Binden Sie Geschäftsführung, Bereichsleiter und operative Führungskräfte ein. In einem zweistündigen Workshop können Sie die vorbereitete Struktur validieren und anpassen.

Der Workshop hat einen wichtigen Nebeneffekt: Die Beteiligten verstehen die Struktur, weil sie sie mitgestaltet haben. Das erhöht die Akzeptanz im späteren Risikomanagement-Prozess massiv.

Schritt 5: Dokumentation und Verknüpfung

Dokumentieren Sie die finale Taxonomie in Ihrem Risikomanagement-Handbuch. Definieren Sie für jede Kategorie und Unterkategorie eine kurze Beschreibung und geben Sie zwei bis drei Beispielrisiken an. Das verhindert Zuordnungs-Diskussionen im Alltag.

Verknüpfen Sie die Taxonomie dann mit Ihrem Risk Appetite Statement. Denn der Risikoappetit kann je nach Kategorie unterschiedlich sein: Strategische Risiken werden bewusst eingegangen, Compliance-Risiken minimiert.

Die drei häufigsten Fehler bei der Taxonomie-Entwicklung

Fehler 1: Kopieren ohne Anpassen. Die ISO-31000-Kategorien 1:1 übernehmen funktioniert selten. Jedes Unternehmen hat Schwerpunkte, die eine individuelle Gewichtung erfordern. Standards liefern das Gerüst – den Innenausbau müssen Sie selbst machen.

Fehler 2: Einmal erstellt, nie aktualisiert. Ihre Risikolandschaft verändert sich. Vor fünf Jahren waren KI-Risiken für die meisten Unternehmen irrelevant. Heute gehören sie in jede Taxonomie. Planen Sie eine jährliche Überprüfung ein – idealerweise im Rahmen der jährlichen Risikoanalyse.

Fehler 3: Zu akademisch. Eine Taxonomie muss von der Bereichsleiterin im Vertrieb genauso verstanden werden wie vom Compliance-Officer. Verzichten Sie auf Fachbegriffe, die nur Risikomanagement-Experten kennen. „Operationelle Risiken" sagt vielen nichts – „Risiken im Tagesgeschäft" versteht jeder.

Fazit: Erst die Ordnung, dann die Risiken

Eine Risiko-Taxonomie ist kein bürokratischer Selbstzweck. Sie ist das Fundament, auf dem Ihr gesamtes Risikomanagement steht. Ohne sie wird Ihr Risikoregister zur unsortierten Wunschliste, Ihr Reporting zur Zahlensuppe und Ihr Risk Appetite Statement zur theoretischen Übung.

Die gute Nachricht: Sie brauchen dafür kein Drei-Monats-Projekt. Mit einer Standard-Taxonomie als Ausgangspunkt, einem gut vorbereiteten Workshop und einer sauberen Dokumentation haben Sie Ihre Taxonomie in zwei Wochen stehen.

Der nächste logische Schritt nach der Taxonomie? Das Risikoregister aufbauen, das Ihre Kategorien mit konkreten Einzelrisiken füllt.