Risikomanagement im Krankenhaus. Implementierung eines Managementsystems zur Minimierung von Risiken

Inhaltsverzeichnis

Zusammenfassung

Vorbemerkungen

Verzeichnisse

1 Einleitung

2 Grundlagen zum Risikomanagement
2.1 Begriffsbestimmungen
2.1.1 "Risiko" und "Chance"
2.1.2 Abgrenzungen des Begriffes Risiko
2.1.3 Ursprung des Risikomanagements
2.1.4 Risk Management versus Risikomanagement
2.2 Kategorisierung und Systematisierung von Risiken
2.3 Ziele des Risikomanagements
2.4 Ebenen des Risikomanagements
2.4.1 Normatives Risikomanagement
2.4.2 Strategisches Risikomanagement
2.4.3 Operatives Risikomanagement
2.5 Ansätze des Risikomanagements
2.5.1 Menschliches Fehlverhalten als Ausgangspunkt von Risiken
2.5.2 Einsatz technischer Systeme als Ausgangspunkt von Risiken
2.5.3 Organisationsfehler als Ausgangspunkt von Risiken
2.6 Der Risikomanagementprozess
2.6.1 Phase 1: Risikoidentifizierung
2.6.2 Phase 2: Risikobewertung
2.6.3 Phase 3: Risikobewältigung
2.6.4 Phase 4: Risiko-Controlling
2.7 Rechtliche Grundlagen des Risikomanagements
2.7.1 Corporate Governance als Auslöser für Gesetzesänderungen
2.7.2 Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
2.7.3 Kreditwesengesetz
2.7.4 rechtliche Verpflichtung für Nicht-Kapitalgesellschaften
2.7.5 Baseler Eigenkapitalrichtlinien

3 Risikomanagementsystem
3.1 Systembildende Elemente
3.1.1 Risikomanagement-Strategie
3.1.2 Risikomanagement-Organisation
3.1.3 Risikomanagement-Kultur
3.2 Systemkoppelnde primäre Elemente
3.2.1 Frühwarnsystem
3.2.2 Risikocontrolling
3.2.3 Internes Überwachungssystem
3.3 Systemkoppelnde sekundäre Elemente
3.3.1 Risikomanagement und Qualitätsmanagement
3.3.2 Risikomanagement und Balanced Scorecard
3.4 Risikomanagement-Handbuch
3.5 EDV-Unterstützung des Risikomanagements

4 Risikomanagement im Krankenhaus
4.1 aktuelle Situation der Krankenhäuser
4.2 Risiken und Chancen der Krankenhäuser
4.2.1 ökonomische Risiken der Krankenhäuser
4.2.2 Risiken des klinischen Risikomanagements
4.3 Instrumente des Risikomanagements in Krankenhäusern
4.3.1 Incident Reporting System
4.3.2 klinische Behandlungspfade mit integrierten Risiko-Kontrollpunkten
4.4 Notwendigkeit des Risikomanagements für Krankenhäuser

5 Implementierung eines Risikomanagementsystems in einem Krankenhaus
5.1 Implementierung im Rahmen eines Projektes
5.2 Entscheidung der Unternehmensleitung
5.3 Workshop des Top-Managements
5.3.1 Unternehmensziele
5.3.2 Umfang einzubindender Ressorts, Abteilungen, Prozesse
5.3.3 Festlegung der spezifischen Aufgaben- und Verantwortungsbereiche
5.3.4 Definition der Wesentlichkeitskriterien
5.3.5 Definition der Risikoarten
5.3.6 Festlegung der Berichtsform
5.4 Analyse der Momentansituation des Unternehmens
5.5 Analyse einzelner Abteilungen
5.6 Konzeption des Risikomanagements
5.6.1 Festlegung der Verantwortungen und Aufgaben des Risikomanagement-Prozesses
5.6.2 Festlegung von aussagekräftigen Frühwarnindikatoren
5.6.3 Ausgestaltung des Risikomanagement-Handbuchs
5.6.4 Auswahl geeigneter Software
5.7 Pilotphase
5.8 Einführung des Risikomanagements
5.9 Evaluation des Risikomanagementsystems
5.9.1 Evaluation der Implementierung
5.9.2 regelmäßige Audits

6 Schlussbetrachtung

Literaturverzeichnis

Quellenverzeichnis

Rechtsquellenverzeichnis

Anhang

Ehrenwörtliche Erklärung

Abbildungsverzeichnis

Abbildung 1: Beispiel zur Risikokategorisierung

Abbildung 2: Ziele und Aufgaben des Risikomanagements

Abbildung 3: Der Risikomanagementprozess als Regelkreis

Abbildung 5: Typologisierung von Frühaufklärungsansätzen

Abbildung 6: Risikoportfolio

Abbildung 7: Der Prozess der Risikosteuerung

Abbildung 8: Elemente eines Risikomanagements

Abbildung 9: Systembildende und -koppelnde Elemente eines Risikomanagementsystems

Abbildung 10: Phasenmodell des Risikomanagement-Prozesses

Abbildung 11: Risikocontrolling als Teilbaustein des Controlling

Abbildung 12: Potenzielle Klinik-Risiken (aus Bockslaff 2004: 21)

Abbildung 13: Zeitkritische Risikobereiche aus dem Gesamtrisiko-Umfeld

Abbildung 14: Ursachenkette klinischer Risiken

Abbildung 15: Systematik zur Risiko-Identifikation im Überblick

Tabellenverzeichnis

Tabelle 1: Risikoarten

Tabelle 2: Mindestinhalt eines Risikomanagement-Handbuchs

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Zusammenfassung

Jede unternehmerische Tätigkeit ist mit Risiken verbunden, ökonomischen Risiken können Chancen gegenüber stehen. Risikomanagement im anglo-amerikanischen Raum hat seinen Ursprung im Management versicherbarer Risiken, das umfassende Risikomanagement des deutschsprachigen Raums stellt ein Managementsystem zur Unterstützung der Führung dar. Zentraler Bestandteil des operativen Risikomanagements ist der Prozess aus Risikoidentifikation, Risikobewertung, Risikobewältigung sowie Risikoüberwachung. Seit dem Inkrafttreten des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich im Jahr 1998 stellt Risikomanagement eine gesetzliche Verpflichtung für Unternehmensleitungen fast jeder Organisationsform dar.

Die Ausgestaltung des Risikomanagementsystems ist dabei nicht gesetzlich vorgeschrieben. Eine mögliche Ausführung eines Systems wird vorgestellt. Für die Ausgestaltung sind die Existenz einer Risikomanagement-Strategie, das Vorhandensein einer Risikomanagement-Kultur sowie ein organisationaler Rahmen des Systems notwendig. Zusammen mit dem Frühwarnsystem, dem Risikocontrolling und einem internen Überwachungssystem bilden diese Elemente das Risikomanagementsystem.

