Risikomanagement der Zukunft – identifizieren, bewerten, steuern
Effektives Risiko- und Chancenmanagement ist ein wesentlicher Teil nachhaltig erfolgreicher Unternehmensführung. Immer häufiger beschäftigen sich Risikomanager und Führungskräfte mit der Frage, welche Veränderungen zu Risiken im Geschäftsverlauf führen. TRINOM entwickelt über sämtliche Unternehmensbereiche hinweg ganzheitliche systemische Strategien zur Identifikation, Bewertung und Steuerung von riskanten Vorhaben im Sinne aktueller Governance. Wer interne Herausforderungen kennt, ist auf Krisensituationen vorbereitet und in der Lage, die Chancen neuer Technologien für sich zu nutzen.
Definition „Risiko“
Der internationale Standard ISO 31001 definiert als Norm das Risiko. Eine allgemein gehaltene Basis, die verschieden gelagerte Risiken in einem Unternehmen berücksichtigt und nach dem Top-down-Prinzip die Betrachtung von Sinnzusammenhängen umsetzt. Der Begriff des Risikos markiert einen virtuellen Sachverhalt in der Zukunft, während ein tatsächlicher Schaden den realen Sachverhalt der Vergangenheit beschreibt. So ist das Risiko die Beschreibung eines möglichen Ereignisses mit negativer Auswirkung. Die Frage ist, wie kann die Eintrittswahrscheinlichkeit und damit verbundene Verluste auf einem qualitativ einheitlichen Niveau bewertet und gesteuert werden?
Hier spielen zeitliche Perspektiven eine wesentliche Rolle. Der Fokus richtet sich auf Zukunft, Gegenwart und Vergangenheit, wobei in der Risikoanalyse offengelegte Zahlen für Unternehmen immer mehr an Bedeutung gewinnen. Hinzu kommt ein permanent größer werdendes Anforderungsprofil, alle Normen, Gesetze, Vorschriften und Praktiken schwerpunktmäßig auf vergangenheitsbezogene Finanzberichte zu überprüfen. Auch wenn diese für das klassische Risikomanagementsystem eher unbedeutend sind, so gibt es Zukunftsentwicklungen, die wegen ihrer komplexen Methoden schwer vorauszusehen sind.
Begrenzung von Risiken durch Analyse-Tool
Ein Compliance Managementsystem möchte alle möglichen Risiken begrenzen und Unternehmenstätigkeiten nach Wichtigkeit und Wirkung für die Organisation beurteilen. Dieses Resultat wird durch die Zerlegung des Risikos in zwei Komponenten erreicht. Einerseits behandelt die Analyse die Wirkung des Risikos, andererseits dessen Eintrittswahrscheinlichkeit. Gewichtet wird der mögliche Schaden nach der Aussicht auf eine reale Umsetzung des bestehenden Risikos. Damit diese Art von zuverlässiger Analyse in Unternehmensstrukturen optimal integriert werden kann, identifiziert das Modul von TRINOM Task zuerst die Risiken und überwacht sie systematisch. Exakt diesem Zweck dient im Risikomanagement die Norm ISO 31001. Ihr Fokus richtet auf die Sicherheitslücken im Unternehmen sowie deren steuerungsfähige Elemente. Erreicht wird diese Übereinstimmung anhand gesetzlicher Anforderungen sowie durch die Festlegung gültiger Risikokriterien. Die Methoden zur Risikoanalyse variieren je nach Branche, Zeitrahmen, Komplexität und Sicherheitsaspekt des jeweiligen Projektes.
Warum sollen Unternehmen auf Risiken achten?
Geschäftliche Aktivitäten sind stets mit Chancen als auch Wagnissen verbunden. Nicht immer basieren Entscheidungen auf sicheren Grundlagen, sondern beruhen auf anderwärtigen Informationen, Daten oder Erfordernissen. Neben technischen bestehen auch wirtschaftliche Gefährdungen in den unterschiedlichen Bereichen wie IT, Produktionssicherheit, Entsorgung, Umwelt und Brandschutz. Eine umfassende, nachhaltige und vor allem rechtzeitige Betrachtung von Unsicherheiten verringert deren Eintrittswahrscheinlichkeit. Aber primär verhindert sie Krisen und in letzter Konsequenz eine Unternehmensinsolvenz.
