t2informatik » Wissen kompakt » Risikomanagement

Risikomanagement

Der Umgang mit Risiken in einer Organisation

Die ISO-Norm 31000:2018 definiert Risikomanagement als „koordinierte Aktivität zur Lenkung und Steuerung einer Organisation in Bezug auf Risiken.“ Risikomanagement umfasst sämtliche Aspekte

  • von der systematischen Risikoidentifikation, Risikoanalyse, Risikobewertung, Risikopriorisierung,
  • bis hin Definition von Maßnahmen zur Risikovermeidung, Risikominimierung oder Risikoduldung,
  • dem Festlegen von Verantwortlichkeiten und der Erfolgskontrolle der Maßnahmen.

Begriffe im Risikomanagement

Im Kontext von Risikomanagement gibt es eine Vielzahl von Begriffen, die es zu definieren gilt, und für die es in einer Organisation ein gemeinsames Verständnis geben muss, zumal in unterschiedlichen Branchen unterschiedliche Begriffe verwendet werden.

Risikoidentifikation: Die systematische Ermittlung aller auf eine Organisation, ein Projekt oder eine Entwicklung einwirkenden Risiken.

Risikoanalyse: Die systematische Analyse aller ermittelten Risiken. Je nach Perspektive kann sie im Sinne eines Risikomanagementprozsses die Risikoidentifikation und Risikobewertung umfassen oder auf die Risikoidentifikation folgen.

Risikobewertung: Die Beurteilung der identifizierten und analysierten Risiken, insbesondere auf Eintrittswahrscheinlichkeiten und Schadensausmaße der Risiken.

Risikopriorisierung: Die Schnittstelle im Risikomanagementprozess zwischen der Risikobewertung und der Risikohandhabung im Sinne einer Vermeidung, Minimierung oder Begrenzung. Hier wird also die Handhabung – bspw. die Beobachtung von Risiken oder das Treffen von Maßnahmen.

Risikovermeidung: Bezeichnung für das Unterlassen von risikobehafteten Aktivitäten, wie bspw. die Entwicklung neuer Lösungen bei unklaren Marktinformationen oder Gesetzeslagen.

Risikominimierung: Maßnahmen, mit denen die Risikoeintrittswahrscheinlichkeit oder das Schadensaußmaß gesenkt wird. Wird auch im Kontext von Maschinensicherheit benutzt und dort durch inhärent sicherer Konstruktion, Schutzmaßnahmen und Benutzerinformationen adressiert.

Risikodiversifikation: Maßnahmen, die ein großes Risiko in kleinere Risiken aufteilt: Beispiel: Verlust bei Transport einer großen Warenlieferung. Alternative: Lieferung einzelner Bestandteile auf unterschiedlichen Wegen.

Risikotransfer: Teilweise oder vollständige Übertragung der im Zuge der Risikoanalyse festgestellten Risiken an Dritte, bspw. durch den Abschluss von Versicherungen oder die Vereinbarung von Kooperationen. Alternativ wird auch der Begriff der Risikoüberwälzung verwendet.

Risikovorsorge: Ein Begriff aus der Finanzbranche, der Wertberichtigungen und Rückstellungen bei möglichen Kreditausfällen umfasst.

Risikobewältigung: Alle Maßnahmen zur Risikovermeidung, Risikominderung, Risikodiversifikation, Risikotransfer und Risikovorsorge.

Risikokontrolle: Die Überwachung der identifizierten und analysierten Risiken sowie der Maßnahmen zur Risikovermeidung und Risikominimierung.

Wichtig ist darüber hinaus auch die Abgrenzung der Begriffe Gefahr, Risiko und Wagnis:

Gefahr: Eine Gefahr besteht, wenn eine Sachlage eine schädliche Wirkung entfaltet. Voraussetzung ist die Exposition einer Person, einer Gruppe von Personen oder von Gegenständen. Ein Feuer in Stuttgart in einem Bürogebäude in Stuttgart stellt für ein Entwicklungsteam in Berlin keine Gefahr dar. Würde sich das Team aber im entsprechenden Gebäude in Stuttgart aufhalten, wäre es gefährdet.