Der Krankenhausmarkt befindet sich derzeit in einem risikoreichen Umfeld. Das Metaziel des Risikomanagements, die Existenzsicherung des Unternehmens, ist gerade für Krankenhäuser als Dienstleistungsunternehmen mit seinen branchenspezifischen Risiken aktueller denn je. Nicht nur die Einführung der DRGs mit den damit verbundenen ökonomischen Auswirkungen stellt ein großes Risikopotential für Kliniken dar. Risiken aus dem Behandlungsprozess des Patienten, patientenorientiert im Sinne der Vermeidung von Behandlungsfehlern oder haftungsorientiert im Sinne der Verringerung der haftungsrechtlichen Ansprüche von Patienten gegenüber dem Krankenhaus, bieten eine große Bandbreite für das Risikomanagement im Krankenhaus.

Die Verantwortung und somit auch Entscheidung für die Einrichtung eines Risikomanagementsystems liegt beim Träger, bzw. bei der Unternehmensführung. Die Implementierung sollte im Rahmen eines Projektes erfolgen. Nach einer Pilotphase ist das Risikomanagement im ganzen Unternehmen einzuführen und als Regelkreis fest im Unternehmen zu verankern. Schritte der Implementierung von der Entscheidung bis zur Abschlussevaluation des Projektes werden vorgestellt.

Vorbemerkungen

In der vorliegenden Diplomarbeit wird bei den geschlechtsabhängigen Wortendungen zur besseren Lesbarkeit ausschließlich die maskuline Form verwendet. Selbstverständlich ist immer die feminine Form mit gemeint.

Der Verfasser hat sich bei der Niederschrift des Textes an die Regeln der neuen deutschen Rechtschreibung gehalten. Durch die Verwendung von Zitaten, die sich an der alten Rechtschreibung orientieren, kann es zu abweichenden Schreibweisen kommen.

Hervorhebungen im Original bei direkten Zitaten werden durchgängig durch Kursivdruck deutlich gemacht. An den entsprechenden Stellen wird deshalb nicht darauf hingewiesen.

good managers manage risks, poor manager manage problems

(Romeike in Risknet 2005)

1 Einleitung

Bei der Literaturrecherche zur Vorbereitung einer Dokumentationsschulung für den Pflegedienst bin ich auf ein Buch über Risikomanagement im Krankenhaus gestoßen. Einem großen Kapitel dieses Buches war der Bereich der ärztlichen und pflegerischen Dokumentation gewidmet, v.a. in Bezug auf die haftungsrechtliche Situation. Krankenhausmanagement aus der Sichtweise des Risikomanagements machte mich neugierig. Als mir dann auch noch bewusst wurde, dass aufgrund gesetzlicher Neuregelungen der vergangenen Jahre nahezu jeder Vorstand, Geschäftsführer oder Direktor eines Krankenhauses eigentlich verpflichtet wäre, ein System zur Früherkennung von Risiken in seinem Unternehmen einzurichten, machte es mich so neugierig, dass ich dieses Thema zum Inhalt meiner mündlichen Schwerpunktprüfung wählte. Nun wurde dies auch der Inhalt meiner Diplomarbeit.

In der vorliegenden Arbeit werden zu Beginn die Grundlagen des Risikomanagements aufgezeigt, dies soll einer Sensibilisierung für das Thema dienen. Genau so wichtig wird es später sein, bei der Implementierung diese Managementsystems Mitarbeiter im Vorfeld zu sensibilisieren, um einen verantwortungsvollen Umgang mit Risiken und den sich evtl. daraus ergebenden Chancen zu erlernen. Neben dem zentralen Risikomanagementprozess und einigen Instrumenten dazu werden die rechtlichen Grundlagen für das Risikomanagement dargestellt. Im zweiten Teil der Arbeit wird eine mögliche Ausgestaltung des Risikomanagementsystems mit der Integration in bestehende Systeme eines Unternehmens erörtert. Die aktuelle Situation der Krankenhäuser in ihrem risikoreichen Umfeld wird sodann thematisiert. Risikomanagement im Krankenhaus hat als Gegenstand sowohl die betriebswirtschaftlichen Risiken und Chancen, als auch die Risiken aus dem Patientenversorgungsprozess. Dieses Kapitel soll die große Bandbreite des Betätigungsfeldes Risikomanagement im Krankenhaus darstellen und die Möglichkeiten aufzeigen, mit diesen Risiken umzugehen. Im abschließenden Kapitel 5 wird ein möglicher Projektverlauf für die Implementierung eines Risikomanagementsystems im Krankenhaus dargestellt.

Mit dieser Arbeit soll ein Überblick geschaffen werden über das noch recht neue Thema Risikomanagement im Krankenhaus. Im Rahmen der Qualitätsverbesserung werden Risiken v.a. aus dem Behandlungsprozess in Krankenhäusern auch heute schon thematisiert. Der Umgang damit geschieht aber selten systematisiert im Sinne einer geplanten Identifizierung, Bewertung, Steuerung durch Gegenmaßnahmen und Dokumentation.

2 Grundlagen zum Risikomanagement

Im folgenden Kapitel werden Begriffe des Risikomanagements definiert und voneinander abgegrenzt (2.1), Beispiele für verschiedene Systematisierungen von Risiken aufgezeigt (2.2) sowie die Ziele des Risikomanagements im Unternehmen dargestellt, die sich von den Unternehmenszielen ableiten (2.3). Die Aufgaben der verschiedenen Ebenen des normativen, strategischen und operativen Risikomanagements werden aufgezeigt (2.4), sowie verschiedene Ursachen für die Entstehung von Risiken dargestellt. Risiken können aus dem Zusammenspiel von menschlichen Versagen, dem Einsatz von technischen Systemen und Organisationsfehlern resultieren (2.5). Der Risikomanagementprozess mit den Phasen der Risikoidentifikation, der Risikobewertung, der Risikobewältigung sowie des Risiko-Controllings bildet die Grundlage des operativen Risikomanagements. Instrumente der Risikoidentifikation sowie Möglichkeiten der Risikobewältigung werden gezeigt (2.6). Risikomanagement stellt für Unternehmen eine rechtliche Verpflichtung dar, die Unternehmensführung ist verantwortlich dafür (2.7).

2.1 Begriffsbestimmungen

Für folgende Begriffe existieren in der Literatur und Praxis verschiedenartige Definitionen. Die nachfolgenden Begriffsbestimmungen sollen zu einem besseren Verständnis und einer einheitlichen Sichtweise beitragen.

2.1.1 "Risiko" und "Chance"

2.1.1.1 Definition "Risiko"

Der Begriff "Risiko" wird in der Literatur je nach Anwendungsbereich sehr unterschiedlich definiert.^[1] Vor dem Hintergrund einer systemischen Betrachtung von Unternehmen^[2], soll folgende systemorientierte Definition zugrunde gelegt werden:

"Der systemorientierten Risikoauffassung liegt eine ganzheitliche Betrachtungsweise zugrunde. Risiko wird dementsprechend verstanden als 'potentielle negative, unerwünschte und ungeplante Abweichung von den Systemzielen' bzw. als 'Summe aller Möglichkeiten, dass sich die Erwartungen eines Systems aufgrund von Störprozessen nicht erfüllen.'" (Middendorf 2005: 20; Fußnoten weggelassen)

Da diese Auffassung aber lediglich den negativen Aspekt von Risiken beschreibt, soll folgende ökonomische Definition ergänzend Anwendung finden und als Grundlage dieser Arbeit gelten:

"Im Rahmen der ökonomischen Betrachtung bedeutet Risiko, dass das tatsächliche Ergebnis einer unternehmerischen Tätigkeit vom erwarteten Ergebnis abweichen kann. Traditionell bezeichnet Risiko dabei die Schadensgefahr (reines Risiko), bei der ein das Vermögen unmittelbar minderndes Ereignis eintritt. Allerdings findet sich in einigen Bereichen ... eine breitere Definition. Dort umfasst das spekulative Risiko all diejenigen unsicheren Ereignisse, die sich durch unternehmerisches Handeln sowohl vermögensmindernd (Verlustgefahr) als auch vermögensmehrend (Chance) auswirken." (vgl. Middendorf 2005: 19 f.)

