Montag, 21. Januar 2013

Chancenmanagement

"Wo ein Risiko ist, ist auch eine Chance."

Diese These ist nicht richtig.

The downside: Risiko ist die Wirkung von Gefahr auf Wert.
(Wo keine Gefahr ist, ist kein Risiko.)
Die Wirkung ist Wertverlust.

The upside: Chance ist die Wirkung von Gunst auf Wert.
(Wo keine Gunst ist, ist keine Chance.)
Die Wirkung ist Wertgewinn.

Gefahr und Gunst können derselbe Sachverhalt sein, müssen es aber nicht.
Gefahr und Gunst haben gegenteilige Wirkung.
Risiko und Chance sind in diesem Sinne gegenteilige Sachverhalte.

Der Begriff "Gunst" ist bekannt und wohldefiniert, aber nicht in aller Munde, wohl aber die davon abgeleiteten Begriffe "günstig", "begünstigen", usw.

Mit dem Konzept von der Wirkung von Gunst auf Werte ist das Chancenmanagement in Analogie zum Risikomanagement begründet.

Die Zusammenfassung / Integration von Risiko- und Chancenmanagement ist Wagnismanagement mit dem Verständnis, einen Wert zu wagen auf die Zukunft. Der Begriff Wagnismanagement ist noch gewöhnungsbedürftig. Die englische Übersetzung von "Wagnis" als "venture" ist verständnisfördernd.

Der Standard ISO 31000 erwähnt die Möglichkeit einer positiven Wirkung von Unsicherheit auf Ziele ohne daraus konsequent Begriffe zu Chance und Chancenmanagement herzuleiten und festzulegen.

Chancenmanagement ist Teil des Integrierten Managements.

Chancenmanagement ist etwas ganz Normales: Sachverhalte identifizieren und instrumentalisieren, welche die Wertschöpfung begünstigen.




Samstag, 19. Januar 2013

Risikomanagement / Balanced Scorecard / Kaplan & Norton


In ihrem genialen Buch von 1996 "The Balanced Scorecard" / Robert S. Kaplan & David P. Norton / Harvard Business School Press Boston (1996) findet Risikomanagement in Part One / Chapter 3 Financial Perspektive auf Seiten 50 und 60 knappe Erwähnung. 

Zitat Seite 50: " … but business should balance expected returns with the management of risk."

Zitat Seite 51: " … in general risk management is an overlay, an additional adjective that should complement whatever expected return strategy the business unit has chosen."

Zitat Seite 60: "When it is strategically important, these organizations will want to incorporate explicit risk management objectives into their financial perspectives."

Dieses Verständnis von Kaplan & Norton zu Risiko und Risikomanagement ist nicht mehr aktuell. Es ist bzw. war nur fokussiert auf die finanzielle Perspektive. Es ist bzw. war fokussiert auf komplementäre Ziele zu Zielen, die mit Risiko verbunden sind. 

Die klassische Balanced Scorecard, BSC nach Kaplan & Norton enthält aber vorgezeichnet einen Risikobegriff und damit ein Objekt für Risikomanagement in alle vier Dimensionen, die "balanced" / ausgewogen sind. Das aktuelle Verständnis ist:
  • In jeder Dimension der BSC werden Werte der Organisation geschaffen.
  • In jeder Dimension der BSC werden Ziele geplant und Ergebnisse erreicht.
  • In jeder Dimension der BSC gibt es damit einen Wertschöpfungsprozess.
  • Die vier Dimensionen der BSC stehen in Beziehungen zueinander.
  • Die Ziele in den vier Dimensionen der BSC sind zueinander "balanced" / ausgewogen.
  • Ganz gleich, ob man Risiken an Werten fest macht (P. Meier, Steinbeis), an Zielen (Standard ISO 31000) oder an Ergebnissen (mehrere DAX- und andere Aktiengesellschaften in ihren Risikoberichten) definiert, in allen vier Dimensionen der BSC gibt es Risiken und in allen vier Dimensionen der BSC wird damit ein Risikomanagement begründet, welches die jeweilige Wertschöpfung implizit und explizit begleitet.
  • Damit übernimmt die Balanced Scorecard die Funktion, Risikomanagement in die strategischen und operativen Aktivitäten organisationsweit zu integrieren.
  • Das ist alles nicht neu, sondern das ist nur das Konzept der Balanced Scorecard und das Konzept von Risikomanagement konsequent weitergedacht.
  • Ein solches Risikomanagement kann sich an die Form und die Inhalte des Konzepts des Standards ISO 31000 halten.
  • Risikomanagement nach anderen Standards ist leicht in die BSC zu integrieren.  
So isch no au wieder.

