Managementwerkzeuge gibt es wie Sand am Meer. Und auch, wenn mancher etwas anderes behaupten mag: die meisten von ihnen sind gut und hilfreich – vorausgesetzt, sie werden korrekt und im passenden Kontext eingesetzt.
In der Reihe „Tool Box Talks“ stellen wir Ihnen sowohl gängige als auch weniger bekannte Werkzeuge vor und zeigen Ihnen, wie Sie deren Potenzial für Ihr Unternehmen nutzbar machen. Der Fokus dieses Artikels liegt dabei auf der Risikomatrix.

Wozu dient die Risikomatrix und wann sollte sie genutzt werden?

Die Risikomatrix ist ein Werkzeug, das Sie beim Managen von Risiken unterstützt. Das Tool visualisiert die Bewertung eines Risikos hinsichtlich der Eintrittswahrscheinlichkeit, des Einflusses auf die Zielerreichung und der Höhe bzw. Priorisierung.
Um den Risikomanager bei seiner Arbeit zu unterstützen ist die Risikomatrix oftmals direkt in das Risikoregister  integriert und fasst dieses grafisch zusammen. Weiterhin ist es ein weit verbreiteter Standard im Berichtswesen, um die Menge und Verteilung von Risiken in einem Projekt oder Unternehmensbereich darzustellen.

Wie wird die Risikomatrix genutzt?

Bevor Sie die Risikomatrix einsetzen können, müssen Sie zunächst die Risiken für Ihr Projekt bzw. Ihren Unternehmensbereich identifizieren und bewerten. Diese Bewertung hat drei Dimensionen: die Eintrittswahrscheinlichkeit, die Auswirkung auf die Zielerreichung bei Eintritt des Risikos, und die Gesamtbewertung bzw. Priorisierung. Die ersten beiden Messgrößen können Sie dabei wahlweise qualitativ (high / medium / low) oder quantitativ (in % bzw. €) bewertet werden, bei der Gesamtbewertung ist eine Bewertung über high / medium / low üblich.
Abhängig von der Bewertung tragen Sie die Risiken anschließend in einer zweidimensionalen Matrix ein, wobei die x-Achse die Eintrittswahrscheinlichkeit und die y-Achse die Auswirkung abbildet. Die Gesamtbewertung des Risikos können Sie über die Farbgebung visualisieren.

Achtung Fallstrick!

Insbesondere die zuletzt angesprochene Visualisierung der Gesamtbewertung über die Farbgebung birgt die Gefahr, gewisse Risiken zu vernachlässigen. Die häufigste Reaktion auf eine Ampel – die am meisten genutzte Farbgebung für high / medium / low ist rot / gelb / grün – ist es, sich auf die roten Items zu fokussieren und die grünen zu ignorieren.
Das Priorisieren der als ‚hoch‘ eingestuften Risiken ist sicherlich richtig, jedoch ist die Bewertung eines Risikos als ‚gering‘ sicherlich nicht gleichbedeutend mit ‚muss nicht aktiv bearbeitet werden‘. Prüfen Sie bei jedem Risiko – unabhängig von der Gesamtbewertung – welche Maßnahmen Sie ergreifen können und welche davon angemessen ist und damit umgesetzt werden sollte.

Welches Ergebnis liefert die Risikomatrix?

Die Risikomatrix bietet eine grafische Darstellung aller Risiken und deren Bewertung. Sie eignet sich damit sehr gut, schnell die relevantesten Risiken zu erfassen – sowohl hinsichtlich der Einzelbewertungen zu Eintrittswahrscheinlichkeit und Auswirkungen als auch in Bezug auf die Gesamtbewertung bzw. Priorisierung.
Insbesondere wenn Sie eine große Anzahl an Risiken managen müssen, hilft Ihnen diese Darstellung, die wichtigsten Themen auf einen Blick zu identifizieren und an den kritischsten Themen bevorzugt zu arbeiten.
Weiterhin eignet sich die Darstellung sehr gut zum Reporting. Die visuelle Aufbereitung vermittelt einen guten Eindruck über die Gesamtzahl der Risiken sowie deren Kritikalität, ohne dass dafür große Datenmengen überblickt oder analysiert werden müssen.

Folgen Sie uns auf LinkedIn und erfahren Sie regelmäßig, wie Sie mehr aus Managementwerkzeugen herausholen uns somit auch in Zukunft Ihrer Konkurrenz einen Schritt voraus sein können.

 

Als im Frühjahr 2020 die meisten Staaten mit einem Lockdown auf die aufkommende Corona-Pandemie reagierten und in der Folge viele Unternehmen in wirtschaftliche Probleme gerieten, hieß es an vielen Stellen „Das konnte niemand voraussehen!“. Gleichzeitig gibt es eine Vielzahl von Normen und gesetzlichen Anforderungen, die Unternehmen einen Rahmen dafür bieten, Risiken und Bedrohungen frühzeitig zu identifizieren und geeignete Vorsorgemaßnahmen zu treffen. Eine Frage, die keine der vorhandenen Vorgaben bislang beantwortet, ist, wie ein Unternehmen alle relevanten Risiken identifizieren kann.

