Risikomanagement

Es ist wichtig, die Begriffe Gefahr, Risiko und Wagnis klar voneinander abzugrenzen:

Eine Gefahr besteht, wenn eine Sachlage eine schädliche Wirkung entfaltet. Voraussetzung ist die Exposition einer Person, einer Gruppe von Personen oder von Gegenständen. Ein Feuer in einem Bürogebäude in Stuttgart stellt für ein Entwicklungsteam in Berlin keine Gefahr dar. Würde sich das Team aber im entsprechenden Gebäude in Stuttgart aufhalten, wäre es gefährdet.

Ein Risiko ist eine nach Eintrittswahrscheinlichkeit und Schadensausmaß bewertete Gefahr. Oder: Ein Risiko ist die bewertete Gefahr einer negativen Zielabweichung. Beispiel: Steht in dem Stuttgarter Bürogebäude der Server, auf dem die Ergebnisse des Berliner Entwicklungsteams gehostet werden, besteht das Risiko, dass sich die gesamte Arbeit bei einem Feuer in Rauch auflöst. In Abhängigkeit von der investierten Arbeitsleistung oder bestehender Vereinbarungen mit Kunden steigt das Schadensausmaß.

Unter einem Wagnis wird das bewusste Eingehen von Risiken verstanden. Wurde auf eine separate Ablage bzw. ein Backup der Ergebnisse des Entwicklungsteams an einem anderen Standort verzichtet, dann wäre das ein Wagnis. Hier könnte auch von einer Duldung gesprochen werden.

Es ist wichtig, in Organisationen ein gemeinsamens Verständnis von Begriffen zu haben, insbesondere da in unterschiedlichen Branchen unterschiedliche Begriffe verwendet werden.

Risikoidentifikation: Die systematische Ermittlung aller auf eine Organisation, ein Projekt oder eine Entwicklung einwirkenden Risiken.

Risikoanalyse: Die systematische Analyse aller ermittelten Risiken. Je nach Perspektive kann sie im Sinne eines Risikomanagementprozesses die Identifikation und Bewertung umfassen oder auf die Identifikation folgen.

Risikobewertung: Die Beurteilung der identifizierten und analysierten Risiken, insbesondere auf Eintrittswahrscheinlichkeiten und Schadensausmaße der Risiken.

Risikopriorisierung: Die Schnittstelle im Risikomanagementprozess zwischen der Bewertung und der Handhabung im Sinne einer Vermeidung, Minimierung oder Begrenzung. Hier wird also die Handhabung – bspw. die Beobachtung von Risiken oder das Treffen von Maßnahmen.

Risikovermeidung: Bezeichnung für das Unterlassen von riskanten Aktivitäten, wie bspw. die Entwicklung neuer Lösungen bei unklaren Marktinformationen oder Gesetzeslagen.

Risikominimierung: Maßnahmen, mit denen die Eintrittswahrscheinlichkeit oder das Schadensausmaß gesenkt wird. Wird auch im Kontext von Maschinensicherheit benutzt und dort durch inhärent sicherer Konstruktion, Schutzmaßnahmen und Benutzerinformationen adressiert.

Risikodiversifikation: Maßnahmen, die ein großes Risiko in kleinere Risiken aufteilt: Beispiel: Verlust bei Transport einer großen Warenlieferung. Alternative: Lieferung einzelner Bestandteile auf unterschiedlichen Wegen.

Risikotransfer: Teilweise oder vollständige Übertragung der im Zuge der Analyse festgestellten Risiken an Dritte, bspw. durch den Abschluss von Versicherungen oder die Vereinbarung von Kooperationen. Alternativ wird auch der Begriff der Überwälzung verwendet.

Risikovorsorge: Ein Begriff aus der Finanzbranche, der Wertberichtigungen und Rückstellungen bei möglichen Kreditausfällen umfasst.