2.1.1.2 Definition "Chance"

Risiken können sich auch aus nicht genutzten Chancen ergeben (vgl. Wolf 2003: 40). Müller (2004) definiert Chancen als "... Ereignisse (plötzlich) und Entwicklungen (auch schleichend oder latent) interner oder externer Art, welche die Erreichung der Ziele ... positiv beeinflussen." (a.a.O.: 6)

2.1.2 Abgrenzungen des Begriffes Risiko

2.1.2.1 Risiko versus Ungewissheit

"Die Unterscheidung zwischen Risiko und Ungewissheit meint: Wenn wir nicht sicher wissen, was passieren wird, aber die Eintrittswahrscheinlichkeit kennen, ist das Risiko. Wenn wir aber noch nicht einmal die Wahrscheinlichkeit kennen, ist es Ungewissheit." (Keitsch 2004: 4)

2.1.2.2 Risiko versus Gefahr

Brühwiler (2003) definiert Gefahr als ".. allgemeine Bedrohung eines zielorientierten Systems." (a.a.O.: 30) Risiko stellt dagegen die ".. [n]ach Häufigkeit (Eintrittserwartung) und Auswirkung eingeschätzte, konkrete Bedrohung eines Systems bzw. einer Organisation [dar]." (ebd.: 30)

2.1.3 Ursprung des Risikomanagements

Der Ursprung des Risikomanagements liegt in der Versicherungspolitik größerer amerikanischer Unternehmen (Insurance Management) (vgl. Wolf, Runzheimer 2003 31) zu Beginn der 50er Jahre (vgl. Wolf 2003: 45). Ziel dieser Unternehmen war es, die Versicherungsprämien zu reduzieren, indem sie die von den Versicherungsgesellschaften geforderten unternehmensinternen Sicherheitsmaßnahmen nachweisen konnten. In den 70er Jahren hat das Risikomanagement-Konzept auch in Europa Fuß gefasst (vgl. Wolf, Runzheimer 2003 31).

2.1.4 Risk Management versus Risikomanagement

Die Begriffe Risk Management und Risikomanagement werden sowohl in Theorie als auch Praxis in den meisten Fällen synonym verwendet (vgl. Wolf 2003: 45). Wolf (2003) unterscheidet hingegen beide Begriffe. Er definiert Risk Management als spezielles Risikomanagement, verbreitet im anglo-amerikanischen Raum, welches sich nur mit reinen, versicherbaren Einzelrisiken befasst. Im Gegensatz dazu stellt das Risikomanagement des deutschsprachigen Raums als umfassendes Risikomanagement einen integrativen Bestandteil des Managements dar, welches Risiken in allen Entscheidungsprozessen mit Fokus auf das Gesamtrisiko berücksichtigt (vgl. a.a.O.: 45 f.).

"Risikomanagement ist in diesem Zusammenhang eine begleitende Führungsfunktion und integrativer Bestandteil der Unternehmensführung. Es stellt eine Managementaufgabe dar, das alle Institutionen, Funktionen und Instrumente der Unternehmensführung umfasst." (Wolf 2003: 46)

Die vorliegende Arbeit befasst sich inhaltlich mit der Erscheinungsweise des umfassenden Risikomanagements, die Begriffe Risk Management und Risikomanagement werden trotzdem synonym verwendet.^[3] Eine noch detailliertere Definition mit Einbezug der Anforderungen, Ziele und Aufgaben des Risikomanagements liefert Diederichs (2004):

"Das Risikomanagement als immanenter Bestandteil der Unternehmensführung stellt die Integration organisatorischer Maßnahmen, risikopolitischer Grundsätze sowie die Gesamtheit aller führungsunterstützenden Planungs-, Koordinations-, Informations- und Kontrollprozesse dar, die auf eine systematische und kontinuierliche Identifikation, Beurteilung, Steuerung und Überwachung unternehmerischer Risikopotentiale abzielen und eine Gestaltung der Risikolage des Unternehmens mit dem Ziel der Existenzsicherung ermöglichen." (a.a.O.: 15; Fußnote weggelassen)

2.2 Kategorisierung und Systematisierung von Risiken

In der Literatur finden sich zahlreiche Systematisierungsansätze für verschiedene Risiko-Kategorien.^[4] Grundsätzlich können Unternehmensrisiken in 3 Hauptkategorien eingeteilt werden (vgl. Abbildung 1). Zu den Risiken des leistungswirtschaftlichen Bereichs zählen alle Beschaffungs-, Produktions-, Absatz- und Technologierisiken. Die Risiken des finanzwirtschaftlichen Bereichs untergliedern sich in Liquiditätsrisiken, Marktpreisrisiken, politische Risiken, Ausfallrisiken und Kapitalstrukturrisiken. Die Risiken aus Corporate Governance^[5] und des Managements stellen alle Risiken dar, die mit dem Ziel einer guten, verantwortungsvollen und auf langfristige Wertschöpfung ausgerichteten Unternehmensführung und Kontrolle im Zusammenhang stehen (vgl. Romeike 2005: 20 f.).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Beispiel zur Risikokategorisierung (aus Romeike 2005: 21)

Als interne Risiken werden Störpotenziale bezeichnet, die originär aus dem eigenen Betriebsgeschehen heraus resultieren und im unmittelbaren Einflussbereich der Unternehmung liegen. Externe Risiken entstehen dagegen durch unerwartete, externe Entwicklungen. Unternehmen können dabei oft, z.B. aufgrund einer nicht marktbeherrschenden Stellung, nur reaktiv Einfluss nehmen und sind damit den Auswirkungen unmittelbar ausgesetzt (vgl. Wolf 2003: 42).

Einen Überblick weiterer verschiedener Systematisierungsansätze gibt Tabelle 1 wieder. Exemplarisch folgen nachstehend Erläuterungen.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1: Risikoarten (aus Wolf 2003: 41)

Beispiel strategische und operative Risiken

"Strategische Risiken leiten sich aus Fehlern der strategischen Unternehmensführung ab. Diese ist umwelt- und marktorientiert und richtet ihren Fokus auf 'Entwicklungen, die sich durch Chancen und Risiken als Erfolgspotenziale umschreiben lassen.' " (Wolf 2003: 41; Fußnoten weggelassen)

"Operative Risiken ergeben sich aus Fehlentscheidungen der operativen Unternehmensführung, in deren Mittelpunkt sogenannte 'Erfolgsfaktoren' stehen. Dies sind operationalisierte Zielgrößen, über die eine Beeinflussung der Erfolgspotenziale möglich ist." (ebd.: 41 f.)