Eine allgemeingültige Antwort auf diese Fragestellung gibt es nicht und wird es aller Voraussicht nach auch nicht geben. Es gibt jedoch eine Reihe von Hilfsmitteln und Methoden, die helfen, Risiken zu identifizieren, und die sich in der Praxis bewährt haben.

Brainstorming

Ein klassischer und weitverbreiteter Ansatz, um Risiken zu identifizieren, ist das Brainstorming. Allein schon die einfache Frage: „Was könnte passieren…?“ wird Ihnen eine Flut von Punkten liefern, mit der Sie Ihr Risikoregister füllen können. Der Umfang der identifizierten Risiken hängt dabei jedoch sehr stark vom Erfahrungshorizont und der Perspektive der beteiligten Personen ab. Daher sollten Sie zwei Punkte beachten, wenn Sie über ein Brainstorming gute Ergebnisse erreichen möchten.
Zum einen sollte Sie darauf achten, Personen mit möglichst unterschiedlichem Hintergrund zu einem Brainstorming zusammenzuführen. Gerade wenn es darum geht, Risiken zu identifizieren, wird das Feedback der Personen stark von ihren jeweiligen Erfahrungen und Prioritäten geprägt sein. Wenn Sie hier eine große Bandbreite an Personen einbinden, wird sich das auch in einer größeren Breite an Rückmeldungen widerspiegeln.
Als zweites empfiehlt es sich, die Diskussion während des Brainstormings in verschiedene Richtungen zu lenken. Hierzu bieten sich verschieden Ansätze an, beispielsweise 4M bzw. 8M oder PESTLE.

Prozessanalyse

Eine weitere Möglichkeit, den Gedankenfluss zu steuern, während Sie Risiken identifizieren, bietet die Prozessanalyse. Dazu unterteilen Sie zunächst Ihr Vorhaben in möglichst abgeschlossene, überschaubare Einzelaktivitäten. Anschließend fragen Sie für jede Aktivität, welche Risiken eintreten können und wie diese die Zielerreichung beeinflussen.

Dieses Vorgehen eignet sich insbesondere dann, wenn Sie aufeinander aufbauende Arbeits- oder Prozessschritte ausführen müssen und bei jedem dieser Schritte klar die Zusammenhänge zwischen den aktuellen Tätigkeiten und dem Endergebnis darstellen können. Bei komplexeren Aufgabenstellungen oder mehrfachen Abhängigkeiten ist dieser stark an das Design-Werkzeug FMEA angelehnte Ansatz in der Regel weniger geeignet, da eine Bewertung von Risiken nur noch schwer möglich ist.

Historische Referenz

Ein dritter Ansatz ist die Betrachtung von Referenzfällen aus der Vergangenheit. Dabei werden vergleichbare Projekte und Vorhaben daraufhin analysiert, welche unvorhergesehenen Ereignisse eingetreten sind und welche Auswirkungen diese auf die Erreichung der Ziele hatten.
Um über diesen Weg eine aussagekräftige Liste an Risiken zu identifizieren, müssen Sie sicherstellen, dass Sie eine ausreichend hohe Anzahl an Referenzfällen heranziehen. Gleichzeitig sollten Sie immer überprüfen, ob die abgeleiteten Risiken für Ihren konkreten Fall überhaupt relevant sind.
Dieses Vorgehen zum Identifizieren von Risiken bietet sich immer dann an, wenn Sie regelmäßig vergleichbare Aufgaben bzw. Projekte durchführen – beispielsweise kundenspezifische Anpassungen an Maschinen vornehmen oder Softwaremodule für eine Anlagensteuerung programmieren. In einem solchen Umfeld können Sie Standardrisiken schnell erfassen und projektspezifische Maßnahmen ergreifen.

Wenig hilfreich ist das Verfahren hingegen, wenn Sie in einem Bereich tätig sind, in dem es wenig oder keine Referenzen gibt. Außerdem ist die Methode ungeeignet, um neuartige Bedrohungen oder selten eintretende Extremereignisse zu berücksichtigen.

Pre-Mortem Session

Um solche Extremereignisse abzubilden, eignet sich die Nutzung von Pre-Mortem Sessions. Dabei versetzt sich das Team gedanklich in die Zeit nach Abschluss des Projekts und versucht Gründe zu identifizieren, warum das Projekt gescheitert ist.

Auf den ersten Blick unterscheidet sich das Vorgehen kaum vom eingangs dargestellten Brainstorming. Der Perspektivwechsel von „Was kann passieren…?“ hin zu „Was hat ein Scheitern verursacht?“ hilft jedoch dabei, eingefahrene Denkpfade zu verlassen und kreativ zu werden. So lassen sich insbesondere auch solche Risiken identifizieren, die außerhalb des bisherigen Erfahrungsbereichs liegen.

Welchen Ansatz werden Sie nutzen, um in Ihrem nächsten Projekt Risiken zu identifizieren? Kontaktieren Sie uns und wir unterstützen Sie gerne!

