1. Startseite
  2. Wissen kompakt
  3. Risikomanagement

Risikomanagement

Wissen kompakt: Risikomanagement ist ein Prozess zur frühzeitigen Erkennung und Überwachung von Risiken, mit dem Ziel, die Risikoeintrittswahrscheinlichkeit und die Risikokosten zu reduzieren.

Risikomanagement – der bewusste Umgang mit Risiken in einer Organisation

Risikomanagement ist ein Prozess mit dem Ziel, Risiken so früh wie möglich zu erkennen, sie nachvollziehbar zu überwachen und mögliche Kosten zu vermeiden. Ein Risiko ist eine Gefahr, die eine Organisation, ein Projekt oder eine Entwicklung gefährdet. Entsprechend definiert die ISO-Norm 31000:2018 Risikomanagement als „koordinierte Aktivität zur Lenkung und Steuerung einer Organisation in Bezug auf Risiken.“¹

Risikomanagement umfasst demnach sämtliche Aspekte von der systematischen und kontinuierlichen

  • Risikoidentifikation und Risikoanalyse,
  • Risikobewertung und Risikopriorisierung,

bis hin zur Definition von Maßnahmen zur

  • Risikovermeidung,
  • Risikominimierung oder Risikoduldung,

und dem Festlegen von Verantwortlichkeiten sowie der Erfolgskontrolle der Maßnahmen.

Ziele im Risikomanagement

Grundsätzlich kann das Risikomanagement zwei Ziele verfolgen:

  1. die Reduzierung der Risikoeintrittswahrscheinlichkeit und
  2. die Reduzierung des Schadensausmaßes.

In der Praxis gibt es immer wieder Diskussionen über die Bestimmung der Eintrittswahrscheinlichkeit, da diese häufig als Extrapolation aus vergangenen Erfahrungen erfolgt. Dies gilt als schwierig, denn Projekte sind an sich einmalig und viele Erfahrungen lassen sich nicht sinnvoll auf andere Situationen und Vorhaben übertragen. Die Gefahr einer illusorischen, psychologischen Sicherheit droht. 

Ein kleines Beispiel:

Ein Männchen möchte einen Graben überwinden (siehe Grafik). Einmal ist dieser flach und breit, dann schmal und flach, dann schmal und tief und zuletzt tief und breit.

  • flach und breit = hohe Eintrittswahrscheinlichkeit, geringes Schadensausmaß
  • schmal und flach = geringe Eintrittswahrscheinlichkeit, geringes Schadensausmaß
  • schmal und tief = geringe Eintrittswahrscheinlichkeit, hohes Schadensausmaß
  • tief und breit = hohe Eintrittswahrscheinlichkeit, hohes Schadensausmaß

Der Graben beeinflusst sowohl die Eintrittswahrscheinlichkeit des Hineinfallens als auch das mögliche Schadensausmaß.

Schematisch lässt sich dies einfach visualisieren, aber in der Praxis des Risikomanagements ist dies alles andere als einfach. 

Risikomanagement - der bewusste Umgang mit Risiken

Wichtige Begriffe im Risikomanagement

Im Kontext von Risikomanagement gibt es eine Vielzahl von Begriffen, die es zu definieren gilt, und für die es in einer Organisation ein gemeinsames Verständnis geben muss, zumal in unterschiedlichen Branchen unterschiedliche Begriffe verwendet werden.

Risikoidentifikation: Die systematische Ermittlung aller auf eine Organisation, ein Projekt oder eine Entwicklung einwirkenden Risiken.

Risikoanalyse: Die systematische Analyse aller ermittelten Risiken. Je nach Perspektive kann sie im Sinne eines Risikomanagementprozesses die Risikoidentifikation und Risikobewertung umfassen oder auf die Risikoidentifikation folgen.

Risikobewertung: Die Beurteilung der identifizierten und analysierten Risiken, insbesondere auf Eintrittswahrscheinlichkeiten und Schadensausmaße der Risiken.

Risikopriorisierung: Die Schnittstelle im Risikomanagementprozess zwischen der Risikobewertung und der Risikohandhabung im Sinne einer Vermeidung, Minimierung oder Begrenzung. Hier wird also die Handhabung – bspw. die Beobachtung von Risiken oder das Treffen von Maßnahmen.

Risikovermeidung: Bezeichnung für das Unterlassen von risikobehafteten Aktivitäten, wie bspw. die Entwicklung neuer Lösungen bei unklaren Marktinformationen oder Gesetzeslagen.