Risiko: Ein Risiko ist eine nach Eintrittswahrscheinlichkeit und Schadensausmaß bewertete Gefahr. Oder: Ein Risiko ist die bewertete Gefahr einer negativen Zielabweichung. Beispiel: Steht in dem Stuttgarter Bürogebäude der Server, auf dem die Ergebnisse des Berliner Entwicklungsteam gehostet werden, besteht das Risiko, dass sich die gesamte Arbeit in Rauch auflöst. In Abhängigkeit von der investierten Arbeitsleistung oder bestehender Vereinbarungen mit Kunden steigt das Schadensausmaß.

Wagnis: Unter einem Wagnis wird das bewusste Eingehen von Risiken verstanden. Wurde auf eine separate Ablage bzw. ein Backup der Ergebnisse des Entwicklungsteams an einem anderen Standort verzichtet, dann wäre das ein Wagnis. Hier könnte auch von einer Risikoduldung gesprochen werden.

Tätigkeiten im Risikomanagement

Risikomanagement ist ein Prozess mit dem Ziel, Risiken so früh wie möglich zu erkennen und sie nachvollziehbar zu überwachen. Bei der Entwicklung von Produkten oder im Projektmanagement treten häufig auch Kombinationseffekte mehrerer Einzelrisiken auf, die zu einer Bestandsbedrohung eines Projekts oder gar einer gesamten Organisation führen können. Organisationen sollten daher Einzelrisiken zur Bestimmung des Gesamtrisikoumfangs aggregieren.

Grundsätzlich kann das Risikomanagement zwei Ziele verfolgen: die Reduzierung der Risikoeintrittswahrscheinlichkeit und die Reduzierung des Schadensausmaßes.

Folgende Tätigkeiten sind im Kontext von Risikomanagement besonders wichtig:

  • Die Dokumentation von Risiken mit Ursache und Wirkung.
  • Die Bestimmung von Eintrittswahrscheinlichkeiten, Schadensausmaß , sowie potenzielle Verzögerungen und Kosten.
  • Die übersichtliche Darstellung von Risiken bspw. mit einer Risikomatrix. Eine Risikomatrix visualisiert eine Menge von Risiken meist in Abhängigkeit ihrer Eintrittswahrscheinlichkeiten und potenziellen Auswirkungen.
  • Die Definition und Dokumentation von Maßnahmen zur Risikovermeidung, Risikoverminderung, Risikoüberwälzung oder Risikoduldung.
  • Die kontinuierliche Überwachung der Risiken und Maßnahmen sowie die Definition von Verantwortlichkeiten.
  • Die gemeinsame Verwaltung sämtlicher Informationen (vom Personalrisiko bis zum technischen Risiko) in einem gemeinsamen System.
  • Die Berücksichtung der Risiken in anderen Unternehmensdisziplinen wie u.a. Projektmanagement, Anforderungsmanagement oder Änderungsmanagement.
  • Die regelmäßige Kommunikation über Risiken, bspw. im Projekt mit Projektbeteiligten oder im Lenkungsausschuss.

In der Praxis gibt es immer wieder Diskussionen über die Bestimmung der Eintrittswahrscheinlichkeit, da diese häufig als Extrapolation aus vergangenen Erfahrungen erfolgt. Dies gilt als schwierig, denn Projekte sind an sich einmalig und viele Erfahrungen lassen sich nicht sinnvoll auf andere Situationen und Vorhaben übertragen. Die Gefahr einer illusorischen, psychologischen Sicherheit droht.

Ein kleines Beispiel:

Ein Männchen möchte einen Graben überwinden. Einmal ist dieser breit und flach, dann schmal und flach, dann schmal und zuletzt tief und breit. Der Graben beeinflusst sowohl die Eintrittswahrscheinlichkeit des Hineinfallens als auch das mögliche Schadensausmaß.

Risikomanagement mit Eintrittswahrscheinlichkeit und Schadensausmaß

Hinweis:

Neben dem Risikomanagement hat sich in den letzten Jahren das Chancenmanagement in vielen Unternehmen etabliert.

„Das ist mal ein Newsletter, der mich wirklich weiterbringt und auf den ich mich jede Woche freue.“

Wöchentliche Tipps, Meinungen und Informationen gibt es im t2informatik Blog – regelmäßig mit renommierten Gastautoren.