Dienstag, 17. Dezember 2013

Risiko bzw. Risikomanagement im EFQM-Modell für Exzellenz

Die gebräuchlichsten Risikobegriffe nehmen Bezug auf Ziele oder Ergebnisse eines Prozesses:

(1) ISO 31000:2009: Risiko ist die Wirkung von Unsicherheit auf Ziele.
(2) diverse Unternehmen: Risiko ist die Wirkung von Unsicherheit auf zukünftige Ergebnisse.

Das Exzellenz Modell der EFQM ist ein Prozessmodell für Unternehmen. Es verknüpft Ursachen über einen Prozess mit Wirkungen.

Mit der Definition (2) von Risiko sind Risiken in die Kategorien Schlüsselergebnisse, mitarbeiterbezogene, kundenbezogene und gesellschaftsbezogene Ergebnisse. Das ist die "rechte Seite" der Wirkungen der bekannten Grafik.

Die Ursachen für diese Risiken sind in den Kategorien der Potenziale und Ressourcen. Das ist die "linke Seite" der Ursachen der bekannten Grafik.

Mit der Definition (1) von Risiko lässt sich ähnlich argumentieren. Hängt von der Definition, was ein Ziel ist, ab.





Donnerstag, 24. Oktober 2013

Qualität - Definition neu gedacht

Qualität eines Produkts (Gut oder Leistung) ist ein Sachverhalt.

Der Sachverhalt "Qualität" umfasst Beziehungen zwischen:
* Anforderungen auf der einen Seite.
* Entsprechungen auf der anderen Seite.

Der Sachverhalt "Qualität" hat mehrere Merkmale.
* Merkmale sind frei wählbar.
* Merkmale sind qualitativ.

Die Merkmale des Sachverhalts "Qualität" haben Ausprägungen.
* Ausprägungen sind quantitativ.
* Ausprägungen können bewertet / gemessen werden.

Die allseits belebte "Kundenzufriedenheit" kann als ein Merkmal von Qualität festgelegt werden.
Die allseits beliebte "Anzahl von Reklamationen" kann als Ausprägung von "Kundenzufriedenheit" gemessen / gezählt werden.
Kein Problem also mit Kundenzufriedenheit und Reklamationen im Zusammenhang mit Qualität.

Es lassen sich auch andere Merkmale des Sachverhalts Qualität festlegen und deren Ausprägung bewerten / messen. Nämlich die drei Merkmale und ihre Ausprägungen, die im Auftrag / in der Auftragsbestätigung üblicherweise aufgeschrieben sind und damit zwischen den beiden Seiten vertraglich vereinbart sind:
* Kosten des Produkts
* Termin der Lieferung des Produkts
* Eigenschaften des Produkts
Diese drei Merkmale sind immer richtig. Ihre Ausprägungen lassen sich problemlos messen / zählen. Auch dann, wenn die "Anzahl der Reklamationen" als Ausprägung des Merkmals "Kundenzufriedenheit" nichts aussagt.

Und noch eine Filmempfehlung für Risikomanager ...

"Person of Interest" ist eine US-amerikanische Serie, die es auch in die späteren Stunden des deutschen Privatfernsehens gebracht hat. Demzufolge ein Thriller, der nach amerikanischen Gepflogenheiten sehr viel Gewalt mit sehr wenig Sex mischt. Dazu kommt noch eine unüblich große Menge von Intelligenz.

Das zugrundeliegende Konzept, nach dem die einzelnen Folgen gedreht sind, ist etwas intelligenter als vermutet. Und auch die Schauspieler und die Inszenierung sind besser als in diesem Genre üblich.

Mithilfe von Algorithmen eines Programms auf einem Supercomputer werden die aktuell (deshalb diese Blognotiz!) bekannten "Überwachungsdaten" - Daten, die zur Überwachung von Personen genutzt werden können - analysiert. Das Programm im Gebrauch der Behörden liefert seinem Programmierer unbemerkt vom Behördengebrauch als Nebenprodukt die Social Security Number von Personen, die zukünftig als Täter oder Opfer in kriminelle Ereignisse verwickelt werden. Quasi eine Prognose über zukünftiges Handeln von Personen - look into the future. Der Programmierer arbeitet mit einem ehemaligen CIA-Killer zusammen, der als Guter "Er-war-einsam-aber-schneller" versucht, diesen Ereignissen zuvorzukommen und sie zu verhindern.

Höchst aktuell vor dem Hintergrund von "big data" und den Versuchen, virtuelle Szenarien der Zukunft aus realen Szenarien der Vergangenheit zu "rechnen".

Nichts anderes machen wir im Risikomanagement.