Risikobewältigung: Alle Maßnahmen zur Vermeidung, Minderung, Diversifikation, Transfer und Vorsorge von Risiken.

Risikokontrolle: Die Überwachung der identifizierten und analysierten Risiken sowie der Maßnahmen zur Vermeidung und Minimierung.

Hier finden Sie eine Auswahl von Methoden für professionelles Risikomanagement:

Eine Risikomatrix – manchmal auch als “Risikodiagramm” bezeichnet – visualisiert eine Menge von Risiken in Abhängigkeit ihrer Eintrittswahrscheinlichkeiten und potenziellen Auswirkungen. Sie repräsentiert die Risikolage und ist ein Instrument der Risikokommunikation.

Die Fehlermöglichkeits- und Einfluss-Analyse FMEA (Failure Mode and Effect Analysis) ist eine Methode zur System- und Risikoanalyse mit der Zielsetzung, potenzielle Risiken in Systemen, Produkten und Prozessen frühzeitig zu finden. Sie definiert 7 Schritte:

1. Betrachtungsumfang (Scoping)
2. Strukturanalyse
3. Funktionsanalyse
4. Fehleranalyse
5. Maßnahmenanalyse Ist-Zustand
6. Optimierung Soll-Zustand
7. Risiko- und Ergebnisdokumentation

Das DRBFM (Design Reviw Based on Failure Modes) ist ein ursprünglich von der Toyota Motor Corporation entwickeltes Werkzeug und basiert auf der Überlegung, dass Konstruktionsprobleme auftreten, wenn Änderungen an bestehenden technischen Konstruktionen vorgenommen werden, die sich bereits als erfolgreich erwiesen haben. Ziel der Methode ist es, kollaborativ möglichst frühzeitig ein robustes Design zu entwerfen, wobei sich die beteiligten Experten Gedanken über mögliche Fehler im Zuge von Veränderungen machen, und mögliche Fehler in einem Formblatt hinterlegen, bewerten und ggf. Maßnahmen ableiten.

Die Fehlerbaumanalyse ist eine Methode zur Analyse unerwünschter Ereignisse, bei der das Zusammenwirken potenzieller Ursachen für ein unerwünschtes Ereignis mithilfe von logischen Verknüpfungen mittels Baumdiagramm visualisiert wird. Sie eignet sich für die Analyse zentraler Risiken und Ursachenketten für aufgetretene Fehler, sowie die präventive Identifikation möglicher Ausfallrisiken.

In manchen Publikationen wird auch von einem Risiko Monitoring gesprochen; ob dies jedoch eine eigenständige Methode darstellt, ist eher umstritten.

Risikomanagement ist ein wichtiger Bestandteil vieler Normen, Gesetze und Regeln in verschiedenen Branchen und Ländern. Hier sind einige Beispiele:

• ISO 31000: Diese Norm der Internationalen Organisation für Normung (ISO) legt die Grundsätze und Leitlinien für das Risikomanagement fest und bietet einen allgemeinen Rahmen, der auf verschiedene Organisationen und Branchen angewendet werden kann.
• Basel III: Dieser internationale Standard für Banken legt regulatorische Anforderungen für das Risikomanagement und die Kapitalanforderungen fest, um die Stabilität des Finanzsystems zu fördern.
• COSO Framework: Das “Committee of Sponsoring Organizations of the Treadway Commission” (COSO) Framework ist ein Rahmenwerk, das von Unternehmen in vielen Ländern verwendet wird, um interne Kontrollen und Risikomanagementprozesse zu etablieren.
• Sarbanes-Oxley Act (SOX): Dieses US-amerikanische Gesetz legt Standards für die finanzielle Berichterstattung von Unternehmen fest und enthält auch Anforderungen an das Risikomanagement und die interne Kontrolle.
• MaRisk: Die Mindestanforderungen an das Risikomanagement (MaRisk) sind ein Regelwerk in Deutschland, das von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für Banken und Finanzdienstleistungsinstitute herausgegeben wird.
• GDPR (Datenschutz-Grundverordnung): Die Datenschutz-Grundverordnung der Europäischen Union enthält Anforderungen und Best Practices für den Schutz personenbezogener Daten, einschließlich Aspekten des Risikomanagements im Zusammenhang mit Datenschutzverletzungen und Datenschutzfolgenabschätzungen.
• Das Kontroll- und Transparenzgesetz (KonTraG) ist ein deutsches Gesetz, das im Jahr 1998 eingeführt wurde. Es legt die Verantwortung des Vorstands von Aktiengesellschaften für die Implementierung eines Risikomanagementsystems fest, um Risiken zu identifizieren, zu bewerten und zu steuern. KonTraG verlangt regelmäßige Risikoanalysen, Maßnahmen zur Risikobegrenzung sowie transparente Berichterstattung über Risiken und den Stand des Risikomanagements.

