- Was ist Risikomanagement?
- Warum ist Risikomanagement wichtig?
- Ziele vom Risikomanagement
- Risikokategorien
- Risikomanagementprozess – so wird’s gemacht
- Risikomanagement klassisch vs. agil
- Praxistipps:
Was ist Risikomanagement?
Die Vermeidung von Risiken ist eine wichtige strategische Herausforderung für ein Unternehmen. Risiken gibt es viele und an den unterschiedlichsten Stellen.
Ein Risiko ist der Verlust einiger Kunden durch die Tätigkeit eines Mitbewerbers.
Da gibt es noch die technischen Risiken. Darunter fällt der Ausfall von Computer, Maschinen oder Risiken bei einer Produktentwicklung im Rahmen eines Projektes.
Es kann zu logistischen Störungen kommen, beispielsweise bei den Lieferanten oder den Speditionen.
Es gibt rechtliche Risiken, hierunter fallen Fehlentscheidungen, Fehlverhalten, schlechte Kontrollmechanismen und die Gefahr gegen Gesetze zu verstoßen.
Zuletzt sind da noch die Risiken durch externe Einflussfaktoren, wie ein Unwetter, ein Anschlag, Angriffe durch Hacker oder durch Imagekampagnen durch die Medien oder politische Entwicklungen.
Es gibt unzählige Risiken, es ist fast unmöglich, auf alle vorbereitet zu sein.
Es ist jedoch extrem vorteilhaft, so gut wie möglich vorbereitet zu sein. Risikomanagement bedeutet, eine Risikoanalyse regelmäßig durchzuführen und herauszufinden, welche Risiken es für das Unternehmen gibt und wie wahrscheinlich ein solches Risiko eintreten kann.
Ein Risiko meint die Möglichkeit, dass ein negatives Ereignis eintritt.
Welchen finanziellen Schaden würde das Risiko mit sich bringen? Im Rahmen des Risikomanagements wird alles dafür getan, dass ein Risiko nicht eintritt oder falls sich das Risiko nicht vermeiden lässt, zumindest den daraus entstehenden Schaden zu minimieren.
Warum ist Risikomanagement wichtig?
Egal, ob das Unternehmen groß oder klein ist, Risiken gibt es überall. Einmal kurz überlegt und die ersten Ideen dazu sind:
Der Wettbewerb, das Verhalten der Zielgruppe beim Kauf, Engpässe in der Liquidität, Änderungen bei den Gesetzen oder fehlende Mitarbeiter und dafür wurde nicht lange überlegt.
Nach reiflicher Überlegung kann die Liste noch um einiges verlängert werden und ist dann immer noch nicht vollständig.
Oft hört man Aussagen, wie das gab es ja noch nie. Tatsache ist, nur wer durch eine Risikoanalyse weiß, wo die individuellen Risiken für ein Unternehmen oder im Rahmen eines Projektes liegen, der kann die möglichen Risiken auswerten und priorisieren.
Mit dieser Auswertung und Priorisierung können nun Gegenmaßnahmen überlegt werden. Ein gutes Risikomanagement, dass die Risiken und Chancen abwägen kann ist für jedes Unternehmen wichtig, egal wie groß es ist.
Ziele vom Risikomanagement
Um die Gefahren, Bedrohungen und Risiken für ein Unternehmen sichtbar zu machen braucht es das Risikomanagement.
Dadurch kann ein Unternehmen seinen externen Anspruchsgruppen, genannt Stakeholder, zeigen, dass es auf Risiken vorbereitet ist und Gefahren rechtzeitig erkannt werden.
Das Unternehmen kann zeigen, dass sein Projektmanager Risiken beherrschen kann und sogar in der Lage ist, Chancen zu erkennen, die sich aus einer riskanten Situation ergeben könnten.
Verschiedene Gruppen erwarten, dass ein Unternehmen ein aktives Management im Bereich Risiko betreibt, darunter die Kunden, Kapitalgeber und die Behörden.
Der Gesetzgeber ist sogar soweit gegangen, das Risikomanagement der Unternehmen gesetzlich zu verschärfen, wie im HGB, AktG, GmBHG und anderen.
Dazu kommt das KonTraG, ein Gesetz zur Kontrolle und Transparenz im Unternehmen, welches im Jahr 1998 verabschiedet wurde.
Dieses Gesetz nimmt jedes Unternehmen in die Pflicht, die Risiken zu managen und die Risiken zu kontrollieren.
Ist ein Unternehmen betroffen, benötigt es ein umfassendes Controlling und Reporting-System und es muss über Risiken im Leistungsbereich informiert werden und das schnell und umfassend.
