Risikomanagement

Risikomanagement – der bewusste Umgang mit Risiken in einer Organisation

Risikomanagement ist ein Prozess mit dem Ziel, Risiken so früh wie möglich zu erkennen, sie nachvollziehbar zu überwachen und mögliche Kosten zu vermeiden. Ein Risiko ist eine Gefahr, die eine Organisation, ein Projekt oder eine Entwicklung gefährdet. Entsprechend definiert die ISO-Norm 31000:2018 Risikomanagement als “koordinierte Aktivität zur Lenkung und Steuerung einer Organisation in Bezug auf Risiken.”¹

Risikomanagement umfasst demnach sämtliche Aspekte von der systematischen und kontinuierlichen

• Identifikation und Analyse,
• Bewertung und Priorisierung von Risiken,

bis hin zur Definition von Maßnahmen zur

• Vermeidung,
• Minimierung oder Duldung,

und dem Festlegen von Verantwortlichkeiten sowie der Erfolgskontrolle der Maßnahmen.

Ziele im Risikomanagement

Grundsätzlich kann das Risikomanagement zwei Ziele verfolgen:

1. die Reduzierung der Risikoeintrittswahrscheinlichkeit und
2. die Reduzierung des Schadensausmaßes.

In der Praxis gibt es immer wieder Diskussionen über die Bestimmung der Eintrittswahrscheinlichkeit, da diese häufig als Extrapolation aus vergangenen Erfahrungen erfolgt. Dies gilt als schwierig, denn Projekte sind an sich einmalig und viele Erfahrungen lassen sich nicht sinnvoll auf andere Situationen und Vorhaben übertragen. Die Gefahr einer illusorischen, psychologischen Sicherheit droht.

Wichtige Begriffe im Risikomanagement

Im Kontext von Risikomanagement gibt es eine Vielzahl von Begriffen, die es zu definieren gilt, und für die es in einer Organisation ein gemeinsames Verständnis geben muss, zumal in unterschiedlichen Branchen unterschiedliche Begriffe verwendet werden.

Identifikation: Die systematische Ermittlung aller auf eine Organisation, ein Projekt oder eine Entwicklung einwirkenden Risiken.

Analyse: Die systematische Analyse aller ermittelten Risiken. Je nach Perspektive kann sie im Sinne eines Risikomanagementprozesses die Identifikation und Bewertung umfassen oder auf die Identifikation folgen.

Bewertung: Die Beurteilung der identifizierten und analysierten Risiken, insbesondere auf Eintrittswahrscheinlichkeiten und Schadensausmaße der Risiken.

Priorisierung: Die Schnittstelle im Risikomanagementprozess zwischen der Bewertung und der Handhabung im Sinne einer Vermeidung, Minimierung oder Begrenzung. Hier wird also die Handhabung – bspw. die Beobachtung von Risiken oder das Treffen von Maßnahmen.

Vermeidung: Bezeichnung für das Unterlassen von riskanten Aktivitäten, wie bspw. die Entwicklung neuer Lösungen bei unklaren Marktinformationen oder Gesetzeslagen.

Minimierung: Maßnahmen, mit denen die Eintrittswahrscheinlichkeit oder das Schadensausmaß gesenkt wird. Wird auch im Kontext von Maschinensicherheit benutzt und dort durch inhärent sicherer Konstruktion, Schutzmaßnahmen und Benutzerinformationen adressiert.

Diversifikation: Maßnahmen, die ein großes Risiko in kleinere Risiken aufteilt: Beispiel: Verlust bei Transport einer großen Warenlieferung. Alternative: Lieferung einzelner Bestandteile auf unterschiedlichen Wegen.

Transfer: Teilweise oder vollständige Übertragung der im Zuge der Analyse festgestellten Risiken an Dritte, bspw. durch den Abschluss von Versicherungen oder die Vereinbarung von Kooperationen. Alternativ wird auch der Begriff der Überwälzung verwendet.

