Risikomanagement
Begriffbestimmungen
<Zurück>
„Der
Begriff Risiko“
Der Begriff Risiko ist in der Literatur und auch im allgemeinen Sprachgebrauch
unterschiedlich besetzt. Er wurde aus dem italienischen übernommen,
wo er die Bedeutung von Klippe oder allgemeiner Gefahr hatte. Für
die umgangssprachliche Benutzung des Wortes lassen sich auch folgende
Bedeutungen auszugsweise anführen:
- Gefahr des Misslingens
- Zweckgebundene Gefahr möglicher wirtschaftlicher Verluste eines Unternehmens
- Möglichkeit negativer Ereignisse bzw. Ergebnisse
- Einfache Unvorhersehbarkeit.
Neben dem reinen Gefahrenbegriff
wird Risiko oft auch differenzierter betrachtet. So wird zum Beispiel
zwischen Aktions- und Bedingungsrisiken, reinem und spekulativem Risiko
oder der einfachen Unvorhersehbarkeit unterschieden.
Die Norm beispielsweise definiert ein Projektrisiko als die „Kombination
aus der Eintrittswahrscheinlichkeit eines bestimmten Ereignisses und seinen
Folgen für die Projektziele“. Als Risikomanagement wird die
„systematische Anwendung von Managementgrundsätzen, -verfahren
und -praktiken zwecks Ermittlung des Kontextes sowie Identifikation, Analyse,
Bewertung, Steuerung/Bewältigung, Überwachung und Kommunikation
von Risiken“ definiert. In Analogie dazu wird hier (Projekt-) Risikomanagement
als ein Teilgebiet des Projektmanagements angesehen.
Hinter einem Risiko kann sich allgemein sowohl die Gefahr einer negativen Abweichung als auch eine Chance (positive Abweichung) verbergen, die aufgrund von Abweichungen zwischen den geplanten und den tatsächlichen Projektbedingungen eintritt. Für ein quantitatives Risiko kann eine Eintrittswahrscheinlichkeit sowie eine Tragweite – objektiv oder subjektiv ermittelt – angegeben oder eingeschätzt werden. Für nicht quantifizierbare Risiken kann zumindest eine Einordnung in ein Risikoportfolio vorgenommen werden. Sobald ein Risiko erkannt und bewusst verfolgt wird, gehört es zum Wagnisbereich eines Projektes bzw. Unternehmens.
DIN IEC 62198 –
Risikomanagement für Projekte
An dieser Stelle sei kurz auf die Norm DIN IEC 62198 „Risikomanagement
für Projekte – Anwendungsleitfaden“ vom September 2002
verwiesen. Sie wurde von der Internationalen Elektrotechnischen Kommission
veröffentlicht und soll in der vorliegenden Publikation bis 2007
unverändert bleiben.
Die Zielgruppe dieser kurzen Norm sind hauptsächlich Entscheidungsträger (Projektleiter), Risikomanager sowie Personen mit Geschäftsführungsfunktion. Das Projektrisikomanagement, seine Unterprozesse und Einflussfaktoren werden in der DIN zusammengefasst und dargestellt. Die Norm will damit ein Verfahren für die systematische und konsequente Behandlung von Risiken anbieten. Gemäß dieser Norm obliegt dem Projektleiter die „Verantwortung der Leitung“ zur Umsetzung eines Projektrisikomanagementsystems.
Der Regelkreis Risikomanagement <Zurück>
. . . . . . .
Als Risikomanagement wird die „systematische Anwendung von Managementgrundsätzen, -verfahren und -praktiken zwecks Ermittlung des Kontextes sowie Identifikation, Analyse, Bewertung, Steuerung/Bewältigung, Überwachung und Kommunikation von Risiken“ bezeichnet (DIN IEC 62198 – Risikomanagement für Projekte).
Häufig finden sich Ansätze, nach denen Risikomanagement schwerpunktmäßig Aufgabe des Controllings ist, bzw. dort angesiedelt sein sollte. Eine absolute Interpretation dieses Ansatzes im Bauwesen ist jedoch unzweckmäßig, da Risikomanagement sowohl Teil des Projektmanagements, als auch des Controllings ist und gleichzeitig wieder Elemente des Projektmanagements, Controllings und Qualitätsmanagements in sich vereinigt. Risikomanagement als solches ist demnach keine eigenständige Disziplin, sondern Teil einer Vielzahl bereits etablierter Funktionen, wobei der Schwerpunkt im Bauwesen beim Projektmanagement liegt.
