Freitag, 27. Mai 2011

Risiko bewältigen, beherrschen, steuern, behandeln, managen, ...

Der Prozessschritt der Norm ISO 31000:2009 5.5 Risikobewältigung / Risk Treatment ist in der Norm textlich nur kurz im Subkapitel 5.5.1 ausgeführt und erwähnt mehrere Möglichkeiten. Es gibt mehr oder weniger brauchbare Eselsbrücken, wie z. B. "tara" = "transfer, avoid, reduce, accept", mit denen man sich solche Eselsbrücken merken kann oder soll.

Genau genommen gibt es nur eine einzige Möglichkeit:
  • Risiko verändern
Dabei umfasst diese Veränderung alles, was zwischen und jenseits dieser folgenden zwei Eckpunkte
  • Risiko völlig auf "Null" bringen
  • Risiko nicht verändern
machbar ist. Dazu gehören auch die Möglichkeiten
  • Risiko verringern 
  • Risiko vergrößern (§)
die eben nichts anderes sind, als Risiko zu verändern.

Ob jetzt Risiko mit oder ohne Selbstbeteiligung versichert wird, ob seine Wahrscheinlichkeit reduziert wird oder seine Folge reduziert wird, ob ein (finanzielles) Sicherheitsprodukt erworben wird, welches eine (finanzielle) Unsicherheit reduziert, ob ein Risiko völlig vermieden wird: Alles passt in die Aussage: Risiko verändern.

(§) p. s. Natürlich gibt es die Möglichkeit, Risiko zu vergrößern, und das wird aucht gemacht, wenn es gute Gründe dafür gibt (aber das ist ein anderes Thema!).

Freitag, 20. Mai 2011

Was ist der generische Risikomanagementprozess ?

Wir wollen unter "generisch" so etwas wie "grundlegend" und "allgemeingültig" verstehen. Der generische Risikomanagementprozess findet sich als zugrundeliegendes Muster in allen Risikomanagementprozessen wieder. Der generische Risikomanagementprozess besteht aus drei Teilschritten.

  1. Was und in welchen Zusammenhängen ist Risiko? - context
  2. Wie wird Risiko beurteilt / bewertet / gemessen? - assessment
  3. Wie wird Risiko gesteuert / bewältigt / beherrscht? - treatment

In Schritt 1 wird "das System" festgelegt und das, was in diesem System Risiko ist.
In Schritt 2 wird eine Eigenschaft (oder mehrere Eigenschaften) von Risiko als Kriterium für seine Bedeutung ermittelt.
In Schritt 3 wird festgelegt, wie Risiko entsprechend seiner Bedeutung verändert (oder auch bewahrt) werden kann.

Diese 3 Schritte finden sich in den Kapiteln 5.3, 5.4, und 5.5 des Risikomanagementprozesses aus der Norm ISO 31000:2009. Diese 3 Schritte finden sich in allen erst zu nehmenden Konzepten eines Risikomanagementprozesses, wie  Normen (z. B. IEC 62198, ISO 14971, ISO 27005) und Standards (z. B. COSO) ohne Normstatus.

Alles andere an einem Risikomanagementprozess ist nicht generisch, sondern spezifisch. Dazu gehören auch Konzepte, wie PDCA und kvp. Dazu gehören disziplinäre Spezifizierungen. Dazu gehört die Einbindung in ein strategisches Konzept einer Risikopolitik. Dazu gehören Kommunikation und Dokumentation.

Samstag, 7. Mai 2011

Risikomanagement, Risikomanagementprozess mit PDCA und kvp

Risikomanagementprozess nach der ISO 31000 mit kvp und PDCA



Die Abbildung 2 im Normtext der ISO 31000:2009 ist eine etwas unglückliche Häufung von Text, genaugenommen von Überschriften von Sub-Kapiteln und von Sub-Sub-Kapiteln des Kapitels 4 der Norm.

In dieser Abbildung 2 ist verlorengegangen, dass dort der PDCA-Zyklus des Risikomanagements / Risikomanagementsystems beschrieben wird. Darum zeige ich hier dieselbe Abbildung nach dem Schema:

[P] der Plan ist im Wesentlichen die Risikopolitik
[D] die Umsetzung erfolgt als Risikomanagementprozess
[C] die Prüfung / Bewertung (Audit) gilt z. B. Effektivität und Effizienz
[A] die Entscheidung und Handlung (Managementbewertung) dient der Verbesserung im Sinne von kvp

PDCA sind die entsprechenden Unterkapitel 4.3, 4.4, 4.5 und 4.6 der ISO 31000:2009.

Über den Begriff des "Rahmens" habe ich mich hier am 31.03.2011 ausgelassen.

Sonntag, 1. Mai 2011

immaterielle / nicht-materielle Risiken

Was wir eh schon alle wussten, und was die Norm ISO 31000 über Risiko in etwas anderer Weise ausdrückt ...

Es gibt natürlich nicht nur finanzielle und materielle Risiken sondern auch immaterielle Risiken.

Meine Definition (... gerade noch verträglich mit der Definition von Risiko nach der Norm ISO 31000 ...):

Ein immaterielles Risiko ist möglicher und zukünftiger Verlust von immateriellem Wert bezogen auf ein geplantes immaterielles Werteziel. (kleine Hilfe: Wird das Wort "immateriell" durch "finanziell" ersetzt, ist diese Definition sofort jedem verständlich.)

Wir machen ein Budget immaterieller Werte und betrachten die Perspektive Risiko. Wie für finanzielle Werte einer Organisation ein finanzielles Budget gemacht wird, kann analog auch ein immaterielles Budget für immaterielle Werte gemacht werden.

Das mit dem Budget und dem Risiko kann man schnell und einfach mal als Gedankenspiel ansetzen für typische immaterielle Werte, wie zum Beispiel für das Wissen einer Organisation als immaterieller Wert oder für die Kultur einer Organisation als immaterieller Wert. Man bekommt aus einem solchen Gedankenspiel wichtige und neue Impulse für das Management von Wissen oder das Management von Kultur oder das Management anderer immaterieller Werte.