Beispiel strukturelle und prozessuale Risikoklassifizierung

Häufig werden Risiken nach strukturellen und prozessualen Gruppierungen eingeteilt. Die Ortung eines Risikos wird so erleichtert und zeigt den zuständigen Verantwortungs- und Kompetenzbereich auf, in welchen das Gefahrenpotenzial fällt. Unter strukturellen Aspekten soll der Auswirkungsort der Risiken im Firmenkonstrukt, wie z.B. in Einzelgesellschaften, Regionen oder in der Aufbauorganisation (z.B. Einkauf, Produktion, Vertrieb bzw. Sparten) eines Unternehmens verstanden werden (vgl. ebd.: 43).

"Gegenstand des prozessualen Aspektes sollen Risiken sein, die entlang der Wertschöpfungskette von Porter aufkommen können. Diese unterscheidet zwischen primären und unterstützenden Aktivitäten. Um Wettbewerbsvorteile zu erreichen, muss das Unternehmen hauptsächlich in den primären Aktivitäten einen über der Konkurrenz liegenden Mehrwert (z.B. Preis, Qualität usw.) für den Kunden erzielen." (Wolf 2003: 43 Fußnoten weggelassen)

Aus diesem Grund muss der Hauptansatzpunkt des Risikomanagements in diesem Fall auch bei den primären Aktivitäten liegen (vgl. ebd.: 43).

Beispiel singuläre und kumulative Risiken

Als Singuläre Risiken werden Störpotenziale bezeichnet, die Auswirkungen auf ein eng begrenztes Betrachtungsobjekt (z.B. Prozessschritt, Abteilung usw.) haben, ohne weitere Wirkungen zu entfalten. Das Gegenstück zu den in der Praxis selten auftretenden singulären Risiken sind kumulative Risiken, auch als Kumulrisiken bezeichnet. Charakteristisch an diesen ist die Auswirkung der Schäden an verschiedenen Stellen der Wertschöpfungskette. So folgt aus einem Absatzrückgang oftmals ein Produktrisiko. Kumulrisiken können sehr komplex sein, so dass ihre erfolgreiche Handhabung und Steuerung sehr viel Einblick in die Betriebsabläufe des Unternehmens erfordert (vgl. ebd.: 43 f.).

Beispiel Einzelrisiken und Gesamtrisiko

"Das Konglomerat der wechselseitigen Einzelrisiken verkörpert das Gesamtrisiko. Zu dessen Quantifizierung sind die Korrelationen der einzelnen Gefahrenpotenziale zu bestimmen, welche Summierungs-, Potenzierungs- oder Kompensationseffekte bewirken." (ebd.: 44; Fußnote weggelassen)

2.3 Ziele des Risikomanagements

Unter Risikomanagementzielen sollen diejenigen Ziele verstanden werden, die die Grundlage und Ursache für den Aufbau von Risikomanagementsystemen sind. Im Rahmen des Risikomanagements dürfen diese Ziele nicht isoliert betrachtet, sondern müssen vielmehr von dem allgemeinen Zielsystem des Unternehmens abgeleitet werden." (Diederichs 2004: 12)

Die Ziele eines Unternehmens lassen sich in einen leistungswirtschaftlichen, sozialen und finanziellen Bereich unterteilen. Die verfolgte Unternehmensstrategie und
-philosophie beeinflussen dabei wesentlich die Gewichtung der jeweiligen Einzelziele. Die Realisierung dieser Ziele ist jedoch nur dann möglich, wenn die dauerhafte Sicherung des Unternehmens gewährleistet ist. Die Existenzsicherung des Unternehmens stellt somit die notwendige Bedingung für die Erreichung aller anderen unternehmerischen Ziele dar und kann demnach als Metaziel des Unternehmens gesehen werden. Die Zielsetzung des Risikomanagements liegt darin, zukünftige risikobehaftete Entwicklungen frühestmöglich zu identifizieren, zu beurteilen, zu steuern und fortlaufend zu überwachen, um die kontinuierliche Anpassung des Unternehmens an sich stetig verändernde Umfeldbedingungen sowie die Sicherung der unternehmerischen Existenz zu gewährleisten. Während die Unternehmensführung die Optimierung der einzelnen Unternehmensziele verfolgt, richtet das Risikomanagement seine Anstrengungen umfassend und systematisch gegen existenzbedrohende Abweichungen von diesen angestrebten Zielen. Dementsprechend ist Risikomanagement nicht gleichzusetzen mit Unternehmensführung, sondern notwendige Unterstützung der Unternehmensaufgaben unter dem bewussten Aspekt des Risikos. Die vollständige Beseitigung der Unternehmensrisiken oder die Schaffung absoluter Sicherheit durch eine restriktive Risikopolitik kann jedoch nicht Ziel des Risikomanagements sein (vgl. ebd.: 12 f.), da "...eine solche Vorgehensweise auch keine Chancen zulassen und letztendlich zur unternehmerischen Inaktivität führen würde." (ebd.: 13; Fußnote weggelassen)

"Zur langfristigen Sicherung von Erfolg und Existenz i.S. einer wertorientierten Unternehmensführung besteht die Zielsetzung des Risikomanagements vielmehr darin, die Chancen und Risiken der betrieblichen Geschäftstätigkeit zu identifizieren, die Konsequenzen der Übernahme von Risiken sowie den dazugehörigen Ertrag zu kennen und zu optimieren sowie die potentiell erfolgsgefährdenden Risiken zu limitieren." (Diederichs 2004: 13)

Ein konsequentes und proaktives Risikomanagement dient somit zur Erreichung der folgenden Ziele:

- Existenzsicherung
- Sicherung des zukünftigen Erfolges
- Vermeidung bzw. Senkung der Risikokosten^[6]
- Marktwertsteigerung des Unternehmens (vgl. ebd.: 13)

Abbildung 2 zeigt Ziele und Aufgaben des Risikomanagements.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Ziele und Aufgaben des Risikomanagements (aus Diederichs 2004: 14)

2.4 Ebenen des Risikomanagements

Vor dem Hintergrund des integrierten Managementansatzes existieren auch im Risikomanagement eine normative, eine strategische und eine operative Ebene.

2.4.1 Normatives Risikomanagement

Auf der normativen Ebene des Risikomanagements wird ein Bezugssystem festgelegt, welches eine Bewertung der Risiken ermöglicht. In allen Bereichen des Risikomanagements stellt das angestrebte Sicherheitsniveau ein Bezugssystem bei der Beurteilung der Risikolage und der Auswahl von Sicherungsmaßnahmen dar (vgl. Middendorf 2005: 25). Das normative Risikomanagement kommt in der Risikopolitik zum Ausdruck. Die Risikopolitik des Unternehmens formuliert die übergeordnete Leitlinie des Risikomanagements. Dazu gehören die harten Randbedingungen mit langfristigem Bestand, die "großen" und visionären Ziele sowie die verbindlichen Aussagen mit normativem Charakter zu den möglichen Risiken der Geschäftstätigkeit des Unternehmens (vgl. WEKA 2004: 9).