Sonntag, 20. Oktober 2013

Big Data - Risikomanagement - Business Intelligence

Man tut es bereits in Organisationen und Unternehmen:

* Daten zu Ereignissen in der Vergangenheit erheben.
* Daten mittels Algorithmen analysieren.
* Empirische und theoretische Korrelationen in den Daten suchen und finden.
* Ereignisse in der Zukunft prognostizierten.

Womit wir bei Szenarien für Risiken im Sinne von zukünftigen möglichen Schaden sind.

* Welche Daten dokumentieren Ereignisse?
* Welche Algorithmen analysieren Daten?
* Welche Korrelationen sind relevant?
* Wie sicher sind Prognosen?

Mittwoch, 25. September 2013

Unterschied ISO 31000 und ISO 9001

Die ISO 31000 gibt Empfehlungen:
Typische Terminologie:
ISO 31000: "The organization should ..."


Die ISO 9001 stellt Anforderungen:
Typische Terminologie:
ISO 9001: "The organization shall ..."

That's it. Das ist es.



Mittwoch, 18. September 2013

Risiko: Ursache und Wirkung

Risiko (wie auch Chance) ist nichts anderes als die Bezeichnung für eine bedingte Ursache - Wirkungsfolge.

Risiko hat eine Ursache: Eine Gefahr für einen Wert

Risiko hat eine Wirkung: Eine Minderung von einem Wert

Ursache und Wirkung sind über eine Bedingung der Ungewissheit miteinander verknüpft.

Die Definition nach der ISO 31000 (deutsche Übersetzung des DIN) ...
"Risiko ist die Wirkung von Unsicherheit auf Ziele."
... ist nahe dran an der Ursache-Wirkungsbeziehung, leider ohne sie gut wiederzugeben. Sie spricht explizit von einer Wirkung ohne diese präzise zu benennen. Sie spricht implizit von einer Ursache und nennt sie Ungewissheit. Das ist leider nicht für das Risikomanagement brauchbar.



Mittwoch, 4. September 2013

Vorest AG Risikomanagement Seminare 2014

Im Jahr 2014 bietet die Vorest AG an:

Grundlagenseminar S20 Risikomanagementbeauftragter

Aufbauseminar S21 Risikomanager

17.-19.02.2014 Risikomanagementbeauftragter - ISO 31000 S20 in Berlin
20.-21.02.2014 Risikomanager - ISO 31000/31010 / Operative Methoden S21 in Berlin

05.-07.05.2014 Risikomanagementbeauftragter - ISO 31000 S20 in Frankfurt
08.-09.05.2014 Risikomanager - ISO 31000/31010 / Operative Methoden S21 in Frankfurt

14.-16.07.2014 Risikomanagementbeauftragter - ISO 31000 S20 in Stuttgart
17.-18.07.2014 Risikomanager - ISO 31000/31010 / Operative Methoden S21 in Stuttgart

22.-24.09.2014 Risikomanagementbeauftragter - ISO 31000 S20 in Hamburg
25.-26.09.2014 Risikomanager - ISO 31000/31010 / Operative Methoden S21 in Hamburg

10.-12.11.2014 Risikomanagementbeauftragter - ISO 31000 S20 in Düsseldorf
13.-14.11.2014 Risikomanager - ISO 31000/31010 / Operative Methoden S21 in Düsseldorf

Referent: Dr. Peter Meier; www.dr-peter-meier.de

Veranstalter: Vorest AG; www.vorest-ag.com

Donnerstag, 29. August 2013

Risikokennzahlen für Fortgeschrittene

Kennzahlen kommen aus dokumentierten und standardisierten Verfahren. Kennzahlen enthalten Daten aus dem Vorgang des Zählens und / oder dem Vorgang des Messens.

Risiko zu messen ist nicht trivial. Risiko ist eine virtuelle Größe in der Zukunft. Größen in der Zukunft sind prinzipiell mit einer Ungewissheit behaftet, die dem Risiko eigen ist.

Kennzahlen für Risiko enthalten ein Ausmaß der Wirkung des Eintritts von Risiko und ein Größe der Ungewissheit des Eintritts.

Der 1. „quasi-Standard“ ist das entsprechende Kennzahlenpaar, welches die Koordinaten der 2-dimensionalen Risikomatrix definiert.

Der 2. „quasi-Standard“ ist die Verteilungsfunktion eines Erwartungswertes unter der Wirkung von Risiko, wie er im idealisierten Grenzfall einer Gauss-Funktion ebenfalls auf ein Kennzahlenpaar (Mittelwert / Standardabweichung) reduziert wird.

Falls der Erwartungswert eines Ereignisses einer reinen Gauss-Funktion folgt, sind die zwei Parameter der Gauss-Funktion Messwerte für Risiko. Ist die Funktion nicht symmetrisch oder weicht nahe der Grundlinie von der Gauss-Funktion ab, kommen weitere Messwerte und damit Kennzahlen dazu. Ist diese Abweichung von der Gauss-Funktion beträchtlich, ist eine Reduzierung auf zwei oder vier Kennzahlen oft nicht sinnvoll, da der Nutzen ihrer Interpretation unklar ist.


