Die Grundlagen von Entscheidungen werden vage und beliebig durch die steigende Anzahl von Fakten, die immer weniger verlässlich sind. Aus diesem Grund müssen Entscheidungen immer häufiger auf Basis von Schätzungen und Wahrscheinlichkeiten getroffen werden. Im Risikomanagement werden diese angenommenen Werte formal erarbeitet, in dem Risiken identifiziert, analysiert und bewertet sowie Maßnahmen definiert werden (siehe ISO 31000 http://ow.ly/EN5lT). Da es sich dabei immer um Unterstellungen, Spekulationen und Vermutungen handelt, muss man sich fragen, wie viel Aufwand in die Bewertung der Risiken fließen soll. Eine verschwenderische Sammlung von Eingangsvariablen, ein schwer nachvollziehbarer Rechenweg und die langwierige Abstimmung der Meinungen machen die Schätzungen nicht zuverlässig. Zusätzlich stören schwarze Schwäne, Wildcards und Tipping Points die angenommenen Vorhersagen ohne Vorwarnung. Darum sollten Risiken mit wenig Aufwand bestimmt werden, um schneller und wirtschaftlicher zu einer Einschätzung zu kommen. Das folgende Vorgehen ist ein einfacher Ansatz, um die Risiken handhabbar zu machen.
In drei Schritten lassen sich Risiken identifizieren, einordnen und Maßnahmen ableiten.
- Risiken identifizieren
Zu diesem Zweck werden das eigene Geschäftsmodell und die externen Einflüsse nach technologischen, kulturellen, organisatorischen und wirtschaftlichen Risiken durchsucht (mehr hier: http://www.memecon.de/einflussfaktorenmodell.html). Welche technologischen Risiken stecken in den Produkten und Services? Welche kulturellen Risiken sind intern und extern zu berücksichtigen? Welche organisatorischen Risiken lassen sich aus der internen und externen Governance ableiten? Welche wirtschaftlichen Risiken stecken in den internen Ressourcen und der wirtschaftlichen Gesamtsituation?
Verdichten Sie die Liste zu 5plusminus2 Risiken, die in den folgenden Schritten betrachtet werden. - Risiken einordnen
Jedes Risiko der Liste wird nach der Wahrscheinlichkeit des Eintretens und der Stärke des potenziellen Schadens bewertet. Die Skala reicht von gering, über mittel bis hoch. Dies bedeutet für die Eintrittswahrscheinlichkeit: gering = keine Anzeichen; mittel = indirekte Vorzeichen; hoch = konkrete Belege. Die Schadenshöhe lässt sich so einordnen: gering = Kosten sind gering; mittel = beträchtliche Kosten entstehen; hoch = die Kosten übersteigen die finanziellen Möglichkeiten.
Folgen Sie Ihrem Bauchgefühl. Stellen Sie jedoch sicher, dass Sie für hohe Bewertungen konkrete Beweise vorliegen haben. - Maßnahmen planen
Für jedes Risiko werden in Abhängigkeit der Bewertung Gegenmaßnahmen festgelegt. Hohe Risiken benötigen Aktionen, die detailliert geplant und mit Ressourcen versorgt werden. Mittlere Risiken werden grob mit finanziellen Rückstellungen geplant. Geringe Risiken werden ohne konkreten Plan verantwortlich zugeordnet. Auf dieser Grundlage können Sie schnell reagieren, wenn die Risiken eintreten.
Kümmern Sie sich um konkrete Maßnahmenpläne, die als Plan B der hohen Risiken kurzfristig gestartet werden können (inkl. der Projektorganisation und der Verfügbarkeit von ausreichend Ressourcen).
Fazit: Unabhängig von der Hierarchieebene oder der Größe der Aktivität sollten immer interne und externe Risiken ermittelt, bewertet und Maßnahmen formuliert werden. Da alles auf Annahmen und Meinungen basiert, sollten die Risiken mit wenig Aufwand kontrolliert werden.