01851 Verfahrenssoftware für Risikomanagementsysteme
Die dem Beitrag zugrunde liegende Systematik für Risikomanagementsoftware unterscheidet zwischen den beiden komplementären Konzepten Systemsoftware und Verfahrenssoftware. Risikomanagementsoftware besteht aus einem Kern von Systemsoftware, der den allgemeinen Workflow und damit den Risikomanagementprozess treibt. Ein solcher Workflow bindet den Risikomanagementprozess in einen geregelten Kreis nach dem PDCA-Konzept ein.
Risikomanagementsoftware hat um diesen Kreis von Systemsoftware herum Verfahrenssoftware in Abhängigkeit von den Risiken, den Stakeholdern dieser Risiken und den einzusetzenden Verfahren angehängt.
Die Verfahren unterstützen bestimmte Teile des Risikomanagementprozesses und übernehmen die besonderen und spezifischen Aufgaben des Risikomanagements. In diesem Beitrag geht es ausschließlich um Software zur Unterstützung der Verfahren für Risikomanagementsysteme. Kommerzielle Risikomanagementsoftwareprodukte werden bewusst nicht genannt. von: |
1 Vorbemerkung zu Verfahrenssoftware
Systemsoftware für Managementsysteme unterstützt nicht nur den Workflow des Betriebs eines Managementsystems, sondern treibt und taktet ihn logisch und zeitlich. Die Systemsoftware bringt den Prozess des Managementsystems und im Falle von ISO und verwandten Standards den PDCA-Regelmechanismus für diesen Prozess in die Umsetzung. Im Beitrag „Systemsoftware für Risikomanagementsysteme” wurde dieses Konzept für Risikomanagement dargestellt (s. Kap. 01850).
Verfahrenssoftware zu Managementsystemen ist mit Systemsoftware verknüpft. Bestimmte Risiken in einem bestimmten Teilabschnitt eines Risikomanagementprozesses werden einem Verfahren unterzogen. Software unterstützt dieses Verfahren. Das Merkmal, das Verfahrenssoftware ausmacht, ist die Spezialisierung auf eine bestimmte Aufgabe in einem der Teilprozesse des Managementprozesses und des Workflows von Risikomanagement. Einige solcher Verfahren für das Risikomanagement sind zum Beispiel in der Norm DIN EN 31010 [1] beschrieben.
Verfahren, Methode, Werkzeug, Tool
Managementverfahren
Risiko wird im Prozess des Risikomanagements mehreren Verfahren unterzogen. Ein Verfahren ist die Anwendung einer Methode. Ein Werkzeug ist ein Hilfsmittel für die Anwendung. Softwareprogramme sind Werkzeug zur Unterstützung und zur Durchführung der Verfahren.
Risiko wird im Prozess des Risikomanagements mehreren Verfahren unterzogen. Ein Verfahren ist die Anwendung einer Methode. Ein Werkzeug ist ein Hilfsmittel für die Anwendung. Softwareprogramme sind Werkzeug zur Unterstützung und zur Durchführung der Verfahren.
Das Merkmal von Verfahrenssoftware ist: Die Software ist keine informationstechnische Realisierung eines vollständigen Managementsystems, oder eines vollständigen Managementprozesses oder eines vollständigen Workflows, sondern ein Teil davon.
Verfahren der Risikobeurteilung
Die Norm DIN EN 31010 dokumentiert insgesamt 31 Verfahren der Risikobeurteilung. Risikobeurteilung ist dabei ein Teilprozess des Risikomanagementprozesses nach Normkapitel 5.4, ISO 31000:2009.
Die Norm DIN EN 31010 dokumentiert insgesamt 31 Verfahren der Risikobeurteilung. Risikobeurteilung ist dabei ein Teilprozess des Risikomanagementprozesses nach Normkapitel 5.4, ISO 31000:2009.
Einige dieser Verfahren nutzen Software zur Unterstützung der Verfahren. Andere Verfahren nutzen Software zur Durchführung der Verfahren. Nicht alle dieser 31 Verfahren lassen sich auf schriftliche, grafische oder bildliche Dokumentation einer Unterstützung des Verfahrens reduzieren. Einige der Verfahren benötigen eine Durchführung des Verfahrens mit informationstechnischen Kapazitäten, insbesondere Rechenleistung und Datenspeicher, um programmierte Algorithmen ausführen zu können.