Erwartungswerte von Ereignissen können völlig verschiedenen Funktionen folgen. Die Funktion kann stetig, unstetig, kontinuierlich, diskontinuierlich, endlich oder unendlich sein. So hat der Erwartungswert des Würfelns einer „6“ den singulären Wert der statistischen Wahrscheinlichkeit 1/6.

Montag, 12. August 2013

Risiko – zwischen Ursache und Wirkung

Risiko wird oft in Bezug zu seiner Wirkung definiert:
z. B.: „Risiko ist der mögliche Verlust von Geldwert.“

Risiko wird gelegentlich in Bezug zu seiner Ursache definiert:
z. B.: „Risiko ist die Volatilität des Einkaufspreises.“

In diesem Beispiel ist die Wirkung von Risiko ein „möglicher Verlust“ und die Ursache von Risiko ein „volatiler Preis“.


Es ist leicht zu erkennen, dass die zwei Definitionen komplementär zueinander sind. Risikobewertung (Wie groß ist das Risiko?) nutzt die wirkungsbezogene Definition. Risikosteuerung (Was wird mit dem Risiko gemacht?) nutzt die ursachenbezogene Definition.

Samstag, 27. Juli 2013

Risikomatrix: Einfache Frage - komplizierte Antworten

Kürzlich wurde über die Einträge in eine klassische zweidimensionale Risikomatrix -
Dimension 1: Eintrittswahrscheinlichkeit in Prozent
Dimension 2: Wirkungsausmaß in Euro
diskutiert.

Ein Eintrag war:
Risiko C (Eintrittwahrscheinlichkeit 30 % / Wirkungsausmaß 150.000 Euro).

Auf die Frage "Was ist mit den 70 %, die zu 100 % fehlen?" brach unter den "zertifizierten Risikomanagern / Risikomanagementbeauftragten" Streit aus.

Was ist Risiko? Welche Definition ist nützlich?

Die Frage "Was ist Risiko?" wird immer wieder mit neuer Semantik beantwortet.

Zwei verschiedene Definitionen, die für viele stehen:

(1) Risiko: 
Die Möglichkeit der negativen Entwicklung der Fähigkeit eines Unternehmens zukünftig Überschüsse zu erwirtschaften.    

(2) Risiko:
Der zukünftige und mögliche Wertverlust für ein Unternehmen aus der Wirkung einer Gefahr auf Werte durch Abweichung zwischen erreichtem Ergebnis und geplantem Ziel.

(1) Stammt aus dem Umfeld von Wirtschaftsprüfern und bezieht sich prosaisch auf die Lage des Unternehmens.

(2) Ist sowohl ursachen- ("Gefahr") und wirkungsbezogen ("Wertverlust") auf ein Unternehmen.

Beide Definitionen sind durchaus verträglich miteinander. Eine zielbezogene Definition (wie in dem Standard ISO 31000) ist vergleichbar mit der Definition 2. Eine ergebnisbezogene Definition (wie in den Risikoberichten einiger großer AGs) ist ebenfalls vergleichbar mit der Definition 2.

Scheinbar exotischere Formulierungen, wie die Rückführung von Risiko auf Volatilität ergebnisrelevanter Faktoren oder Komplexität der Organisation lassen sich problemlos mit der Definition 2 vereinbaren.

Die Frage "Welche Definition ist nützlich?" ist wichtig.

(1) Definition 1 hat beschreibenden Charakter und nutzt entsprechend Worte.

(2) Definition 2 hat ebenfalls beschreibenden Charakter mit Worten, die sich recht direkt mit der Praxis, Risiko mit den zwei Größen Wahrscheinlichkeit ("möglich") eines Ereignisses und Folge ("Wirkung") eines Ereignisses all Messgrößen und Kennzahlen für Risiko vereinbaren lassen.

Everything goes!

Montag, 22. Juli 2013

Die wichtigen fünf Fragen …

generisch:

1. Was ist ein Risiko?
2. Wer trägt die Verantwortung?
3. Wie groß ist das Risiko jetzt?
4. Wie groß soll das Risiko sein?
5. Was ist zu tun?

Die entsprechenden fünf Antworten …

individuell:

1. …
2. …
3. …
4. …

5. …

Sonntag, 21. Juli 2013

SI VIS - how to find risks / Risiken finden

SI VIS is an acronym of a management tool for risk management which stands for

S: Stakeholder: Interessierter, Interessierte Partei
I: Issue: Sache, Sachverhalt
V: Value: Wert
I: Interest: Interesse
S: Situation: Lage in Bezug auf günstige und gefährliche Umstände

and provides an easy and fool-prof pathway to identify risks and opportunities. It works nicely hand-in-hand with SWOT, a complementary tool for the search and identification of risks and opportunities of any kind for any organization.

