Risikomanagement: Bedeutung und Umgang mit erfolgsgefährdenden Faktoren zum Zeitpunkt der Projektziele-Definition

1.4 Stand der Literatur

In dieser Arbeit werden vorwiegend Primärquellen verwendet. Das jeweilige Erscheinungsjahr kann dem Literaturverzeichnis entnommen werden. Das älteste Werk stammt aus dem Jahr 2003. Da dies im Sinne von Literatur nicht als langer Zeitraum gewertet wird, kann der Stand der verwendeten Primärliteratur als aktuell betrachtet werden.

Als Sekundärliteratur wurde ein Artikel aus der Fachzeitschrift „MQ – Management und Qualität“ verwendet. Der Artikel befasst sich mit Standards im Risikomanagement, welche nach ISO/DIS 31000 und ONR 49000:2008 genormt sind. Hierbei sei erwähnt, dass sich Normen und Reglements ständig ändern können.

2 Risikomanagement-Prozess

2.1 Definitionen

In der Literatur finden sich für den Begriff Risiko eindeutige Definitionen, wie zum Beispiel:

„Risiko ist die Möglichkeit (Wahrscheinlichkeit) einer Abweichung des tatsächlichen Ergebnisses vom erwarteten Ergebnis. Diese Abweichung kann positiv oder negativ sein.“^[1]

Risiko kann in zweierlei Hinsicht betrachtet werden. Positive Risiken (Chancen) sind unerwartete Ereignisse, die sich positiv auf den Erfolg auswirken. Bei negativen Risiken (Verluste) besteht die Gefahr, dass gewünschte Ereignisse nicht eintreten bzw. ungewünschte Ereignisse eintreten, welche sich jeweils negativ auf den Erfolg auswirken. Mathematisch errechnet sich das Risiko durch die Eintrittswahrscheinlichkeit multipliziert mit dem Verlust bzw. Schaden.^[2]

Auch für den Begriff Risikomanagement finden sich in verschiedenster Literatur auf den gleichen Nenner hinauslaufende Definitionen, wie etwa:

„Alle Aktivitäten des Unternehmens im Umgang mit Risiken werden als Risikomanagement bezeichnet. Dazu gehören vor allem die Identifikation, Bewertung, Aggregation und Überwachung von Risiken sowie die Risikobewältigung.“^[3]

Zusammengefasst bedeutet dies, dass das Risikomanagement Unternehmen dabei unterstützt, Risiken, welche den Unternehmenserfolg oder gar den Unternehmensweiterbestand gefährden könnten, rechtzeitig zu erkennen und zu bewältigen. Risiken bzw. ungünstige Entwicklungen müssen frühzeitig aufgezeigt werden sowie auch neue, bisher undefinierte Risiken, erkannt werden.^[4]

Der Begriff IT-Risiko ist ebenfalls niedergeschrieben, hierfür ist folgende Definition erwähnenswert:

„Unter IT-Risiko versteht man die Unfähigkeit, anforderungsgerechte IT-Leistungen effektiv und effizient erbringen zu können.“^[5]

Generell versteht man unter IT-Leistungen den Betrieb, die Entwicklung von Systemlösungen, die Beratung sowie das Projektmanagement.

2.2 Ablauf des Risikomanagement-Prozesses

Allgemein umfasst Risikomanagement die Identifizierung , Analyse und Bewertung von Risiken, welche einer (Firmen-) Organisation zuzuordnen sind. Politik, Ziele und Strategien der Organisation dürfen dabei nicht außer Acht gelassen werden. Beispiele hierfür sind etwa Methoden zur Risikoermittlung, die Festlegung von Risikokriterien, die der Einstufung und Bewertung von Risiken dienen, die Risikoermittlung, Kommunikationsformen und Verantwortliche bei Risikoentscheidungen.^[6]

Die nachfolgende Darstellung 1 stellt die Aufgaben des Risikomanagementprozesses detailliert dar. Auf die einzelnen Prozessschritte wird nachfolgend eingegangen.

Abbildung in dieser Leseprobe nicht enthalten

Darstellung1: Risikomanagement-Prozess^[7]

Der Risikomanagementprozess ist fortlaufend, das heißt, dass Identifizierung/ Inventur, Analyse/Bewertung, Planung und Kontrolle/Anpassung kontinuierlich stattfinden (Risikocontrolling). Die Risikopolitik eines Unternehmens stellt Leitlinien für das Risikomanagement bzw. für das Risikocontrolling dar.

