Risikomanagement
Risikomanagement
Was ist Risikomanagement?
Risikomanagement umfasst das Identifizieren, Analysieren, Bewerten und Kommunizieren von zukünftigen, unsicheren Ereignissen, die Auswirkung auf eine Organisation oder ein Projekt haben können. Es umfasst zudem das Identifizieren, Planen und Umsetzen von Maßnahmen, mit denen Eintrittswahrscheinlichkeit und Auswirkung von Bedrohungen reduziert, von Chancen hingegen erhöht werden.
Das Risikomanagement ist ein essenzieller Bestandteil des Qualitätsmanagements und eines Qualitätsmanagementsystems. Plant ein Unternehmen sich z.B. nach der ISO 9001:2015 zertifizieren zu lassen, ist eine intensive Auseinandersetzung mit den Unternehmensrisiken eine zwingende Voraussetzung.
Ab dem 1. Januar 2023 müssen Unternehmen mit mehr als 3.000 Beschäftigten laut dem Lieferkettengesetz ein Risikomanagement zwingend einführen. Ab dem 1. Januar 2024 gilt das Gesetz sogar bereits für Unternehmen ab 1.000 Beschäftigten. Dadurch sollen Risiken, wie z.B. Umweltschutzauflagen, Menschenrechtsverletzungen sowie die Arbeitsbedingungen identifiziert und verringert werden. Doch beim Risikomanagement lohnt sich auch ein Blick auf die potentiellen Chancen. Diese lassen sich kenntlich machen, während geeignete Maßnahmen die Risiken minimieren sollen.
Ein unternehmensinternes Risikomanagement sorgt für kontinuierliche Verbesserungen und kann die eigene Innovationskraft erhöhen, denn dadurch werden neben Risiken auch Chancen erkannt und abgewogen, wodurch neue Ansätze entstehen können. Prozesse werden dadurch optimiert und auch die Produkte sowie der Service verbessern sich. In der Regel verwenden Unternehmen für ihr Risikomanagement eine Software, welche dabei hilft, die Risiken zu identifizieren, quantifizieren und durch Maßnahmen zu reduzieren oder die Auswirkungen bei Eintreten zu vermindern.
Risikomanagement im Projektmanagement
Risikomanagement zielt darauf ab, die Chancen für das Erreichen der Projektziele zu erhöhen, indem man sich mit den Risiken auseinandersetzt und diese minimiert, um die Erfolgschancen des Projekts zu steigern. Gleichzeitig soll das Eintreten gravierender Risiken, die zu einem Scheitern des Projekts führen können, möglichst minimiert werden.
Bei einem professionellen Risikomanagement müssen Plan- und Ist-Zustand regelmäßig überprüft werden. Dazu gehören das Neubewerten von Risikoeintrittswahrscheinlichkeiten und das Anpassen von Maßnahmen sowie Projektplänen. Risiken innerhalb eines Projekts können z.B. Zeitplanverschiebungen oder technische Probleme sein.
Qualitätsprobleme und Ressourcenknappheit z.B. müssen klar benannt sein. Im Projektalltag wird darauf jedoch häufig nicht geachtet. Mögliche Risiken bleiben unerkannt, werden bewusst ignoriert oder vergessen. Im oft hektischen Projektalltag kann es leicht passieren, dass Risiken unter den Tisch fallen und vergessen werden. Lieber denkt man nicht daran, was passieren kann und verklärt die Realität. Doch das kann gefährlich werden: Das Scheitern von Projekten kann neben finanziellen Folgen (Einnahmeausfälle und Vertragsstrafen) auch zu Imageschäden führen oder Nutzer eines Produkts gefährden.
In welchem Ausmaß eine Organisation Risikomanagement betreibt und welche Maßnahmen es dazu umsetzt, hängt häufig von der Unternehmenskultur sowie der Branche ab.
Die Bereiche des Risikomanagements
Das Risikomanagement besteht immer aus einzelnen Arbeitsschritten, die nacheinander erfolgen:
- Identifizierung des Risikos
- Risikoanalyse
- Risikobewertung
- Maßnahmenplan
Risiken identifizieren
Der erste Schritt ist das systematische Identifizieren aller relevanten Risiken, die einem Projekt oder einem Unternehmen drohen. Weil die lückenlose Identifizierung ein zentraler Erfolgsfaktor ist und um hierbei möglichst viel Wissen, Erfahrung und Perspektiven einfließen zu lassen, wird dieser Teil des Risikomanagements meistens innerhalb einer Gruppe erarbeitet. Hier sollten verschiedene Kreativitätstechniken eingesetzt werden, um die Qualität der Ergebnisse zu steigern (z.B. neben Brainstorming, die Six Thinking Hats oder das World Cafe). Wurden alle Risiken, inklusive Ursachen und Wirkungen erfasst, dann folgt der nächste Schritt.
