Um was geht es?
Veränderungen wie die Digitalisierung, Agile, Automatisierung, Big Data etc. bringen so viele Chancen und Möglichkeiten.
Häufig müssen wir bewusst Risiken eingehen, um Innovation und Gewinne zu realisieren. Doch sie bergen auch massive Gefahren.
Um Risiken zu steuern wird häufig ein organisationsweites oder ein projektspezifisches Risikomanagement eingesetzt.
Doch viele Risikomanagement-Ansätze verlaufen sich im Sand oder sind zahnlose Papiertiger.
Oder auf der anderen Seite wähnt man sich in einer Sicherheit, die es nicht gibt. Für viele ist es auch ganz viel Aufwand der nichts bringt. Aber, kein Risikomanagement heisst nicht keine Risiken.
Meist liegt das Problem in der passenden Umsetzung.
Von Peter Roth, 23. März 2021
Schwächen bei der Implementierung von Risikomanagement
Das erkennen und beurteilen von Risiken ist ein wesentlicher und integraler Bestandteil der Unternehmensführung und des Projektmanagements, wird aber auch in unzähligen anderen Disziplinen wie zum Beispiel Sport, Finanzplanung, Versicherungen, Industrie und Nothilfe angewendet.
In der Praxis gibt es aber Schwächen in der Umsetzung, welche die Wirksamkeit des Risikomanagement mindern:
- Nicht alle wesentlichen Risiken sind identifiziert
- Risiken werden falsch oder ungenau beschrieben und beurteilt, die Beurteilungen falsch interpretiert
- Das Risikomanagement ist nicht integriert
- Risikomanagement wird nicht regelmässig durchgeführt, zu wenig Konstanz
- Der Prozess ist zu kompliziert und administrativ zu aufwändig
- Begriffe werden unterschiedlich eingesetzt
Was ist ein Risiko und was ist Risikomanagement?
Risiken sind relevante Gefahren, welche zukünftig eintreffen können. Darum habe Risiken immer eine Eintreffenswahrscheinlichkeit (EW).
Risiken haben eine oder mehrere meist nachteilige Auswirkungen auf die Organisation / Projekt, falls das Risiko eintritt.
Risikomanagement ist die Disziplin, Risiken zu erkennen, zu beschreiben, zu überwachen und Massnahmen zur Risikodämmung zu definieren.
Diese Massnahmen sollen entweder a) die EW von Risiken minimieren, oder falls das Risiko eintritt b) die Auswirkung von Gefahren minimieren oder c) die Häufigkeit des Eintreffens von Risiken reduzieren.
Der Zweck des Risikomanagements ist sicherzustellen, dass die Organisation Risiken versteht und wirksam behandelt.
Risiken müssen regelmässig überprüft werden, da sich sowohl die Risiken selbst aber auch das Umfeld verändert.
Risiken können in Tabellen und Grafiken dargestellt werden. In einem Risk Grid werden die Gefahren mit der EW und der Auswirkung grafisch dargestellt.
Beispiel eines Risikos: Ein Kabel auf dem Boden stellt eine Stolpergefahr dar (Gefahr).
Wenn jemand über das Kabel stolpert, hinfällt, und sich den Kopf auf den unmittelbar daneben stehenden Tisch stösst (Szenario), dann könnte das zu einer kritischen Verletzung führen (Auswirkung).
Darum muss das Kabel sofort entfernt werden, wenn es nicht mehr gebraucht wird (Massnahme).
Was hilft mir bei der Identifizierung von Risiken?
Ein Risiko klar zu beschreiben ist nicht einfach und benötigt Erfahrung und Feingefühl.
- Risiken und deren Auswirkung müssen in einem Zusammenhang mit dem Vorhaben/Projekt stehen, damit sie relevant sind.
Beispiel: Die Gefahr einer Überschwemmung ist üblicherweise in einem IT-Projekt nicht relevant, ausser die Serverräume befinden sich in der Nähe.
- Die Risiken können grob in (z.B. firmen-, organisations- oder projekt-) interne oder externe Risiken aufgeteilt werden.
Meist können interne Risiken gut während externe Risiken nur bedingt, mit viel Aufwand, bis zu gar nicht beeinflusst werden. Bei externen Risiken kann häufig nur deren Auswirkung auf die eigene Organisation vermindert werden.
- Um Risiken zu beschreiben hilft es, mögliche Szenarien dazu zu erfassen.
- Ein Risiko soll nicht allgemein sondern konkret aus der Sicht der Organisation beschrieben werden.
- Um eine möglichst vollständige Liste von relevanten Risiken zu erfassen dient eine Struktur wie zum Beispiel die Aufteilung in technische (Systeme, Daten, Funktionen, etc.), organisatorische (Struktur, Ablauf, Governance, etc.), wirtschaftliche (Finanzrisken, Marktrisiken) juristische und regulatorische (Gesetzerlass, Behörden, etc.) und Umweltrisiken (Überschwemmung, Brand, Verschmutzung, etc.).