Nicht alle Verfahren für Risikomanagement geeignet
Nicht alle dieser 31 Verfahren der Norm sind nur für Risikomanagement nützlich und anwendbar. Einige der Verfahren sind im Zusammenhang mit dem Management von anderen Sachverhalten als Risiko bekannt. So ist das Verfahren FMEA (Normkapitel B.13) traditionell ein Verfahren der Beurteilung von Fehlern im operativen Qualitätsmanagement. Das Verfahren, Information in Form einer Checkliste (Normkapitel B.3) zu führen, hat originär gar nichts mit Risiko und Risikomanagement zu tun.
Nicht alle dieser 31 Verfahren der Norm sind nur für Risikomanagement nützlich und anwendbar. Einige der Verfahren sind im Zusammenhang mit dem Management von anderen Sachverhalten als Risiko bekannt. So ist das Verfahren FMEA (Normkapitel B.13) traditionell ein Verfahren der Beurteilung von Fehlern im operativen Qualitätsmanagement. Das Verfahren, Information in Form einer Checkliste (Normkapitel B.3) zu führen, hat originär gar nichts mit Risiko und Risikomanagement zu tun.
Neben diesen 31 Verfahren gibt es viele weitere Verfahren, die nicht in dieser Norm oder einer anderen Norm gelistet sind. Einige dieser Verfahren werden in diesem Beitrag ebenfalls genannt.
2 Einleitung
Information im Mittelpunkt
Software zu Risikomanagementverfahren ist Software, die Information zu Risiko und dem Management von Risiko zum Gegenstand hat. Sie ist mit der Software zum Risikomanagementsystem verknüpft und damit in den Workflow und den Prozess des Risikomanagements integriert. Informationstechnologie, insbesondere das Intranet in der Organisation und die verwendeten Programme, bildet die Infrastruktur für Risikomanagement. Information wird aus Information erzeugt (Bearbeitung), Information wird verteilt (Kommunikation) und Information wird bewahrt (Dokumentation).
Software zu Risikomanagementverfahren ist Software, die Information zu Risiko und dem Management von Risiko zum Gegenstand hat. Sie ist mit der Software zum Risikomanagementsystem verknüpft und damit in den Workflow und den Prozess des Risikomanagements integriert. Informationstechnologie, insbesondere das Intranet in der Organisation und die verwendeten Programme, bildet die Infrastruktur für Risikomanagement. Information wird aus Information erzeugt (Bearbeitung), Information wird verteilt (Kommunikation) und Information wird bewahrt (Dokumentation).
„Office”-Dokumente für Verfahren
Papier- und Bleistift-Ersatz
Nicht alle diese Verfahren benötigen zur Durchführung eine Software als Werkzeug. Viele Verfahren können grundsätzlich völlig analog „mit Papier und Bleistift” durchgeführt werden. Viele Verfahren wurden früher ohne die digitale Arbeitsstufe einer Software durchgeführt.
Nicht alle diese Verfahren benötigen zur Durchführung eine Software als Werkzeug. Viele Verfahren können grundsätzlich völlig analog „mit Papier und Bleistift” durchgeführt werden. Viele Verfahren wurden früher ohne die digitale Arbeitsstufe einer Software durchgeführt.
In der Praxis erfährt heute jedes Verfahren eine Unterstützung seiner Durchführung durch Software. Selbst eine triviale Liste von Risiken, eine Checkliste, wird als Dokument mit einer Officesoftware erstellt und in einer Dokumentenmanagementsoftware geführt. Einfachste grafische Strukturen zur Ordnung von Information, wie die einer 2×2-Matrix (z. B. die SWOT-Methodik) werden ebenfalls als Dokument mit einer Officesoftware erstellt und in einer Dokumentenmanagementsoftware geführt.
Programme für Berechnung von Algorithmen
Einige Verfahren benötigen zur Durchführung eine spezielle und individuelle Software als Werkzeug. Das trifft insbesondere für Verfahren zu, die eine statistische mathematische Grundlage haben. Statistische Risikobewertung mit Simulationen auf stochastischer Grundlage benötigen erhebliche numerische Berechnungen, die nur mit programmierten Algorithmen erfolgen können. Eine numerische Berechnung eines solchen Algorithmus ohne Software als Werkzeug nur „mit Papier und Bleistift plus Würfel als Zufallsgenerator” einer solchen Numerik mit Millionen von Rechenschritten und Millionen von Würfelschritten ist zeitlich unmöglich. Deren Ergebnisse sind Daten, die numerisch und grafisch dargestellt werden.