ISO 31001 im Risikomanagementsystem
Die Definition von Risiken mit direktem Bezug zu Zielabweichungen und Werten legen nahe, die Perspektiven des Risikomanagements eines Unternehmens zu verstehen. Je nach Art und Größe werden Risiken identifiziert und gesteuert. Es stellt sich die Frage, auf welche Herausforderungen eine Organisation eingehen kann oder muss und welche sie tragen kann. Abhängig von der Unternehmensrechtsform besteht ein umfangreiches Risikomanagement-Tool aus freiwilligen und gesetzlichen Verpflichtungen. Der Standard ISO 31001 macht deutlich, wie eng Gefahr und Schaden oder Verluste miteinander verknüpft sein können.
Daher ist es nützlich, standardisierte Normen hinsichtlich rechtlicher Parameter sowie zur Sicherung der eigenen Qualität zu verwenden. Die Arten von Bedrohungen unterscheiden per Definition in quantitativer und qualitativer Weise voneinander. Das trifft auch auf Ereignisse zu, deren Ursache nicht im Unternehmen selbst liegt, obwohl sich die Folge direkt innerhalb der Organisation auswirkt. Da jeder Betrieb Werte für seine Geschäftspartner schafft, sind all diese entsprechenden Gefahren ausgesetzt. Ein umfangreiches Compliance Managementsystem legt die qualitative Risikoart fest und nimmt die Bewertung nach Wertethemen und ISO-Normen vor. So unterliegen beispielsweise Umwelt, Energie und Qualität einem IDW-Standard, der Ereignisse strategisch, finanziell und operativ kategorisiert. In der quantitativen Größenordnung erfolgt die Risikomessung nach den Parametern des Eintritts und der Wahrscheinlichkeit. Die grafische Visualisierung wird in der TRINOM Task als Risikomatrix dargestellt.
Risk & Compliance
Ein umfassendes und ausgewogenes Chancen- und Risikomanagement ermöglicht die sichere Steuerung des Unternehmens in Zeiten hoher Unsicherheiten und Volatilität. Vom international agierenden Konzern bis zum innovativen Mittelstand – bei effizienter und nachhaltiger Umsetzung eines strukturierten Risikomanagementsystems kommt es auf folgende Software-spezifische Auslegungen an:
• Integration von Chancen- und Risikosteuerung in der Unternehmensorganisation, – kultur und -systeme
• risikoorientiertes Handeln und Denken auf allen Ebenen
• zeitgerechtes Erkennen und Beurteilen von Chancen, schwachen Signalen und echten Risikofaktoren
Betrachtung und Integration von Risiken
Digitale Risikomanagementsysteme stehen für die automatische Auseinandersetzung der Software zur permanenten Verbesserung und objektiven Einschätzung einzelner Risiken. Ihre Wechselwirkung zum Gesetzgeber und zu geschäftlichen Interessen sowie die Funktion als Früherkennungssystem befinden sich ebenso im Fokus der Beurteilung wie bewusst zu tragende Restrisiken. Das generische Management von Risiken nach ISO 31001 beschreibt Prozesse und Strukturen, die sich in allen Branchen und Geschäftsbereichen anwenden lassen. Darüber hinaus sind systemseitig keine Risiken oder Werte vorgegeben. So hat diese Norm einen vollkommen unterschiedlichen Aufbau als andere Managementsysteme, sie gibt Empfehlungen als auch Instruktionen aus. Die Norm ISO 31001 kann zur Integration des Risikomanagement-Tools innerhalb eines Wertemanagements genutzt werden. Alternativ bietet sie einen Aktionsplan für Projekte mit eigenem Empfehlungskatalog. Mithilfe des PDCA-Zyklus kann sich das System permanent verbessern. Im Gegensatz zu anderen Normen ist dieser ISO-Standard nicht zur Zertifizierung gedacht, sondern soll als Richtlinie oder Hinweis verstanden werden. Unternehmen, die das effiziente RMS integrieren möchten, können auf dieses Regelwerk zurückgreifen. Die Software TRINOM Task legt ein Gerüst fest, an dem sich andere Normen orientieren. Sie verdeutlichen die Wichtigkeit und geben detaillierte Hinweise auf die mögliche Gestaltung eins RMS.
