Tool Box Talks: Risikoregister
Managementwerkzeuge gibt es wie Sand am Meer. Und auch, wenn mancher etwas anderes behaupten mag: die meisten von ihnen sind gut und hilfreich – vorausgesetzt, sie werden korrekt und im passenden Kontext eingesetzt.
In der Reihe „Tool Box Talks“ stellen wir Ihnen sowohl gängige als auch weniger bekannte Werkzeuge vor und zeigen Ihnen, wie Sie deren Potenzial für Ihr Unternehmen nutzbar machen. Der Fokus dieses Artikels liegt dabei auf dem Risikoregister.
Wozu dient ein Risikoregister und wann sollte es genutzt werden?
Das Risikoregister ist ein zentrales Werkzeug des Risikomanagements. Es dient der Dokumentation von Risiken für ein Produkt, ein Projekt, eine Abteilung oder ein Unternehmen, je nachdem, welcher Bereich im Rahmen des Risikomanagements betrachtet wird. Dabei empfiehlt es sich, für jeden Bereich ein eigenes Risikoregister zu führen, um eine Fehlinterpretation der Risikoinformationen zu vermeiden (vgl. „Führt Risikobewertung zu Fehlentscheidungen?“).
Ein Risikoregister sollte grundsätzlich immer genutzt werden, wenn Risiken erfasst werden. Die äußere Form kann dabei sehr unterschiedlich sein. Zum einen sollte die Informationstiefe den aktuellen Bedürfnissen angepasst werden. So benötigt etwa eine ad-hoc Einschätzung oder eine punktuelle Risikoanalyse im Regelfall deutlich weniger Hintergrundinformationen, um ihren Zweck zu erfüllen, als es bei der systematischen Risikobetrachtung im Rahmen eines komplexen und langandauernden Projekts der Fall ist. Zum anderen beeinflusst der Reifegrad einer Organisation das Format des Risikoregisters. Dieses kann von einer einfachen Tabelle bishin zu integrierten Datenbanken unter Einbeziehung künstlicher Intelligenz zum Vervollständigen und Vererben von Risikoinformationen variieren.
Wie wird ein Risikoregister genutzt?
Das Risikoregister in seiner einfachsten Form ist eine tabellarische Auflistung aller Informationen, die im Rahmen des Risikomanagements benötigt werden. Die einzelnen Risiken werden dabei in jeweils einer Zeile dokumentiert, während die verschiedenen Informationsbestandteile übersichtlich in den Spalten strukturiert werden.
Ein Basissatz an Informationen (d.h. Spalten im Risikoregister) ist
- eine durchlaufende Nummerierung o.ä. zur Identifikation der Risiken,
- eine genaue Beschreibung des Risikos (was kann passieren und wie wirkt es sich auf die Ziele aus?),
- eine Einschätzung der Eintrittswahrscheinlichkeit,
- eine Bewertung der Wahrscheinlichkeit und der Auswirkung und
- eine Beschreibung der vorgeschlagenen Risikobehandlung.
Darüber hinaus gibt es noch eine Vielzahl weiterer Informationen, die in einem Risikoregister aufgeführt werden können – was dabei sinnvoll ist, hängt in hohem Maß vom individuellen Anwendungskontext ab.
Um ein Risikoregister im Rahmen einer Risikoanalyse zu befüllen, haben sich zwei Ansätze als effektiv herausgestellt. Der einfachste Weg ist ein zeilenweises Vorgehen. Dabei wird zuerst ein Risiko identifiziert und anschließend werden alle weiteren Informationen zu diesem Risiko zusammengetragen und dokumentiert. Da diese Herangehensweise der Intuition folgt, ist sie vergleichsweise einfach zu moderieren, jedoch zeitintensiv und für die Teilnehmer der Risikoanalyse schnell ermüdend. Der effektivere, allerdings von der Moderation her etwas kompliziertere Ansatz besteht darin, zunächst nur die Risiken zu identifizieren und zu beschreiben. Die weiteren Informationen werden dann im Nachgang ergänzt.
Achtung Fallstrick!
Das Risikoregister dokumentiert die identifizierten Einzelrisiken und deren Bewertung in einem definierten Kontext. Ein typischer Fallstrick ist hier, dass zur Bewertung des Gesamtrisikos gerne die Einzelrisiken aufaddiert werden. Da es jedoch in der Regel Abhängigkeiten zwischen Einzelrisiken gibt – Risiken sich z.B. gegenseitig ausschließen – repräsentiert die Summe der Einzelrisiken in den seltensten Fällen das Gesamtrisiko, sondern liefert meist einen deutlich zu hohen Risikowert.
Ein weiterer Stolperstein ist bei der Übertragung von Risiken aus einem Kontext in einen anderen zu beachten, z.B. von der Abteilungs- auf die Unternehmensebene. Da Risiko als die „Auswirkung von Unsicherheit auf Ziele“ definiert ist (vgl. DIN ISO 31000:2018), müssen Risiken bei der Übertragung in einen anderen Kontext auch neu bewertet werden, da sich mit dem Kontext auch die Ziele ändern. Ein einfaches Kopieren der Risikoinformationen aus einem Risikoregister in ein anderes ist hier falsch.
Welches Ergebnis liefert ein Risikoregister?
Das Risikoregister fasst alle Informationen zu Risiken innerhalb des definierten Kontextes zusammen. Damit liefert es die Datengrundlage für ein effektives Risikomanagement für das entsprechende Produkt oder Projekt bzw. die betrachtete Abteilung oder das bewertete Unternehmen. Gleichzeigt dokumentiert es die Aktivitäten des Risikomanagements, indem es Änderungen der Risikobewertung, Entscheidungen zum Umgang mit Risiken und die Umsetzung von Risikobehandlungen auflistet. Das Risikoregister liefert somit zu jeder Zeit einen genauen Überblick über alle Risiken und den Umgang mit diesen.
Folgen Sie uns auf LinkedIn und erfahren Sie regelmäßig, wie Sie mehr aus Managementwerkzeugen herausholen uns somit auch in Zukunft Ihrer Konkurrenz einen Schritt voraus sein können.