Manche dieser numerischen Algorithmen können mit geringem Programmieraufwand mithilfe von Officesoftware, insbesondere mit Tabellenkalkulationen, durchgeführt werden. Andere dieser Algorithmen erfordern individuelle und spezifische Software für hohe Rechengeschwindigkeit und große Datenvolumen.
Logistik von Information
Zusammengeführt werden diese IT-unterstützen und IT-durchgeführten Verfahren mit den generierten Dokumenten in einem Dokumentenmanagementsystem (Bewahrung und Verteilung von Dokumenten), das die Anforderungen der Revisionssicherheit sowie Zertifizierungs- und Testierungsunterstützung erfüllt und damit die klassische „Lenkung von Dokumenten” nach dem bekannten Konzept des Qualitätsmanagements der ISO 9001 in der alten Revision von 2008 mithilfe von Informationstechnologie ermöglicht.
Informations- bzw. Datensicherheit
Ausgehend von gesetzlichen Vorgaben und Regularien existieren standardisierte Anforderungen an Informations- und Datensicherheit, die durch weitere Spezifikationen definiert sind. Organisationen müssen Compliance zu diesen Anforderungen schaffen, indem sie nachweisen, die Standards aus den Regularien einzuhalten. Unternehmen, die ein Managementsystem zur Informationssicherheit nach der Norm ISO/IEC 27001 [2] betreiben, entsprechen diesen Anforderungen.
3 Übersicht über ausgewählte Verfahren, Software und Anwendung
Einige Beispiele zu Verfahren, die mithilfe von Software im Risikomanagement angewandt werden, finden Sie in den folgenden drei Abschnitten:
3.1 | Suchen und Finden von Risiken |
3.2 | Analysieren von Risiken und Zusammenhängen |
3.3 | Beurteilung (Bewertung) von Risiken |
3.1 Suchen und Finden von Risiken
Die erste Frage im Risikomanagement im Zusammenhang mit Verfahrenssoftware ist: „Was sind unsere Risiken?”
Die Antwort ist ein spezifisches und individuelles Portfolio von Risiken, die als Gegenstand des Risikomanagements festgelegt werden. Das geschieht mithilfe von Verfahren, die Suchen und Finden unterstützen.
3.1.1 SWOT-Analyse
Die klassische 2×2-Matrix
Beschreibung
SWOT ist ein Ordnungsprinzip, das Sachverhalte ordnet und in vier Kategorien entsprechend den Feldern einer 2×2-Matrix steckt. Jedes Feld nimmt Sachverhalte auf, die durch zwei Attribute gekennzeichnet sind. SWOT ist gleichermaßen ein Tabellenverfahren, in dem die Matrix einer 2×2-Tabelle entspricht.
SWOT ist ein Ordnungsprinzip, das Sachverhalte ordnet und in vier Kategorien entsprechend den Feldern einer 2×2-Matrix steckt. Jedes Feld nimmt Sachverhalte auf, die durch zwei Attribute gekennzeichnet sind. SWOT ist gleichermaßen ein Tabellenverfahren, in dem die Matrix einer 2×2-Tabelle entspricht.
Software
Zum Einsatz kommt Officesoftware zur Unterstützung der Erstellung eines strukturierten grafischen oder tabellarischen Formulars als Report zur Dokumentation im Sinne einer Aufzeichnung innerhalb des Managementsystems. Daneben gibt es auch dezidierte Apps für Tabletbetriebssysteme. Innerhalb einiger kommerzieller Risikomanagementsoftwares sind Tabellen bzw. Matrizen spezifisch für SWOT vorgegeben.
Zum Einsatz kommt Officesoftware zur Unterstützung der Erstellung eines strukturierten grafischen oder tabellarischen Formulars als Report zur Dokumentation im Sinne einer Aufzeichnung innerhalb des Managementsystems. Daneben gibt es auch dezidierte Apps für Tabletbetriebssysteme. Innerhalb einiger kommerzieller Risikomanagementsoftwares sind Tabellen bzw. Matrizen spezifisch für SWOT vorgegeben.
Anwendung
SWOT ist ein Klassiker zur Ermittlung der gegenwärtigen Ausgangssituation in Bezug auf interne Stärken und Schwächen einer Organisation und externe Bedrohungen und Begünstigungen.
SWOT ist ein Klassiker zur Ermittlung der gegenwärtigen Ausgangssituation in Bezug auf interne Stärken und Schwächen einer Organisation und externe Bedrohungen und Begünstigungen.