Risikoanalyse durchführen
Bei der Analyse der Risiken geht es darum, den gefundenen Risiken eine Bedeutung innerhalb des Projekts zuzuweisen. Dabei werden die Eintrittswahrscheinlichkeit und die Schwere der Schäden erarbeitet, sollte ein Risiko eintreten. Betrachtet werden dabei sowohl finanzielle als auch qualitative und zeitliche Auswirkungen. Die Bedeutung wird in der Regel kategorisiert, z.B. in die drei Stufen "niedrig", "mittel" und "hoch".
Allerdings sind qualitative Skalen ungeeignet, um Risikoprioritätszahlen zu berechnen, wie z.B. das Produkt aus Eintrittswahrscheinlichkeit und der monetär bewerteten Schadenshöhe. Um Berechnungen mit der geschätzten Eintrittswahrscheinlichkeit durchzuführen sind quantitative Skalen mit definierten Stufen üblich, wie z.B. eine neunstufige Skala in 10%-Schritten (10% bis 90%). Wenn ein zukünftiges Ereignis mit einer Eintrittswahrscheinlichkeit von 100% zu bewerten ist, stellt es kein Risiko mehr dar, sondern ein sicheres Ereignis und damit eine zu beachtende Rahmenbedingung.
Risikobewertung vornehmen
Nach der Identifizierung und der Analyse erfolgt die Bewertung. Evaluiert werden sollten hierbei alle Risiken, die eintreten können. Welche Ursachen diesen Ereignissen zugrunde liegen und welche Schäden durch diese Ereignisse auftreten können, muss von Fall zu Fall untersucht werden.
Durch die Wahrscheinlichkeit und die Bedeutung lässt sich die Kritikalität errechnen. Daraus kann eine einfache Risikomatrix abgeleitet werden, durch welche die Risiken eingeordnet werden können. Auf dieser Basis lässt sich eine fundierte Entscheidung treffen, ob das Risiko einkalkuliert werden kann, Gegenmaßnahmen vorzubereiten sind oder ob Gegenmaßnahmen und eine eventuelle Veränderung der Projektplanung erforderlich sind. Letztere können z.B. aus Notfallplänen oder etwaigen Versicherungen bestehen.
Die Risikobestimmung kann noch genauer erfolgen, indem man analysiert, wie hoch die Wahrscheinlichkeit ist, dass das Risiko eintritt, jedoch rechtzeitig erkannt und behoben wird, bevor es einen Schaden anrichtet. Die Auswirkungen mancher Risiken können dadurch abgeschwächt werden und stellen sich als handhabbar und berechenbar heraus.
Maßnahmenplan erstellen
Wurden alle Risiken identifiziert und bewertet, sollte ein detaillierter Maßnahmenplan erarbeitet werden. Folgt man dem Pareto-Prinzip, fußen 80% des Erfolgs auf 20% des Aufwands. Bezogen auf das Risikomanagement kann wie folgt zwischen Aufwand und Nutzen abgewogen werden:
- Geringe Risiken können ohne Maßnahmen bleiben, ihre Schäden gilt es einzukalkulieren.
- Für mittlere Risiken sollten präventive Maßnahmen und Notfallpläne entwickelt werden. Der Status des Risikos und seine Eintrittswahrscheinlichkeit sollten regelmäßig überprüft werden.
- Bei hohen Risiken sollten präventive Maßnahmen durchgeführt und die Projektplanung entsprechend angepasst werden. Dazu können risikobehaftete Aktionen weggelassen, das Risiko verlagert oder das Unternehmen dagegen zumindest versichert werden.
Beispiel: Risikomanagement für ein Event
Zur besseren Veranschaulichung im Folgenden nun ein konkretes Praxisbeispiel für ein gelungenes Risikomanagement:
Der Eventmanager Alex möchte ein neues Kulturhaus in der Stadt im Rahmen einer Veranstaltung eröffnen. Dazu lädt er 200 Gäste ein, für die ein kaltes Buffet bereitstehen soll. Zu Beginn der Veranstaltung im Kulturhaus soll die Bürgermeisterin eine kleine Rede halten. Eingerahmt wird die Eröffnung durch zwei Musikbeiträge an ihrem Beginn und Ende.