2.2.1 Identifizierung/Inventur

Unter Risikoidentifizierung versteht man das Aufspüren von Risiken, die bei Eintritt den Erfolg bzw. den Weiterbestand des Unternehmens gefährden könnten. Mögliche Risiken beziehen sich zum Beispiel auf Projektziele, Ressourcen, Kosten, Termine, Technik, Inhalt, den zeitlichen und sachlichen Kontext, soziale Umwelten, vertragliche Situationen oder gesetzliche Rahmenbedingungen.

Unter Risikoinventur versteht man die laufende Inventarisierung sämtlicher Risiken.^[8] Auch das Unternehmen, mit seinen wesentlichen Geschäftsabläufen, muss sich einer systematischen, laufenden Risikoanalyse unterziehen, um eine umfassende Identifikation der auf das Unternehmen einwirkenden Risiken zu ermöglichen.

Erster Schritt ist die Schaffung von Basisdaten als Ausgangslage für weitere Untersuchungen. Wichtig ist hierbei:^[9]

- Vollständigkeit
- Aktualität
- Wirtschaftlichkeit der Risikoaufnahme in die Basisdaten
- Akzeptanz der Mitarbeiter^[10]

Jeder Inventur liegen mehrere Fragen zugrunde:^[11]

- Welche Risiken existieren in meinem Unternehmen?
- Wie nehme ich sie auf?
- Was ist das Ergebnis?^[12]

Anhand der Beantwortung dieser Fragen sollen vorhandene Risiken genauer definiert werden.

Die Risikoidentifizierung kann durch unterschiedliche Methoden unterstützt werden. Dies können etwa Analyse von Projektdokumenten, die Durchführung von moderierten Risiko-Workshops, die Befragung von ausgewählten Mitarbeitern in Interviews oder mittels Fragebogen sein.^[13] Im Kapitel3.1.1 wird auf die Analyse von Projektdokumenten näher eingegangen, da diese Methode vorwiegend im Projektpraktikum angewendet wurde. Hierbei wird speziell auf die Risikoidentifizierung während der Erstellung des Projektzieleplanes eingegangen. Näheres zur Anwendung im Projektpraktikum ist im Kapitel4.1 nachzulesen.

Identifizierte Risiken werden in einer Risikoinventurliste dokumentiert. Genaueres zur Risikoinventurliste ist im Kapitel3.1.2 beschrieben.

Ferner ist bei der Risikoinventur wichtig, sogenannte Frühwarnindikatoren einzusetzen. Diese Indikatoren sind Kennzahlen, die Hinweise auf die Entstehung von Risiken geben können. Dies können zum Beispiel Kennzahlen wie Marktanteil, Marktwachstum oder Produktionskosten sein.^[14]

2.2.2 Analyse/Bewertung

Der der Risikoinventur nachfolgende Prozessschritt ist die Risikoanalyse/Risiko­bewertung. Wie bereits erwähnt, soll Risikomanagement die Entstehung von Verlusten oder gar eine Existenzgefährdung des Unternehmens vermeiden. Die Risikoinventurliste, wie im Kapitel2.2.1 beschrieben, hat bereits eine Systematisierung der Risiken ergeben, nun stellen sich jedoch weitere Fragen:^[15]

- Wie groß sind die erkannten Risiken tatsächlich?
- Reichen die geplanten, angestoßenen Maßnahmen aus? Können Gefahren abgewendet werden, um eine positive Risikoentwicklung in Aussicht zu stellen?
- Sind die Risikomaßnahmen wirtschaftlich? Ist ein angemessenes wirtschaftliches Verhältnis bezüglich Risikomaßnahme zu Schadenseintritt zutreffend?^[16]

Folglich müssen die identifizierten Risiken analysiert und bewertet werden.

Eine realistische Bewertung bildet die Basis für effektives Risikomanagement. Entsprechen die resultierenden Maßnahmen nicht der Realität, haben die daraus abgeleiteten Prioritäten und die resultierenden Maßnahmen nicht die erwarteten Effekte.