Beispiel
In Tabelle 1 ist beispielhaft die SWOT-Analyse eines Zulieferers für Automobilhersteller aus der Gesamtsicht des Unternehmens dargestellt.
In Tabelle 1 ist beispielhaft die SWOT-Analyse eines Zulieferers für Automobilhersteller aus der Gesamtsicht des Unternehmens dargestellt.
Tabelle 1: SWOT-Tabelle eines Automobilzulieferers, Beispiel
S (strength) | W (weakness) |
Stärken (intern: Unternehmen) | Schwächen (intern: Unternehmen) |
Produktfokus | Abhängigkeit Branche Automobil |
Marktfokus | Hochpreisprodukte |
Technologieführerschaft | Schutz „intellectual property” |
O (opportunities) | T (threats) |
Chancen (extern: Markt) | Risiken (extern: Markt) |
Ursache: Elektrifizierung (Energie) Automobil | Ursache: Preisdruck der OEMs |
Ursache: Digitalisierung (Information) Automobil | Ursache: Preisentwicklung Rohstoffe |
3.1.2 Stakeholder-Analyse
Interessen der Interessierten
Beschreibung
Die Stakeholder-Analyse ordnet einer Liste von Interessierten einer Organisation die jeweiligen Werte zu, an denen diese Stakeholder interessiert sind. Aus Gefahren und Gefährdungen für diese Werte ergeben sich Risiken, diese zukünftig zu entwickeln und zu sichern.
Die Stakeholder-Analyse ordnet einer Liste von Interessierten einer Organisation die jeweiligen Werte zu, an denen diese Stakeholder interessiert sind. Aus Gefahren und Gefährdungen für diese Werte ergeben sich Risiken, diese zukünftig zu entwickeln und zu sichern.
Software
Zum Einsatz kommt Officesoftware zur Unterstützung der Erstellung eines strukturierten textlichen Formulars als Report zur Dokumentation (Aufzeichnung). Stakeholder-Analyse ist ein Tabellenverfahren. Daneben gibt es auch dezidierte Apps für Tabletbetriebssysteme.
Zum Einsatz kommt Officesoftware zur Unterstützung der Erstellung eines strukturierten textlichen Formulars als Report zur Dokumentation (Aufzeichnung). Stakeholder-Analyse ist ein Tabellenverfahren. Daneben gibt es auch dezidierte Apps für Tabletbetriebssysteme.
Anwendung
Organisationen unterliegen vielen verschiedenen Anforderungen von vielen verschiedenen Interessierten. Stakeholder-Analyse wird eingesetzt, um herauszufinden, welche Interessierten hinter den Anforderungen stehen und welche Werte für welche Interessierten zu managen sind.
Organisationen unterliegen vielen verschiedenen Anforderungen von vielen verschiedenen Interessierten. Stakeholder-Analyse wird eingesetzt, um herauszufinden, welche Interessierten hinter den Anforderungen stehen und welche Werte für welche Interessierten zu managen sind.
Beispiel
Beispielhaft ist in Tabelle 2 die Stakeholder-Analyse eines Zulieferers für Automobilhersteller dargestellt.
Beispielhaft ist in Tabelle 2 die Stakeholder-Analyse eines Zulieferers für Automobilhersteller dargestellt.
Tabelle 2: Stakeholder-Analyse eines Automobilzulieferers, Beispiel
Stakeholder/ Interessierter | Wert (materiell/immateriell) | Gefahr, Gefährdung | Risiko (möglicher Schaden/Verlust) | |
---|---|---|---|---|
Beispiel | Beispiel | Beispiel | Beispiel | |
1 | Kunde | Produkt | Produktfehler | Auswirkung |
2 | Eigentümer | Unternehmenswert | Strategiefehler | Wertverlust |
3 | Zulieferer | Umsatz, Profit | Bieterkampf | Auftragsverlust |
4 | Umwelt | Integrität | Katastrophe | Schaden |
5 | Management | Kompetenz, Erfolg | Führungsschwäche | Wertverlust |
6 | Mitarbeiter | Arbeitsplatz | Konjunkturschwäche | Unsicherheit |
7 | Gesellschaft | Shared Value | Ertragsschwäche | Wertverlust |
3.1.3 Prüflisten (Normkapitel B.4)
Spickzettel
Beschreibung
Eine Prüfliste bzw. eine Checkliste ist eine geordnete textliche Liste von Kriterien oder Entscheidungen oder Handlungen, die bei einer Aktivität berücksichtigt werden. Eine Checkliste ist etwas sehr Einfaches mit hohem Nutzwert.
