Schlagwort-Archive: ISO 31000

Risiko leicht

Die Grundlagen von Entscheidungen werden vage und beliebig durch die steigende Anzahl von Fakten, die immer weniger verlässlich sind. Aus diesem Grund müssen Entscheidungen immer häufiger auf Basis von Schätzungen und Wahrscheinlichkeiten getroffen werden. Im Risikomanagement werden diese angenommenen Werte formal erarbeitet, in dem Risiken identifiziert, analysiert und bewertet sowie Maßnahmen definiert werden (siehe ISO 31000 http://ow.ly/EN5lT). Da es sich dabei immer um Unterstellungen, Spekulationen und Vermutungen handelt, muss man sich fragen, wie viel Aufwand in die Bewertung der Risiken fließen soll. Eine verschwenderische Sammlung von Eingangsvariablen, ein schwer nachvollziehbarer Rechenweg und die langwierige Abstimmung der Meinungen machen die Schätzungen nicht zuverlässig. Zusätzlich stören schwarze Schwäne, Wildcards und Tipping Points die angenommenen Vorhersagen ohne Vorwarnung. Darum sollten Risiken mit wenig Aufwand bestimmt werden, um schneller und wirtschaftlicher zu einer Einschätzung zu kommen. Das folgende Vorgehen ist ein einfacher Ansatz, um die Risiken handhabbar zu machen.

risiko

In drei Schritten lassen sich Risiken identifizieren, einordnen und Maßnahmen ableiten.

  1. Risiken identifizieren
    Zu diesem Zweck werden das eigene Geschäftsmodell und die externen Einflüsse nach technologischen, kulturellen, organisatorischen und wirtschaftlichen Risiken durchsucht (mehr hier: http://www.memecon.de/einflussfaktorenmodell.html). Welche technologischen Risiken stecken in den Produkten und Services? Welche kulturellen Risiken sind intern und extern zu berücksichtigen? Welche organisatorischen Risiken lassen sich aus der internen und externen Governance ableiten? Welche wirtschaftlichen Risiken stecken in den internen Ressourcen und der wirtschaftlichen Gesamtsituation?
    Verdichten Sie die Liste zu 5plusminus2 Risiken, die in den folgenden Schritten betrachtet werden.
  2. Risiken einordnen
    Jedes Risiko der Liste wird nach der Wahrscheinlichkeit des Eintretens und der Stärke des potenziellen Schadens bewertet. Die Skala reicht von gering, über mittel bis hoch. Dies bedeutet für die Eintrittswahrscheinlichkeit: gering = keine Anzeichen; mittel = indirekte Vorzeichen; hoch = konkrete Belege. Die Schadenshöhe lässt sich so einordnen: gering = Kosten sind gering; mittel = beträchtliche Kosten entstehen; hoch = die Kosten übersteigen die finanziellen Möglichkeiten.
    Folgen Sie Ihrem Bauchgefühl. Stellen Sie jedoch sicher, dass Sie für hohe Bewertungen konkrete Beweise vorliegen haben.
  3. Maßnahmen planen
    Für jedes Risiko werden in Abhängigkeit der Bewertung Gegenmaßnahmen festgelegt. Hohe Risiken benötigen Aktionen, die detailliert geplant und mit Ressourcen versorgt werden. Mittlere Risiken werden grob mit finanziellen Rückstellungen geplant. Geringe Risiken werden ohne konkreten Plan verantwortlich zugeordnet. Auf dieser Grundlage können Sie schnell reagieren, wenn die Risiken eintreten.
    Kümmern Sie sich um konkrete Maßnahmenpläne, die als Plan B der hohen Risiken kurzfristig gestartet werden können (inkl. der Projektorganisation und der Verfügbarkeit von ausreichend Ressourcen).

Fazit: Unabhängig von der Hierarchieebene oder der Größe der Aktivität sollten immer interne und externe Risiken ermittelt, bewertet und Maßnahmen formuliert werden. Da alles auf Annahmen und Meinungen basiert, sollten die Risiken mit wenig Aufwand kontrolliert werden.

Risk light

The bases of decisions become vague and arbitrary due to the increasing number of facts that are less and less reliable. For this reason decisions must be made more and more frequently based on estimations and probabilities. In risk management these accepted values are formally worked out by identifying, analyzing and evaluating risks as well as creating measures (see ISO 31000 http://ow.ly/EN5PU). Since this is always a matter of allegations, speculations and assumptions, you must ask yourself, how much expenditure you want to spend for the assessment of risks. A wasteful collection of input variables, an elusive calculation method and the lengthy reconciliation of opinions do not make the estimations reliable. Additionally, black swans, Wild Cards and Tipping points disrupt the assumed forecasts without preliminary warning. Therefore risks should be determined with little expenditure, in order to get faster and more economically to estimations. The following procedure is a simple approach for making risks manageable.

risiko

You can identify, arrange and derive measures in three steps.

  1. Identify risks
    For this purpose you scan your business model and the external influence factors for technological, cultural, organizational and economic risks (more here: http://www.memecon.com/influence-factor-model-.html). Which technological risks are in the products and services? Which cultural risks have to be considered internally and externally? Which organizational risks can be derived from the internal and external governance? Which economic risks are in your internal resources and the overall economic situation?
    Consolidate the list to 5plusminus2 risks that will be considered in the next steps.
  2. Classify risks
    Each risk on the list you assess concerning the probability of occurrence and the extent of potential damage. The scale goes from small, to medium, to high. This means for the probability of occurrence: small = no signs; medium = indirect signs; high = concrete evidence. The extent of damage can be arranged in such a way: small = costs are small; medium = considerable costs arise; high= costs exceed the financial capacities.
    Follow your gut feeling. However, ensure that you have concrete proves for the high assessments.
  3. Plan measures
    For each risk you specify counter measures based on its assessment. High risks need activities that are planned in detail and supplied with resources. Medium risks are roughly planned with financial accrues. Small risks are assigned responsibly without a concrete plan. On this basis you can quickly react, when the risks occur.
    Take care of concrete action plans that can be started at short notice as plan B of the high risks (including the project organization and the availability of sufficient resources).

Bottom line: Regardless the level of hierarchy or the size of the activity, you should always determine and assess internal and external risks as well as define counter measures. Since everything is based on assumptions and opinions that may prove to be wrong, the risks should be controlled with minimum effort.