Verständigen sich Organisationen aus verschiedenen Branchen wie Gesundheit, IT oder Atomkraft auf den Einsatz eines RMS, müssen alle Bereiche integriert werden. Auch um damit geschaffene Werte und Unternehmensziele in ihrer Ganzheit beurteilen zu können. Werden Entscheidungen getroffen, die die Zukunft eines Betriebes betreffen, sind diese immer in TRINOM Task einzubeziehen. Ungewisse Zukunftssituationen sind ein zentraler Bestandteil des RMS, werden aber stets als Selbstverständlichkeit bewertet. Damit das System funktionstüchtig bleibt, ist eine zeitgerechte und vernünftige Struktur sowie die Qualität an Informationen essenziell. Für Entscheidungen werden alle verfügbaren Daten im RMS zusammengezogen und entsprechend bewertet. Anpassungen erfolgen maßgeschneidert, orientiert an die Situation des Unternehmens. Ein gutes RMS nimmt Einflussfaktoren von Menschen und Kultur ernst und richtet sich danach aus. Zudem haben alle beteiligten Personengruppen Einblick und erkennen, welche kontinuierlichen Prozesse im RMS stetig verbessert werden. Neuen Gegebenheiten passt sich das Compliance Managementsystem problemlos an.
Analyse von Risiken und Auswirkungen
Zur systematischen Ermittlung von Daten und den Gebrauch von Informationen ist in der Risikoanalyse eine Einschätzung nach Wahrscheinlichkeiten vorzunehmen. Sie bildet die Grundlage für eine Risikobewertung und definiert das Szenario der Risikobewältigung. Im Kern richtet sich die angewendete Methodik um die richtige Interpretation der zu erwartenden Auswirkungen. Im Vordergrund stehen erkennbare Entwicklungen, rechtliche Parameter sowie die dazugehörigen Techniken zur Risikoeinstufung. Die Software von TRINOM Task liefert als Basis komplexe statistische Modelle, die in der Praxis die Einführung von unternehmensrelevanten Risikoklassen erleichtert. Ihre Eintrittswahrscheinlichkeit, mögliche Risiken, Auswirkungen und die Schadenshöhe dienen zum Abgleich. Die Definition der Risikoklassen orientiert sich am notwendigen Maßnahmenkatalog sowie des zu erwartenden Zeitfensters für dessen Eintritt. Haben Risiken nur einen minimalen Einfluss auf das Unternehmen und es sind keine Handlungsschritte zu empfehlen, bleibt der Status gering oder vernachlässigbar. Sind hingegen kurzfristige Änderungen zum Erreichen von Unternehmenszielen notwendig, ist der Krisenstatus aktiv. Besteht eine Existenzgefährdung bis zur Gefahr einer Insolvenz, bedarf es eines speziellen Maßnahmenkatalogs.
Bewerten von Risiken
Die Risikobewertung nach ISO 31000 vergleicht und bestimmt Risikokriterien, die in ihrem Ausmaß tolerierbar sind und legt individuelle Bezugspunkte fest. Im Kern dreht sich jede Analyse um die Eintrittswahrscheinlichkeit sowie die Auswirkungen. Alle Parameter werden automatisiert zusammengefasst und im Modul von TRINOM ausgewertet. Zur unternehmensspezifischen Definition von Schwellenwerten, Kosten, Nutzen und ihrer entsprechenden Zuordnung folgen Risikozonen und -klassen. In dieser Bewertungsskala sind alle Ereignisse und Entscheidungen deklariert, die zur Festlegung der Risikobewältigung eingesetzt werden.
So sind beispielsweise im Gesundheitsbereich integrative und strukturelle Qualitätsmaßnahmen nötig, die die Manager im Gesundheitswesen immer wieder vor neue und große Herausforderungen stellen. Daher werden die erforderlichen Maßnahmen einer patientenorientierten und ökonomischen Gesundheitsversorgung zur Zertifizierung herangezogen und Qualitätsinitiativen in die Evaluierung eingebunden. Gleichzeitig schaffen entsprechende Skalierungen von Projektrisiken eine Basis, in der extreme Risiken im Wesentlichen zu einer anderen Beurteilung führen. Werden zum Beispiel in einem Bio-Konzern rekombinatorische Zellkulturen hergestellt, entspricht die Risikoeinteilung einer unterschiedlichen Grundlage als jene der unternehmensinternen IT-Projekte desselben Betriebes. Hier erhält jeder Bereich eine sinnvolle Skalierung, bevor das RMS mit der Identifizierung und Bewertung von Risiken beginnt.
Risiken steuern, verringern, übertragen
Um die richtigen Änderungen zur Risikobewältigung einzuleiten, bedarf es optimaler Planung. Damit Eintrittswahrscheinlichkeit und Auswirkungen mögliche Vermögensverluste begrenzen, orientiert sich der ISO-Standard an risikosteuernden Maßnahmen. Gelingt es nicht, die Gefahr zu eliminieren, folgt ein Trägerwechsel des Risikos selbst. Standardfälle sind Versicherungen, die Risiken gegen eine Prämienzahlung übernehmen oder Lieferanten, die für die Produktion bestimmter Teile verantwortlich sind. Ein gewisses Restrisiko lässt sich allerdings nicht verhindern und wird bewusst in die Analyse einbezogen.