Grundsätzlich ist zwischen einer exakten und klassifizierten Bewertung zu unterscheiden. Exakte Bewertung bedeutet, dass die Eintrittswahrscheinlichkeit und das Auswirkungsmaß über einen genauen Wert bestimmt werden. Zu beachten ist dabei, dass „exakt“ in diesem Falle nicht bedeutet, dass die Werte ohne Abweichung bekannt sind, sondern dass auf einen konkreten Wert geschätzt wird. Kontrovers dazu ist die klassifizierte Bewertung zu nennen, bei der sich die Bewertung eines Kriteriums nicht auf exakte Werte bezieht. Hierbei wird das Risiko einer vordefinierten Klasse zugeordnet. Grundsätzlich ist jedoch die exakte Ermittlung der Risikowerte zu bevorzugen, vor allem mit Zunahme der Größe der einzelnen Risikoklassen.^[17]

Beide Arten, also die exakte und die klassifizierte Risikobewertung, können gemischt verwendet werden, zum Beispiel je nach Risikokategorie. Welche der beiden Arten für eine Bewertung zur Anwendung kommt, unterliegt zum Beispiel der Eintrittswahrscheinlichkeit und dem Auswirkungsmaß.

Für die Bestimmung der Auswirkung eines Risikos werden die vier Faktoren Kosten, Termine, Funktionalität und Qualität betrachtet, da nicht immer potentielle Kosten genau angegeben bzw. umgerechnet werden können. Ein Beispiel für eine Bewertungsmatrix zur Beurteilung der Auswirkungen von Projektrisiken ist im Kapitel3.2.2 zu finden.

Die Risikopriorisierung anhand der Portfolio-Technik ist die nächste Methode, die die Risikoplanung möglich macht. Diese Art der Bewertung ist nicht sehr aufwendig, daher eignet sich diese Methode besonders für eine rasche Bewertung und Kommunikation.^[18] Näheres zu dieser Methode ist im Kapitel3.2.3 zu finden.

Als grundlegende Bewertungstechnik möchte ich in dieser Arbeit die Teamorientierte Risikobewertung erwähnen, da diese im Projektpraktikum „Sales Star“ zur Anwendung kam. Genaueres hierzu ist im Kapitel3.2.1 nachzulesen.

Nachdem die Bewertung der Eintrittswahrscheinlichkeit und des Auswirkungsmaßes vollzogen wurde, ist die Risikoplanung der nächste Schritt.

2.2.3 Planung

Der Analyse/Bewertung nachfolgender Prozessschritt ist die Risikoplanung. Die Bedeutung dieser, unterstreicht folgendes Zitat:

„Die Risikogestaltung stellt den eigentlichen Zweck des Risikomanagements dar. Risikomanagement muss antizipativ erfolgen, d.h. die Entscheidung, wie einzelnen Risiken begegnet wird, muss unbedingt vor deren Eintreten erfolgen, ansonsten ist es überhaupt zu spät oder es steht für die Optimierung keine Zeit mehr zur Verfügung.“^[19]

Risikomanagement ist also das Handhaben von Risiken. Mögliche Gefährdungen sollen dadurch vermieden werden. In den Unterkapiteln Identifizierung/Inventur, und Analyse/Bewertung wurde erkannt, welche Risiken existieren und ob eine existenzbedrohende Situation für das Unternehmen besteht. Der nächste Schritt ist nun zu entscheiden, welche Maßnahmen getroffen werden, um die Bedrohung abzuwenden bzw. welche die Situation verbessern. Grundsätzlich gibt es die Möglichkeiten der Risikovermeidung, der Risikoverminderung, der Risikoüberwälzung sowie die Möglichkeit der Risikoakzeptanz.^[20]

Die nachfolgende Darstellung 2 zeigt deutlich, wie sich das Gesamtrisiko hin zum nicht geplanten, jedoch vorhandenen Restrisiko durch Anwendung von Risikovermeidung, Risikoverminderung, Risikoüberwälzung und Risikoakzeptanz verringert. Abbildung in dieser Leseprobe nicht enthalten

Darstellung2: Der Prozess der Risikosteuerung^[21]

Nachfolgend wird auf die möglichen Risikoplanungsmethoden eingegangen.