Vorsorge: Ein Begriff aus der Finanzbranche, der Wertberichtigungen und Rückstellungen bei möglichen Kreditausfällen umfasst.

Bewältigung: Alle Maßnahmen zur Vermeidung, Minderung, Diversifikation, Transfer und Vorsorge von Risiken.

Kontrolle: Die Überwachung der identifizierten und analysierten Risiken sowie der Maßnahmen zur Vermeidung und Minimierung.

Wichtig ist darüber hinaus auch die Abgrenzung der Begriffe Gefahr, Risiko und Wagnis:

Gefahr: Eine Gefahr besteht, wenn eine Sachlage eine schädliche Wirkung entfaltet. Voraussetzung ist die Exposition einer Person, einer Gruppe von Personen oder von Gegenständen. Ein Feuer in einem Bürogebäude in Stuttgart stellt für ein Entwicklungsteam in Berlin keine Gefahr dar. Würde sich das Team aber im entsprechenden Gebäude in Stuttgart aufhalten, wäre es gefährdet.

Risiko: Ein Risiko ist eine nach Eintrittswahrscheinlichkeit und Schadensausmaß bewertete Gefahr. Oder: Ein Risiko ist die bewertete Gefahr einer negativen Zielabweichung. Beispiel: Steht in dem Stuttgarter Bürogebäude der Server, auf dem die Ergebnisse des Berliner Entwicklungsteams gehostet werden, besteht das Risiko, dass sich die gesamte Arbeit bei einem Feuer in Rauch auflöst. In Abhängigkeit von der investierten Arbeitsleistung oder bestehender Vereinbarungen mit Kunden steigt das Schadensausmaß.

Wagnis: Unter einem Wagnis wird das bewusste Eingehen von Risiken verstanden. Wurde auf eine separate Ablage bzw. ein Backup der Ergebnisse des Entwicklungsteams an einem anderen Standort verzichtet, dann wäre das ein Wagnis. Hier könnte auch von einer Duldung gesprochen werden.

Tätigkeiten im Risikomanagement

Folgende Tätigkeiten sind im Kontext von Risikomanagement besonders wichtig:

• Dokumentation von Risiken mit Ursache und Wirkung.
• Bestimmung von Eintrittswahrscheinlichkeiten, Schadensausmaß, sowie potenzielle Verzögerungen und Kosten.
• Übersichtliche Darstellung bspw. mit einer Risikomatrix, die eine Menge von Risiken meist in Abhängigkeit ihrer Eintrittswahrscheinlichkeiten und potenziellen Auswirkungen visualisiert.
• Definition und Dokumentation von Maßnahmen zur Vermeidung, Verminderung, Überwälzung oder Duldung.
• Kontinuierliche Überwachung der Risiken und Maßnahmen sowie die Definition von Verantwortlichkeiten.
• Gemeinsame Verwaltung sämtlicher Informationen (vom Personalrisiko bis zum technischen Risiko) in einem gemeinsamen System.
• Berücksichtigung der Risiken in anderen Unternehmensdisziplinen wie u.a. Projektmanagement, Anforderungsmanagement oder Änderungsmanagement.
• Regelmäßige Kommunikation über Risiken, bspw. im Projekt mit Projektbeteiligten oder im Lenkungsausschuss.

Häufig kommen im Zuge eines kontinuierlichen Risikomanagements definierte Methoden zum Einsatz:

Methoden im Risikomanagement

Hier finden Sie eine Auswahl von Methoden im Umgang mit Risiken:

Eine Risikomatrix – manchmal auch als “Risikodiagramm” bezeichnet – visualisiert eine Menge von Risiken in Abhängigkeit ihrer Eintrittswahrscheinlichkeiten und potenziellen Auswirkungen. Sie repräsentiert die Risikolage und ist ein Instrument der Risikokommunikation.

