Risikomanagement: Fragen und Antworten

Je nach Industrie und Kontext gibt es zwei grundsätzliche Interpretationen von Risiko:

In den sicherheitskritischen Industrien und vor allem deren Produktentwicklung heisst Risiko immer Risiko als Gefahr, als Gefahr für Personen und teilweise auch Eigentum.

Im einem allgemeiner anwendbaren Kontext heisst Risiko die Möglichkeit eines Verlustes, als Schaden für das Geschäftsergebnis oder das Projektergebnis. Dieses Risiko steht dann im Gegensatz zur Chance/Opportunität, wie in ISO 9001 und in der SWOT-Analyse (Strengths – Weaknesses – Opportunities – Threats: Threats sind Risiken).

Dieser Seite befasst sich hauptsächlich mit der zweiten Interpretation, die erste hängt mit kritischen Systemen zusammen, sehen Sie dazu auch unseren Blog zu kritischen Systemen und funktionaler Sicherheit.

Es gibt sehr komplizierte Risikomanagement-Prozesse und Werkzeuge. Für  Organisationen und Projekte, wo nicht durch Regulierung etwas komplizierteres vorgeschrieben wird, reicht eine einfache Risikoliste. Diese beinhaltet die Risiken, deren Effekt, die Eintretenswahrscheinlichkeit und den Schaden (Ausschnitt aus einer Risikoliste, Ph sind Personenstunden):

Mehr Details dazu finden Sie in unserem Blog zu einfachem Risikomanamgent.

Diese Liste kann für die erste Risiko-Entdeckung und dann die z.B. monatliche Risiko-Überwachung während des Projektes verwendet werden. Dabei ist das Gesamtrisiko ein Schlüsselparameter, welcher in einer Zahl das Risiko anzeigt. Wenn das Gesamtrisiko im Projekt sich vergrössert, dann ist schnell klar, dass Massnehmen erforderlich sind...

Der Schaden von Risiken des Typs «Verlust» lassen sich immer als Geld abbilden. Einerseits Aufwände mit den dahinterstehenden Stundensätzen (OPEX: OPerational EXpenditures), Drittkosten direkt (CAPEX: CAPital EXpenditures) und Zeit/Verzögerungen z.B. als verpasste Verkäufe.

Sobald die Risikoliste steht, kommt natürlich die Frage: wie kann ich die Risiken vermindern?

Dies kann im einfachsten Fall geschehen, in dem die Risikoliste nach dem Risiko (Schaden multipliziert mit Eintretenswahrscheinlichkeit) sortiert wird und dann mit den höchsten Risiken begonnen wird. Man beachte,dass auch «nichts tun» eine mögliche Massnahme sein kann!

Wenn man etwas raffinierter vorgehen möchte, kann man Risikoklassen einführen, welche dann auch angeben, welche Funktionen (z.B. Geschäftsleitung, Projektleitung, Projektmitarbeitende) für die Risikominderung zuständig sind. Dazu finden Sie die erweiterte Vorlage auch im Risikomanagement Blog.

Man sollte beides tun. 

Eine Risikoliste zu erstellen ist ein guter Anfang, die volle Wirkung entfaltet Risikomanagement jedoch erst, wenn die Liste immer wieder aufdatiert wird, z.B. in einem monatlichen Brainstorming und Review Workshop. Neue Risiken kommen dazu, mitigierte Risiken verschwinden, Risiken werden neu bewertet.

Wenn man die Geschichte der Risikosumme über die Zeit aufträgt, ergibt diese Kurve einen guten Überblick über die Projekt- bzw. Firmensituation. Normalerweise sollte man natürlich anstreben, dass die Risiken über die Zeit sinken.

Risikomanagement beschäftigt sich nur mit «Known Unknows», mit Schäden, von denen man erwarten kann, dass sie auftreten. Was ist mit den «Unknown Unknowns», den «Black Swans», von denen man überrascht wird?

Per Definition kann man diese erst zu spät erkennen. Sie sind jedoch einer der Gründe dafür, dass Risikomanagement ein dauernder Prozess ist, wo wir Risiken immer wieder nachführen.

Es gibt Risiken, welche so grossen Schaden anrichten würden, dass sie ich in meinem Bereich nicht behandeln kann, «Killer-Risiken» oder «Showstopper». Diese Kategorie von Risiken kann ich daher nicht «managen».

Was man mit ihnen tun kann, sie als «Projekt-Annahmen» oder «Startup-Annahmen» zu dokumentieren, damit eine höhere Ebene damit umgehen kann, z.B. die Geschäftsleitung oder die Investoren.

In dem Moment, wo eine Risikoliste mit quantifizierten Risiken besteht, wird die Priorisierung von Projekt- und Implementationsplänen fast schon zum Kinderspiel.

Man plant zuerst die Arbeitspakete, welche die grössten Risiken mitigieren, entweder indem sie die Risiken abarbeiten oder die Risiken klären. Dann können die Resultate in geplanten Meilensteinen nach (auch geplanten) Kriterien beurteilt und es kann über das weitere Vorgehen entschieden werden.

Und: es sollten im Plan die Risikosumme (Summe der Aufwände, Summe der Kosten: siehe die Anleitung zu Risikomanagement) als Reserve/Buffer eingeplant werden. Woher sollen sonst die Zeit und das Geld für die entstehenden Risiken kommen?

Wenn das Startup nicht durch Regulierung zu einem komplizierteren System gezwungen wird, dann ist eine Risikoliste gemäss unserer Vorlage eine einfache und flexible Lösung.

Wenn Risiken bewertet werden sollen, d.h. Schäden und vor allem Eintrittswahrscheinlichkeiten, dann sollten endlose Diskussionen vermieden werden, gleichzeitig will man die Meinung aller Experten in der Organisation abholen.

Diese beiden Ziele erreicht man am besten mit Wideband Delphi, auch bekannt als Planning Poker. Dass Planning Poker gerade die Anzahl Möglichkeiten einschränkt (z.B. 90%, 70%, 30%, 10% 0%), hat den Vorteil, dass Diskussionen um des Kaisers Bart («69% oder 70%?») vermeiden werden können.

Nicht, wenn man den Blindflug liebt...

Wir glauben, dass sich ein schlankes, «lean» Risikomanagement lohnt. Es erfordert zuerst einige Stunden für die Risiko-Entdeckung, dann regelmässig eine Stunde für das Update. Und es macht die Planung effizienter.

Die Alternative sind Feuerwehrübungen, welche für manche Menschen unwiderstehlich sein können: «...it [crisis managment] is alot more fun»...