The principle:
Stakeholders look at a certain Issue and thus give it a Value. Their Interest in the Situation is related to risk (dangerous circumstances) and opportunity (favorable circumstances).

The context:
This method will be applied in Clause 5 "Risk Management Process" / 5.3 "Establishing the context" in Standard ISO 31000.

The broadside:
Unfortunately, the standard IEC/ISO 31010 does neither address SWOT nor SI VIS.

The history:
SI VIS did evolve from practical work with the risk management Standards ISO 31000 and 31010.

Semantic note:
SI VIS is Latin and essentially means "If you want".

Legal note:
SI VIS is not registered as intellectual property, utility patent or similar and can be used freely like any other public domain procedure.

Donnerstag, 4. Juli 2013

... das Leben vorwärts und rückwärts ...

"Leben lässt sich nur rückwärts verstehen, muss aber vorwärts gelebt werden."

(S. A. Kierkegaard)

Das Zitat ist ebenso zutreffend für das Verständnis von Risiko. Ein Risiko als virtuelles Ereignis in der Zukunft ist schwer zu verstehen. Ein Schaden als reales Ereignis in der Vergangenheit ist leicht zu verstehen.

Montag, 1. Juli 2013

Vertrauen

Sicherheit ist ein Zustand.
Sicherheit ist die Abwesenheit von Gefahren für Werte.
Abwesenheit von Gefahr ist Abwesenheit von Risiko.

Vertrauen schafft Sicherheit.
Kontrolle schafft Sicherheit.

Sicherheit ist selbst ein Wert.
Sicherheit ist ein wertvoller Zustand.

Vertrauen ist in die Zukunft gerichtet.
Vertrauen jetzt (in der Gegenwart) gibt Sicherheit
für das, was später (in der Zukunft) geschieht.

Vertrauen verringert Risiko.

In diesem Zusammenhang ist unbedingt lesenswert:

Niklas Luhmann
Vertrauen. 
Ein Mechanismus der Reduktion sozialer Komplexität


Verantwortung für Risiko

Es geht immer und überall um Werte und um Verantwortung für Werte.

Die Norm ISO 31000 definiert den "Risikoeigner" / "risk owner" in Kapitel 2.7 als eine ...

... Deutsch: "Person oder Stelle mit der Verantwortung und Befugnis, hinsichtlich eines Risikos zu handeln." 
... English: "Person or entity with the accountability and authority to manage a  risk."

In diesem Sinne ist der "Risikoeigner" / "risk manager" der Risikoverantwortliche / risk responsible.

Eine so beschriebene Verantwortung hat zur Folge, dass der "Risikoeigner" / "risk owner" ein Risiko ändern kann. Das bedeutet, dass er zukünftige Werte der Organisation nach Art und Größe verändern kann. Er kann Risiko quantitativ verringern oder quantitativ vergrößern.

In der Praxis ist der Risikoverantwortliche der Wertverantwortliche, der Werte schöpft. Die Verantwortung für Umsatz und Gewinn als Wert schliesst die Verantwortung für Risiken und für Chancen der Wertschöpfung ein. Die Verantwortung für Risiko ist nicht von der Verantwortung für (zukünftige) Werte zu trennen.


Sonntag, 26. Mai 2013

Integriertes Risikomanagement - 8 Thesen

Risikomanagement ist mit dem Wertemanagement, mit der Wertschöpfung integriert.
Die folgenden 8 Thesen schaffen den Zusammenhang zwischen Werte und Risiko:

(1) Risiko ist der mögliche, zukünftige Verlust von Wert.
(2) Risiko entsteht bei der Anwesenheit von Gefahren für einen Wert.
(3) Werte und Risiken können materiell und / oder immateriell sein.
(4) Wert ist eine Sache, an dem ein Interessierter Interesse hat.
(5) Werte und Risiken werden allesamt verantwortet.
(6) Risikomanagement ist integriert mit dem Wertemanagement.
(7) Risikomanagement hat die zukünftige Sicherheit von Werten zum Gegenstand.
(8) Risikomanagement wird für Interessierte gemacht.

Freitag, 3. Mai 2013

ISO 31000 Anwendungen ... risk of marriage ...


... sind nicht auf Unternehmen beschränkt.

"This International Standard can be applied throughout the life of an organization, and to a wide range of activities, including strategies and decisions, operations, processes, functions, projects, products, services and assets.
This International Standard can be applied to any type of risk, whatever its nature, whether having positive or negative consequences."

zitiert aus "ISO 31000:2009 Risk Management - Principles and Guidelines (Scope)"

Das Bild stammt aus einem aktuellen Projekt mit Studenten.
Special thanks to my international students at Gengenbach IBC master class. This was really great stuff!