Unternehmen, die weltweit agieren stehen vor der Aufgabe global Hunderte Gesetze , Standards, Normen und Tausende von Paragrafen zu berücksichtigen, die direkt oder indirekt mit ihrem Management des Risikos zu tun haben.
Das Risikomanagement ist nicht nur eine Last, die ein Unternehmen erfüllen muss.
Es ist genauso im Interesse eines Unternehmens alle Risiken sichtbar zu machen, ob sie technischer, wirtschaftlicher oder anderer Natur sind, um den daraus folgenden Schaden abzuwenden oder zu minimieren.
Wenn ein Unternehmen einen oder mehrere Prozesse entwickelt, die vor Risiken schützen oder die richtigen Gegenmaßnahmen parat hat, ist es von großem Nutzen für das Unternehmen.
Die wichtigsten Aufgaben für einen Risikomanager/Projektmanager sind:
- Das Identifizieren der möglichen Risiken
- Das Bewerten und Priorisieren der gefundenen Risiken
- Das Festlegen von Gegenstrategien und Gegenmaßnahmen
- Das Überwachen von Risiken
- Das Dokumentieren der gefundenen Risiken
- Der Bericht oder das Protokoll über die Risiken
Risikokategorien
Um eine Übersicht über die Risiken zu haben und eine Transparenz zu schaffen, werden die Risiken in der Regel in verschiedene Kategorien wie Technik, wirtschaftliche Risiken, Markt, Stakeholder und weitere unten genannte Kategorien eingeteilt.
Eine Risiko-Checkliste ist ein bewährtes Instrument, die beim Start eines Projektes zur Identifikation von Risiken verwendet werden kann.
Technische Risiken
Dabei geht es um Risiken, welche Produkt und Technik betreffen.
Was wird an Maschinen in einem Unternehmen benötigt? Könnten diese Maschinen ausfallen?
Besteht die Gefahr, dass Computer gehackt werden oder dass Viren in die Software geraten könnten? Cyber Security ist heutzutage eine große Herausforderung für ganz viele Unternehmen.
Die Risiken im Zusammenhang mit einem Produkt sind oft herausfordernd, vor allem dann, wenn innovative Produkte entwickelt werden.
Viele Projekte scheitern, weil technische Produktrisiken auftreten, mit denen keiner gerechnet hat und ein Projekt nun viel mehr kostet und deutlich mehr Zeit braucht als ursprünglich geplant.
Die Anforderungen an ein Produkt können von Land zu Land abweichen. Die Haftung ist in den unterschiedlichen Ländern unterschiedlich. Es ist ein extrem umfangreiches Feld.
Bei technischen Risiken werden beispielsweise folgende Fragen gestellt:
- Inwieweit ist das Anforderungsprofil vollständig und verständlich?
- Inwieweit beinhaltet ein Projekt neue Technologien?
- Wie hoch ist das Risiko, dass neue Komponenten mit bestehenden Produktionsprozessen und Technologien nicht umsetzbar sind?
- Wurden Alternativen für besonders kritische Komponenten berücksichtigt?
Wirtschaftliche Risiken
Das Risikomanagementsystem sollte gut in das Controlling eingebaut sein. Das Controlling ist im Risikomanagementprozess ein wichtiger Bestandteil, um Risiken zu minimieren.
Die finanziellen Risiken sind ein weiterer großer Punkt im Risikomanagementsystem.
Hier sind Punkte betroffen, wie Liquiditätsengpässe, Schwankungen in den Wechselkursen, Verteuerungen der bei Produktionen benötigten Materialien oder Absagen bei Kreditanfragen.
Bei wirtschaftlichen Risiken werden beispielsweise folgende Fragen gestellt:
- Wurde ein Business Case erstellt?
- Wie hoch ist das Risiko, dass nicht alle zur Entwicklung notwendigen Tools/Werkzeuge eingeplant sind?
Marktrisiken
Hier liegt das größte Risiko im Verhalten der Zielgruppe. Wenn meine Zielgruppe aus irgendeinem Grund ihr Kaufverhalten ändert, könnte mein bisher gut laufendes Produkt nicht mehr oder wesentlich weniger gefragt sein.
Bei Marktrisiken werden beispielsweise folgende Fragen gestellt:
- Ist die Marktpreis-Entwicklung über die Produktlebensdauer bekannt?
- Besteht ausreichend Markt Know-How zur Verifikation der Stückzahlen?