Risikovermeidung: Risikovermeidung bedeutet, dem Risiko aus dem Weg zu gehen. Dies liefert einerseits die größtmögliche Sicherheit unter der Preisgabe der damit verbundenen Chancen. Zum Beispiel könnte man hier das Ablehnen von Aufträgen aus bestimmten Ländern oder von bestimmten Partnern sowie die Entscheidung über bestimmte Produkte und Investitionen erwähnen. Auch wenn gesetzliche Limits überschritten werden (maximale Absatzmenge etc.) oder Gefährdungen durch Maßnahmen nicht eingegrenzt werden können, erscheint die Methode der Risikovermeidung sinnvoll. Das Vermeiden von Arbeitspaketen innerhalb des Projektes zählt ebenfalls dazu. Mathematisch betrachtet setzt man durch die Risikovermeidung die Eintrittswahrscheinlichkeit auf Null.^[22]

Risikoverminderung: Risikoverminderung bedeutet, die Eintrittswahrscheinlichkeit von einem Risiko zu senken oder die aus dem Risiko resultierenden Schäden zu reduzieren, der Risikoeintritt wird aber grundsätzlich akzeptiert. Die Risikoverminderung erfolgt projektintern, wenn möglich aber auch von projektexternen Risiken. Beispiele können etwa die Änderung der Projektplanung und der Projektziele, das Einsetzen von höherwertigen Produkten und Materialien, der Einsatz von erfahrenen Mitarbeitern, zusätzliche Zwischentests und Reviews, die Definition von Qualitätssicherungsmaßnahmen oder der Aufbau und Einsatz von Redundanzen sein.^[23]

Im Kapitel3.3.2 wird eine weitere Methode der Risikoverminderung, nämlich die vertragliche Absicherung erwähnt.

Risikoüberwälzung: Risikoüberwälzung ist typischerweise das Übertragen von Risiken auf Dritte durch Zahlung einer Gebühr. Es wird dabei jedoch nicht versucht, das Risiko generell zu vermeiden. Durch das Abwälzen von Risiken auf andere, wird die eigene Sicherheit erhöht. Die eigenen Kosten des Risikomanagements können stark gesenkt werden, dessen stehen jedoch Aufwendungen bei den zugehörigen Vertragsverhandlungen sowie mögliche Streitigkeiten bei der Nachweispflicht gegenüber (Stichwort Claimmanagement).^[24]

Aufgrund der finanziellen Aufwendungen sollten generell nur Risiken mit geringer Eintrittswahrscheinlichkeit und hohem Schaden versichert werden.

Risikoakzeptanz: Sämtliche Risiken, welche nach Vermeiden, Vermindern und Überwälzen noch übrig bleiben, verbleiben dem Projektträger. Diese Risiken können drei Gruppen zugeordnet werden, nämlich:^[25]

- Risiken, welche bewusst und beabsichtigt selbst getragen werden.
- Risiken, die zwar bewusst vermieden werden sollten, aber aufgrund von Problemen bei der Risikoplanungsmethode dennoch zu tragen kommen.
- Risiken, die nicht erkannt wurden (zum Beispiel durch eine unzureichende Risikoanalyse)^[26]

Die Darstellung 2 zeigt, wie sich diese drei Risikogruppen aufteilen. Die nicht identifizierten Risiken sind grau hinterlegt, diese verändern sich während der Risikoplanung quantitativ nicht mehr. Will man diese verringern, muss bereits in der Phase der Risikoanalyse gegengesteuert werden. Die identifizierten Risiken verringern sich im Laufe der Risikoplanung durch Vermeidung, Verminderung, Überwälzung und Akzeptanz. Das Restrisiko ermittelt sich durch nicht definierte Risiken sowie durch die weiteren, erwähnten Risikogruppen (Risiken, welche akzeptiert werden sowie Risiken, die eigentlich vermieden werden sollten, jedoch dennoch zu tragen kommen).

Aufgrund dieser Risiken wird der Risikoträger angehalten, im Falle von eintretenden Schäden genügend finanzielle Mittel aufzubringen, um das Unternehmen nicht zu gefährden. Dies kann im Sinne von Finanzrücklagen, dem Tragen von Risikofolgen aus dem Cash Flow oder durch den Ausgleich des Risikos zwischen den Projekten (projektweiter Risikopool) geschehen. Die Risikozuschläge sind grundsätzlich in jeder Kalkulation vorzusehen.^[27]

2.2.4 Kontrolle/Anpassung

Die Kontrolle/Anpassung von Risiken ist keine einmalige Aktion; Risiken müssen ständig überprüft werden. Es ist zum Beispiel zu kontrollieren, ob Risiken weggefallen sind, ob Risiken hinzugekommen sind und ob sich Eintrittswahrscheinlichkeiten und Auswirkungen geändert haben. Auch geplante Maßnahmen könnten nicht mehr möglich sein und müssten daher angepasst werden.