Montag, 1. April 2013

Governance, Risk und Compliance: Umgang mit Werten


Die "Verschärfung" der Aktivitäten zu Steuerung / Beherrschung / Management von Risiken folgt aus dem "großen Trend", Werte gegen Verlust zu schützen und und mit Gewinn zu mehren. Insbesondere finanzielle und materielle Werte stehen prominent im Mittelpunkt dieses Trends. Immaterielle Werte im logischen und zeitlichen Zusammenhang mit finanziellen und materiellen Werten erfahren zunehmend  ähnliche Beachtung, insbesondere, wenn sie nach einem geldwerten Massstab gemessen werden können.

Die großen Treiber weltweit sind Gesetze und gesetzesähnliche Regularium zum Schutz der Anleger und Investoren in Kapitalgesellschaften. Bespiele sind das US-Amerikanische SOX und das Deutsche AktG. Entsprechende Unternehmen setzen diese Treiber mit Hilfe von Konzepten um und dokumentieren "Compliance" mit den Regularien durch das Testat des Wirtschaftsprüfers zum Jahresabschluss, die wertschöpfende und rechnungslegende Prozesse und deren Kontrolle in Gesellschaften nach Standards prüfen. Hier ist der US-Amerikanische Standard COSO ERM zu finden.

Die Methodiken unterhalb der großen Treiber sind unter anderem Standards und Normen internationaler, regionaler und nationaler Provenienz, die auf technische und detaillierte Bereiche der Prozesse der Organisation Anwendung finden. Hier ist die Internationale Norm ISO 31000 zu finden, wie auch Standards zu Sicherheit von Informationen als Assets. Hier ist das übliche "Risk Management" angesiedelt.

Das Konzept, die Verantwortung für Werte und die Kontrolle dieser Verantwortung in der Organisationen mit Funktionen und Rollen zu strukturieren, ist als "Corporate Governance" bekannt. Gegenwärtig eher eine Selbstverpflichtung des Unternehmens auf standardisierte Grundsätze, kann eine Nichteinhaltung durchaus rechtliche Konsequenzen für Personen haben.

Donnerstag, 14. März 2013

Risikomanager / -in Zertifikat Technische Akademie Esslingen / Steinbeis

Die Technische Akademie Esslingen und das Steinbeis-Transferzentrum Risikomanagement bieten eine  Kurs "Risikomanager / in (STW / TAE) an.

Termine: Vier Tage 3. und 4. Mai, sowie 14. und 15. Juni
Ort: Technische Akademie Esslingen
Leitung und Durchführung: Dr. Peter Meier

Die Teilnehmer erwerben in Zertifikat der Technischen Akademie Esslingen und des Steinbeis Transferzentrums Risikomanagement.

Flyer zur Veranstaltung im Downloadbereich: Downloadbereich Steinbeis Risikomanagement

Samstag, 2. März 2013

Risiko messen I


Vor das Management hat der Liebe Gott das Messen gesetzt.

>> Messen ist Vergleichen einer Ausprägung eines Sachverhalts mit einem Massstab. <<, so die akademische Definition. 

Der Maßstab kann eine Schätzung (groß oder klein), eine Simulation (eine Monte Carlo Rechnung eines Modells), eine relative halbquantitative Skala (geringfügig, …, existenzgefährdend), eine vollquantitative Skala (in Euro) sein.

Everything goes. Alles ist möglich.

Montag, 11. Februar 2013

Das Ende von Risikomanagement ist der Anfang von Risikomanagement

Nicht Risiko wird gemanagt, sondern Sachverhalte werden gemanagt, wobei Risiko ein Steuerungs- und Führungskriterium ist.

Egal, ob in einem Prozess oder in einem Projekt ein Produkt entwickelt, produziert und distributiert wird, ein Dienst entwickelt und erbracht wird ...

... das Kriterium "Risiko" ist immer dabei. Nicht mehr aber auch nicht weniger.

Produkte und Dienste sind eine Wertschöpfung im Umfeld einer Ungewissheit der zukünftigen Entwicklung. Und diese Werte werden im Risikomanagement nach Risikokriterien gemanagt, so wie sie im Qualitätsmanagement nach Qualitätskriterien gemanagt werden. Das Wertemanagement hat neben dem Kriterium "Wert" auch die Kriterien "Risiko", das Kriterium "Qualität" und andere Kriterien.

Risikomanagement managt, was bei der Wertschöpfung zukünftig und möglicherweise an Wert verloren gehen kann / Schaden nehmen kann und das Ergebnis der Wertschöpfung zukünftig negativ beeinflussen kann. Nicht mehr aber auch nicht weniger.