Diese Workflows unterstützen TRINOM Task
• Vorlage von bestehenden Risikobewertungen zur Überprüfung, Bestätigung und Fortführung der Handlungsempfehlungen
• Erstellung einer Risikobewertung inklusive Freigabe und Review
• Zuordnung von Aufgaben zur Risikoeinschätzung, -überwachung und -behandlung.
• Bei Risikoeintritt die Erstellung eines Eskalationsberichtes inklusive Handlungsempfehlung zur Schließung des Risikos.
• Dashboard zur grafischen Darstellung aller risikobehafteten Bereiche, summiert in Beträgen und KPIs wie Größe, Eintrittswahrscheinlichkeit und Auswirkung.
TRINOM Task stellt sicher
Das Besondere an TRINOM Softwaretools ist die fachspezifische Differenzierung in der unterschiedlichen Risikobetrachtung. Als Prozessform funktionieren die Abläufe strukturell und dem Prinzip nach ähnlich, dennoch gibt es in jedem Fachbereich verschiedene Kernaspekte, die zu einer variabel zu betrachtenden Risikoeinschätzung führen. Es ist in Realität und Praxis ein Unterschied, ob entsprechende Skalierungen für die IT-Sicherheit, Gesundheitsbereiche, Chemie- und Industriebetriebe, Softwareentwicklung, Atomkraftwerke oder Wertpapiere vorgenommen werden. Häufig unterliegen diese stark voneinander zu unterscheidenden Fachgebieten mehreren Arten von Risikomanagementvorgängen, die es innerhalb eines einzigen Projektes zu verifizieren gilt.
TRINOM Task schafft die Basis einer individuell skalierbaren Bewertungsoption, um innerbetriebliche Vorgänge unabhängig voneinander planen und umsetzen zu können. Dabei sind die Skalen für die Eintrittswahrscheinlichkeit frei definierbar und anpassbar, ebenso wie die Unterteilung für Projektauswirkungen auf das Unternehmen. Ob Bagatelle oder Unternehmensgefährdung – sämtliche Wahrscheinlichkeiten werden mit TRINOM Task exakt evaluiert und als unkritisches Element, projektgefährdend, Großrisiko oder Katastrophe eingestuft. Hinzu kommt ein zeitlich festgelegter Rahmen für das jeweilige Risikosegment zwischen einem und 100 Jahren inklusive Aussicht auf Handlungsnotwendigkeit. Bei kurzfristig angelegten Projekten mit Laufzeiten von bis zu zwei Jahren ist die Anwendung einer Zeitskala samt ihren Empfehlungen in der Praxis kaum realistisch.
TRINOM Task unterstützt Ihr Unternehmen zielgruppenorientiert
• ausgewogene und ganzheitliche Betrachtung von Chancen und Risiken für Ihre Branche
• Sicherstellung des Projekterfolges
• optimale Einbindung des Risikomanagementsystems in die Unternehmensorganisation sowie bereits vorhandener Betriebsprozesse
• umfangreicher Transfer von Know-how hinsichtlich branchenspezifischer Risikofaktoren und Best Practices
• zeitnahes Risikoreporting
• maßgeschneiderte Softwarelösung
• kein unnötiger Zusatzaufwand
• Sicherstellung der kompletten Einhaltung gesetzlicher Anforderungen
Testen Sie uns – und zwar kostenlos. Nutzen Sie die TRINOM-Cloud und profitieren von der visuellen Darstellung notwendiger Veränderungen.
Erhalten Sie mehr fachliche Expertise und wichtige Informationen zu den Softwaretools von TRINOM. Dieses Thema folgt: „Risikomanagement“.
Autor: Dr. Markus Resch
Verantwortlich für den Inhalt: Erwin Kettner/trinom informationssysteme GmbH
TRINOM Informationssysteme unterstützt bei der Einführung von Management- und Compliancesystemen. Für weitere Informationen zu diesem Thema oder zur TRINOM Software für Compliance Managementsysteme wenden Sie sich bitte an Herrn Erwin Kettner, Geschäftsführer der Trinom Informationssysteme GmbH (e-Mail: info@trinom.com).