Navigation und Service

7.2 Risikomanagement

Risikomanagement ist ein Instrument des Managementwerkzeugkastens, das sich mit dem systematischen, planvollen Umgang mit Risiken verschiedenster Art beschäftigt. Unter einem Risiko wird dabei ein Problem verstanden, welches noch nicht eingetreten ist[1]. Ziel des Risikomanagements ist es, entweder zu verhindern, dass Risiken zu Problemen werden oder aber den Schaden beim Eintritt der Risiken zu minimieren. Es dient somit auch der Schaffung von Transparenz, der Beseitigung von Unsicherheiten und ermöglicht so die Nutzung von Chancen. Durch die konsequente Suche und Analyse möglicher Risiken wird zudem auch eine möglicherweise vorhandene Betriebsblindheit beseitigt. Risiken in der öffentlichen Verwaltung können folgendermaßen klassifiziert werden:

Grafik: Mögliche Risiken einer BehördeMögliche Risiken einer Behörde

Das Strategische Risikomanagement bildet die integrative Klammer und das Fundament des gesamten Risikomanagements. Beim strategischen Risikomanagement geht es vor allem um die Formulierung von Zielen für ein individuelles und bedarfsangepasstes Risikomanagement (= organisationsspezifische Risikopolitik). Darüber hinaus werden die Grundlagen der Organisation des jeweiligen Risikomanagements definiert. Dabei wird etwa festgelegt, wie eine Organisation generell mit Risiken umgeht, beispielsweise risikofreudig, risikoneutral oder risikovermeidend. Die Risikostrategie ist dabei im Wesentlichen abhängig vom Leitbild und den Zielen der Organisation. Beispielsweise kann eine Institution nicht risikovermeidend agieren, wenn eines ihrer Ziele Innovationen beinhaltet, da mit Innovation zum einen große Chancen, aber auch große Risiken verbunden sind. Der operative Teil des Risikomanagements setzt auf der Risikopolitik/-strategie der Organisation auf und wendet die festgelegten Grundsätze auf Risiken an, die an verschiedenen Stellen auftreten:

  • Prozessrisiken betreffen den Leistungserstellungsprozess, damit das Produkt und haben somit direkte Außenwirkung.

  • Finanzielle Risiken betreffen die wirtschaftliche Situation einer Organisation (beispielsweise die Ausstattung mit Haushaltsmitteln).

  • Projektrisiken gefährden die inhaltliche Zielerreichung, Kosten- und Terminsituation von Projekten. Beispiele für häufige Projektrisiken sind zu enge Zeitpläne, unvollständig definierte Rollen, Aufgaben und Schnittstellen, unklar definierte Zulieferungen von außen, zu zeitige Übernahme neuer Technologien, die Inflation von Anforderungen und Fluktuationen im Projektteam.

  • Soziale Risiken betreffen das soziale Gefüge einer Organisation, also maßgeblich die Beschäftigten (Fluktuation, Motivationsmangel).

  • Technologische Risiken entstehen durch den Einsatz neuer Technologien.

Effektives Risikomanagement erfordert ein gezieltes, systematisches Vorgehen, welches die folgenden Schritte beinhalten sollte:[2]:


1. Risiken identifizieren

Die Quellen zur Ermittlung von Risiken einer Organisation können unterschiedlichen Ursprungs sein. Zum einen ist die Risikoidentifikation in Form eines Brainstorming ("Katastrophen-Brainstorming" [3]) möglich. Die Beteiligten sammeln dabei alle möglichen Katastrophenszenarien, die ihr Projekt, einen Prozess oder die Organisation (je nachdem in welchem Kontext Risikomanagement durchgeführt wird) treffen könnten. Im Anschluss an die Ideensammlung werden durch die Erstellung eines Ursache–Wirkungs–Diagramms die Ursachen für das Eintreten der Szenarien analysiert und somit die Risiken ermittelt. Eine andere Möglichkeit zur Ermittlung von Risiken ist die Nutzung der Erfahrungen der Vergangenheit, denn die Probleme der Vergangenheit stellen potenzielle Risiken in der Gegenwart dar. Eine Fundstelle stellen Berichte aus Projektbewertungen ("Lessons Learned"), welche mittels Dokumentenanalyse ausgewertet werden können, und der individuelle Erfahrungsschatz der Beschäftigten dar.