Managementwerkzeuge gibt es wie Sand am Meer. Und auch, wenn mancher etwas anderes behaupten mag: die meisten von ihnen sind gut und hilfreich – vorausgesetzt, sie werden korrekt und im passenden Kontext eingesetzt.
In der Reihe „Tool Box Talks“ stellen wir Ihnen sowohl gängige als auch weniger bekannte Werkzeuge vor und zeigen Ihnen, wie Sie deren Potenzial für Ihr Unternehmen nutzbar machen. Der Fokus dieses Artikels liegt dabei auf dem Risikoregister.

Wozu dient ein Risikoregister und wann sollte es genutzt werden?

Das Risikoregister ist ein zentrales Werkzeug des Risikomanagements. Es dient der Dokumentation von Risiken für ein Produkt, ein Projekt, eine Abteilung oder ein Unternehmen, je nachdem, welcher Bereich im Rahmen des Risikomanagements betrachtet wird. Dabei empfiehlt es sich, für jeden Bereich ein eigenes Risikoregister zu führen, um eine Fehlinterpretation der Risikoinformationen zu vermeiden (vgl. „Führt Risikobewertung zu Fehlentscheidungen?“).
Ein Risikoregister sollte grundsätzlich immer genutzt werden, wenn Risiken erfasst werden. Die äußere Form kann dabei sehr unterschiedlich sein. Zum einen sollte die Informationstiefe den aktuellen Bedürfnissen angepasst werden. So benötigt etwa eine ad-hoc Einschätzung oder eine punktuelle Risikoanalyse im Regelfall deutlich weniger Hintergrundinformationen, um ihren Zweck zu erfüllen, als es bei der systematischen Risikobetrachtung im Rahmen eines komplexen und langandauernden Projekts der Fall ist. Zum anderen beeinflusst der Reifegrad einer Organisation das Format des Risikoregisters. Dieses kann von einer einfachen Tabelle bishin zu integrierten Datenbanken unter Einbeziehung künstlicher Intelligenz zum Vervollständigen und Vererben von Risikoinformationen variieren.

Wie wird ein Risikoregister genutzt?

Das Risikoregister in seiner einfachsten Form ist eine tabellarische Auflistung aller Informationen, die im Rahmen des Risikomanagements benötigt werden. Die einzelnen Risiken werden dabei in jeweils einer Zeile dokumentiert, während die verschiedenen Informationsbestandteile übersichtlich in den Spalten strukturiert werden.
Ein Basissatz an Informationen (d.h. Spalten im Risikoregister) ist

  1. eine durchlaufende Nummerierung o.ä. zur Identifikation der Risiken,
  2. eine genaue Beschreibung des Risikos (was kann passieren und wie wirkt es sich auf die Ziele aus?),
  3. eine Einschätzung der Eintrittswahrscheinlichkeit,
  4. eine Bewertung der Wahrscheinlichkeit und der Auswirkung und
  5. eine Beschreibung der vorgeschlagenen Risikobehandlung.

Darüber hinaus gibt es noch eine Vielzahl weiterer Informationen, die in einem Risikoregister aufgeführt werden können – was dabei sinnvoll ist, hängt in hohem Maß vom individuellen Anwendungskontext ab.
Um ein Risikoregister im Rahmen einer Risikoanalyse zu befüllen, haben sich zwei Ansätze als effektiv herausgestellt. Der einfachste Weg ist ein zeilenweises Vorgehen. Dabei wird zuerst ein Risiko identifiziert und anschließend werden alle weiteren Informationen zu diesem Risiko zusammengetragen und dokumentiert. Da diese Herangehensweise der Intuition folgt, ist sie vergleichsweise einfach zu moderieren, jedoch zeitintensiv und für die Teilnehmer der Risikoanalyse schnell ermüdend. Der effektivere, allerdings von der Moderation her etwas kompliziertere Ansatz besteht darin, zunächst nur die Risiken zu identifizieren und zu beschreiben. Die weiteren Informationen werden dann im Nachgang ergänzt.

Achtung Fallstrick!

Das Risikoregister dokumentiert die identifizierten Einzelrisiken und deren Bewertung in einem definierten Kontext. Ein typischer Fallstrick ist hier, dass zur Bewertung des Gesamtrisikos gerne die Einzelrisiken aufaddiert werden. Da es jedoch in der Regel Abhängigkeiten zwischen Einzelrisiken gibt – Risiken sich z.B. gegenseitig ausschließen – repräsentiert die Summe der Einzelrisiken in den seltensten Fällen das Gesamtrisiko, sondern liefert meist einen deutlich zu hohen Risikowert.
Ein weiterer Stolperstein ist bei der Übertragung von Risiken aus einem Kontext in einen anderen zu beachten, z.B. von der Abteilungs- auf die Unternehmensebene. Da Risiko als die „Auswirkung von Unsicherheit auf Ziele“ definiert ist (vgl. DIN ISO 31000:2018), müssen Risiken bei der Übertragung in einen anderen Kontext auch neu bewertet werden, da sich mit dem Kontext auch die Ziele ändern. Ein einfaches Kopieren der Risikoinformationen aus einem Risikoregister in ein anderes ist hier falsch.