Erwähnenswert
ist an dieser Stelle auch das „Gesetz zur Kontrolle und Transparenz
im Unternehmensbereich“ (KonTraG). Mit diesem hat der Gesetzgeber
einen Vorstoß unternommen, mit Risiken in Unternehmen „bewusster“
umzugehen und diese transparenter darzustellen. Das KonTraG hat vorwiegend
Änderungen im Aktiengesetz, Handelsgesetzbuch, Publizitätsgesetz
und Genossenschaftsgesetz zur Folge gehabt. Es richtet sich hauptsächlich
an amtlich notierte Aktiengesellschaften. Durch die darin enthaltene Novellierung
des Aktiengesetzes wird vom Vorstand einer Aktiengesellschaft ein Überwachungssystem
gefordert, welches der Früherkennung von der die „Gesellschaft
gefährdenden Entwicklungen“ dient. Doch obwohl die Bundesregierung
mit dem KonTraG ihr Hauptaugenmerk auf die amtlich notierten Aktiengesellschaften
legt, geht sie in ihrer Begründung zum Gesetzesentwurf von einer
Ausstrahlwirkung für andere Aktiengesellschaften sowie für Gesellschaften
mit beschränkter Haftung (GmbH) aus. Denn nach der Verkündung
des KonTraG sollte, im Sinne der „Sorgfalt eines ordentlichen Geschäftsmannes“
gemäß § 43 Abs.1 GmbHG, eine systematische, wenn auch
abgeschwächte, Behandlung von Risiken erfolgen.
Die Ausgestaltung eines Risikomanagementsystems bleibt jedoch in der Eigenverantwortung
der Unternehmen.
Risikomanagementsysteme bestehen aus verschiedenen Einzelelementen, die in der einschlägigen Literatur bisweilen unterschiedlich benannt werden, im Kern jedoch dasselbe verkörpern. Dies gilt ebenso für die Darstellung der Elemente im Regelkreislauf. Ergänzend zu den allgemein verwandten Elementen Risikopolitik, -analyse, -steuerung, -controlling und –kommunikation ist es bei projektspezifischem Risikomanagement zweckmäßig, die Risikopotenzialanalyse als „Element“ mit in den Regelkreislauf zu integrieren (in Anlehnung an FRANKE und GÖCKE).
Risikopolitik ist Bestandteil der vom Unternehmer / von der Geschäftsführung durchgeführten strategischen und operativen (Mittelfrist-) Planung der nächsten Geschäftsperioden bzw. Jahre. Im Rahmen dieser Planung sollten klare Vorgaben bzw. Vorstellungen über die Risikobereitschaft, die anzuwendenden oder einzuhaltenden Verfahrensabläufe usw. entwickelt werden. Der Unternehmer / die Geschäftsführung ist für die organisatorische Gestaltung des Risikomanagementsystems im Unternehmen, für dessen Funktion und Funktionalität verantwortlich.
Die Risikokommunikation ist das Schlüsselelement und Bindeglied zur Umsetzung eines Risikomanagements im Unternehmen. Hier werden innerhalb des Unternehmens die aktuellen und relevanten Vorgaben und Erfahrungen an die Verantwortlichen und idealer Weise auch zwischen ihnen kommuniziert - das positive Element regelmäßiger Erfahrungsaustausche ist an dieser Stelle nicht zu unterschätzen. Doch nicht nur die reine Kommunikation, sondern auch die – zumindest anfangs – erforderliche Überzeugungsarbeit gehört in diesen Bereich.
Die Risikopotenzialanalyse (RPA) ist als solche kein isoliertes Element des Regelkreises, da sie sowohl der Risikoanalyse als auch der Risikopolitik dient. Die RPA ist ein Verfahren zur systematischen und bewussten Einschätzung des Risikopotenzials einer Anfrage und somit eines möglichen Projektes. Sie dient einer schnellen, aber relativ fundierten Entscheidung über die weitere Vorgehensweise – hier die Angebotsbearbeitung (ja/nein). Dabei erfolgt eine Orientierung an den Unternehmenszielen, der technischen und wirtschaftlichen Leistungsfähigkeit des Unternehmens sowie der Vertragssituation.
Risikoanalysen sind die Basis für ein systematisches Risikomanagement von Projekten. Zugleich ist die Risikoanalyse mit ihren Elementen Risikoidentifikation, Risikobewertung (und Risikoaggregation) die wohl wesentlichste und schwerste Aufgabe des Risikomanagements. Ziel der Risikoanalyse ist die Abstraktion komplexer Strukturen – im Bauwesen z.B. der Ausschreibungs- und Vertragsunterlagen in Bezug auf die Kalkulation und Angebotserstellung oder möglicher Situationen im Projektverlauf - mit der Zielsetzung einer möglichst vollständigen und genauen Beschreibung der Risikosituation. Aufgabe der Risikoanalyse ist es dabei, die Faktoren, die eine „Gefährdung des Projekterfolges“ darstellen, zu identifizieren, zu bewerten und Gegenmaßnahmen im weiteren Sinne vorzubereiten.
