Montag, 19. September 2016

Zur Rolle von Zielen im Risikomanagement.

Die ISO-Normen verbreiten leider uneinheitliche Definitionen von Risiko. So lautet die Definition der ISO 31000 von Risiko in Abschnitt 3.1:

Risiko ist die Wirkung von Ungewissheit auf Ziele.

Das ist Unsinn! Ein Ziel ist ein zukünftiger, antizipierter, vorzugswürdiger Zustand. Auf diesen virtuellen Zustand wirkt keine Umgewissheit.

Eine bessere Definition, die in vielen Unternehmen verstanden wird,  ist die folgende:

Risiko ist die Wirkung von Ungewissheit auf Ergebnisse.

Ein Ergebnis ist ein tatsächlicher (und kein virtueller) Zustand der  unter Risiken und Chabcen entstanden ist.

Diese Definition ist noch immer nicht vollständig, aber praxistauglicher als die ISO Definition der Norm ISO 31000. In dieser Definition setzen Ziele den Referenzpunkt der Messung von Risiken. Risiko hängt danach unmittelbar von dem Ziel ab. Risiko ist selbst, da in der Zukunft, eine virtuelle Größe.

Ein anspruchsvolles und ambitioniertes Ziel zu erreichen ist mit mehr Risiko verknüpft, als ein einfaches und leichtes Ziel zu erreichen. In diesem Verständnis ist Risiko die Möglichkeit, ein Ergebnis zu erreichen, dass von einem Ziel negativ abweicht. Die Möglichkeit drückt die "Ungewissheit" aus. Die Abweichung drückt die "Wirkung" aus. Womit wir bei den zwei Koordinaten der klassischen Risikomatrix sind.

Da Ziele in der Zukunft liegen, liegen auch Risiken in der Zukunft. Risiken sind damit so virtuell wie die zugehörigen geplanten Ziele. Erst wenn die Zukunft erreicht ist, und das zum Ziel gehörige Ergebnis realisiert ist, ist das Risiko kein Risiko mehr, sondern ein Schaden sofern es vom geplanten Ziel tatsächlich abweicht.

Ein weiterer Sachverhalt, der in der Zukunft liegt, ist die Prognose. Eine Prognose ist eine Vorhersage für die Zukunft. Sie kann vom Ziel abweichen. Sie ist kein Ziel und sie ist nicht das zukünftig erreiche Ergebnis.