Die Fehlermöglichkeits- und Einfluss-Analyse FMEA (Failure Mode and Effect Analysis) ist eine Methode zur System- und Risikoanalyse mit der Zielsetzung, potenzielle Risiken in Systemen, Produkten und Prozessen frühzeitig zu finden. Sie definiert 7 Schritte:

1. Betrachtungsumfang (Scoping)
2. Strukturanalyse
3. Funktionsanalyse
4. Fehleranalyse
5. Maßnahmenanalyse Ist-Zustand
6. Optimierung Soll-Zustand
7. Risiko- und Ergebnisdokumentation

Das DRBFM (Design Reviw Based on Failure Modes) ist ein ursprünglich von der Toyota Motor Corporation entwickeltes Werkzeug und basiert auf der Überlegung, dass Konstruktionsprobleme auftreten, wenn Änderungen an bestehenden technischen Konstruktionen vorgenommen werden, die sich bereits als erfolgreich erwiesen haben. Ziel der Methode ist es, kollaborativ möglichst frühzeitig ein robustes Design zu entwerfen, wobei sich die beteiligten Experten Gedanken über mögliche Fehler im Zuge von Veränderungen machen, und mögliche Fehler in einem Formblatt hinterlegen, bewerten und ggf. Maßnahmen ableiten.

Die Fehlerbaumanalyse ist eine Methode zur Analyse unerwünschter Ereignisse, bei der das Zusammenwirken potenzieller Ursachen für ein unerwünschtes Ereignis mithilfe von logischen Verknüpfungen mittels Baumdiagramm visualisiert wird. Sie eignet sich für die Analyse zentraler Risiken und Ursachenketten für aufgetretene Fehler, sowie die präventive Identifikation möglicher Ausfallrisiken.

In manchen Publikationen wird auch von einem Risiko Monitoring gesprochen; ob dies jedoch eine eigenständige Methode darstellt, ist eher umstritten.

Risikomanagement Software

Es gibt viele Tools, die den Umgang mit Risiken adressieren. Hier finden Sie eine Liste:

• A1 Tracker
• AuditBoard
• c1risk
• checkbox
• Decision Time
• NContracts
• Laika
• MEG
• StandardFushion
• Tandem
• TrackMyRisks
• QT9 QMS
• Quentic

Sicherlich lässt sich die Liste leicht ergänzen, zumal es zahlreiche Produkte gibt, die Risikomanagement unterstützen, originär aber einen anderen Vermarktungsschwerpunkt haben.

Impuls zum Diskutieren:

Neben dem Risikomanagement hat sich in den letzten Jahren das Chancenmanagement in vielen Unternehmen etabliert. Ist dies evtl. für die Entwicklung von Produkten und Dienstleistungen ein besserer Ansatz?

Hinweise:

Haben Sie Lust auf einen neuen Lieblings-Newsletter?

Die Inhalte auf dieser Seite dürfen Sie gerne teilen oder verlinken.

[1] ISO-Norm 31000:2018 Risikomanagement

Bei der Entwicklung von Produkten oder im Projektmanagement treten häufig auch Kombinationseffekte mehrerer Einzelrisiken auf, die zu einer Bestandsbedrohung eines Projekts oder gar einer gesamten Organisation führen können. Organisationen sollten daher Einzelrisiken zur Bestimmung des Gesamtrisikoumfangs aggregieren.

Scrum als Framework mit einem iterativen, inkrementellen Ansatz, versucht die Vorhersagbarkeit und die Risikokontrolle zu verbessern. Hätten Sie das mit Scrum in Verbindung gebracht?

Hier finden Sie eine persönliche Einschätzung, wie agiles Risikomanagement funktionieren kann.

In gewisser Hinsicht ist auch die Verwendung von Sicheren Passwörtern eine Form von Risikomanagement.

Hier finden Sie ein interessantes Video über Nachhaltiges Risikomanagement im Projektmanagement – der gesamte Prozess Schritt für Schritt.

Hier finden Sie ergänzende Informationen aus unserer Rubrik Wissen kompakt:

Was macht eigentlich t2informatik? Kleiner Tipp: Es hat etwas mit Softwareentwicklung zu tun.