Viele Unternehmen tun sich schwer, ein Risk-Management-System einzuführen oder ein aktiv gelebtes und aktuelles Risikoinventar zu etablieren, mit Risiken, die aktuell, realistisch bewertet und steuerbar sind sowie schrittweise minimiert werden.

Dieser Artikel beschreibt einen Risikomanagement-Prozess, bei dem der Risiko-Prozess-Verantwortliche rund eine Stunde pro Risiko-Meldung benötigt, um in sechs einfachen Schritten aus den Risikomeldungen die echten Risiken herauszuarbeiten:
Schritt 1: Dringlichkeit.
Schritt 2: Verantwortungsbereich.
Schritt 3: Kalkulation eines Risikos.
Schritt 4: Identifizierung der Stakeholder.
Schritt 5: Möglichen Gegenmaßnahmen.
Schritt 6: Risiko-Zusammenfassung.
(PDF, 4 Seiten, 1,3 MB)

Kostenlose Zusendung per E-Mail:   ► Alle Dokumente anzeigen 

Grobe Voransicht des Dokuments: 'Systematisches Risikomanagement in 6 Schritten' (Teil 2):

Risikomühle [Quelle: Frank Moritz] In die Risikomühle werden Ad-hoc-Risiko-Meldungen genauso wie Risiken aus dem Reporting eingefüllt. In sechs Schritten zum Ziel Im Schritt 1 wird der Zeitfaktor geprüft. Risiken müssen per Definition immer in der Zukunft liegen, denn sie sind eine mögliche Abweichung einer Zielerreichung in der Zukunft. Alle Dinge, die bereits passiert sind oder, bei denen der Eintritt sicher ist, sind Schäden und keine Risiken. Gemeldete Schäden sind beim Risikomanagement falsch platziert, hier müssen, je nach Schaden der Projektleiter, das Controlling, Vorgesetzte oder ein Krisenmanager informiert werden. Sehr wohl kann sich ein Risikomanager jedoch einen gemeldeten Schaden einordnen und bewerten um daraus mögliche Risiken in der Zukunft abzuleiten. Bei Beispiel Nr. 1 können wir unterscheiden zwischen existentem Schaden aus einer mangelhaften Projektplanung (die Formulierung lässt darauf schließen, dass der Melder dies derzeit bereits so sieht) und möglichen Schäden (also Risiken, wie beispielsweise Spätwirkungen) in der Zukunft. Bei der Formulierung des Risikos darf ausschließlich der zweite Teil mit einbezogen werden. Der bereits existierende Schaden liefert eventuell Zahlen zur Risikobewertung. Im zweiten Schritt wird geprüft, ob die Risikomeldung im Verantwortungsbereich der Linienfunktion beziehungsweise des Projektes liegt. An Risiken kann nur derjenige arbeiten, d.h. sie korrekt einschätzen und minimieren oder wahlweise auch akzeptieren, der Kompetenz und Verantwortung für diesen Bereich trägt. Nehmen wir das Beispiel Nr. 5 mit der Kantine als Risikomeldung für ein IT-Projekt. Kann es in der Verantwortung des IT-Projektleiters liegen für die Qualität des Kantinenessens verantwortlich zu sein? Nein, natürlich nicht. Was kann er dagegen tun? Wo endet sein Verantwortungsbereich? Er kann relevante Daten besorgen und an verantwortliche Stellen weiterleiten und sich auf seinen Risikoteil beschränken und der wäre ein eventueller Personalausfall. Wir sehen hier, dass die Meldung zu dem schlechten Kantinenessen lediglich die Eintrittswahrscheinlichkeit zu dem relevanten Risiko 'Personalausfall' beeinflusst. Wir müssen uns die Fragen stellen: Wer ist betroffen, wenn der Schaden eintritt? Was ist der mögliche Schaden konkret? Wer hat ein Interesse an Gegenmaßnahmen und ist auch bereit dafür zu zahlen? Dann haben wir unseren, relevanten Teil der Risikomeldung extrahiert. Was tun wir mit Risiken, die z.B. über zwei Unternehmensbereiche reichen? Wir können diese Risiken aufteilen oder, wenn die Gegenmaßnahmen ausschließlich zusammen durchgeführt werden können, das Risiko eine Ebene höher allokieren bzw. einen Ausschuss beauftragen dieses Risiko zu bearbeiten. Der dritte Schritt betrifft die Kalkulation eines Risikos. Risiken, die nicht messbar sind, sind keine Risiken. In der Regel besitzt der Risikomelder viele zahlenbasierte Informationen zu der Risikomeldung. Wie oft ist das Risiko bisher eingetreten? Welche Schäden wurden verursacht? Sind es überhaupt relevante Schäden, die die Aufnahme ins Risikoinventar rechtfertigen? Gibt es offizielle aktuelle Statistiken, die zur Zahlengewinnung herangezogen werden können? Wie viele Personen sind bei einem möglichen Schadeneintritt betroffen? Mit diesen Werten lässt sich ein Risiko einschätzen, bei weiter fortgeschrittenen Risk-Management-Prozessen sogar simulieren, so dass Entscheidungen über mögliche Gegenmaßnahmen oder Akzeptanz des Risikos getroffen werden können. In einem vierten Schritt werden die vorhandenen Stakeholder identifiziert. Wichtig ist es hier ein belastbares Rollenmodell zu besitzen, so dass die betroffenen und beteiligten Personen zugeordnet werden können. Wer ist befugt über das Risiko zu entscheiden? Wer führt operativ Gegenmaßnahmen durch? Gibt es hier eventuell mehrere Maßnahmen-Manager? Welche Experten können noch bei der Einschätzung des Risikos helfen? Wer soll die Entwicklung des Risikos im weiteren Ablauf beobachten und reporten? Der fünfte Schritt betrifft die möglichen Gegenmaßnahmen. In der Regel weiß ein Risiko-Melder bereits sehr genau was gegen dieses Risiko gemacht werden kann. Oft ist eine dieser Gegenmaßnahmen auch die Motivation für die Risiko-Meldung. Wird beispielsweise Geld benötigt um die Maßnahme zu finanzieren oder benötigt man Zugriff auf Personen oder Daten dann ist der Melder oft nicht in der Lage dies selbst zu entscheiden. Wichtig ist es hier darauf zu achten, dass der Risiko-Prozess-Verantwortliche in Zusammenarbeit mit dem Melder nicht nur die präferierte Gegenmaßnahme beleuchtet, sondern alle möglichen, sofern dies wirtschaftlich sinnvoll ist. Sind es präventive Maßnahmen, die gegen den Eintritt des Risikos wirken? Sind es reaktive Maßnahmen, die als Sofortmaßnahme beim Eintritt des Risikos wirken oder als Korrekturmaßnahme dann dafür Sorge tragen, dass das Risiko nicht erneut eintritt? Oder

Grobe Voransicht des Dokuments: 'Systematisches Risikomanagement in 6 Schritten':  Teil 1, Teil 2, Teil 3