Montag, 21. Januar 2013

Chancenmanagement

"Wo ein Risiko ist, ist auch eine Chance."

Diese These ist nicht richtig.

The downside: Risiko ist die Wirkung von Gefahr auf Wert.
(Wo keine Gefahr ist, ist kein Risiko.)
Die Wirkung ist Wertverlust.

The upside: Chance ist die Wirkung von Gunst auf Wert.
(Wo keine Gunst ist, ist keine Chance.)
Die Wirkung ist Wertgewinn.

Gefahr und Gunst können derselbe Sachverhalt sein, müssen es aber nicht.
Gefahr und Gunst haben gegenteilige Wirkung.
Risiko und Chance sind in diesem Sinne gegenteilige Sachverhalte.

Der Begriff "Gunst" ist bekannt und wohldefiniert, aber nicht in aller Munde, wohl aber die davon abgeleiteten Begriffe "günstig", "begünstigen", usw.

Mit dem Konzept von der Wirkung von Gunst auf Werte ist das Chancenmanagement in Analogie zum Risikomanagement begründet.

Die Zusammenfassung / Integration von Risiko- und Chancenmanagement ist Wagnismanagement mit dem Verständnis, einen Wert zu wagen auf die Zukunft. Der Begriff Wagnismanagement ist noch gewöhnungsbedürftig. Die englische Übersetzung von "Wagnis" als "venture" ist verständnisfördernd.

Der Standard ISO 31000 erwähnt die Möglichkeit einer positiven Wirkung von Unsicherheit auf Ziele ohne daraus konsequent Begriffe zu Chance und Chancenmanagement herzuleiten und festzulegen.

Chancenmanagement ist Teil des Integrierten Managements.

Chancenmanagement ist etwas ganz Normales: Sachverhalte identifizieren und instrumentalisieren, welche die Wertschöpfung begünstigen.




Samstag, 19. Januar 2013

Risikomanagement / Balanced Scorecard / Kaplan & Norton


In ihrem genialen Buch von 1996 "The Balanced Scorecard" / Robert S. Kaplan & David P. Norton / Harvard Business School Press Boston (1996) findet Risikomanagement in Part One / Chapter 3 Financial Perspektive auf Seiten 50 und 60 knappe Erwähnung. 

Zitat Seite 50: " … but business should balance expected returns with the management of risk."

Zitat Seite 51: " … in general risk management is an overlay, an additional adjective that should complement whatever expected return strategy the business unit has chosen."

Zitat Seite 60: "When it is strategically important, these organizations will want to incorporate explicit risk management objectives into their financial perspectives."

Dieses Verständnis von Kaplan & Norton zu Risiko und Risikomanagement ist nicht mehr aktuell. Es ist bzw. war nur fokussiert auf die finanzielle Perspektive. Es ist bzw. war fokussiert auf komplementäre Ziele zu Zielen, die mit Risiko verbunden sind. 

Die klassische Balanced Scorecard, BSC nach Kaplan & Norton enthält aber vorgezeichnet einen Risikobegriff und damit ein Objekt für Risikomanagement in alle vier Dimensionen, die "balanced" / ausgewogen sind. Das aktuelle Verständnis ist:
  • In jeder Dimension der BSC werden Werte der Organisation geschaffen.
  • In jeder Dimension der BSC werden Ziele geplant und Ergebnisse erreicht.
  • In jeder Dimension der BSC gibt es damit einen Wertschöpfungsprozess.
  • Die vier Dimensionen der BSC stehen in Beziehungen zueinander.
  • Die Ziele in den vier Dimensionen der BSC sind zueinander "balanced" / ausgewogen.
  • Ganz gleich, ob man Risiken an Werten fest macht (P. Meier, Steinbeis), an Zielen (Standard ISO 31000) oder an Ergebnissen (mehrere DAX- und andere Aktiengesellschaften in ihren Risikoberichten) definiert, in allen vier Dimensionen der BSC gibt es Risiken und in allen vier Dimensionen der BSC wird damit ein Risikomanagement begründet, welches die jeweilige Wertschöpfung implizit und explizit begleitet.
  • Damit übernimmt die Balanced Scorecard die Funktion, Risikomanagement in die strategischen und operativen Aktivitäten organisationsweit zu integrieren.
  • Das ist alles nicht neu, sondern das ist nur das Konzept der Balanced Scorecard und das Konzept von Risikomanagement konsequent weitergedacht.
  • Ein solches Risikomanagement kann sich an die Form und die Inhalte des Konzepts des Standards ISO 31000 halten.
  • Risikomanagement nach anderen Standards ist leicht in die BSC zu integrieren.  
So isch no au wieder.

