Das moderne Risikomanagement weist immer noch vier klassische Fallstricke auf. Sie sind nicht neu, aber sie sind aktuell. Faszinierend, wie viele – Fachleute, Manager und sogar Risikomanager – immer mit offenen Augen und den besten Absichten hereinkommen. Was sind diese vier Fallstricke? Und wie können sie vermieden werden?
Fallstricke 1: Komplexität
Kürzlich hatte ich einen Manager einer Wohnungsbaugesellschaft – sicherlich nicht die größte – in einem Ausbildungskurs. Sie erhielt ein Update der Risikodatei. Es enthielt jetzt 543 Risiken…. Wer kann und will etwas damit anfangen? Wer gibt diese Anzahl an Energie? Rhetorische Fragen. Dies ist die Komplexität der Größe. Eine weitere Komplexität ist die Klassifizierung. Die Risiken werden dann beispielsweise anhand von 7 Zufallsklassen und 5 mal 7 oder 35 Konsequenzklassen bewertet. Mit endlosen Diskussionen, ob eine Risikoklasse 5 oder eine Klasse 6. Für eine Klasse 6 müssen wir zu einem höheren Management eskalieren .
Das Risikomanagement ist daher leicht zu erschweren. Das Gegenteil ist viel schwieriger. Wie begrenzen Sie die Komplexität des Risikomanagements? Zum Beispiel durch Verknüpfung jedes Risikos mit Zielen, Aufgaben oder Anforderungen. Ein Risiko ist dann ein ungewisses Hindernis auf dem Weg zur Erreichung dieses Ziels, dieser Aufgabe oder dieser Anforderung. Dies macht Risiken sofort relevant. Es hilft auch, es zu wagen, scharfe Entscheidungen zu treffen. Reduzieren Sie beispielsweise die 7 Zufallsklassen auf 3 oder vielleicht sogar 2 Klassen: hohe Chance und niedrige Chance. Es besteht eine gute Chance, dass dies die Schärfe erhöht.
Fallstricke 2: Zahlen
Ja, sie sind immer noch da. Personen, die ein Risiko nur dann als Risiko bezeichnen, wenn das Risiko in einer Zahl ausgedrückt werden kann. Ein Risiko ohne Zufall und Konsequenz in vorzugsweise objektiven Zahlen ist kein Risiko, sondern Unsicherheit. Was ist der blutige Unterschied? Schließlich müssen Sie in beiden Fällen eine Entscheidung treffen: Tue ich etwas oder tue ich nichts gegen das Risiko oder die Unsicherheit, die mein Ziel, meine Aufgabe oder meine Anforderung ernsthaft stören können?Wer für eine Falle stillsteht, wird nicht hineinfallen
Was hilft? In jedem Fall die Verwendung einer modernen Definition für das Konzept des Risikos. Zum Beispiel ist das Risiko die Auswirkung von Unsicherheit auf Ziele. Es ist von der ISO. Auffällig ist, dass das neue COSO-Risikomanagement-Framework, das in den Niederlanden und international von größeren Unternehmen häufig verwendet wird, auch Risiken mit Zielen verknüpft. Hierüber scheint weltweit ein breiter Konsens zu bestehen. Dies beseitigt auch die künstliche Unterscheidung zwischen Risiko und Unsicherheit, die in der Praxis wenig nützlich ist. Es hilft auch: Akzeptieren Sie, dass viele Risikobewertungen aufgrund fehlender Daten notwendigerweise subjektiv sind. Auch wenn Big Data dies gelegentlich lindert, kommt es oft darauf an, sich zu entscheiden: etwas gegen das Risiko unternehmen oder nicht?
Fallstricke 3: Illusion
Auch in der Praxis begegnen Sie regelmäßig dieser Art von Person: dem Manager oder Direktor, der wirklich erwartet, dass kein Risikomanagement mehr stattfindet. Achten Sie auf die vorangegangene Frage: „Ich möchte eine vollständige und objektive Risikoanalyse.“ Die einzig richtige Antwort ist ein doppelt lautes NEIN. Eine vollständige Risikodatei ist per Definition nicht möglich. Schließlich wissen Sie nicht, was Sie nicht wissen. Selbst die oben genannte Risikodatei mit 543 Risiken ist sicherlich nicht vollständig. Und dann diese objektive Risikoanalyse. Schauen Sie mal, wissen Sie, wie Sie ein echtes 100% objektives Risiko erzielen können? Ein Risiko, dessen Eintrittswahrscheinlichkeit und alle möglichen Folgen vollständig und sachlich bekannt sind? Ziemlich schwierig für ein Phänomen, das von Natur aus ungewiss ist.
Wie durchdringst du diese Illusionen ? Erklären Sie weiterhin geduldig, dass es beim modernen Risikomanagement darum geht, den optimalen Umgang mit Risiken zu erlernen. Dass immer etwas Unerwartetes passiert. Dass niemand mit einem wirklichen Geschäftsverständnis es wagt, Risiken zu 100% als objektiv zu bezeichnen. Und dass mit dem Einsatz von Wissen, Erfahrung, Vielfalt und gesundem Menschenverstand tatsächlich viele Risiken in Schach gehalten werden können.
Fallstricke 4: Nichts tun
Um Risiken in Schach zu halten, ist mehr erforderlich als die Liste der Risiken: die Risikodatei. Dort werden Risiken identifiziert und klassifiziert. Wenn alles gut geht, ist jedes Risiko auch mit einem Ziel, einer Aufgabe oder einer Anforderung verbunden. Nur wird mit einer solchen Risikoanalyse etwas unternommen? Oder wird nichts getan? Das Aufschreiben von Maßnahmen ist ein guter Anfang, aber völlig unzureichend. Schließlich geht es darum, diese Maßnahmen umzusetzen. Das heißt, wenn dies ausdrücklich gewählt wird, ist dies keineswegs immer eine (rechtliche) Verpflichtung.
Wenn tatsächlich beschlossen wurde, etwas gegen ein Risiko zu unternehmen, tun Sie es. Nur so bekommt der Papiertiger Zähne. Was hier nützlich ist: Schützen Sie einfach jede Maßnahme in Bezug auf Arbeitsmethoden, Prozesse, Aktivitäten oder was auch immer, was bereits vorhanden ist. Geben Sie dies explizit in der Risikodatei an. Dies anstelle separater Risikoaktionslisten, für die – paradoxerweise – häufig keine Zeit zur Verfügung steht. Zum Beispiel aus Zeitmangel, weil man damit beschäftigt ist, „Feuer zu löschen“. Tun Sie also etwas gegen die Risiken, wenn Sie sich dazu entschließen, und kombinieren Sie dies mit dem, was Sie bereits tun.
Betrachten Sie das Risikomanagement
Woher wissen Sie schließlich, ob Sie diese vier Fallstricke tatsächlich vermieden haben? Indem Sie ab und zu eine Pause einlegen und sich oder Ihrem Team vier Fragen stellen:
- Machen wir das Risikomanagement nicht zu komplex?
- Können wir ohne Risikonummern noch eine kluge Entscheidung treffen?
- Füttern wir die Illusion eines vollständigen Risikomanagements?
- Tun wir wirklich das, was wir über den Umgang mit Risiken beschlossen haben?