Die Risikoidentifikation ist der wichtigste Bestandteil des Risikomanagements. Ergebnis einer systematisch und „bewusst“ durchgeführten Risikoidentifikation ist ein projektspezifischer Risikokatalog. Der große Vorteil einer detaillierten Risikoidentifikation liegt darin, dass man sich bewusst mit den möglichen Risiken auseinandersetzt und damit die Möglichkeit, wichtige Risiken einfach zu übersehen, minimiert. Zur Risikoidentifikation gehört i.d.R. auch eine Beschreibung der Risiken. Für die Risikoidentifikation eignen sich zum Beispiel sinnvolle Hilfsmittel und Techniken wie Checklisten, Brainstorming, etc. Dort sie sinnvoll anwendbar ist, empfiehlt sich eine fokussierte und hierarchische Vorgehensweise. Dabei kann z.B. eine Unterteilung in Risikofelder, z.B. Vertragsrisiken, Terminrisiken, Ausführungsrisiken, Kostenrisiken, usw. hilfreich sein.
Ziel
der Risikobewertung ist es, diejenigen
Risiken zu ermitteln, die weiterer Behandlung bedürfen. Dies ist
in Abhängigkeit von den Einzelrisiken angesichts knapper Ressourcen
einerseits und der Wahrung der Verhältnismäßigkeit zwischen
möglicher „Schadenshöhe“ und „Minderungsaufwand“
andererseits sinnvoll. Bei der Risikobewertung ist sowohl eine qualitative
als auch eine quantitative Bewertung möglich. Nach Auffassung der
Autoren ist die quantitative Bewertung klar zu bevorzugen. Die Bewertung
der Risiken setzt dabei auf entsprechenden Risikomaßstäben
auf. Für diese ist eine einheitliche Bewertungsbasis erforderlich,
die letztendlich unmittelbar oder mittelbar einen Kostenansatz beinhalten
muss.
Grundsätzlich hängt die Bewertung maßgeblich von den zur
Verfügung stehenden Informationen ab. D.h., den Ausgangsdaten (Annahmen)
kommt eine erhebliche Bedeutung zu. Die Ausgangsdaten (Annahmen) sollten
daher objektiv nachvollziehbar bzw. begründbar sein,
- möglichst durch empirische Daten gestützt werden sowie
- möglichst geringe Unsicherheit aufweisen.
In der Praxis wird häufig wegen des Fehlens objektiver Daten auf subjektive Einschätzungen fachlich kompetenter Experten zurückgegriffen. Diese Schätzungen erreichen eine zumindest akzeptable Aussage, wenn
- alle subjektiven Einschätzungen von Experten diskutiert und detailliert begründet und
- die Schätzungen möglichst nachträglich nochmals auf Plausibilität geprüft werden.
Die Verwendung subjektiver Daten im Rahmen des Risikomanagements ist grundsätzlich gerechtfertigt, wenn keine besseren Daten verfügbar sind. Denn die völlige Vernachlässigung nicht objektiv bewertbarer Risiken führt zu einer größeren Fehleinschätzung der Risikosituation.
Die Risikoaggregation ist letztendlich die Bestimmung des sich aus den bewerteten Einzelrisiken ergebenden Gesamtrisikos. Wichtig ist hierbei, dass in der Regel auch die relativen Bedeutungen und Einflüsse der Einzelrisiken verstärkt sichtbar werden sollten. Die Risikoaggregation ist im Allgemeinen nicht zwingend ein eigenständiges Element der Risikoanalyse. Oft wird sie vielmehr als Hilfsmittel oder Methode bei der Risikobewertung und sogar der Risikoidentifikation angewandt (insbesondere bei softwaregestützer Risikosimulation).
Die Risikosteuerung oder auch Risikobehandlung erfolgt auf Grundlage der Risikoidentifikation und Risikobewertung. Hier werden konkrete Maßnahmen definiert und umgesetzt, um den bewerteten Risiken entsprechend zu begegnen, sie zu reduzieren, zu vermeiden oder gar von vornherein auszuschließen. Abhängig wird dies in der Regel von vorgegebenen Grenzwerten oder anderweitig definierten Bezugs- oder Hilfsgrößen (z.B. eine Portfolio-„Position“) sein. Denkbar ist i.d.R. auch ein sich ergebender Handlungsbedarf aufgrund risikopolitischer Vorgaben / Festlegungen.
Risikocontrolling findet in der Phase der Projektdurchführung statt, da neben der sofortigen Risikosteuerung / Risikobehandlung auch eine permanente Überwachung der relevanten Risken einerseits, und eine Überprüfung und Kontrolle der festgelegten Maßnahmen andererseits durchgeführt werden sollte. Hinzu kommt, dass im dynamisch verlaufenden Projekt sich Projektziele ändern, Risken anders ausfallen als prognostiziert oder neue Risiken entstehen, so dass auch der Risikomanagement-Prozess als solcher in dynamischer Weise während des Projektes und somit während verschiedener Phasen des Projektes permanent durchzuführen ist.
Der mit dem Risikocontrolling quasi durchgeführte Soll-Ist-Vergleich kann Erkenntnisse und statistische Werte für zukünftige Risikoanalysen liefern. Die gewonnenen Erkenntnisse werden dann mit der Risikokommunikation weitergegeben.