Als Projektziel legt Eventmanager Alex fest: positives Image des neuen Kulturhauses, zufriedene Gäste, Folgeaufträge von der Bürgermeisterin. Gemeinsam mit seinem Team ermittelt er folgende Risiken:
- Das Catering wird nicht (rechtzeitig) geliefert
- Die Band erscheint nicht
- Defekte Verstärkeranlage
- Erkrankung der Bürgermeisterin
Was sind die Ursachen?
Dazu werden in der Folge die Ursachen ermittelt: Kommt es zu Fehlern in der Vertragsgestaltung oder entstehen Lieferengpässe beim Cateringunternehmen, führt das dazu, dass nicht rechtzeitig geliefert wird. Eine unklare Terminabstimmung oder die Krankheit eines Bandmitglieds führt dazu, dass die Band nicht erscheint. Ist die Verstärkeranlage falsch angeschlossen oder kommt es zu einem Defekt, fällt diese aus. Die Erkrankung der Bürgermeisterin ist dagegen höhere Gewalt und hat keine konkret definierbare Ursache.
Welche Schäden können entstehen?
Anschließend werden die Schäden kalkuliert: Wenn das Cateringunternehmen nicht rechtzeitig liefert, fällt das Buffet aus, was jedoch ein Haupteinladungspunkt ist. Die Gäste würden unzufrieden werden und es entstünde wahrscheinlich schlechte Stimmung, was auf das Kulturhaus und damit die Bürgermeisterin zurückfallen könnte. Wenn die Band nicht erscheint, fehlt der Veranstaltung der Rahmen für Beginn und Abschluss, und es würde der kulturelle Teil der Einweihung fehlen. Fällt die Verstärkeranlage aus, können weder Musik, noch die Rede der Bürgermeisterin stattfinden und der wichtigste Teil der Veranstaltung fällt aus. Das sorgt für negative Presse und einen schlechten Eindruck bei den Gästen sowie der Bürgermeisterin. Das Kulturhaus erleidet einen Imageschaden. Erkrankt die Bürgermeisterin, müsste ihr Vertreter die Rede halten und die Gäste begrüßen.
Wie hoch ist die Eintrittswahrscheinlichkeit?
Nun wird die Wahrscheinlichkeit ermittelt, mit der die negativen Ereignisse auftreten können und in ein Verhältnis mit der Bedeutung für das Projekt gesetzt. Eine Erkrankung der Bürgermeisterin kann mit einer geringen Wahrscheinlichkeit eingestuft werden. Das ist jedoch auch nur von geringer Bedeutung, da es einen Vertreter gibt. Eine nicht erscheinende Band wird mit einer mittleren Wahrscheinlichkeit bewertet und die Bedeutung für das Projekt ist wichtig. Ein Defekt der Verstärkeranlage wird ebenfalls mit einer mittleren Wahrscheinlichkeit deklariert, die Bedeutung für das Projekt ist allerdings sehr hoch. Ebenso wichtig für das Projekt ist die Lieferung vom Caterer, die Wahrscheinlichkeit, dass dieser nicht liefert ist jedoch sehr gering. Allerdings hat das Buffet eine sehr hohe Bedeutung für das Event.
Was lässt sich daraus ableiten?
Ableiten lässt sich daraus,
- dass eine Erkrankung der Bürgermeisterin nicht abgesichert werden muss, da es einen Vertreter gibt.
- Lieferengpässe beim Caterer oder ein nicht Erscheinen der Band müssen präventiv durch Klauseln im Vertrag abgesichert werden, welche Band und Cateringunternehmen zu einem Schadensersatz verpflichten, falls diese ausfallen sollten.
- Eine funktionierende Verstärkeranlage ist enorm wichtig für das Projekt, dafür gilt es einen Notfallplan aufzustellen. Möglicherweise lassen sich Musik und Rede auch anderweitig gestalten, eine Ersatzanlage kann bereitgehalten werden oder ein:e Techniker:in vor Ort sein, welche:r die Anlage vorher prüft und sich während der Veranstaltung um diese kümmert.
Methoden des Risikomanagements
Für ein gelungenes Risikomanagement gibt es die unterschiedlichsten Methoden und Ansätze. Im Folgenden stellen wir die bekanntesten vor.
