Leider haftet dem Risiko-Management in vielen Unternehmen immer noch der Nimbus des hoch spezialisierten, komplexen und weit gehend unverständlichen Expertenthemas an. Risiko-Management wird viel zu häufig als Spezialaufgabe von Mathematikern und Ingenieuren angesehen, die im stillen Kämmerlein über komplizierten statistischen Formeln brüten und deren (ohnehin meist unergründlichen) Erkenntnissen nur geringe Relevanz für die eigene tägliche Arbeit zukommt. Tatsächlich aber ist Risiko-Management nicht auf einen exklusiven kleinen Zirkel von Spezialisten beschränkt, sondern betrifft schlicht und einfach alle Mitarbeiter eines Unternehmens. Dementsprechend sollte die Geschäftsleitung auch das Idealziel, jeden einzelnen Mitarbeiter zu einem „kleinen Risiko-Manager“ zu machen, niemals aus dem Blickpunkt verlieren. Dies bedeutet nicht mehr und nicht weniger, als dass von jedem Mitarbeiter erwartet und gefordert werden darf, bei seiner alltäglichen Arbeit — zumindest bis zu einem bestimmten Grade — auch Risikoaspekte in seine Überlegungen mit einzubeziehen. Die Tatsache, dass sich jeder Mitarbeiter als Risiko-Manager für seinen Arbeitsbereich fühlen sollte, bedeutet allerdings nicht, dass auch jeder Mitarbeiter seine Risiken in Eigenverantwortung zu steuern hat. Vielmehr ist gleichzeitig sicherzustellen, dass sowohl innerhalb der Aufbau- als auch innerhalb der Ablauforganisation klare Strukturen, Aufgabenverteilungen und Verantwortlichkeiten definiert sind und beachtet werden. Nur wenn diese Voraussetzung erfüllt ist, kann auch gewährleistet werden, dass die Verantwortlichen über sämtliche erforderlichen Informationen sowie die unbedingt notwendige Transparenz verfügen, um eine — aus Sicht des Gesamtsunternehmens — wirklich umfassende und ganzheitliche (und dadurch erst effiziente) Risikosteuerung durchzuführen. In jedem Fall ist durch adäquate Organisationsstrukturen sicherzustellen, dass auch im Risiko-Management nicht viele Teiloptima verfolgt werden, sondern sich alle Kräfte auf die Erreichung eines Gesamtoptimums konzentrieren.
Insbesondere Risiken, die stark interdisziplinär geprägt sind und in klassischen Querschnittsfunktionen (wie beispielsweise Finanzwesen, Recht, Informationstechnologie oder Personal) auftreten, müssen unter diesem Gesichtspunkt besonders sorgfältig analysiert werden. Ansonsten besteht die latente Gefahr, dass diese Risiko- Typen parallel von vielen unterschiedlichen Stellen innerhalb eines Unternehmens ge-„managed“ werden. Dies führt schon unter normalen Umständen zu einer Verwischung der Verantwortlichkeiten und resultiert daher vielfach in ineffizienten Prozessen und unnötigen Doppelarbeiten. Bei einer Verschärfung der Risiko-Situation oder aber dem Eintritt eines Risikos hat eine solche Matrixorganisation jedoch häufig zur Folge, dass die Verantwortung entweder auf andere Beteiligte abgeschoben und letztlich nichts unternommen wird oder aber die jeweiligen Beteiligten mit unterschiedlichen Stimmen sprechen. Letzteres kann erfahrungsgemäß dazu führen, dass unkoordinierte Gegenmaßnahmen ergriffen werden, die sich schlimmstenfalls gegenseitig neutralisieren oder die negativen Folgen des Risikoeintritts sogar noch verstärken. Prinzipiell sollte daher jede Organisation bestrebt sein, ein bestimmtes Risiko immer möglichst klar und eindeutig einem einzelnen „Risk Owner“ zuzuweisen, der dann für alle Aspekte in vollem Umfang verantwortlich ist.