Stakeholder
Stakeholder sind Personen, die ein besonders Interesse an einem Produkt oder am Erfolg des Unternehmens haben. Zu den Stakeholdern gehören Aktionäre, Banken, Behörden, Kunden, Lieferanten und natürlich die Mitarbeiter.
Kommt es hier zu Unzufriedenheiten, hat es in den meisten Fällen negative Auswirkungen. Die Aktionäre verkaufen ihre Aktien. Banken verweigern Kredite. Kunden kaufen weniger oder komplett woanders.
Lieferanten kündigen die Zusammenarbeit oder ändern die Zahlungsmodalitäten. Mitarbeiter verlassen das Unternehmen. Es ist ein wichtiger, aber schwer zu analysierender Bereich im Risikomanagementsystem.
Bei Stakeholder-Risiken werden beispielsweise folgende Fragen gestellt:
- Sind die Anforderungen von allen relevanten Stakeholdern erfasst?
- Werden externe Entwicklungs-Ressourcen benötigt?
- Existieren nicht-qualifizierte Lieferanten?
Projektorganisation / Umsetzung
Hier ist ein wichtiger Punkt, dass das Arbeitsklima stimmt und die Mitarbeiter gerne beteiligt sind und im Rahmen einer Risikoanalyse im Projekt ist es wichtig, dass die Mitarbeiter gut im Team arbeiten können und wollen.
Gerade bei der Risikoanalyse im Projekt wird gerne unterschätzt, wie wichtig die Teamfähigkeit und der Arbeitswille der Mitarbeiter sind.
Weitere Risiken für ein Projekt sind der Zeitfaktor und die Kosten. Schnell kann es in diesen beiden Bereichen zu Problemen kommen, die sich in den meisten Fällen durch eine gute Planung auffangen lassen.
Bei den Risiken bezüglich der Projektorganisation / Umsetzung werden beispielsweise folgende Fragen gestellt:
- Sind alle notwendigen Ressourcen zur Umsetzung des Projektes verfügbar?
- Inwieweit muss über Standorte / Länder hinweg kommuniziert werden?
- Wie hoch ist das Risiko, dass die einzelnen Projektphasen nicht realistisch geplant sind?
- Wie hoch ist das Risiko, dass die geforderten Musterlieferungen bezüglich Zeit und Menge nicht eingehalten werden können?
Management
Die Entscheidungen des Managements sind für den Riskomanagementprozess oft am schwierigsten mit einzuplanen.
Viele Führungsebenen entscheiden noch so und stellen ihre Mitarbeiter vor vollendete Tatsachen.
Da kann es sein das sich die Prioritäten verschieben oder die Strategie des Unternehmens neu ausgerichtet wird. In der Folge kann es passieren, dass Projekte zurückgestellt oder komplett gestoppt werden.
Bei den Management Risiken werden beispielsweise folgende Fragen gestellt:
- Wie hoch ist das Risiko, dass ein Projekt zum Beispiel wegen strategischer Neuausrichtung gestoppt wird?
- Wie hoch ist das Risiko, dass es zu Prioritätsverschiebungen kommen kann?
- Wie hoch ist das Risiko, dass wichtige Entscheidungen vom Management zeitnah nicht getroffen werden können?
Methodische Risiken
In diesen Bereich fällt fehlendes Know-How für ein geplantes Projekt. Es ist zum Beispiel gar nicht so selten, dass ein Projektmanager Projekte leitet, obwohl ihm methodisches Wissen trotz Erfahrung fehlt.
Darüber hinaus ist es deutlich öfter zu sehen, dass ein Projektteam mit den Projektmanagementgrundlagen nur wenig vertraut ist und deswegen unnötige Reibungen im Projektablauf entstehen, Projekte länger dauern und mehr kosten.
Außerdem haben nicht wenige Unternehmen keine etablierten Projektmanagementmethoden oder Produktentwicklungsprozesse und jede Abteilung letztendlich das Rad neu erfinden muss und Abstimmungen zwischen den Abteilugen mehr auf dem Zufallsprinzip als auf einer standardisierten Arbeitsweise basieren.
Bei den methodischen Risiken werden beispielsweise folgende Fragen gestellt:
- Wird der Produktentstehungsprozess von allen Abteilungen im Projekt befolgt?
- Besitzen Projektteammitglieder wie zum Beispiel Teilprojektleiter ausreichende Projektmanagementkenntnisse?
- Können sich Fachabteilungen bei Fachthemen ohne Projektmanager eigenständig abstimmen?
Recht und Umfeld
Auch die rechtliche Seite und das Umfeld spielen eine wichtige Rolle, in dem Projekte abgewickelt werden und Unternehmen agieren.