Eine Prüfliste bzw. eine Checkliste ist eine geordnete textliche Liste von Kriterien oder Entscheidungen oder Handlungen, die bei einer Aktivität berücksichtigt werden. Eine Checkliste ist etwas sehr Einfaches mit hohem Nutzwert.
Software
Officesoftware zur Unterstützung der Erstellung einer textlichen Liste (Anweisung).
Officesoftware zur Unterstützung der Erstellung einer textlichen Liste (Anweisung).
Daneben gibt es auch dezidierte Apps für Tabletbetriebssysteme.
Anwendung
Im einfachsten Fall geht es schlicht darum, eine Folge von Dingen, die zu beachten oder die durchzuführen ist, in dokumentierter Form festzuhalten. Im Sinne der Dokumente im klassischen ISO-9001-Qualitätsmanagement kann eine Prüfliste eine Anweisung sein.
Im einfachsten Fall geht es schlicht darum, eine Folge von Dingen, die zu beachten oder die durchzuführen ist, in dokumentierter Form festzuhalten. Im Sinne der Dokumente im klassischen ISO-9001-Qualitätsmanagement kann eine Prüfliste eine Anweisung sein.
Beispiel
In Tabelle 3 sind beispielhaft die Risikoklassen und Risiken aus Sicht der Unternehmensführung eines großen Sportartikelherstellers dargestellt.
In Tabelle 3 sind beispielhaft die Risikoklassen und Risiken aus Sicht der Unternehmensführung eines großen Sportartikelherstellers dargestellt.
Tabelle 3: Checkliste eines Herstellers von Lifestyle- und Sportartikeln, Beispiel
Risikoklassen | Risiken | ||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
regulativ | resultierend aus mangelhafter Umsetzung von | ||||||||||||||||
Gesetzen, Verordnungen, Regularien und Auflagen zu:
| |||||||||||||||||
Verträgen/Vereinbarungen aller Art, externe Normen und Standards
| |||||||||||||||||
Interne Standards und Policies | |||||||||||||||||
strategisch | resultierend aus
| ||||||||||||||||
operativ | resultierend aus
| ||||||||||||||||
finanziell | resultierend aus
|
3.1.4 Brainstorming (Normkapitel B.1)
Kreatives Chaos
Beschreibung
Brainstorming ist eine Kreativmethode mit wenigen einfachen Regeln. Brainstorming wird protokolliert. Brainstorming wird dokumentiert. Brainstorming wird oft in Verbindung mit einem übergeordneten Verfahren (z. B.: Szenariumsanalyse, Normkapitel B.10, DIN EN 31010) durchgeführt.
Brainstorming ist eine Kreativmethode mit wenigen einfachen Regeln. Brainstorming wird protokolliert. Brainstorming wird dokumentiert. Brainstorming wird oft in Verbindung mit einem übergeordneten Verfahren (z. B.: Szenariumsanalyse, Normkapitel B.10, DIN EN 31010) durchgeführt.
Software
Officesoftware zur Unterstützung des Verfahrens durch Protokollierung des Verlaufs und Dokumentierung des Ergebnisses.
Officesoftware zur Unterstützung des Verfahrens durch Protokollierung des Verlaufs und Dokumentierung des Ergebnisses.
Mindmapsoftware zur Darstellung von logischen, zeitlichen und hierarchischen Beziehungen zwischen Themen und Sachverhalten des Brainstormings.
Anwendung
Brainstorming ist ein nützliches Verfahren, wenn es um Neues und Unbekanntes geht. Es nutzt die Fähigkeit des menschlichen Denkens, neben logischer Deduktion und Induktion die Intuition einzusetzen.
Brainstorming ist ein nützliches Verfahren, wenn es um Neues und Unbekanntes geht. Es nutzt die Fähigkeit des menschlichen Denkens, neben logischer Deduktion und Induktion die Intuition einzusetzen.
3.2 Analysieren von Risiken und Zusammenhängen
Die zweite Frage im Risikomanagement ist: „Welches sind die Zusammenhänge um ein Risiko?” Zweck dieser Frage ist, die Ursachen und die Wirkungen von Gefährdungen von Werten zu identifizieren, um die entsprechenden Risiken zu beurteilen, zu managen und zu überwachen.