2. Risiken analysieren und bewerten

Alle gesammelten Risiken werden eindeutig benannt, beschrieben und in eine Risikoliste (Muster siehe Praxisbeispiele) aufgenommen. Teil der Beschreibung sollten unbedingt Eintrittsindikatoren sein, die den Eintritt des Risikos frühzeitig ankündigen. Sie dienen der späteren kontinuierlichen Überwachung der Risiken und sind Grundvoraussetzung für eine gezielte Steuerung durch Maßnahmen. Die erfassten Risiken werden hinsichtlich ihrer Eintrittswahrscheinlichkeit bewertet und priorisiert. Die Priorisierung erfolgt in Abhängigkeit zur qualitativen Bewertung anhand des folgenden Bewertungsschemas:

Tabelle mit einem Bewertungsschema für die Risikobewertung Bewertungsschema für die RisikobewertungBewertungsschema für die Risikobewertung

Zusätzlich zur qualitativen Bewertung sollten Risiken, deren Schadenshöhe bezifferbar ist, auch quantitativ bewertet werden. Dabei könnte es sich um Schäden in Form von Terminverzögerungen (ausgedrückt in Tagen) oder zusätzlichen Kosten handeln.

3. Maßnahmen festlegen

In Abhängigkeit von der Priorisierung der Risiken werden diese mit konkretem Handlungsbedarf und gegebenenfalls erforderlichen Maßnahmen versehen.

Tabelle mit der Priorisierung und Ableitung der Handlungsbedarfe (Beispiel) Priorisierung und Ableitung der Handlungsbedarfe (Beispiel)Priorisierung und Ableitung der Handlungsbedarfe (Beispiel)

Dabei sind grundsätzlich die nachfolgenden verschiedenen Ansätze möglich:

  • Risikovermeidung: Wird ein Risiko vermieden, bedeutet das meistens, dass eine Aktion nicht durchgeführt wird. Das bedeutet aber gleichzeitig, dass Chancen, die mit dieser Aktion verbunden sind, nicht wahrgenommen werden. Als Beispiel kann die Einführung einer neuen IT-Anwendung genannt werden, die einerseits Risiken birgt, andererseits aber auch Chancen mit sich bringt.

  • Eingrenzung der Risiken: Risiken können einerseits durch die Reduktion der Eintrittswahrscheinlichkeit, andererseits durch die Reduktion der Schadenshöhe bei Eintritt eingegrenzt werden. Zu diesem Zweck sind Maßnahmen zu entwickeln und mit dem Termin und dem Verantwortlichen in der Risikoliste zu dokumentieren. Es kann sich dabei um Maßnahmen handeln, die direkt durchgeführt werden müssen, aber auch um Eventualfallmaßnahmen, welche durchzuführen sind, wenn das Risiko eintritt und zum Problem wird. Sind Maßnahmen zur Risikoeingrenzung getroffen, wird das Risiko erneut bewertet und gegebenenfalls akzeptiert.

  • Risikoakzeptanz: Eine Möglichkeit Risiken zu begegnen, ist deren Akzeptanz. Wenn mit einer Aktion in großem Maße positive Effekte verbunden werden, kann die Bereitschaft vorliegen, ein bekanntes Risiko zu akzeptieren, wenn dessen Schadenshöhe die positiven Effekte der Aktion nicht kompensiert. Ein weiterer Grund für die Akzeptanz eines Risikos kann sein, dass die Schadenshöhe die Durchführung von geeigneten Maßnahmen zur Eingrenzung des Risikos wirtschaftlich nicht rechtfertigt.