Über die genannten Beispiele hinaus existieren spezifische Standards und Richtlinien in verschiedenen Branchen und Industrien, die das Risikomanagement betreffen. Zum Beispiel gibt es in der pharmazeutischen Industrie die ICH-GCP-Richtlinien (Good Clinical Practice), die Anforderungen an das Risikomanagement in klinischen Studien festlegen.

Werner Gleißner und Wolfgang Mott haben in “Risikomanagement auf dem Prüfstand – Nutzen, Qualität und Herausforderungen in der Zukunft” eine Klassifizierung des Risikomanagements von Unternehmen anhand von 6 Stufen beschrieben:

Stufe eins: Hier gibt es kein Risikomanagement. Die Unternehmensführung hat kaum ein Bewusstsein für Risiken und es gibt kein systematisches Vorgehen. Entscheidungen, die auf Gefahren reagieren, sind selten.

Stufe zwei: Hier beginnt das Schadensmanagement. Das Unternehmen erkennt bestimmte Risiken und ergreift Maßnahmen, um diese zu verhindern. Es berücksichtigt auch Regelungen wie Umweltschutz und Arbeitsschutz. Bei größeren Risiken schließt das Unternehmen Versicherungen ab, um Schäden zu minimieren. Es gibt jedoch kein spezifisches Instrument zur Gefahrenbeurteilung und Risikomaßnahmenpläne werden in isolierten Teams bearbeitet.

Stufe drei: Hier beginnt das regulatorische Risikomanagement. Das Unternehmen hat ein kontinuierliches Risikomanagementsystem. Es überwacht und bewertet ständig Risiken. Alle Risiken bilden das Risikoinventar. Informationen wie Umfang, Verantwortlichkeit und Turnus werden schriftlich festgehalten. Für wichtige Risiken entwickelt das Unternehmen Strategien zur Bewältigung.

Stufe vier: Hier beginnt das ökonomische, entscheidungsorientierte Risikomanagement. Das Unternehmen betrachtet sowohl Gefahren als auch Chancen als Risiken. Es hat ein umfassendes, softwaregestütztes Risikomanagementsystem. Das Ziel ist ein flexibles und bewegliches Risikomanagement, das eng mit der Strategieentwicklung verknüpft ist.

Stufe fünf: Hier beginnt das integrierte wertorientierte Risikomanagement. Der Risikomanagement-Prozess ist eng mit der operativen Ebene des Unternehmens verknüpft. Alle Planungen können Risiken zugeordnet werden, was eine Planungssicherheit ermöglicht. Das Unternehmen kann den Wertbeitrag berechnen und strategische Züge in Bezug auf Risiken bewerten.

Stufe sechs: Hier beginnt das eingebettete Risikomanagement. Die Bewertung des risikogerechten Ertragswertes spiegelt die Risikopräferenz des Eigentümers wider und bildet die Grundlage für strategische und operative Entscheidungen. Das Risikomanagement ist fest in der Unternehmenskultur und im unternehmerischen Denken integriert.