Welches Ergebnis liefert ein Risikoregister?

Das Risikoregister fasst alle Informationen zu Risiken innerhalb des definierten Kontextes zusammen. Damit liefert es die Datengrundlage für ein effektives Risikomanagement für das entsprechende Produkt oder Projekt bzw. die betrachtete Abteilung oder das bewertete Unternehmen. Gleichzeigt dokumentiert es die Aktivitäten des Risikomanagements, indem es Änderungen der Risikobewertung, Entscheidungen zum Umgang mit Risiken und die Umsetzung von Risikobehandlungen auflistet. Das Risikoregister liefert somit zu jeder Zeit einen genauen Überblick über alle Risiken und den Umgang mit diesen.

Folgen Sie uns auf LinkedIn und erfahren Sie regelmäßig, wie Sie mehr aus Managementwerkzeugen herausholen uns somit auch in Zukunft Ihrer Konkurrenz einen Schritt voraus sein können.

 


2020 – Die Ausbreitung des Coronavirus führt für viele Unternehmen zu Unterbrechungen in der Lieferkette. Die daraus resultierenden Probleme führen erste Unternehmen an den Rand der Insolvenz [1].

2019 – Der Iran hält einen ausländischen Tanker fest. Aus Sorge vor einer Eskalation und einer möglichen Blockade der für den Transport von Rohöl wichtigen Straße von Hormus steigt der Rohölpreis [2].

2011 – Ein Erdbeben der Stärke 9.0 und ein davon ausgelöster Tsunami zerstört Zulieferwerke von Toyota. In der Folge kommt es zu Produktionsausfällen und deutlichen Verzögerungen in der Auslieferung von Fahrzeugen an die Endkunden [3].

Die Lieferkette als Optimierungsaufgabe

In einer globalen Welt, in der die Wertschöpfung eines Endprodukts oftmals über viele Unternehmen und Ländergrenzen hinweg läuft, ist die Gestaltung der Lieferkette für viele Unternehmen eine kritische Aufgabe. Die Herausforderung gleicht einer Optimierungsaufgabe mit vielen, teils sogar gegenläufigen Zielgrößen.

Ein klassisches Ziel bei der Ausgestaltung von Lieferverträgen ist die Kostenreduzierung. Anbieter und Ursprungsländer werden so ausgewählt, dass sich die geringsten Kosten ergeben und damit die niedrigsten Produktkosten oder die höchsten Margen erreicht werden können.

Ein ebenfalls weit verbreitetes Kriterium für die Ausgestaltung von Lieferketten ist die Logistik. Lieferzeiten, Liefertreue und Flexibilität sind gerade bei einer Produktion Just-in-Time mindestens ebenso relevant wie der reine Preis, da diese Faktoren die internen Abläufe in einem nicht zu unterschätzenden Maß beeinflussen.

Diese direkt wirtschaftlich getriebenen Zielgrößen werden in der jüngeren Vergangenheit immer stärker durch Fragen der Nachhaltigkeit, des Ressourcenverbrauchs und der CO2-Footprints ergänzt. Das gilt heute insbesondere in den Bereichen, bei denen Verbraucher diese Themen im Blick haben – in Zukunft dürften entsprechende Fragestellungen aber immer stärker auch in den Fokus von Investoren und der Gesetzgebung rücken.

Die einleitenden Beispiele zeigen, dass es eine weitere Dimension in der Lieferkette gibt, die bei deren Gestaltung mitberücksichtigt werden sollte: das Risiko.

Risiken in der Lieferkette

Risiken in der Lieferkette können sehr verschiedene Formen annehmen. Das offensichtlichste ist wahrscheinlich das Risiko von Qualitätsproblemen, das von vielen Unternehmen in Form von Wareneingangskontrollen und regelmäßigen Lieferantenaudits adressiert wird.

Ein weiterer Faktor ist die Abhängigkeit von einzelnen Lieferanten. Eine Single-Source-Situation stärkt die Verhandlungsposition des Lieferanten und kann zu erhöhten Preisen führen. Gleichzeitig sinkt die Versorgungssicherheit, da Probleme beim Lieferanten sich direkt auf das eigene Unternehmen auswirken.

Doch auch eine zu starke Abhängigkeit des Lieferanten von einem Unternehmen stellt ein Risiko dar. Muss der Hauptabnehmer konjunkturbedingt seine Abnahmemengen deutlich reduzieren, kann das ein abhängiges Unternehmen in die Krise stürzen und im schlimmsten Fall zum Ausfall dieses Lieferanten führen.