Risikomatrix mit ALARP
ALARP bedeutet "As Low As Reasonably Practicable". Diese Methode beschäftigt sich insbesondere mit der Maßnahmenbewertung. Mittels eines Risikographen wird visualisiert, welche Risiken akzeptabel sind und welche nicht. Dabei müssen die Parameter Eintrittswahrscheinlichkeit und Schadenausmaß klar definiert sein. Nicht geeignet ist diese Methode für Maßnahmen, die juristische Risiken oder das Wohl von Leib und Leben gefährden, diese sind generell inakzeptabel.
Die einzelnen Bereiche des Graphen werden in grün für akzeptable Risiken, gelb für tolerabel und rot für inakzeptabel gestaltet. Die Farben symbolisieren dabei die Priorität, mit der Gegenmaßnahmen für Risiken ergriffen werden sollten:
FMEA – Failure Modes & Effects Analysis
Mögliche Prozess- oder Produktfehler sollen durch FMEA präventiv, bereits in der frühen Entwicklungsphase kenntlich gemacht werden (siehe dazu "Mit FMEA auf der sicheren Seite – ein Praxisbeispiel" und den Glossareintrag zur Fehlermöglichkeits- und Einflussanalyse (FMEA)).
DRBFM – Design Review Based on Failure Modes
Das DRBFM befindet sich ähnlich wie die FMEA an der Schnittstelle zwischen Risiko- und Qualitätsmanagement. Der Fokus von DRBFM liegt auf Änderungen und deren möglichen Auswirkungen auf Unternehmensbereiche und Projekte. Die Methode funktioniert nach dem 4-Augen-Prinzip, wozu ein Design-Review-Team eingeführt wird. Dieses Team setzt sich aus Entwickler:innen und Ingenieur:innen zusammen, die bereits in der frühen Entwicklungsphase ein robustes Design erstellen sollen. Einzelne Funktionen und Bestandteile der Bauteile werden analysiert und auf den Prüfstand gestellt.
Fehlerbaumanalyse
Hierbei handelt es sich um eine Wahrscheinlichkeitsanalyse, die ein mögliches Versagen in einem Top-Down-Verfahren analysiert. Dabei wird nach potentiellen Fehlerquellen gefragt, wodurch ein Fehlerbaum (Fault Tree) entsteht, inklusive aller eventuellen Fehlerursachen.
Durch diese Analyse kann deutlich werden, dass Fehler oder Risiken häufig viele verschiedene Ursachen haben, welche sich ebenso wieder aus anderen Gefährdungen zusammensetzen. Auf diese Art entsteht ein umfangreiches Baumdiagramm. (siehe dazu die Methode Fehlerbaumanalyse).
Risiko Monitoring
Ein Risiko Monitoring hilft dabei, alle Risiken im Auge zu behalten. Alle Maßnahmen können an potentielle Veränderungen angepasst und konstant aktualisiert werden. Ebenso werden neu auftretende Risiken ermittelt, erkannt und eingepflegt.
Auf Grundlage dieser Methoden kann ein solides Risikomanagement etabliert werden. Welche Methoden dabei konkret angewendet werden, hängt vom jeweiligen Projekt oder Unternehmen ab. Es ist jedoch immer ratsam möglichst unterschiedliche Ansätze, Methoden und Perspektiven mit einfließen zu lassen, um sicherzustellen, dass alle Risiken erkannt und richtig eingeschätzt werden.
Bewertungen
Was ist Risikomanagement?
Das Risikomanagement ist eine wichtige Aufgabe in Unternehmen und Projekten. Es erfasst sowie bewertet Risiken innerhalb des Geschäftsbetriebs eines Unternehmens. Diese sollen anschließend durch vorbeugende Maßnahmen verhindert, abgesichert oder minimiert werden. Eine benachbarte Disziplin ist das Qualitätsmanagement.
Wie sieht Risikomanagement in der Praxis aus?
Beim Risikomanagement werden die Risiken identifiziert, analysiert, bewertet und ein Maßnahmenplan erstellt, um das Eintreten von Risiken zu verhindern oder bei deren Eintreten mit Gegenmaßnahmen gegenzusteuern, um den Schaden zu minimieren. Weitere Informationen
Welche Risikomanagement-Methoden gibt es?
Um das Risikomanagement umzusetzen, gibt es verschiedene Methoden, beispielsweise die Risikomatrix mit ALARP, bei der die Risiken anhand eines Graphen visualisiert werden. Weitere Methoden sind die Fehlermöglichkeits- und Einflussanalyse (FMEA), durch die Produkt- und Prozessfehler möglichst früh erkannt werden sollen, das Design Review Based on Failure Mode (DRBFM), welches mit einem Design-Review Team arbeitet sowie die Fehlerbaumanalyse.