2.4.2 Strategisches Risikomanagement

Das strategische Risikomanagement kommt in der Risikostrategie zum Ausdruck als Konkretisierung der Risikopolitik. Die Risikostrategie des Unternehmens entwickelt einen bestmöglichen Weg des Unternehmens in Richtung der visionären Ziele der Risikopolitik. Dabei werden konkrete strategische Ziele geplant und Maßnahmen entwickelt, um die Ziele zu erreichen (vgl. WEKA 2004: 11). Dem operativen Risikomanagement werden risikopolitische Leitlinien vorgegeben, beispielsweise durch die Definition eines Sollzustandes der Risikolage des Unternehmens (vgl. Romeike 2004: 135). Im Rahmen der Risikomanagement-Strategie werden auch die Grundlagen für die Organisation des Risikomanagements festgesetzt, sowie bewusst Anreize gesetzt im Hinblick auf das Risikoverhalten der Mitarbeiter (vgl. Middendorf 2005: 25).

2.4.3 Operatives Risikomanagement

Das operative Risikomanagement setzt das strategische Risikomanagement in die Praxis um (vgl. Romeike 2004: 88).

"Das operative Risikomanagement beinhaltet den Prozess der systematischen und laufenden Risikoanalyse, -bewertung, -bewältigung und -kontrolle der Geschäftsabläufe mit dem Ziel der Gestaltung einer risikofreien Leistungserstellung." (Middendorf 2005: 25; Hervorhebung im Original)

2.5 Ansätze des Risikomanagements

Nachfolgende Ausführungen über die Ansätze des Risikomanagements beziehen sich auf Middendorf (2005: 31 ff.).In einer systemischen Sichtweise können Unternehmen als sozio-technische Systeme betrachtet werden^[7]. Die Beziehungen der einzelnen Teilsysteme zueinander werden durch die Struktur bzw. die Organisation des Systems bestimmt. Menschliches Fehlverhalten, technische Fehler sowie Organisationsfehler können somit Risiken erzeugen.

"Menschliches Fehlverhalten bezieht sich auf bewusstes oder unbewusstes menschliches Verhalten, das dazu führt, dass das angestrebte und erwartete Ergebnis nicht erreicht wird." (a.a.O.: 31)

"technische Fehler sind verknüpft mit dem Ausfall oder der schlechten Leistung von technischen Anlagen, Geräten und Instrumenten oder der technischen und gebäudlichen Ausstattung." (a.a.O.: 31)

"Organisationsfehler beziehen sich auf Defizite im Management und der Organisation von Unternehmen. Risiken ergeben sich hier aus einer unzureichenden Gestaltung der Rahmenbedingungen der Leistungserstellung." (a.a.O.: 31)

Verschiedene Ansätze des Risikomanagements orientieren sich an der Art und Weise, wo und wie Fehler auftreten können. Im Folgenden werden mehrere Modelle dargestellt:

2.5.1 Menschliches Fehlverhalten als Ausgangspunkt von Risiken

"Fehlleistungen gehören zum menschlichen Handeln. Das besondere Charakteristikum der menschlichen Leistung, die selbständige strategische Handlungsplanung, ist untrennbar mit dem gelegentlichen Auftreten von Fehlern verbunden." (a.a.O.: 31)

Menschliches Fehlverhalten als Auslöser für Fehler kann selbst wiederum verschiedene Ursachen haben:

2.5.1.1 Kognitive und motivationale Ursachen für Fehler

Die meisten Fehler menschlichen Verhaltens in komplexen Situationen lassen sich auf zwei Gruppen von Ursachen zurückführen, auf kognitive und auf motivationale Ursachen.

- Die kognitiven Ursachen beinhalten die begrenzte Verarbeitungskapazität des bewussten Denkens sowie die begrenzte Kapazität des Gedächtnisses.
- Motivationale Ursachen beinhalten den Schutz des eigenen Kompetenzempfindens sowie die Übergewichtung aktueller Probleme.

"Die Überzeugung von der eigenen Kompetenz ist eine wichtige Grundlage für menschliches Handeln. Eine Person, die sich nichts zutraut, wird auch nicht handeln. Allerdings kann die realistische Sicht auf das eigene Können manchmal getäuscht werden, wenn es um den Schutz des eigenen Kompetenzempfindens geht. Misserfolge werden nicht mehr zur Kenntnis genommen oder ihre Gründe werden nicht genau analysiert, um nicht an der eigenen Kompetenz zweifeln zu müssen." (a.a.O.: 32)

2.5.1.2 Vertrautheit mit der Situation und der Aufgabenstellung als Ausgangspunkt für Fehlverhalten

Die Vertrautheit mit der aktuellen Situation und Aufgabenstellung und die damit verbundene Entstehung von Fehlern kann in drei Ausführungsebenen des menschlichen Handelns dargestellt werden^[8]:

- Die fähigkeitsbasierte Ebene bzw. Gewohnheitsebene als die unterste Ebene geistiger Aktivität stellt sich hoch automatisiert dar und läuft vorprogrammiert ab. Fehler entstehen durch einen falschen Kräfteeinsatz oder durch mangelnde räumlich-zeitliche Koordination.
- Auf der regelbasierten Ebene stehen erlernte Regeln und Prozeduren zur Verfügung, die helfen, vertraute Probleme in bekannten Situationen zu lösen. Diese Regeln und Prozeduren werden bewusst ausgewählt und angewendet. Werden Situationen allerdings falsch eingeschätzt und somit falsche Regeln oder Prozeduren angewandt, kann dies zu Fehlern führen.
- Die wissensbasierte Ebene konfrontiert den Handelnden mit völlig neuartigen Situationen, für die kein erlerntes Regelwissen bereit steht.

"Handlungen müssen aktuell unter Verwendung bewusster analytischer Prozesse und gespeicherten Wissens geplant und ausgeführt werden. Fehler auf dieser Ebene ergeben sich insbesondere aus unvollständigem oder fehlerhaftem Wissen. Darüber hinaus sind Probleme oft nicht genau spezifiziert oder Notfallsituationen verlangen ein schnelles Handeln." (a.a.O.: 32 )

2.5.1.3 Kategorien menschlichen Fehlverhaltens im Hinblick auf den Zeitpunkt des Auftretens

Menschliches Fehlverhalten kann im Hinblick auf den Zeitpunkt des Auftretens im Rahmen des Problemlösungsprozesses zwei verschiedenen Kategorien zugeordnet werden, dem Fehlverhalten in der Planung und Entscheidung (Planungsfehler) und dem Fehlverhalten in der Ausführung (Ausführungsfehler):

Ebene der Planung und Entscheidung (Planungsfehler)

Hier treten bereits bei der Planung von Handlungen Mängel auf. Misserfolg tritt zwangsläufig ein, da die gewählten Maßnahmen oder Mittel nicht zum gewünschten Ziel führen können.

Ebene der Ausführung (Ausführungsfehler)

Auf dieser Ebene sind die geplanten Maßnahmen durchaus angemessen, das gewünschte Ziel zu erreichen. Allerdings entsprechen die tatsächlich ausgeführten Handlungen nicht den geplanten Handlungen. Die Gründe können in Unachtsamkeit oder fehlender Wahrnehmung sowie Gedächtnisfehlern liegen.