Und was für die Abhängigkeit von einem einzelnen Unternehmen gilt, lässt sich in gleicher Weise regionale Abhängigkeiten übertragen. Die Schwierigkeit in der Erfassung dieser Risiken besteht darin, dass sie sich nicht nur auf die regionale Lage der Lieferanten beziehen – wodurch der Tsunami 2011 für Toyota kritisch wurde – sondern auch auf die Transportwege – wie am Beispiel der Straße von Hormus ersichtlich wird.

Risikobetrachtung für die Lieferkette

Um die eigene Produktion abzusichern, müssen Lieferketten detailliert und über alle Wertschöpfungsschritte analysiert werden. Doch bei der Menge an Waren, Rohstoffen und Dienstleistungen, die ein mittleres bis größeres Unternehmen für den Betrieb benötigt, ist es kaum möglich, geschweige denn wirtschaftlich, eine solche Betrachtung für das gesamte Lieferantengeflecht durchzuführen. Um herauszufinden, wo der Aufwand einer gründlichen Analyse zielführend ist, bietet sich die ABC-Analyse an, bei der die Rohstoffe in drei Klassen unterteilt werden.

A-Teile sind solche Komponenten, die den höchsten Wert und die höchste Kritikalität aufweisen. Diese Elemente stammen oftmals von spezialisierten Herstellern, sind kritisch bezogen auf die Produktkosten und können im Krisenfall nicht leicht von alternativen Lieferanten bezogen werden. Hier ist eine detaillierte Risikoanalyse unter Einbeziehung der Lieferanten und Unterlieferanten zu empfehlen um nicht nur den eigenen Lieferanten, sondern auch die gesamte Lieferkette im Detail mit allen Risiken zu verstehen.

B-Teile bilden den Mittelbau, sowohl bezogen auf das finanzielle als auch das mengenmäßige Einkaufsvolumen. Für diese Gruppe sollte eine Risikobetrachtung zusammen mit dem direkten Lieferanten erfolgen. Ob eine weitere und tiefere Analyse der Lieferkette erforderlich ist, sollte im Einzelfall nach dem ersten Analyseschritt und abhängig von den Ausweichmöglichkeiten auf andere Lieferanten entscheiden werden.

Bei C-Teilen handelt es sich in der Regel um Massenware, die prinzipiell von einer großen Anzahl am Lieferanten bezogen werden kann. Da diese Gruppe zahlenmäßig normaler Weise die größte, vom Einkaufsvolumen jedoch die kleinste der drei Gruppen ist, ist eine detaillierte Risikoanalyse hier nicht zielführend. Um dennoch von Krisensituationen nicht unvorbereitet erwischt zu werden bietet es sich an, für eine ausreichend redundante Lieferantenbasis zu sorgen, so dass ein Lieferantenwechsel jederzeit möglich ist.

Wenn die Risikoanalyse für die Lieferkette so gesteuert wird, erhalten Sie bei minimalem Einsatz ein ausreichend detailliertes Bild Ihres Lieferantengeflechts und der darin verborgenen Risiken für Ihre Unternehmen. Damit halten Sie den Schlüssel in der Hand um Ihre Lieferkette so anzupassen, dass auch Störungen und Krisen wie die eingangs dargestellten Beispiele keine katastrophalen Auswirkungen für Sie haben.

Quellen:
[1] DW (26. Februar 2020). „Coronavirus sprengt die Lieferketten – Wirtschaft droht Lähmung“. DW.com.
[2] FAZ (18. Juli 2019). „Ölpreis steigt nach Tanker-Stopp“. FAZ.net.
[3] Spiegel (13. April 2011). „Toyota-Kunden müssen auf Autos warten“. Spiegel.de.

 


Nach der Präsentation der Projektidee ist die Unternehmensleitung euphorisch. Das neue Produkt wird den Markt revolutionieren, für jeden investierten Euro 150€ bis 250€ einbringen und den Marktanteil des Unternehmens in diesem Segment auf weit über 50% steigen lassen. Durch die steigende Bekanntheit wird außerdem erwartet, dass sich der Umsatz und der Marktanteil der bestehenden Produktpalette deutlich erhöht – und das Unternehmen sich den Zugang zu ganz neuen Märkten eröffnet.
Direkt am folgenden Tag wird ein Projektteam aufgestellt und beginnt mit der detaillierten Ausarbeitung. Die Ernüchterung folgt schon beim nächsten Projektreport, in dem die Ergebnisse der detaillierten Risikobewertung vorgestellt werden: Wegen der hohen Unsicherheiten ist das Risiko auch nach Maßnahmen fast genauso hoch wie der erwartete Gewinn des neuen Produktes. Nach langen Diskussionen und einer Prüfung der Risikobewertung und der Gewinnerwartung wird das Projekt daraufhin eingestellt.

Was ist passiert?