Übrigens: Es tun sich viele mit der Übersetzung des Begriffs "Balanced Score Card" schwer. Ich halte "ausgewogene Zielkarte" für schlecht. Ich benutze "ausgewogene Ergebnis Tabelle". "to score" wird übersetzt mit "erzielen" im Sinne von "erreichen". 


Dienstag, 15. Januar 2013

Workshop Integration ISO 31000 ISO 27005

Integration ISO 31000 und ISO 27005

Das Workshop zeigt am Beispiel der nach Normen standardisierten Managementsysteme (ISO 31000 und ISO 27005) "wie es gemacht wird". Integrator ist der Begriff "Wert". Sicherheit von Daten ist ein "Wert". Risiko genereller Art ist ein "Un-Wert". Szenarien und Fälle der Teilnehmer können aufgenommen werden.

Veranstalter: qSkills GmbH, Nürnberg http://www.qskills.de
Veranstaltungstyp: Workshop
Veranstaltungsort: Nürnberg
Veranstaltungsdatum: 2013, März, 21. - 22.
Referent 1: Peter Meier http://www.dr-peter-meier.de
Referent 2: Uwe Rühl http://www.ruehlconsulting.de
Veranstaltungsnummer: RC120
VeranstaltungslinkIntegration ISO 31000 und ISO 27005

Bezeichnung von Risiken


Frage: Was ist ein Wechselkursrisiko?
Antwort: Ein Risiko, welches in seiner Ursache von der Ungewissheit eines Wechselkurses ausgeht.

Frage: Was ist ein Gesundheitsrisiko?
Antwort: Ein Risiko, welches in seiner Wirkung einen Schaden der Gesundheit nach sich ziehen kann.

Frage: Was ist ein Personalrisiko?
Keine Antwort: Entweder ein Risiko, welches auf Personal wirkt, oder ein Risiko, was vom Personal ausgeht?

Einigen Risiken werden offenbar nach ihrer Ursache bezeichnet, während andere Risiken nach ihrer Wirkung bezeichnet werden. Diese Inkonsequenz zieht sich durch alle Bezeichnungen von Risiko.

Transparent wäre eine Bezeichnung von Risiko, die seine Wirkung ausdrückt.
Vollständig wäre eine Bezeichnung von Risiko, die seine Ursache und seine Wirkung ausdrückt.

Freitag, 11. Januar 2013

Einfache Umsetzung von unternehmensweitem Risikomanagement nach dem Standard ISO 31000


Man sollte es sich einfach machen, und kein weiteres Management als System installieren. Man sollte in das bestehende Managementsystem integrieren, was geht. Jedes Unternehmen hat ein Wertemanagementsystem, eine Wertschöpfung. Mehr oder weniger explizit / implizit. Mehr oder weniger standardisiert / dokumentiert. Risikomanagement muss nur eines tun: Dem Wertemanagement folgen. Damit sind wesentliche Strukturen und Inhalte des Risikomanagements bereits vorgegeben und stehen nicht zur Diskussion und Disposition.. Das Risikomanagement ist integriert mit dem Wertemanagement. Damit ist ein wesentlicher Grundsatz des Standards ISO 31000 erfüllt: Integration. Um die Perspektive Risiko in das Wertemanagement zu bringen reicht es, die fünf Kapitel des Standards ISO 31000 mit seinen Grundlagen und Leitlinien zu berücksichtigen.

Auf dieselbe Art lässt sich Qualitätsmanagement nach der Norm DIN EN ISO 9001 oder nach anderen Normen / Standards mit dem Wertemanagement integrieren. Das ist neue gute Praxis. Qualität ist ebenfalls nichts anderes als eine Perspektive auf Werte.

Und die Zertifizierung eines solchen integrierten Managements ist natürlich möglich.

Zertifizierung von Risikomanagementsystemen


Das Kriterium ob oder ob nicht, sollte ein Nutzen- und Vorteilskriterium sein. Die ganz einfache Frage ist. "Was bringt ein Zertifikat auf ein Risikomanagementsystem?"

(1) Unternehmen, die aufgrund gesetzlicher Anforderungen ein unternehmensweites Risikomanagementsystem machen, haben keine Wahl. Aktiengesellschaften unterziehen sich der Prüfung nach dem Standard der Wirtschaftsprüfer, und erhalten bei Bestehen das Testat als Nachweis der entsprechenden Compliance unter dem Jahresbericht. Sie haben kein Interesse zusätzlich eine Norm für ein unternehmensweites Risikomanagementsystem zu berücksichtigen. Sie zertifizieren sich ggfls. für ein spezialisiertes, partikuläres und fokussiertes Risikomanagementsystem auf der Grundlage einer entsprechenden Norm.