Geht es nach Gleißner und Mott, ist gutes Risikomanagement ein Erfolgsfaktor für jedes Unternehmen. Es sollte möglichst viele Mitarbeiter einbeziehen, um der Unternehmensführung die Möglichkeit zu geben, Risiken richtig zu erfassen und zu bewerten. Die Geschäftsführung muss der “Oberste Risikomanager” sein, da sie maßgebliche Entscheidungen über den Risikoumfang trifft. Sie sollte Strategien und feste organisatorische Muster und Methoden anwenden, um sicherzustellen, dass mögliche “bestandsbedrohende Entwicklungen” früh erkannt werden.

Die Psychologie spielt eine entscheidende Rolle bei der Einschätzung und Bewertung von Risiken. Hier sind einige Aspekte, wie Psychologie das Risikoverhalten beeinflusst:

Menschen bewerten Risiken basierend auf ihrer Wahrnehmung, die stark von psychologischen Faktoren beeinflusst wird. Persönliche Erfahrungen, kulturelle Hintergründe und emotionale Reaktionen beeinflussen die Risikowahrnehmung. Was für eine Person als hochriskant erscheint, kann für eine andere Person weniger bedrohlich sein.

Menschen verwenden vereinfachende Denkmodelle oder Heuristiken, um Risiken zu bewerten, was zu systematischen Verzerrungen führen kann. Zum Beispiel stützen sich Menschen oft auf leicht verfügbare Informationen oder überschätzen Risiken aufgrund ihrer Präsenz in den Medien. Zudem führt der Optimismus-Bias dazu, dass Menschen die Wahrscheinlichkeit negativer Ereignisse für sich selbst unterschätzen.

Emotionen spielen eine wichtige Rolle bei der Risikobewertung. Negative Emotionen wie Angst oder Sorge können dazu führen, dass Menschen Risiken überschätzen. Positive Emotionen wie Hoffnung oder Begeisterung hingegen können dazu führen, dass Menschen Risiken unterschätzen.

Das Verhalten anderer Menschen und soziale Normen beeinflussen die Wahrnehmung von Risiken. Menschen orientieren sich oft an den Handlungen und Meinungen ihrer Peers, was dazu führen kann, dass sie Risiken anders bewerten, je nachdem, was in ihrer sozialen Umgebung als akzeptabel oder normal angesehen wird.

Auch individuelle kognitive Fähigkeiten und das Bildungsniveau spielen eine Rolle. Menschen mit höherem Bildungsniveau neigen dazu, Risiken rationaler zu bewerten und bessere Entscheidungen zu treffen, während Personen mit niedrigerem Bildungsniveau anfälliger für bestimmte Arten von Verzerrungen oder Fehleinschätzungen sein können.

Insgesamt sind die psychologischen Aspekte der Risikowahrnehmung und -bewertung komplex und umfassen eine Vielzahl von Faktoren. Ein besseres Verständnis dieser psychologischen Dynamiken kann Organisationen dabei helfen, effektivere Risikomanagementstrategien zu entwickeln und umzusetzen.

Bei der Entwicklung von Produkten oder im Projektmanagement treten häufig auch Kombinationseffekte mehrerer Einzelrisiken auf, die zu einer Bestandsbedrohung eines Projekts oder gar einer gesamten Organisation führen können. Organisationen sollten daher Einzelrisiken zur Bestimmung des Gesamtrisikoumfangs aggregieren.

• A1 Tracker
• AuditBoard
• c1risk
• checkbox
• Decision Time
• NContracts
• Laika
• MEG
• StandardFushion
• Tandem
• QT9 QMS
• Quentic

Sicherlich lässt sich die Liste leicht ergänzen, zumal es zahlreiche Produkte gibt, die Risikomanagement unterstützen, originär aber einen anderen Vermarktungsschwerpunkt haben.