Darunter fallen Änderungen in den Gesetzen und Normen, wie im Rahmen des Umweltschutzes.
Weltweit tätige Unternehmen haben je nach Standort auch mit der Änderung der politischen Lage zu tun, wie mit einem Embargo gegen Exporte. Im Rahmen des Verbraucherschutzes ändert sich ebenfalls von Zeit zu Zeit etwas.
Das sind Risiken, die nur schwer zu planen sind. Die Risiken im Umfeld sind extrem weit gestreut, da braucht es ein gutes Risikomanagementsystem.
Das kann sein, dass sich die Bebauung im Umfeld ändert. Wenn das Unternehmen bisher von durchreisenden Personen profitiert und auf einmal gibt es eine Umgehungsstraße. Wenn auf einmal LKWs nicht mehr vorbei fahren dürfen.
Umweltrisiken, was in Deutschland in einigen Gebieten Hochwasser ist oder in den USA die Hurricane-Region.
Seit neustem haben die Unternehmen ein ganz neues Risiko, die Pandemie.
Bei den Risiken in Bezug auf Recht und Umfeld werden beispielsweise folgende Fragen gestellt:
- Sind bei der Haftung Folgeschäden eingeschlossen?
- Hat ein Terminverzug vertragliche Konsequenzen (Konventionalstrafen)?
- Sind aktuelle Normen und gesetzliche Voraussetzungen bekannt und einhaltbar?
Risikomanagementprozess – so wird’s gemacht
Um den Risikomanagementprozess so effektiv wie möglich zu gestalten, sind vier Schritte erforderlich, die ein Projekt aus der Risikomanagementsicht erfolgreich machen:
1. Risiken identifizieren
Als erstes werden Risiken gesammelt. Es wird alles gesammelt, was in den Kopf kommt. Es geht darum möglichst viele Risiken zu finden.
Dabei helfen einige Überlegungen, wie: „Was könnte schief gehen?“ Oder „Welche Gefahren warten auf ihre Chance?“ Oder „Wo gab es bereits Problem?“ Einmal aufgetretene Probleme sollten sich natürlich nicht widerholen.
Am Anfang eines Projektes sollte eine standardisierte Liste mit Fragen über festgelegte Risikokategorien besprochen werden, um die Identifikation von Risiken zu beschleunigen. Dabei können oben genannte Risikokategorien verwendet werden.
2. Risiken bewerten und priorisieren
Jetzt werden die gesammelten Risiken bewertet und eine Risikomatrix erstellt, welche die Wahrscheinlichkeit und die Schadenshöhe eines Risikos berücksichtigt.
Es wird festgelegt, mit welcher Wahrscheinlichkeit das jeweilige Risiko eintritt. Dann gehört zu Bewertung abzuschätzen, welcher Schaden entsteht, wenn das Risiko eintritt.
Auf die Risiken mit höher Eintrittswahrscheinlichkeit und hohem Schaden, wird zuerst der Fokus gerichtet. Diese Risiken werden höher priorisiert.
Die Risiken, welche extrem unwahrscheinlich eintreten und wenn sie doch eintreffen sollten so gut wie keinen Schaden verursachen, können mit wenig Aufmerksamkeit bedacht werden.
Die Risikomatrix ist ein ganz einfaches Mittel, um die wichtigsten Risiken immer im Auge zu behalten und ist vergleichbar mit der Eisenhower Matrix.
3. Gegenstrategien festlegen und umsetzen
Welche Risiken vermeiden?
Dies gilt für Risiken, die mit extrem hoher Wahrscheinlichkeit eintreten und großen Schaden verursachen können.
Welche Risiken reduzieren?
Dies gilt für Risiken, welche mit hoher Wahrscheinlichkeit eintreten und großen / mittelmäßigen Schaden verursachen können.
Welche Risiken akzeptieren?
Dies gilt für Risiken, welche unwahrscheinlich sind und wenig / kaum Schaden verursachen werden.
Welche Risiken transferieren?
Ein Teil der Risiken kann auf Lieferanten oder Partner verschoben werden.
4. Risiken überwachen
Die Bewertung der Risiken könnte sich mit der Zeit aus unterschiedlichen Gründen ändern. Daher sollten die Risiken regelmäßig überwacht werden.
- Gibt es ein neues Risiko?
- Hat sich die Bewertung eines Risikos verbessert oder verschlechtert?
- Haben die Gegenstrategien/Gegenmaßnahmen die gewünschten Ergebnisse geliefert?