Auf den ersten Blick ist in dieser Geschichte alles richtig gelaufen: Eine erfolgversprechende Idee wurde vorgestellt, ein Projekt zur Umsetzung initiiert und die Risiken und Chancen analysiert. Mit diesen Informationen wurde das Projekt neu bewertet und aufgrund eines ungünstigen Chancen-Risiken-Verhältnisses eingestellt.
Bei genauerer Betrachtung ist die Bewertung jedoch weniger eindeutig. Für die Entscheidung, das Projekt zu beenden, wurde das Projektrisiko mit dem erwarteten Produktgewinn verglichen. Dabei wurde vernachlässigt, dass die Entwicklung und Einführung des neuen Produktes dem Unternehmen einen Nutzen über den reinen Gewinn hinaus versprachen.
Der Gewinn von Marktanteilen, der Effekt auf bestehende Produkte und das Erschließen neuer Märkte wurde bei der Entscheidung nicht berücksichtigt. Da sich alle diese Faktoren positiv auf das Unternehmensergebnis ausgewirkt hätten, können wir davon ausgehen, dass es die falsche Entscheidung war, das Projekt zu stoppen – selbst wenn die Risiken deutlich höher sind, als am Projektstart erwartet.

Wie geht es besser?

In vielen Unternehmen herrscht auch heute noch Silo-Denken vor. Diese Mentalität begünstigt Situationen, wie die im Beispiel dargestellte: Informationen werden nur innerhalb des eigenen Bereichs analysiert und bewertet. Entscheidungen, die in so einem Umfeld getroffen werden, sind daher meist auf die Bedürfnisse eines Teils der Organisation abgestimmt und stellen selten das Optimum für das gesamte Unternehmen dar.
Um dieses Problem zu vermeiden, ist es notwendig, aus diesem Tunnelblick auszubrechen. Ein Ansatz, wie das gelingen kann, ist ein Szenarien-Vergleich (siehe auch „Vier Anforderungen an die Szenario-Planung“ https://rno-consulting.com/vier-anforderungen-an-die-szenario-planung/). Für dieses Vorgehen bietet sich ein Ansatz mit drei Szenarien an, wobei es wichtig ist, die Szenarien aus der Perspektive des Unternehmens aufzustellen.

Referenzszenario

Das Referenzszenario beschreibt die Entwicklung des Unternehmens unter der Annahme, dass das betrachtete Projekt nicht durchgeführt wird. Es entspricht somit dem Status vor Einbringung der Projektidee. In Unternehmen, die mit Szenarien in der strategischen Planung arbeiten, sollte dieses Szenario bereits definiert sein, so dass es nicht extra erstellt werden muss.

Nominalszenario

Das Nominalszenario gibt die erwartete Entwicklung des Unternehmens bei Durchführung des Projekts wieder. Normalerweise ist eine solche Beschreibung Teil der Projektskizze und kann aus dieser übernommen werden. Der nominelle Mehrwert des Projekts lässt sich dabei aus der Differenz zwischen Referenzszenario und Nominalszenario ablesen.

Risikoszenario

Das Risikoszenario speist sich aus dem Nominalszenario und den fortlaufend aktualisierten Risikobewertungen aus dem Projekt. Dieses Szenario spiegelt die nach aktuellem Wissensstand erwartete Entwicklung unter Berücksichtigung aller identifizierter Risiken und Chancen wider.
Die Vorteile dieses Vorgehens liegen auf der Hand. Durch die Einbettung der Risikoinformationen in ein Szenario auf Unternehmensebene werden alle Effekte auf das Unternehmen in die Bewertung mit einbezogen – nicht nur die projektinternen Auswirkungen. Der Vergleich zwischen Referenzszenario und Risikoszenario zeigt kontinuierlich, welchen Mehrwert das Projekt dem Unternehmen bietet. Außerdem lässt sich aus dem Unterschied zwischen Nominalszenario und Risikoszenario ablesen, wie weit sich das Projekt von der ursprünglichen Idee wegentwickelt.
Die drei beschriebenen Vorzüge helfen, Situationen wie die im einleitenden Beispiel zu verhindern. Damit leistet es einen wertvollen Beitrag zu erfolgreichem Risikomanagement und letztlich zur Absicherung des Unternehmenserfolgs.

 

Aktives Risikomanagement hilft Unternehmen, mit Unsicherheiten umzugehen, operative und strategische Ziele zu erreichen und die Leistung des Managementsystems zu verbessern [1]. Es ist somit ein wichtiger Baustein zur Sicherung des unternehmerischen Erfolgs. Andererseits liefert Risikomanagement keinen direkten Mehrwert, sondern schafft nur indirekt durch die Vermeidung von Risiken oder die Ausnutzung von Chancen einen Wert für das Unternehmen. Damit stellt sich die Frage nach der optimalen Balance zwischen Aufwand für das Risikomanagement und den daraus erzielten Nutzen.
Gesetzliche Anforderungen beispielsweise aus dem Aktiengesetz [2] liefern leider keine ausreichenden Hinweise, wie diese Optimierungsaufgabe für das individuelle Unternehmen zu lösen ist. Einen hilfreichen Leitfaden bietet hingegen der Reifegradansatz für das Risikomanagement: Die Entwicklungsstufen des Modells lassen sich direkt mit Strukturen und Eigenschaften eines Unternehmens verknüpfen. Damit können Anforderungen an ein effektives Risikomanagement-System formuliert werden.