- Zuständige Fachleute erkennen und verstehen vor allem externe Risiken besser als Aussenstehende, darum sollten sie diese aktiv und regelmässig befragen anstatt Annahmen zu treffen.
Wie beeinflusse ich die Eintreffenswahrscheinlichkeit?
Die Eintreffenswahrscheinlichkeit (EW) eines Risikos beschreibt die Wahrscheinlichkeit, ob ein Risiko in Zukunft passieren kann. Die EW eines Risikos kann und wird sich über die Zeit verändern.
- Häufig wird sie als % oder als Einstufung (z.B. ‚klein - mittel - hoch‘ oder ‚selten - unwahrscheinlich - möglich - wahrscheinlich - fast sicher‘) angegeben. Beträgt die EW 100%, ist die Gefahr eingetroffen.
Somit handelt es sich nicht mehr um ein Risiko, sondern wird zum Problem (Engl. Issue).
- Die EW ist unter anderem abhängig von der Exposition zur Gefahr. Ist man nah dran (geographisch, organisatorisch, technisch), ist die EW höher.
- Massnahmen zur Reduzierung oder gar Eliminierung der EW müssen geplant, umgesetzt, überwacht und deren Wirkung regelmässig beurteilt werden, solange das Risiko besteht. Dies können einmalige oder wiederkehrende Massnahmen sein.
- Bleibt die gewünschte Wirkung aus, müssen die Massnahmen angepasst oder neue, zusätzliche Massnahmen aufgesetzt werden.
- Obwohl eine Massnahme wie gewünscht wirkt, muss gegebenenfalls noch nachgebessert werden, weil sich das Risiko selbst oder die EW verändert hat.
- Auch wenn die EW eines Risikos klein ist, kann es eintreffen, ganz im Sinne von Murphy‘s Law: «If anything can go wrong, it will».
Wie behandle ich die Auswirkungen von Risiken?
Die Auswirkung eines Risikos auf eine Organisation beschreibt den meist negativen konkreten Einfluss eines Risikos auf die eigene Organisation. Ein Risiko ohne relevante Auswirkung ist kein relevantes Risiko.
Beispiel: Bei einer Überschwemmung kann die (relevante) Auswirkung vielleicht nur ein Stromausfall für das eigene Gebäude sein.
- Häufig wird die Auswirkung als Einstufung (z.B. klein – mittel - hoch oder vernachlässigbar – gering – moderat – gross – katastrophal) angegeben. In Unternehmen kommt auch eine finanzielle Einschätzung der Auswirkung zum tragen.
- Die EW ist unter anderem abhängig von der Exposition zur Gefahr. Ist man nah dran (geographisch, organisatorisch, technisch), ist die EW höher.
- Massnahmen zur Reduzierung der Auswirkung sind ganz wichtig, weil jedes Risiko auf eintreffen kann. Im Idealfall wird mit Massnahmen die Auswirkung ganz eliminiert, womit sich das Risiko aufhebt.
Organisatorische, bauliche und technische Massnahmen können sein:
- Reduzierung des Umfangs der Auswirkung, z.B. durch Teilung, Doppelspurigkeit, Wiederherstellung
- Reduzierung der Tiefe von Auswirkungen, z.B. Druckverminderung, Verminderung der Härte, dass es nur noch oberflächlich wirkt
- Massnahmen zur Reduzierung von Wiederholungen für das Eintreffen von Risiken
- Versichern der Auswirkung
Zusätzliche Tipps zum Risikomanagement
- Besser ein einfaches, fokussiertes Risikomanagement, welches aktiv gelebt wird, als gar keines (blind).
- Zu einem professionellen Risikomanagement würde ich analog ein Chancenmanagement integrieren. Schlussendlich geht es um die Abwägung von Chancen und Risiken.
- Die Werte der Einstufungen von Eintreffenswahrscheinlichkeit und Auswirkung und ihrer Bedeutung sollen intern definiert werden, um die Verständlichkeit und Akzeptanz zu erhöhen.
- Das Risikomanagement soll in die Organisation integriert werden, mit klaren Verantwortlichkeiten, Kommunikation und der Aufnahme des Themas in die Agenda von bestehenden Sitzungen.
- Massnahmen zur Vermeidung von Risiken oder zur Linderung der Auswirkungen sollen je einer verantwortlichen Person zugeordnet und mit einem Termin versehen werden, und direkt in der Pendenzenliste aufgenommen und bearbeitet werden.
- Risiken sollen klassifiziert werden (z.B. mit Ampelsystem), entsprechend der Klassifizierung sollen Risiken wöchentlich, monatlich oder quartalsweise neu beurteilt werden. Neue Risiken sind fix z.B. monatlich zu erheben.
- Risikomanagement soll transparent sein, entsprechend sollen die Informationen zugänglich sein.
- Häufig besteht eine Vermischung von Begriffen, was die Kommunikation erschwert. Siehe Wikipedia („Risiko“).