Risikomanagement klassisch vs. agil
Das Risikomanagement wird in der klassischen und agilen Welt anders gehandhabt. Das sind die wichtigsten Unterschiede:
Risikomanagement klassisch
1. Je größer ein Projekt ist, umso mehr steigt die Risikowahrscheinlichkeit. Daher lauern die größten Risiken oft in der Endphase des Projektes.
2. Wenn dem Projekt im Rahmen eines V-Modells eine Testphase folgt, kann diese gravierende Probleme mit sich bringen, welche sogar den Gesamterfolg des Projektes gefährden können.
3. Die Schätzungen über die Zeit und die Kosten eines klassischen Projektes erfolgen am Anfang des Projektes. Hier gibt es einen großen Nachteil, es ist am wenigsten über das Projekt bekannt.
Da kann sich schnell in der ein oder anderen Schätzung ein Fehler einschleichen. Das könnte sich dann am Ende des Projektes in einer Kostenexplosion oder einem gravierenden Zeitmangel summieren.
4. Wenn es bei einem Projekt Stakeholder gibt, kann es sein, dass sie sich verschiedene Vorteile von dem Projekt versprechen und somit sich widersprechende Informationen liefern.
Risikomanagement agil
1. Bei klassischen Projekten wird ein Produkt entwickelt und erlangt zum Ende des Projektes, nach Monaten oder Jahren, die endgültige Marktreife, ein hohes Risiko.
Im Rahmen einer agilen Entwicklung erreicht das Produkt langsam die Marktreife und wird andauernd weiterentwickelt.
2. Die Tests liegen nicht am Ende des Projektes. Das Projekt wird so aufgebaut, dass es Zwischenziele mit Testphasen gibt.
So fallen mögliche Fehler früh auf und nicht erst am Ende eines Projektes. Entsprechend früh kann die Fehlerbehebung geschehen.
3. Die benötigte Zeit und die veranschlagten Kosten werden bei einem agilen Team anhand der Fortschritte bewertet. Nachjustierungen können so schnell und unkompliziert erfolgen. Dabei kann die Priorität des Projektes berücksichtigt werden.
4. Die Vorstellungen der wichtigsten Stakeholder werden im agilen Projektteam klar besprochen. Dieses Vorgehen vermeidet Verwirrungen bei der Kommunikation.
Ist das agile Risikomanagement also viel besser als das Klassische?
Diese Frage kann nicht eindeutig beantwortet werden. Ein Projektumfeld ist in vielen Fällen ziemlich komplex. In diesem Zusammenhang spricht man von der VUCA-Welt.
Je nach Projektkomplexität abhängig von den Anforderungen und der Technik und gegebenenfalls anderen Faktoren sollte geprüft werden, welche Projektmanagement-Methoden am besten geeignet sind.
Als Entscheidungshilfe bieten sich Stacey-Matrix oder auch Cynefin Framework an.
Praxistipps:
1. Sich Zeit für das Risikomanagement nehmen
Da es hier um Schadensvermeidung geht, ist es sinnvoll den Risikomanagementprozess mit Ruhe zu betreiben.
Vor allem ist es wichtig, dass ein Projektmanager und das komplette Projektteam sich dessen bewusst sind, wie wichtig das Risikomanagement ist.
Die Führungskräfte sollten ihre Mitarbeiter dabei unterstützen. Das Risikomanagement darf aufgrund des Zeitmangels in einem Projekt niemals vernachlässigt werden.
2. Wesentliche Risiken bereits im Business Case und im Projektauftrag festhalten
Wenn die Risikobetrachtung von Anfang an gemacht wird (zum Beispiel im Rahmen einer SWOT-Analyse), werden bereits am Anfang gute Entscheidungen getroffen, notwendige Gegenmaßnahmen definiert und gegebenenfalls Projekte gar nicht gestartet und damit viel Geld, Zeit und Ärger gespart.
3. Risiken regelmäßig überwachen und Gegenstrategien optimieren
Regelmäßige Kontrollen helfen bereits identifizierte Risiken zu überwachen und die Wirksamkeit von Gegenmaßnahmen zu überprüfen. Darüber hinaus kommt man neuen Risiken auf die Spur.
4. Fokussierung auf Risiken mit höherer Priorität
Je wahrscheinlicher ein Risiko eintritt und je höher der mögliche Schaden ist, um so intensiver müssen die Gegenmaßnahmen überlegt und kontrolliert werden.
Ein sehr guter und erfahrener Projektmanager ist zusammen mit seinem Team in der Lage, wichtige von unwichtigen Risiken zu unterscheiden und sich auf die wesentlichen Risiken zu fokussieren.