Die Kontrolle und Anpassung startet nach Abschluss von den Risikomanagement-Prozessschritten Identifikation/Inventur, Analyse/Bewertung und Planung, da ja ansonsten keine Risiken und Maßnahmen kontrolliert und angepasst werden könnten.^[28] Da sich diese Arbeit jedoch mit Risikomanagement in der Definitionsphase der Projektziele beschäftigt, wird auf Kontrolle und Anpassung nicht näher eingegangen.

3 Tools und Techniken

Dieses Kapitel befasst sich mit nützlichen Tools und Techniken, die den/die RisikomanagerIn in den einzelnen Phasen des Risikomanagements unterstützen. In Anlehnung an das Praktikumsprojekt „Sales Star“ soll für die Auswahl sinnvoller Tools und Techniken ein IT-Projekt mit mittlerer Laufzeit als Vorlage dienen.

In Reihenfolge des im vorigen Kapitel beschriebenen Risikomanagement-Prozesses werden nachfolgend nützliche Methoden für die jeweiligen Prozessschritte erklärt.

3.1 Methoden in der Identifizierungs-/Inventurphase

Die Phase der Risikoerkennung kann durch unterschiedliche Methoden unterstützt werden. Erwähnenswert sind hierbei:^[29]

- Analyse von Projektdokumenten
- Durchführung von moderierten Risiko-Workshops
- Befragung von ausgewählten Mitarbeitern in Interviews
- Befragung von ausgewählten Mitarbeitern mittels Fragebogen^[30]

Ziel ist die Erstellung einer Risikoinventurliste, welche sämtliche Risiken auflistet.

Im Projektpraktikum „Sales Star“ wurden die Projektdokumente einer Analyse unterzogen, um Risiken zu identifizieren. Da dies oftmals eine Grundlage für weitere Risiken ist, wird auf diese Methode im Kapitel3.1.1 genauer eingegangen.

Das Kapitel3.1.2 befasst sich mit der Risikoinventurliste.

[...]

^[1] Seibold (2006) S. 8.

^[2] Vgl. Seibold (2006) S. 8.

^[3] Gleißner/Romeike (2005) S. 28.

^[4] Vgl. Gaulke (2004) S. 6.

^[5] Seibold (2006) S. 11.

^[6] Brühwiler, Bruno (2008): ISO/DIS 31000 und ONR 49000:2008. Neue Standards im Risikomanagement. In: MQ – Management und Qualität, 5/2008, S. 26-27.

^[7] Eigene Darstellung

^[8] Vgl. Ibers/Hey (2005) S. 71.

^[9] Vgl. Ibers/Hey (2005) S. 71.

^[10] Vgl. Ibers/Hey (2005) S. 71.

^[11] Vgl. Ibers/Hey (2005) S. 101.

^[12] Vgl. Ibers/Hey (2005) S. 101.

^[13] Vgl. Gaulke (2004) S. 66.

^[14] Vgl. Gaulke (2004) S. 8.

^[15] Vgl.Ibers/Hey (2005) S. 113.

^[16] Vgl.Ibers/Hey (2005) S. 113.

^[17] Vgl. Seibold (2006) S. 87.

^[18] Vgl. Patzak/Rattay (2009) S. 321.

^[19] Patzak/Rattay (2009) S. 326.

^[20] Vgl. Ibers/Hey (2005) S. 137.

^[21] Gleißner/Romeike (2005) S. 36.

^[22] Vgl. Patzak/Rattay (2009) S. 326.

^[23] Vgl. Ibers/Hey (2005) S. 138ff.

^[24] Vgl. Versteegen (2003) S. 179.

^[25] Vgl. Patzak/Rattay (2009) S. 328f.

^[26] Vgl. Patzak/Rattay (2009) S. 328f.

^[27] Vgl. Patzak/Rattay (2009) S. 328.

^[28] Vgl. Ibers/Hey (2005) S. 72.

^[29] Vgl. Gaulke (2004) S. 66.

^[30] Vgl. Gaulke (2004) S. 66.