Übrigens: Es tun sich viele mit der Übersetzung des Begriffs "Balanced Score Card" schwer. Ich halte "ausgewogene Zielkarte" für schlecht. Ich benutze "ausgewogene Ergebnis Tabelle". "to score" wird übersetzt mit "erzielen" im Sinne von "erreichen". 


Dienstag, 15. Januar 2013

Workshop Integration ISO 31000 ISO 27005

Integration ISO 31000 und ISO 27005

Das Workshop zeigt am Beispiel der nach Normen standardisierten Managementsysteme (ISO 31000 und ISO 27005) "wie es gemacht wird". Integrator ist der Begriff "Wert". Sicherheit von Daten ist ein "Wert". Risiko genereller Art ist ein "Un-Wert". Szenarien und Fälle der Teilnehmer können aufgenommen werden.

Veranstalter: qSkills GmbH, Nürnberg http://www.qskills.de
Veranstaltungstyp: Workshop
Veranstaltungsort: Nürnberg
Veranstaltungsdatum: 2013, März, 21. - 22.
Referent 1: Peter Meier http://www.dr-peter-meier.de
Referent 2: Uwe Rühl http://www.ruehlconsulting.de
Veranstaltungsnummer: RC120
VeranstaltungslinkIntegration ISO 31000 und ISO 27005

Bezeichnung von Risiken


Frage: Was ist ein Wechselkursrisiko?
Antwort: Ein Risiko, welches in seiner Ursache von der Ungewissheit eines Wechselkurses ausgeht.

Frage: Was ist ein Gesundheitsrisiko?
Antwort: Ein Risiko, welches in seiner Wirkung einen Schaden der Gesundheit nach sich ziehen kann.

Frage: Was ist ein Personalrisiko?
Keine Antwort: Entweder ein Risiko, welches auf Personal wirkt, oder ein Risiko, was vom Personal ausgeht?

Einigen Risiken werden offenbar nach ihrer Ursache bezeichnet, während andere Risiken nach ihrer Wirkung bezeichnet werden. Diese Inkonsequenz zieht sich durch alle Bezeichnungen von Risiko.

Transparent wäre eine Bezeichnung von Risiko, die seine Wirkung ausdrückt.
Vollständig wäre eine Bezeichnung von Risiko, die seine Ursache und seine Wirkung ausdrückt.

Freitag, 11. Januar 2013

Einfache Umsetzung von unternehmensweitem Risikomanagement nach dem Standard ISO 31000


Man sollte es sich einfach machen, und kein weiteres Management als System installieren. Man sollte in das bestehende Managementsystem integrieren, was geht. Jedes Unternehmen hat ein Wertemanagementsystem, eine Wertschöpfung. Mehr oder weniger explizit / implizit. Mehr oder weniger standardisiert / dokumentiert. Risikomanagement muss nur eines tun: Dem Wertemanagement folgen. Damit sind wesentliche Strukturen und Inhalte des Risikomanagements bereits vorgegeben und stehen nicht zur Diskussion und Disposition.. Das Risikomanagement ist integriert mit dem Wertemanagement. Damit ist ein wesentlicher Grundsatz des Standards ISO 31000 erfüllt: Integration. Um die Perspektive Risiko in das Wertemanagement zu bringen reicht es, die fünf Kapitel des Standards ISO 31000 mit seinen Grundlagen und Leitlinien zu berücksichtigen.

Auf dieselbe Art lässt sich Qualitätsmanagement nach der Norm DIN EN ISO 9001 oder nach anderen Normen / Standards mit dem Wertemanagement integrieren. Das ist neue gute Praxis. Qualität ist ebenfalls nichts anderes als eine Perspektive auf Werte.

Und die Zertifizierung eines solchen integrierten Managements ist natürlich möglich.

Zertifizierung von Risikomanagementsystemen


Das Kriterium ob oder ob nicht, sollte ein Nutzen- und Vorteilskriterium sein. Die ganz einfache Frage ist. "Was bringt ein Zertifikat auf ein Risikomanagementsystem?"

(1) Unternehmen, die aufgrund gesetzlicher Anforderungen ein unternehmensweites Risikomanagementsystem machen, haben keine Wahl. Aktiengesellschaften unterziehen sich der Prüfung nach dem Standard der Wirtschaftsprüfer, und erhalten bei Bestehen das Testat als Nachweis der entsprechenden Compliance unter dem Jahresbericht. Sie haben kein Interesse zusätzlich eine Norm für ein unternehmensweites Risikomanagementsystem zu berücksichtigen. Sie zertifizieren sich ggfls. für ein spezialisiertes, partikuläres und fokussiertes Risikomanagementsystem auf der Grundlage einer entsprechenden Norm.