Risikominimierung: Maßnahmen, mit denen die Risikoeintrittswahrscheinlichkeit oder das Schadensausmaß gesenkt wird. Wird auch im Kontext von Maschinensicherheit benutzt und dort durch inhärent sicherer Konstruktion, Schutzmaßnahmen und Benutzerinformationen adressiert.

Risikodiversifikation: Maßnahmen, die ein großes Risiko in kleinere Risiken aufteilt: Beispiel: Verlust bei Transport einer großen Warenlieferung. Alternative: Lieferung einzelner Bestandteile auf unterschiedlichen Wegen.

Risikotransfer: Teilweise oder vollständige Übertragung der im Zuge der Risikoanalyse festgestellten Risiken an Dritte, bspw. durch den Abschluss von Versicherungen oder die Vereinbarung von Kooperationen. Alternativ wird auch der Begriff der Risikoüberwälzung verwendet.

Risikovorsorge: Ein Begriff aus der Finanzbranche, der Wertberichtigungen und Rückstellungen bei möglichen Kreditausfällen umfasst.

Risikobewältigung: Alle Maßnahmen zur Risikovermeidung, Risikominderung, Risikodiversifikation, Risikotransfer und Risikovorsorge.

Risikokontrolle: Die Überwachung der identifizierten und analysierten Risiken sowie der Maßnahmen zur Risikovermeidung und Risikominimierung.

Wichtig ist darüber hinaus auch die Abgrenzung der Begriffe Gefahr, Risiko und Wagnis:

Gefahr: Eine Gefahr besteht, wenn eine Sachlage eine schädliche Wirkung entfaltet. Voraussetzung ist die Exposition einer Person, einer Gruppe von Personen oder von Gegenständen. Ein Feuer in einem Bürogebäude in Stuttgart stellt für ein Entwicklungsteam in Berlin keine Gefahr dar. Würde sich das Team aber im entsprechenden Gebäude in Stuttgart aufhalten, wäre es gefährdet.

Risiko: Ein Risiko ist eine nach Eintrittswahrscheinlichkeit und Schadensausmaß bewertete Gefahr. Oder: Ein Risiko ist die bewertete Gefahr einer negativen Zielabweichung. Beispiel: Steht in dem Stuttgarter Bürogebäude der Server, auf dem die Ergebnisse des Berliner Entwicklungsteams gehostet werden, besteht das Risiko, dass sich die gesamte Arbeit bei einem Feuer in Rauch auflöst. In Abhängigkeit von der investierten Arbeitsleistung oder bestehender Vereinbarungen mit Kunden steigt das Schadensausmaß.

Wagnis: Unter einem Wagnis wird das bewusste Eingehen von Risiken verstanden. Wurde auf eine separate Ablage bzw. ein Backup der Ergebnisse des Entwicklungsteams an einem anderen Standort verzichtet, dann wäre das ein Wagnis. Hier könnte auch von einer Risikoduldung gesprochen werden.

Tätigkeiten im Risikomanagement

Folgende Tätigkeiten sind im Kontext von Risikomanagement besonders wichtig:

  • Dokumentation von Risiken mit Ursache und Wirkung.
  • Bestimmung von Eintrittswahrscheinlichkeiten, Schadensausmaß, sowie potenzielle Verzögerungen und Kosten.
  • Übersichtliche Darstellung von Risiken bspw. mit einer Risikomatrix. Eine Risikomatrix visualisiert eine Menge von Risiken meist in Abhängigkeit ihrer Eintrittswahrscheinlichkeiten und potenziellen Auswirkungen.
  • Definition und Dokumentation von Maßnahmen zur Risikovermeidung, Risikoverminderung, Risikoüberwälzung oder Risikoduldung.
  • Kontinuierliche Überwachung der Risiken und Maßnahmen sowie die Definition von Verantwortlichkeiten.
  • Gemeinsame Verwaltung sämtlicher Informationen (vom Personalrisiko bis zum technischen Risiko) in einem gemeinsamen System.
  • Berücksichtigung der Risiken in anderen Unternehmensdisziplinen wie u.a. Projektmanagement, Anforderungsmanagement oder Änderungsmanagement.
  • Regelmäßige Kommunikation über Risiken, bspw. im Projekt mit Projektbeteiligten oder im Lenkungsausschuss.