(2) Unternahmen mit Produkten für spezifisches und fokussierte Branchen setzen ein Qualitätsmanagement mit integriertem Risikomanagement nach spezifischen ISO, EN und / oder DIN Normen um, welches zertifiziert wird. Das trifft für Unternehmen mit Produkten mit erhöhten Anforderungen an die Produktsicherheit, wie bei Automotive, Aviation, Medical. Der Nutzen ist klar. Das Zertifikat ist Eintrittskarte in den Markt. Der Nutzen ist eindeutig.

(3) Unternehmen die weder der Gruppe (1) und (2) angehören, müssen individuell entscheiden, ob und welches Zertifikat ihnen Nutzen bringt.

Dienstag, 8. Januar 2013

ISO 31000 - so nehmen, wie sie ist?

Geht nicht. Dafür ist sie nicht gemacht!
Die Norm ISO 31000 muss in ihren Inhalten angepasst werden an die Organisation, deren Risiken gemanagt werden sollen. Jedes der fünf Kapitel der Norm muss so konkret ausgeführt werden, dass sich daraus Entscheidungen und Handlungen des konkreten Risikomanagements ergeben.

ISO 31000 Kapitel 1: 
Die Organisation und deren Risiken, die gemanagt werden sollen, werden festgelegt.

ISO 31000 Kapitel 2: 
Ein Vokabular von Definitionen wird festgelegt. (Die vorgegebenen Definitionen sind nur generische Empfehlungen und nicht für alle Fälle nützlich.)

ISO 31000 Kapitel 3: 
Einige Grundsätze zu Risiko und Risikomanagement werden festgelegt. (Die vorgegebenen Grundsätze sind nur generische Empfehlungen und nicht für alle Fälle nützlich.)

ISO 31000 Kapitel 4: 
Der Rahmen des Risikomanagements ist dynamisch und folgt dem PDCA Zyklus und sollte nach der generischen Empfehlung übernommen werden. Die Struktur der Verantwortung (für Risiken) wird damit festgelegt. Sie sollte integriert werden mit der Verantwortung für Werte und Ziele (integriertes Management).

ISO 31000 Kapitel 5: 
Der Prozess des Risikomanagements wird festgelegt. Die Struktur der Veränderung (von Risiken) wird damit festgelegt. Sie sollte integriert werden mit der Veränderung für Werte und Ziele (integriertes Management).

Was bleibt zu tun?
- Basierend auf den Grundsätzen eine Risikopolitik formulieren.
- Die Ziele des Risikomanagements in der Risikopolitik konkret machen.
- Kriterien für Effektivität und Effizienz aufstellen.
- Den dynamischen Rahmen in den Zyklus eines Geschäftsjahres bringen.
- Die Verantwortung festlegen.
- Eine Expertenfunktion ("Risikomanager") installieren.
- Den Prozess in Betrieb nehmen.

Montag, 7. Januar 2013

keine Werte ohne Stakeholder / keine Stakeholder ohne Werte

Im Grunde genommen geht es immer um das Eine und das Andere:

Das Eine: Push to Stakeholder.

Ein Unternehmen schafft Werte.
Stakeholder interessieren sich für diese Werte.

Das Andere: Pull from Stakeholder.

Ein Stakeholder interessiert sich für einen Sachverhalt.
Der Sachverhalt bekommt durch das Interesse einen Wert.
Das Unternehmen greift diesen Sachverhalt auf.
Der Unternehmen entwickelt diesen Wert.

p.s.:
Der Kunde ist nur einer von vielen Stakeholdern.
Das Produkt ist nur einer von vielen Werten.

Paradigmen des Risikomanagements: Objektivität und Transparenz

Zu den vielzitierten Paradigmen des (Risiko-) Managements gehören Objektivität und Transparenz.

Objektivität und Transparenz sind ganz einfache Dinge:

Objektivität:
Objektivität bezieht sich auf Bewerten von Sachverhalten.
Zwei Beobachter eines Sachverhalts einigen sich auf einen Massstab und auf ein Messverfahren.
Der Massstab ist für die beiden Beobachter verbindlich.
Das Messverfahren ist für die beiden Beobachter verbindlich.
Hinsichtlich des Messergebnisses ist Einvernehmen vereinbart.

Transparenz:
Transparenz bezieht sich auf Offenheit von Sachverhalten.
Entscheidungen zu Sachverhalten werden nach definierten und logischen Kriterien getroffen.
Handlungen Sachverhalte betreffend werden geplant und dokumentiert durchgeführt.

Objektivität und Transparenz stehen unter dem Grundsatz von (mathematischer) Logik.
Ungewissheit und Willkür soll durch Notwendigkeit und Sicherheit ersetzt sein.
Zufall soll durch Berechenbarkeit ersetzt sein.

Eine Fiktion?
Eine Vision?