Risikomanagement – Teil 3 –
Stehen Ziel und Fokus einer Risikobetrachtung fest (siehe Teil 2), werden nun in einem Risikomanagement-Prozess Chancen und Risiken in Bezug auf eine konkrete Fragestellung systematisch untersucht. Die Systematik entspricht hierbei dem PDCA-Zyklus (Plan, Do, Check, Act). Für ein umfassendes Risikomanagement kann der Risikomanagement-Prozess wiederum in einen RM-Rahmen eingebettet werden, der sich mit der Planung, Umsetzung, Überprüfung und Verbesserung des RM-Systems beschäftigt.
Kommunikation und Informationsaustausch
Für den Erfolg jedes RM-Prozesses ist es von ausschlaggebender Bedeutung, diejenigen Personen zu identifizieren und einzubeziehen, die für die jeweilige Risikobetrachtung wichtig sind. Dies können direkt betroffene Mitarbeiter, Entscheidungsträger, Personen an wichtigen Schnittstellen und übergeordnete Funktionen ebenso sein, wie externe Stakeholder. Damit die Kommunikation und Information über den gesamten RM-Prozess reibungslos funktioniert, empfiehlt es sich, mit einem Kommunikations- und Informationsplan zu beginnen, der festlegt,
wer, wann mit wem, worüber und womit kommuniziert
wer, wann und worüber intern und extern informiert werden muss
woher und wie die Informationen über Risiken gewonnen werden können.
Rahmenbedingungen fixieren
Der nächste Schritt ist, die Rahmenbedingungen abzustimmen und festzulegen: was ist die Ausgangslage und das Ziel der Risikobeurteilung? Was sind die internen Rahmenbedingungen wie z.B. Verantwortlichkeiten, Zuständigkeiten, Bereiche, Abläufe, Schnittstellen, Ressourcen, Strukturen und was sind die externen Rahmenbedingungen wie z.B. Anforderungen, Erwartungen, Wettbewerb. Welche Risikokriterien sollen zugrunde gelegt werden hinsichtlich der Eintrittswahrscheinlichkeit und der Auswirkung. Was ist unwahrscheinlich und unbedeutend, was geht häufig schief und was ist in seiner Auswirkung kritisch oder gar katastrophal?
Risikobeurteilung
Die eigentliche Risikobeurteilung umfasst die Risikoidentifikation, die Risikoanalyse und die Risikobewertung.
Risiken identifizieren bedeutet, möglichst umfassend diejenigen Chancen und Risiken zu erkennen, die dafür verantwortlich sind, dass sie die Zielerreichung der Organisation verzögern oder unterstützen oder verzögern, verschlechtern oder gar verhindern. Neben der systematischen Auswertung interner Informationssysteme sind Gefahrenlisten ein wirksames Werkzeug: sie können auf den jeweiligen Anwendungsbereich zugeschnitten werden, wie z.B. auf allgemeine Bedrohungen, strategische oder projektbezogene Risiken.
Die Risikoanalyse soll das grundlegende Verständnis für ein Risiko fördern, Zusammenhänge und Wechselwirkungen aufzeigen und damit die Grundlage schaffen, um mögliche Auswirkungen und die wahrscheinliche Häufigkeit des Auftretens abschätzen zu können.
Die Risikobewertung erfolgt durch einen Vergleich zwischen dem Analyseergebnis und den festgelegten Risikokriterien. Das ermittelte Risiko kann in eine Risikomatrix eingetragen werden. Die Risikotoleranzbereiche und -grenzen kennzeichnen die nicht vertretbaren, bedingt vertretbaren und vertretbaren Risiken.
Risikobewältigung
Wie soll nun mit den ermittelten nicht tragbaren Risiken umgegangen werden? Ziel ist, Maßnahmen festzulegen, die hohe, nicht vertretbare Risiken zumindest in den Toleranzbereich der bedingt vertretbaren Risiken zu verschieben. Hierzu gibt es verschiedene Möglichkeiten:
Risiko vermeiden, indem diese riskanten Tätigkeiten nicht oder nicht mehr ausgeführt werden
Risikoquellen entfernen, z.B. durch Sicherungskonzepte
Eintrittswahrscheinlichkeit verringern, z.B. durch technische Lösungen, Schulungen der Mitarbeiter
Auswirkungen verändern, z.B. durch Schutzmaßnahmen, Ersatzstoffe
Risiko versichern bzw. mit mehreren Parteien teilen
Trotz aller Risikobewältigungsstrategien verbleibt stets ein Restrisiko, das die Organisation letztendlich akzeptieren und tragen muss.
Risiken überwachen
Die Risikoüberwachung und –prüfung begleitet die einzelnen Schritte des RM-Prozesses, schließt ihn ab und initiiert einen neuen RM-Prozess. Sie dient der Maßnahmenüberwachung hinsichtlich der Wirksamkeit und Umsetzung, als Frühwarnindikator bei entsprechenden Entwicklungen, zur Identifikation und Beurteilung neuer Risiken und zur Systemverbesserung.