Häufig kommen im Zuge eines kontinuierlichen Risikomanagements definierte Methoden zum Einsatz:

 

Methoden im Risikomanagement

Hier finden Sie eine Auswahl von Methoden im Umgang mit Risiken:

Eine Risikomatrix – manchmal auch als “Risikodiagramm” bezeichnet – visualisiert eine Menge von Risiken in Abhängigkeit ihrer Eintrittswahrscheinlichkeiten und potenziellen Auswirkungen. Sie repräsentiert die Risikolage und ist ein Instrument der Risikokommunikation.

Die Fehlermöglichkeits- und Einfluss-Analyse FMEA (Failure Mode and Effect Analysis) ist eine Methode zur System- und Risikoanalyse mit der Zielsetzung, potenzielle Risiken in Systemen, Produkten und Prozessen frühzeitig zu finden. Sie definiert 7 Schritte:

  1. Betrachtungsumfang (Scoping)
  2. Strukturanalyse
  3. Funktionsanalyse
  4. Fehleranalyse
  5. Maßnahmenanalyse Ist-Zustand
  6. Optimierung Soll-Zustand
  7. Risiko- und Ergebnisdokumentation

Das DRBFM (Design Reviw Based on Failure Modes) ist ein ursprünglich von der Toyota Motor Corporation entwickeltes Werkzeug und basiert auf der Überlegung, dass Konstruktionsprobleme auftreten, wenn Änderungen an bestehenden technischen Konstruktionen vorgenommen werden, die sich bereits als erfolgreich erwiesen haben. Ziel der Methode ist es, kollaborativ möglichst frühzeitig ein robustes Design zu entwerfen, wobei sich die beteiligten Experten Gedanken über mögliche Fehler im Zuge von Veränderungen machen, und mögliche Fehler in einem Formblatt hinterlegen, bewerten und ggf. Maßnahmen ableiten.

Die Fehlerbaumanalyse ist eine Risikomanagement-Methode zur Analyse unerwünschter Ereignisse, bei der das Zusammenwirken potenzieller Ursachen für ein unerwünschtes Ereignis mithilfe von logischen Verknüpfungen mittels Baumdiagramm visualisiert wird. Sie eignet sich für die Analyse zentraler Risiken und Ursachenketten für aufgetretene Fehler, sowie die präventive Identifikation möglicher Ausfallrisiken.

In manchen Publikationen wird auch von einem Risiko Monitoring gesprochen; ob dies jedoch eine eigenständige Methode im Risikomanagement darstellt, ist eher umstritten.

Risikomanagement Guide - Downloads - t2informatik

Wollen Sie den Risikomanagement Guide kostenlos downloaden?

Alles Wichtige über Risikomanagement auf einen Blick.

  • Definition
  • Ziele und Tätigkeiten
  • Begriffe
  • Methoden

Wissen auf 8 Seiten zum Mitnehmen.

Impuls zum Diskutieren:

Neben dem Risikomanagement hat sich in den letzten Jahren das Chancenmanagement in vielen Unternehmen etabliert. Ist dies evtl. für die Entwicklung von Produkten und Dienstleistungen ein besserer Ansatz?

Hinweise:

[1] ISO-Norm 31000:2018 Risikomanagement

Bei der Entwicklung von Produkten oder im Projektmanagement treten häufig auch Kombinationseffekte mehrerer Einzelrisiken auf, die zu einer Bestandsbedrohung eines Projekts oder gar einer gesamten Organisation führen können. Organisationen sollten daher Einzelrisiken zur Bestimmung des Gesamtrisikoumfangs aggregieren.

Scrum als Framework mit einem iterativen, inkrementellen Ansatz, versucht die Vorhersagbarkeit und die Risikokontrolle zu verbessern. Hätten Sie das mit Scrum in Verbindung gebracht?

Wie könnte ein agiles Risikomanagement funktionieren? Eine persönliche Einschätzung finden Sie hier.

In gewisser Hinsicht ist auch die Verwendung von Sicheren Passwörtern eine Form von Risikomanagement.

Hier finden Sie ein interessantes Video über Nachhaltiges Risikomanagement im Projektmanagement – der gesamte Prozess Schritt für Schritt.

Hier finden Sie ergänzende Informationen aus unserer Rubrik Wissen kompakt:

Wissen kompakt: Was ist Chancenmanagement?

Was ist Chancenmanagement?

Wissen kompakt: Was ist eine Risikomatrix?

Was ist eine Risikomatrix?

Wissen kompakt: Wie funktioniert Priorisierung?

Wie funktioniert Priorisierung?