(2) Unternahmen mit Produkten für spezifisches und fokussierte Branchen setzen ein Qualitätsmanagement mit integriertem Risikomanagement nach spezifischen ISO, EN und / oder DIN Normen um, welches zertifiziert wird. Das trifft für Unternehmen mit Produkten mit erhöhten Anforderungen an die Produktsicherheit, wie bei Automotive, Aviation, Medical. Der Nutzen ist klar. Das Zertifikat ist Eintrittskarte in den Markt. Der Nutzen ist eindeutig.

(3) Unternehmen die weder der Gruppe (1) und (2) angehören, müssen individuell entscheiden, ob und welches Zertifikat ihnen Nutzen bringt.

Dienstag, 8. Januar 2013

ISO 31000 - so nehmen, wie sie ist?

Geht nicht. Dafür ist sie nicht gemacht!
Die Norm ISO 31000 muss in ihren Inhalten angepasst werden an die Organisation, deren Risiken gemanagt werden sollen. Jedes der fünf Kapitel der Norm muss so konkret ausgeführt werden, dass sich daraus Entscheidungen und Handlungen des konkreten Risikomanagements ergeben.

ISO 31000 Kapitel 1: 
Die Organisation und deren Risiken, die gemanagt werden sollen, werden festgelegt.

ISO 31000 Kapitel 2: 
Ein Vokabular von Definitionen wird festgelegt. (Die vorgegebenen Definitionen sind nur generische Empfehlungen und nicht für alle Fälle nützlich.)

ISO 31000 Kapitel 3: 
Einige Grundsätze zu Risiko und Risikomanagement werden festgelegt. (Die vorgegebenen Grundsätze sind nur generische Empfehlungen und nicht für alle Fälle nützlich.)

ISO 31000 Kapitel 4: 
Der Rahmen des Risikomanagements ist dynamisch und folgt dem PDCA Zyklus und sollte nach der generischen Empfehlung übernommen werden. Die Struktur der Verantwortung (für Risiken) wird damit festgelegt. Sie sollte integriert werden mit der Verantwortung für Werte und Ziele (integriertes Management).

ISO 31000 Kapitel 5: 
Der Prozess des Risikomanagements wird festgelegt. Die Struktur der Veränderung (von Risiken) wird damit festgelegt. Sie sollte integriert werden mit der Veränderung für Werte und Ziele (integriertes Management).

Was bleibt zu tun?
- Basierend auf den Grundsätzen eine Risikopolitik formulieren.
- Die Ziele des Risikomanagements in der Risikopolitik konkret machen.
- Kriterien für Effektivität und Effizienz aufstellen.
- Den dynamischen Rahmen in den Zyklus eines Geschäftsjahres bringen.
- Die Verantwortung festlegen.
- Eine Expertenfunktion ("Risikomanager") installieren.
- Den Prozess in Betrieb nehmen.

Montag, 7. Januar 2013

keine Werte ohne Stakeholder / keine Stakeholder ohne Werte

Im Grunde genommen geht es immer um das Eine und das Andere:

Das Eine: Push to Stakeholder.

Ein Unternehmen schafft Werte.
Stakeholder interessieren sich für diese Werte.

Das Andere: Pull from Stakeholder.

Ein Stakeholder interessiert sich für einen Sachverhalt.
Der Sachverhalt bekommt durch das Interesse einen Wert.
Das Unternehmen greift diesen Sachverhalt auf.
Der Unternehmen entwickelt diesen Wert.

p.s.:
Der Kunde ist nur einer von vielen Stakeholdern.
Das Produkt ist nur einer von vielen Werten.

Paradigmen des Risikomanagements: Objektivität und Transparenz

Zu den vielzitierten Paradigmen des (Risiko-) Managements gehören Objektivität und Transparenz.

Objektivität und Transparenz sind ganz einfache Dinge:

Objektivität:
Objektivität bezieht sich auf Bewerten von Sachverhalten.
Zwei Beobachter eines Sachverhalts einigen sich auf einen Massstab und auf ein Messverfahren.
Der Massstab ist für die beiden Beobachter verbindlich.
Das Messverfahren ist für die beiden Beobachter verbindlich.
Hinsichtlich des Messergebnisses ist Einvernehmen vereinbart.

Transparenz:
Transparenz bezieht sich auf Offenheit von Sachverhalten.
Entscheidungen zu Sachverhalten werden nach definierten und logischen Kriterien getroffen.
Handlungen Sachverhalte betreffend werden geplant und dokumentiert durchgeführt.

Objektivität und Transparenz stehen unter dem Grundsatz von (mathematischer) Logik.
Ungewissheit und Willkür soll durch Notwendigkeit und Sicherheit ersetzt sein.
Zufall soll durch Berechenbarkeit ersetzt sein.

Eine Fiktion?
Eine Vision?