Was ist M_o_R®

Training » Best Practices & Methoden » Risikomanagement » M_o_R » Wissen

Was ist M_o_R®

Training » Best Practices & Methoden » Risikomanagement » M_o_R » Wissen

Was ist M_o_R (Management of Risk)

Kritische Zustände kommen in den seltensten Fällen völlig überraschend auf Organisationen zu. Meist sind die Risiken bekannt, werden aber in den wenigsten Fällen ernst genommen bzw. zu spät erkannt. Zum Verständnis ist es notwendig, den Begriff „Risiko“ und dessen Bedeutung zu definieren:

Ein Risiko ist ein Ereignis bzw. eine Gruppe von Ereignissen, deren Eintreten ungewiss ist und Auswirkungen auf die Erreichung der Ziele haben wird. Dabei ist wichtig festzuhalten, dass dieses Ereignis nicht nur negative sondern durchaus auch positive Konsequenzen haben kann. Ein Risiko wird anhand der Eintrittswahrscheinlichkeit des Ereignisses und der Auswirkungen auf die Zielerreichung bewertet. Mit Risiken werden Menschen und Unternehmen tagtäglich konfrontiert, sei es zum Beispiel auf dem Weg zur Arbeit, im Auto oder im Unternehmen bei der Entscheidung für eine neue Geschäftsstrategie.

Im Sinne von Organisationen ist das Thema Risikomanagement (Management of Risk, M_o_R®) ein zentraler Bestandteil der Geschäftsstrategie. Jedes Unternehmen wird sich in der einen oder anderen Art und Weise mit dem Thema Risikomanagement auseinandersetzen. Diese bewussten oder unbewussten Aktivitäten finden meist nicht transparent und nachvollziehbar statt. Hierbei fehlt es vor allem an entsprechend definierten Prozessen im Rahmen eines Risikomanagements.

Warum ist Risikomanagement notwendig?

Durch neue Grundsätze im Rahmen der Unternehmensführung und gesetzliche Vorschriften ist die intensivere Bewertung von Risiken für den Geschäftsbetrieb heutzutage unerlässlich.

Vor allem infolge der US-Bilanzskandale von Unternehmen wie Enron oder Worldcom und des daraus entstandenen Sarbanes Oxley Act (SOX) für an amerikanischen Börsen notierte Unternehmen spielt der Umgang mit Risiken eine besonders herausragende Rolle. SOX beinhaltet Aspekte der Corporate Governance, Compliance und Berichterstattung. Durch diese notwendige Einhaltung können Risiken früher erkannt werden, um damit sowohl Unternehmen als auch Anleger vor Verlusten zu schützen.

SOX ist zudem einer der Treiber, weshalb Unternehmen Best- Practice-Ansätze wie PRINCE2 und ITIL umsetzen. Darunter fallen auch die Methoden, die der Best-Practice-Ansatz im Rahmen des Risikomanagements vorsieht.

Ziel des Risikomanagements ist, Unternehmen ein Werkzeug an die Hand zu geben, mit dem sie in definierten Schritten (Best Practice) eine bessere Einschätzung ihrer aktuellen Situation erlangen und mit dem sie die drohenden Auswirkungen besser bewerten können.

Es ist nicht unbedingt das Ziel des Risikomanagements, Risiken und deren Auswirkungen gänzlich zu vermeiden. Wichtiger ist hierbei, eine korrekte Einschätzung der Situation zu bekommen und entsprechende Maßnahmen einzuleiten, um das Erreichen der Unternehmens-, Programm-, Projekt oder operativen Ziele zu ermöglichen.

Wann und wo sollte Risikomanagement angewandt werden?

Eine Anwendung und Etablierung von Risikomanagement ist überall dort zu empfehlen, wo kritische Entscheidungen getroffen werden. Ausgerichtet auf langfristige Ziele, fokussiert sich Risikomanagement auf die Bewertung von Risiken im Verhältnis zu den strategischen Zielen einer Organisation. Strategisches Risikomanagement ist in den meisten Fällen Chancen Management auf höchster Unternehmensebene.

Auch mittelfristig muss im Rahmen von Projekten und Programmen Risikomanagement essentieller Bestandteil jeder Planung sein. Ebenso verhält es sich mit der Absicherung operativer Funktionen. Gerade hier muss im täglichen Betrieb gewährleistet sein, dass jegliche Bedrohungen erkannt werden und der Betrieb sichergestellt ist.