2.5.1.4 Verstöße als weitere Ursache für Fehlverhalten

Ebenfalls als Fehlverhalten können Verstöße aufgeführt werden:

"Verstöße bezeichnen .. Abweichungen von sicheren Prozeduren, Regeln oder Standards. Diese können irrtümlich oder beabsichtigt erfolgen." (a.a.O.: 36)

Verstöße können ein bewusstes Anrichten von Schaden als Ursache haben oder aber in guter Absicht erfolgen. Im zweiten Fall unterscheidet man dann notwendige Verstöße von Routineverstößen und optimierenden Verstößen.

2.5.1.5 Aktives und latentes Fehlverhalten

Menschliches Fehlverhalten wirkt sich meistens direkt und unmittelbar negativ aus (aktives Fehlverhalten), kann aber auch längere Zeit unentdeckt bleiben und sich erst später auswirken (latentes Fehlverhalten).

- Aktives Fehlverhalten tritt direkt bei der Leistungserstellung auf. Die daraus resultierenden negativen Effekte haben sofort Auswirkungen auf das System und machen sich direkt und unmittelbar bemerkbar.
- Latentes Fehlverhalten tritt zeitlich und räumlich getrennt von seinen Auswirkungen an anderen Stellen der Organisation auf. Hierzu können Entscheidungen und Handlungen auf höheren Hierarchiestufen zählen, deren negative Effekte sich nur langsam innerhalb der gesamten Organisation auswirken.

Die Auswirkungen sind zumeist nicht unmittelbar zu erkennen und können daher lange Zeit verborgen bleiben. Sie werden oftmals erst dann offensichtlich, wenn sie als Rahmenbedingungen anderen kleineren Auslösern die Entfaltung ihrer schadhaften Wirkung ermöglichen.

2.5.2 Einsatz technischer Systeme als Ausgangspunkt von Risiken

"Die Beschäftigung mit der technischen Systemsicherheit beruht auf dem Problem der Abstimmung zwischen einer zunehmenden Komplexität technischer Teilsysteme und der Gewährleistung eines sicheren Betriebs eines solchen komplexen Gesamtsystems." (a.a.O.: 37)

Im Rahmen der Weiterentwicklung werden technische Systeme immer schneller, leistungsfähiger, vielfältiger und genauer, aber auch aufwendiger, komplizierter und nur noch schwer zu durchschauen. Mit der wachsenden Anforderung an die technischen Nutzleistungen stieg auch die Gefahr unerwünschter Vorkommnisse und Risiken. Risiken gehen dabei aber nicht direkt von den Geräten selbst aus, sondern von den Menschen, welche diese planen, konstruieren und kontrollieren. Fehler können beim Planungs- und Herstellungsprozess unterlaufen, bei der Bedienung oder bei der Wartung und Instandhaltung. Daraus lässt sich schließen, dass Störungen oder Unfälle häufig aus menschlichem Versagen, also schuldhaftem oder fahrlässigem Verhalten, einzelner Personen resultieren. Das Augenmerk liegt auf der Zuverlässigkeit des Mensch-Maschine-Systems. Dabei geht es nicht wie oben beschrieben um gedankliche oder kognitive Fehlleistungen des Menschen, sondern um "... Fehler, die in der mangelhaften Abstimmung des Zusammenwirkens von Personen und technischen Systemen begründet sind." (a.a.O.: 38)

2.5.3 Organisationsfehler als Ausgangspunkt von Risiken

Menschliches Fehlverhalten wird nicht immer durch menschliches Unvermögen, technische Fehler nicht immer durch technische Mängel verursacht. Es können vielmehr auch weitergehende Gründe als Ursachen dafür gefunden werden.

"Latentes Fehlverhalten z.B. findet auf den Ebenen des Managements statt und bestimmt somit die Rahmenbedingungen für die ausführenden Mitarbeiter 'direkt vor Ort'." (a.a.O.: 39)

Der Ausfall technischer Geräte kann z. B. auf die mangelnde Organisation von Wartungs- und Instandhaltungsarbeiten zurückzuführen sein, auf eine unzureichende Ausstattung mit notwendigen Materialien oder eine mangelhafte Gestaltung von Arbeits- und Dienstanweisungen. Auch kann es im Rahmen von notwendigen Verstößen sogar so weit kommen, dass wegen organisatorischer Defizite von den üblichen Handlungsstandards und Regelungen abgewichen werden muss, um das angestrebte Ziel zu erreichen. Häufig werden deshalb als Ursache von menschlichen Fehlleistungen und Unternehmensrisiken gerade Defizite in der Unternehmensorganisation in Form von latenten Fehlern und Bedrohungen festgestellt. Menschliches Versagen bzw. akute Unfallursachen bilden dabei nur das letzte Glied in einer Kette fehlerhafter Entscheidungen und riskanter Systembedingungen. Den Ausgangspunkt stellen organisatorische Rahmenbedingungen dar, die durch Entscheidungs- und Organisationsprozesse auf der Ebene des Unternehmensmanagements festgelegt werden.

2.6 Der Risikomanagementprozess

Die Ebene des operativen Risikomanagements wird durch den Risikomanagement-Prozess verkörpert, ist branchen-unabhängig und kann unabhängig vom Einsatzbereich innerhalb eines Unternehmens angewendet werden. Er folgt einem logischen Regelkreis, bestehend aus vier Elementen (vgl. Abbildung 3). Der Phase der Risikoidentifizierung folgt die der Risikobewertung. Daran anschließend geplante geeignete Maßnahmen dienen der Risikobewältigung. Sind nach Durchführung dieser Schritte Risiken bekannt und reorganisiert, folgt die Phase des Risiko-Controllings durch Festlegung geeigneter Prüfparameter zur Kontrolle und Steuerung (vgl. Führing, Gausmann 2004: 18). Die beiden Phasen Risikoidentifikation und Risikobewertung können auch zusammen als Risikoanalyse dargestellt werden (vgl. Middendorf 2005: 26 f.). Das Erkennen, Bewerten und Bewältigen von Risiken sollte im Laufe der Zeit zu einem festen Kreislauf werden (vgl. Müller 2003: 140).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Der Risikomanagementprozess als Regelkreis (aus Middendorf 2005: 27)

2.6.1 Phase 1: Risikoidentifizierung

"Die Prozessphase der Risikoidentifikation umfasst eine möglichst vollständige und kontinuierliche Erfassung aller Gefahrenquellen, Störpotenziale und Schadenursachen (sic !) eines Unternehmens, die sich negativ auf das Erreichen der Unternehmensziele (etwa die Steigerung des Unternehmenswertes) auswirken können. Hierbei sind die Risiken des gesamten Unternehmens, das heißt einschließlich sämtlicher betrieblicher Prozesse und Funktionsbereiche zu identifizieren." (Romeike 2005: 18)