Reifegrad Stufe 1: Das lineare Unternehmen

Der ersten Stufe des Reifegradmodells entsprechen Unternehmen, die durch lineare Strukturen gekennzeichnet sind. Solche Unternehmen sind in der Regel vergleichsweise klein, haben ein begrenztes Produkt- bzw. Serviceportfolio und bedienen einen klar umrissenen Markt. Aufgrund dieser Rahmenbedingungen lassen sich die Risiken, die sich aus dem Umfeld sowie den internen Abläufen ergeben, gut von einer Person überblicken.
Die korrespondierenden Anforderungen an ein Risikomanagement-System sind mit entsprechend geringem Aufwand zu erfüllen. Das Unternehmen muss dafür Sorge tragen, dass es zumindest eine Person gibt, die systematisch die relevanten Risiken erfasst und bewertet. Darüber hinaus muss sichergestellt sein, dass diese Person in Entscheidungsprozesse eingebunden ist und die Risikoinformationen so in die Entscheidungen einfließen.

Reifegrad Stufe 2: Das verzweigte Unternehmen

Unternehmen der zweiten Stufe weisen verzweigte Strukturen auf. Diese Verzweigung kann sich in der Trennung verschiedener Funktionen (z.B. Entwicklung – Fertigung – Vertrieb), parallel vermarkteten Produkten bzw. Serviceangeboten oder der Bedienung unterschiedlicher Märkte manifestieren. In der Folge ist das Unternehmen nicht mehr einfach für eine einzelne Person in ausreichender Detailtiefe zu überblicken; jeder der resultierenden Zweige für sich weist jedoch weiterhin die Merkmale eines linearen Unternehmens auf.
Um ein effizientes Risikomanagement in einem solchen Unternehmen gewährleisten zu können, müssen Verantwortlichkeiten aufgeteilt werden: in jedem Zweig sollte eine Person die Rolle eines Risikomanagers übernehmen, die für das Erfassen, Bewerten und Adressieren von Risiken in dem jeweiligen Bereich verantwortlich ist. Um sicher zu stellen, dass dies in allen Bereichen des Unternehmens vergleichbar durchgeführt wird, müssen Prozesse und Werkzeuge für das Risikomanagement in ausreichender Weise definiert werden. Innerhalb der Zweige sind die Risikomanager dafür verantwortlich, dass Risikoinformationen in Entscheidungsprozesse einfließen. Damit dies auch auf der obersten Unternehmensebene geschieht, ist ein Ablage- bzw. Berichtssystem notwendig, damit die Informationen aus den untergeordneten Bereichen auch für übergeordnete Entscheidungen zur Verfügung stehen.

Reifegrad Stufe 3: Das Matrix-Unternehmen

Das komplexe Unternehmen ist durch eine Matrixstruktur geprägt. Informations- und Entscheidungswege verlaufen hier nicht mehr linear entlang der Hierarchie, sondern sowohl horizontal als auch vertikal. In der Folge gibt es viele Schnittstellen, an denen Informationen ausgetauscht werden müssen, und Entscheidungen werden zunehmend dezentral gefällt. Damit müssen auch Risikoinformationen an vielen unterschiedlichen Stellen verfügbar sein und die Anzahl an Entscheidungsträgern, die mit diesen Informationen umgehen muss, um Risiken und Chancen* im Sinne des Unternehmens effektiv zu managen, steigt.
Um diesen Anforderungen gerecht werden zu können, muss das Risikomanagement-System über harmonisierte Werkzeuge und Prozesse verfügen. Schnittstellen zwischen verschiedenen Bereichen und Vererbungsregel müssen klar definiert sein. Auch müssen Risikoinformationen allen Entscheidungsträgern in aktueller Form zugänglich sein. Gleichzeitig muss das Wissen und die methodischen Fähigkeiten zum Umgang mit Risiken und Chancen – von der Identifikation und Bewertung bishin zur Einbindung in Entscheidungsprozesse – ausreichend weit im Unternehmen gestreut sein, damit sowohl die Qualität der verfügbaren Risikoinformationen als auch deren adäquate Nutzung gewährleistet werden kann.

Reifegrad Stufe 4: Das riskante Unternehmen

Unternehmen der vierten Stufe zeichnen sich durch ein hohes Risikoniveau aus. Das bedeutet, dass das Unternehmen systematisch Chancen auszunutzen versucht, indem es kalkuliert Risiken eingeht, deren Eintreten das Unternehmen als Ganzes oder in Teilen gefährden kann.
Ein wesentlicher Bestandteil des Geschäftsmodells solcher Unternehmen besteht darin, ein optimales Verhältnis von Chancen und Risiken herzustellen. Dazu sind die Anforderungen an ein Matrix-Unternehmen nicht nur für das Risiko- sondern auch für das Chancenmanagement zu erfüllen. Außerdem sollten Messgrößen existieren, die die Effektivität des Risiko- und Chancenmanagements darstellen. Diese Messgrößen sollten selbstverständlich überwacht werden.