Grundsätze des Risikomanagements

Für die Entwicklung von Verfahren im Rahmen eines unternehmensweiten Risikomanagements müssen verschiedene Grundsätze definiert sein. Diese müssen präzise, verständlich sowie einfach umsetzbar sein. Im Rahmen des Best-Practice Ansatzes beschreibt M_o_R folgende generische Grundsätze bzw. Voraussetzungen:

  • Verständnis der organisatorischen Zusammenhänge
  • Rolle sowie Integration der Interessensvertreter (Stakeholder)
  • Kenntnis über die Zielsetzungen der Organisation
  • Etablierung von M_o_R-Methoden
  • Implementierung von Managementinformationen (Reports)
  • Definition von Rollen und Verantwortlichkeiten
  • Strukturierte Betriebsabläufe
  • Frühzeitige Warnsysteme
  • Review-Zirkel, Qualitätssicherung
  • Überwindung von Barrieren im Bereich M_o_R (kritische Erfolgsfaktoren, Hindernisse)
  • Kultur und Organisation
  • Kontinuierliche Verbesserungsprozesse (KVP)

Diese Grundsätze können auch als Erfolgsfaktoren für die Umsetzung von Risikomanagement angesehen werden.

Wie alle Erfolgsfaktoren entwickeln sich die Grundsätze des Risikomanagements kontinuierlich weiter und müssen von Zeit zu Zeit angepasst werden. Organisationen sind dazu angehalten, ihre Strategien an die Bedürfnisse des Marktes anzupassen, wozu auch die kontinuierliche Bewertung von Risiken gehört.

Methoden des Risikomanagements

Jedes Unternehmen verwendet unterschiedliche Ansätze im Bereich des Risikomanagements.

Um diese Methoden zu formulieren und den Beteiligten näherzubringen, empfiehlt der M_o_R-Ansatz die Entwicklung von entsprechenden Dokumenten, die die Ansätze des Risikomanagements erfassen und verbreiten.

Prinzipiell geht es darum, in der Organisation ein Bewusstsein für die Risiken des Unternehmens zu schaffen und dazu geeignete Verfahren zu entwickeln. Dazu werden folgende Leitlinien empfohlen:

  • Risk Management Policy: Ein Grundlagendokument, welches Richtlinien zum Risikomanagement definiert, den Umgang mit Risiken innerhalb der Organisation festlegt sowie die Art der Kommunikation beschreibt. Diese Richtlinien sind strategisch ausgerichtet.
  • Risk Management Process Guide: Beschreibung der Prozesse im Risikomanagement von der Identifizierung bis hin zur Implementierung
  • Risk Management Strategies: Beschreibung von Aktivitäten im Risikomanagement für (bestimmte) Teile der Organisation
  • Risk Registers: Erfassung bzw. Zusammenfassung jeglicher Bedrohungen und Chancen für jeden Bereich der Organisation
  • Issue Logs: Sachbezogene Erfassung aller identifizierten Themen inklusive schon eingetretener Risiken

Das Bewusstsein für diese Themen muss Bestandteil der Organisationskultur werden. Dazu fassen die Dokumente Aufgaben, Verantwortlichkeiten und Kompetenzen im Rahmen der Identifizierung und Bewertung von Risiken zusammen.

Prozesse des Risikomanagements

Risikomanagement lässt sich in vier Teilprozesse gliedern:

  • Identifizierung (Identifizierung des Kontexts und der Risiken)
  • Bewertung (Bewertung von Risiken und deren Auswirkungen, Berechnung von Eintrittswahrscheinlichkeiten anhand von mathematischen Methoden)
  • Planung (Vorbereitung von Maßnahmen aus Sicht des Managements, um auf identifizierte Risiken zu reagieren)
  • Implementierung (Durchführung der gewählten Maßnahmen zur Behandlung der Risiken mit anschließender Überwachung)

Die vier Prozesse ergeben einen zusammenhängenden, logischen Ansatz für die Implementierung von Risikomanagement. Jeder nachfolgende Schritt kann ohne die Ergebnisse des Vorgängers keine brauchbaren Aussagen im Rahmen des Risikomanagements liefern.