Die Risikoidentifizierung^[9] sollte prozessorientiert erfolgen und in verschiedene Risikobereiche, wie z.B. Unternehmensführung, Einkauf, Fertigung, Infrastrukturbereiche, Marketing, Qualitätsmanagement, Brandschutz, Arbeitsschutz, Umweltschutz, EDV oder Transport untergliedert werden. Die Prozessphasen der Risikoidentifikation und
-bewertung (zusammen "Risikoanalyse") spielen eine Schlüsselrolle im gesamten Risikomanagement-Prozess, da sie die Informationsgrundlage für alle risikopolitischen Entscheidungen liefern. Da ein Risiko nicht gesteuert werden kann, wenn man von dessen Existenz nichts weiß, wird sich eine mangelhafte Risikoidentifikation negativ auf die folgenden Phasen des Risikomanagement-Prozesses auswirken. Es sollten möglichst alle Risiken erfasst werden und schnell zu präzisen und verwertbaren Ergebnissen zusammengefasst werden. Da sich die Unternehmenssituation laufend verändert, ist es wichtig, dass die Phase der Identifikation ein fester Bestandteil der Unternehmensprozesse wird. Erst eine Integration in die sonstigen Steuerungsprozesse des Unternehmens wird zu einer höheren Akzeptanz bei den betroffenen Mitarbeitern führen (vgl. Romeike 2005: 18 f.). Die Risikoidentifizierung setzt Bewusstsein und Sensibilisierung aller Beteiligten voraus (vgl. Führing, Gausmann 2004: 18 f.). Die Risikoidentifikation soll nicht ausschließlich intuitiv, sondern auch systematisch, d.h. unter Verwendung geeigneter Verfahren, erfolgen. Die Wahl der Identifikationsmethode hängt dabei insbesondere von den spezifischen Risikoprofilen der Unternehmung und der Branche ab. Prinzipiell können die in der Praxis angewendeten Methoden in Kollektions- und Suchverfahren untergliedert werden (vgl. Romeike 2003b: 173 f.). Es folgt eine Auswahl von Methoden, die im Risikomanagement häufig Anwendung finden.

2.6.1.1 Kollektionsmethoden

Zur Identifikation bestehender bzw. offensichtlicher Risiken eignen sich vorwiegend Kollektionsverfahren (vgl. Romeike 2003b: 174). Es werden im Folgenden die Methoden Checklisten, SWOT-Analyse, Interview, Self-Assessment und Risikoidentifikations-Matrix kurz dargestellt:

Checklisten

Die in der Praxis am häufigsten angewendete Form, Risiken zu identifizieren, ist die Verwendung von Checklisten. Hiermit werden in der Regel Risikoquellen identifiziert. Eine Schwierigkeit bei der Verwendung von Checklisten ist der hohe Aggregationsgrad, da in der Regel nicht auf die Einzelrisiken und deren Wechselwirkungen geschlossen werden kann. Eine weitere Problematik bei der Fokussierung auf Checklisten liegt in der mangelnden Vollständigkeit und dem starren Raster, was "...dem revolvierenden Charakter der Risikoidentifikation entgegensteht." (Romeike 2003b: 175) Checklisten können daher allenfalls einen Ausgangspunkt für die Risikoidentifikation darstellen (vgl. a.a.O.: 175).

SWOT-Analyse

Mit Hilfe der SWOT-Analyse (SWOT = strenths, weaknesses, opportunities and threats) können aus der Markt-, Wettbewerbs- und Organisationsanalyse Stärken, Schwächen, Chancen und Risiken abgeleitet werden. Das Ergebnis der Analyse ist eine genaue Bestandsaufnahme des gegenwärtigen Zustandes. Sie liefert klare Erkenntnisse über den Ist-Zustand der eigenen Organisation (Kernkompetenzen), die Zielgruppen (Zielgruppenfokus und -bedürfnisse), das Wettbewerbsumfeld (Positionierung, Leistungsumfang, Alleinstellungsmerkmale) und die Aufstellung im Markt (Marktpräsenz) (vgl. a.a.O.: 175).

Interview

Zur Identifikation von Risiken kann ebenfalls die Befragung von Mitarbeitern oder externen Wissensträgern beitragen. Eine entscheidende Rolle spielen dabei die Erfahrung und Kompetenz des Interviewers und der befragten Personen (vgl. a.a.O.: 175).

Self-Assessment

Das Self-Assessment (Selbsteinschätzung) wird häufig in Kombination mit Checklisten und entsprechenden Anleitungen innerhalb des Unternehmens angewendet. Ergänzend können im Rahmen eines Self-Assessments auch Interviews durchgeführt oder Workshops veranstaltet werden (vgl. a.a.O.: 175). Mit Hilfe des betrieblichen Vorschlagswesen können zeitnah von einzelnen Mitarbeitern Risiken identifiziert werden, viele Unternehmen integrieren ihr betriebliches Vorschlagswesen in den Prozess des Risikomanagements (vgl. a.a.O.: 174).

Risikoidentifikations-Matrix

Eine weitere alternative Methode zur Risikoidentifikation ist die Verwendung einer Risikoidentifikations-Matrix. Hierbei handelt es sich um eine systematische Tabelle, in der die Zusammenhänge zwischen den einzelnen Risikokategorien dargestellt werden (vgl. a.a.O.: 175).

2.6.1.2 Analytische Suchmethoden

Die Identifikation von zukünftigen und bisher unbekannten Risikopotenzialen steht im Mittelpunkt der analytischen Suchverfahren. Einige dieser Verfahren wurden ursprünglich für das Qualitätsmanagement entwickelt, durch die dem Risikomanagement ähnliche Prozessstruktur und Methodik des Qualitätsmanagements können diese etablierten Methoden auch sehr gut für die Risikoidentifizierung angewandt werden (vgl. a.a.O.: 175).

Fehlermöglichkeits- und -einflussanalyse (FMEA)

Ziel der FMEA (Failure Mode and Effects Analysis) ist die

"...möglichst umfassende Erfassung, Beschreibung und Bewertung potentieller Fehler eines Systems sowie deren Ursachen und deren Folgen. Die regelrechte Durchführung einer FMEA führt zu einer im Team abgestimmten, konsolidierten und kommunizierbaren Risikoeinschätzung, zur Definition, Bewertung und Priorisierung von Risiko-Abhilfemaßnahmen sowie zu besserem Gesamtsystem-Verständnis." (Zoolondz 2001: 244)