Reifegrad Stufe 5: Das Risiko-Unternehmen

Unter dem Stichwort Risiko-Unternehmen können zwei unterschiedliche Unternehmenstypen zusammengefasst werden: zum einen Unternehmen, deren Kerngeschäft das Managen von Risiken ist, zum anderen solche, bei denen das Eintreten von Risiken katastrophale Auswirkungen auf das Umfeld hat.
In beiden Fällen ist die Effektivität des Risikomanagements von zentraler Bedeutung. Um sicherzustellen, dass diese so hoch wie möglich ist, sollte eine systematische und kontinuierliche Prozessverbesserung für das Risikomanagement auf der Basis adäquater Kenngrößen installiert sein – bei Unternehmen mit dem Kerngeschäft Risikomanagement sollte dies auch das Chancenmanagement beinhalten.

Zunehmende Unsicherheit, beschleunigte Veränderung von Rahmenbedingungen und stetig abnehmende Planbarkeit machen ein aktives Risikomanagement zu einem immer wichtigeren Baustein des Management-Portfolios. Unternehmensführer, Projektmanager und Abteilungs- bzw. Bereichsleiter sehen sich in stetig steigendem Umfang mit Unwägbarkeiten konfrontiert, die sie in ihre Entscheidungsprozesse einbeziehen müssen, um langfristig erfolgreich zu bleiben und ihre Ziele zu erreichen.

Messbarkeit von Risikomanagement

Wie erfolgreich das Risikomanagement im Unternehmen ist, sehen die Entscheider in der Regel erst, wenn sie ihre Ziele erreicht – oder im ungünstigen Fall: verfehlt – haben. Eine solche Qualitätsmessung ist jedoch problematisch, da sie reaktiv ist und damit Verbesserungspotentiale erst erkannt und realisiert werden können, wenn es eigentlich schon zu spät ist.

Besser wäre hier ein Ansatz, bei dem das Risikomanagement im Unternehmen unabhängig von der Zielerreichung bewertet werden kann. Verbesserungspotentiale sollten vor dem Eintreten von Risiken identifiziert und realisiert werden können. Ein Konzept, das diese Anforderungen erfüllt, ist der Reifegradansatz zur Bewertung von Risikomanagement im Unternehmen.

Reifegradansatz für Risikomanagement

Der Reifegradansatz bietet ein Referenzmodell für die Verankerung von Risikomanagement im Unternehmen. Dazu werden verschiedene Aspekte betrachtet und bewertet, so dass eine systematische Weiterentwicklung ermöglicht wird. Die Aspekte decken dabei sehr unterschiedliche Perspektiven ab und ermöglichen dadurch eine holistische Bewertung des Risikomanagements:

Prozess-& Rollendefinition

Wie sind die Prozesse zum Risikomanagement definiert, welche Aktivitäten sind in den Prozessen abgebildet und welche Rollen sind in diesem Zusammenhang definiert?

Werkzeuge & Dokumentation

Welche Werkzeuge werden im Risikomanagement genutzt und wie werden Risikoinformationen dokumentiert?

Anwendung & Einbettung

Wie werden die Prozesse und Werkzeuge im Unternehmen angewendet und wie ist das Risikomanagement mit anderen Abläufen verknüpft?

Schnittstellen & Informationsverarbeitung

Welche Schnittstellen sind in Bezug auf das Risikomanagement im Unternehmen definiert und wie werden Risikoinformationen verarbeitet?

Schulung & Wissensvermittlung

Wie wird sichergestellt, dass das für das Risikomanagement notwendige Wissen und die erforderlichen Fähigkeiten im Unternehmen an der richtigen Stelle vorhanden ist?

Kultur & Bewusstsein

Wie ausgeprägt ist das Risikobewusstsein im Unternehmen und wie stark ist dieses mit der Unternehmenskultur verknüpft?

Nutzen des Reifegradansatz für das Risikomanagement

Der Reifegradansatz erfüllt frei unterschiedliche Funktionen bei der Weiterentwicklung des Risikomanagements in einem Unternehmen. Zum einen lassen sich aus dem Referenzrahmen konsistente, den Anforderungen des jeweiligen Unternehmens entsprechende Beschreibungen des Risikomanagement-Systems ableiten. Diese Beschreibungen können als Zieldefinition für das Risikomanagement genutzt werden.

Darüber hinaus bietet sich der Ansatz dazu an, den aktuellen Implementierungsgrad von Risikomanagement im Unternehmen zu analysieren. Dank der holistischen Bewertung aus unterschiedlichen Perspektiven ergibt sich dabei ein detailliertes Bild der Stärken und Schwächen sowie ein aussagekräftiges Gesamtbild des aktuellen Implementierungsgrades.

Zuletzt bietet der Referenzrahmen des Reifegradansatzes eine Roadmap für die Weiterentwicklung von Risikomanagement im Unternehmen. Insbesondere lässt sich eine Reihenfolge und eine Priorisierung von Maßnahmen ableiten, die für eine ausgewogene und erfolgreiche Entwicklung sorgen.