  • Risikobeseitigung: Das Abstellen eines organisatorischen Mangels kann ein bestehendes Risiko ablösen.

4. Risiken beobachten

Ergebnis der vorangegangenen Schritte ist eine Risikoliste, welche als Grundlage für die kontinuierliche Überprüfung und Steuerung der vorhandenen Risiken (Risikocontrolling als Teil des Controllings) dient. Im Laufe der Zeit können neue Risiken hinzukommen, die dann erneut analysiert, bewertet und mit Maßnahmen belegt werden müssen. Es können aufgrund von Veränderungen der Rahmenbedingungen aber auch Risiken wegfallen oder sich deren Eigenschaften verändern.

5. Projektplanung anpassen

Die verbleibenden, nicht vermeidbaren Risiken, haben eine direkte und nicht zu unterschätzende Auswirkung auf die Projektplanung. Einerseits sind die Maßnahmen zur Risikoeingrenzung finanziell und terminlich einzuplanen, andererseits ist ebenfalls zu berücksichtigen, dass der Eintritt der verbleibenden Risiken noch immer (wenn auch akzeptierbaren) Schaden mit sich bringt. Eine Möglichkeit zu dessen Berücksichtigung ist die Bildung von Risikorückstellungen für quantitativ bewertbare Risiken. Die einzuplanende Risikorückstellung für ein Risiko ergibt sich aus der Multiplikation seiner Eintrittswahrscheinlichkeit mit der Schadenshöhe:

Höhe der Risikorückstellung = Eintrittswahrscheinlichkeit x Schadenshöhe

Beispiel: Eine Risiko tritt mit einer Wahrscheinlichkeit von 30% ein und verursacht im Falle des Eintritts einen Schaden von 10.000 €. Des Weiteren wird mit einer Terminverschiebung von fünf Tagen gerechnet.

Höhe der finanziellen Risikorückstellung = 0,3 x 10.000 € = 3.000 €
Höhe der terminlichen Risikorückstellung: = 0,3 x 5 Tage =1,5 Tage

Tritt ein Risiko für das eine Rückstellung in der Termin- und Kostenplanung berücksichtigt wurde ein, ist die Rückstellung natürlich nicht ausreichend, um den gesamten Schaden abzudecken. Die Gesamthöhe der eingeplanten Rückstellungen in Form von Budget oder Zeit werden allerdings ausreichend sein, da nicht alle Risiken eintreten. Risikomanagement setzt eine Offenheit und Ehrlichkeit in der Kommunikation voraus. Es ist darauf angewiesen, dass erwartete Risiken durch die Beschäftigten und andere Interessengruppen auch wirklich frühzeitig offen gelegt werden. Fehlt die entsprechende offene Behördenkultur, kann es sein, dass Risiken so lange wie möglich verschwiegen werden und als Probleme zu Tage treten, die kaum mehr zu beeinflussen sind.

Mit der Veröffentlichung der internationalen Norm ISO 31000 zum Risikomanagement existiert ein weltweit gültiger Standard. Die Nom wurde sehr allgemein konzipiert und ermöglicht so eine breite Anwendung und die einfache Integration in bestehende Managementsysteme und -prozesse. Die Norm versteht Risikomanagement als Führungsaufgabe und verfolgt einen so genannten Top-Down-Ansatz.

Fußnote

[1] Vgl. DeMarco, Lister (2003): S. 11f.
[2] Vgl. DeMarco / Lister (2003), S. 74ff.
[3] ebenda; S. 126.

Diese Seite

© BMI 2018 – Gesamtredaktion und fachliche Beratung: Bundesverwaltungsamt

Hinweis zur Verwendung von Cookies

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Weitere Informationen zum Datenschutz erhalten Sie über den folgenden Link: Datenschutz

OK