Die FMEA stellt besonders wegen ihrer speziellen Orientierung auf risikoreduzierende Maßnahmen und der engen Verzahnung mit anderen Methoden des Qualitätsmanagements die zentrale Methode des präventiven Risikomanagements dar. Je nach Einsatzgebiet unterscheidet man die Konstruktions-, Prozess-, oder System-FMEA. Erstellt wird die FMEA im Team der mit dem jeweiligen Produkt oder Prozess bestens vertrauten Fachleute. Im ersten Schritt der FMEA werden mittels eines standardisierten Formblattes zuerst potentielle Fehler erfasst. Für jeden dieser Fehler werden nun mögliche Ursachen mit den möglichen Folgen dargestellt. Schließlich werden für jede Fehler-Ursachen-Kombination noch die gezielt eingeführten Kontrollmaßnahmen notiert. Der nächste Schritt umfasst jeweils die quantitative Bewertung der Auftrittswahrscheinlichkeit des potenziellen Fehlers, der Bedeutung der potenziellen Fehlerfolge, sowie der Entdeckungswahrscheinlichkeit des potenziellen Fehlers vor Auftreten seiner Folgen. Das mathematische Produkt der drei Bewertungen (die Risikoprioritätszahl RPZ) ist ein relatives Maß für das Risiko einer potenziellen Fehler-Folgen-Ursachen-Beziehung. Mittels der RPZ kann das relative Risiko innerhalb einer FMEA priorisiert werden. Bis zu diesem Schritt entspricht das Erkennen relativer Risikopotenziale einer Statuserfassung. Im Folgenden werden dann Reaktionen auf diesen Status dokumentiert. Insbesondere für hohe Risikopotenziale werden im Team Abhilfemaßnahmen ausgearbeitet, die entweder die Auftrittswahrscheinlichkeit eines potenziellen Fehlers oder dessen Entdeckungswahrscheinlichkeit verbessern. Weitere Spalten dienen der Dokumentation der Verantwortlichkeiten, der zeitlichen Fristenrahmen sowie der tatsächlich getroffenen Abstellmaßnahmen. Abschließend wird der neue, verbesserte Zustand durch die neue Risikoprioritätszahl bewertet. Anhand der Risikoprioritätszahlen kann nun in einem Portfolio die Auftrittswahrscheinlichkeit und Bedeutung für jeden potenziellen Fehler visualisiert werden und somit wiederum als Ausgangspunkt für weitere Priorisierungen dienen (vgl. Zoolondz 2001: 244 f.).

Fehlerbaumanalyse (FTA)

Ausgangspunkt der Fehlerbaumanalyse (FTA = Fault Tree Analysis) ist nicht die einzelne Systemkomponente (wie bei der FMEA), sondern das gestörte Gesamtsystem. Beide Analysen haben ihren Ausgangspunkt bei einem definierten unerwünschten Ereignis (Top-Ereignis), welches für die zu untersuchende Fragestellung eine zentrale Bedeutung hat. Dabei geht es aber im Gegensatz zur FMEA nicht um Gefahrentdeckung und -bewertung, sondern die Fehlerbaum-Analyse verfolgt dieses Ereignis zurück bis an seine Wurzeln. Das Top-Ereignis wird auf seine Ursachen und Bedingungen hin untersucht, und jene Ereignisse wiederum auf ihre Ursachen und Bedingungen, bis schließlich keine weitere Differenzierung der Störungen mehr möglich ist (vgl. Brühwiler 2003: 53 ff.). Der Fehlerbaum stellt somit die logische Struktur aller Basisereignisse dar, die zu einem interessierenden Top-Ereignis führen können. Die Fehlerbaumanalyse wird in der Praxis sehr häufig zur Suche von Fehlerursachen und zur Bewertung der Systemsicherheit angewendet (vgl. Romeike 2003b: 176).

Fragenkatalog

Ein Fragenkatalog kann eine wichtige Methode zur Auffindung von Risiken darstellen. Dabei baut der Fragenkatalog häufig auf einer anderen Identifikationsmethode auf, die erst die Grundlage für die Zusammenstellung der Fragen liefert (vgl. Romeike 2003b: 176).

2.6.1.3 Kreativitätsmethoden

Kreativitätsmethoden basieren auf kreativen Prozessen, die durch divergentes Denken charakterisiert sind, um relativ flüssig und flexibel zu neuartigen Einfällen und originellen Lösungen zu gelangen. "Kreativitätstechniken lassen - im Gegensatz zum rationalen und strukturierten Denken - das Denken chaotisch werden." (Romeike 2003b: 177)

Brainstorming

Brainstorming stellt die in der Praxis am häufigsten angewendete Methode zur Ideenfindung dar (vgl. Romeike 2003b: 177). "Grundgedanke ist, einen interdisziplinären Teilnehmerkreis in Form eines 'positiven Spinnens' zu inspirieren und zur Entwicklung von Ideen anzuregen." (Wolf, Runzheimer 2003 46) Im Falle der Risikoidentifikation ist die richtige Auswahl der Teilnehmer erfolgsentscheidend. Es ist vorteilhaft, Gruppen im Hinblick auf das heterogene Spektrum der Risikokategorien interdisziplinär zu besetzen bzw. eine Mischung aus Fachleuten und Laien anzustreben (vgl. Romeike 2003b: 177).

Brainwriting

Beim Brainwriting, auch Methode 635 genannt, steht ebenfalls die freie Gedankenäußerung einer Gruppe von Personen im Mittelpunkt . Auf die Formulierung der Aufgabenstellung hin haben die sechs Teilnehmer zunächst fünf Minuten Zeit, um drei Ideen jeweils auf einem Formblatt unter Stillschweigen festzuhalten. In weiteren fünf Runden erhalten die Teilnehmer jeweils das Formblatt ihres zur rechten Hand sitzenden Kollegen, um sich von dessen Ideen inspirieren zu lassen und drei weitere Gedanken zu fassen. Letztlich haben die sechs Mitglieder über 108 Antworten zu urteilen und daraus eine Auswahl zu treffen (vgl. Wolf, Runzheimer 2003 47). Die Methode des Brainwriting kann helfen, bestimmte Risikokategorien einmal aus einer anderen Perspektive zu betrachten oder auch neue Risiken zu identifizieren. Analog zum Brainstorming ist auch beim Brainwriting die interdisziplinäre bzw. heterogene Zusammensetzung der Teilnehmer von zentraler Bedeutung für den Erfolg (vgl. Romeike 2003b: 178).

Delphi-Methode

Bei der Delphi-Methode handelt es sich um eine anonyme schriftliche Befragung mehrerer Experten zur Einschätzung über künftige qualitative und quantitative Entwicklungen. In einer ersten Befragungsrunde legen die Experten die notwendigen Prämissen für die Prognose der künftigen Entwicklung fest. Diese Prämissen präsentiert die Projektleitung den Probanden in einer zweiten Runde und fordert zu Schätzungen der Eintrittswahrscheinlichkeiten auf (vgl. Wolf, Runzheimer 2003 52). Daraus können neue Ideen, Vorschläge, Ergänzungen und Erweiterungen entwickelt werden. Die Ergebnisse dieser Runden werden wiederum ausgewertet und an die Teilnehmer kommuniziert. Die Befragung wird so lange wiederholt, bis sich die Teilnehmer auf eine möglichst zufriedenstellende Lösung geeinigt haben (vgl. Romeike 2003b: 178).

Szenariotechnik

Die Szenario-Analyse ist ein Prognoseverfahren zur Ermittlung zukünftiger Entwicklungen. Aus einer Reihe von möglichen Ereignissen wird ein Gesamtbild ermittelt, das sich aus der Beschreibung möglicher Umweltzustände für einzelne Parameter zusammensetzt. Dies ermöglicht eine alternative Gesamtschau unter der Berücksichtigung verschiedener Ereignisse (vgl. Bühner Hrsg. 2001: 739). Ein Trichter verdeutlicht grafisch die Mehrwertigkeit der Zukunft. Der Umfang des Trichters weitet sich mit zunehmendem Prognosehorizont aus und verdeutlicht somit die steigende Unsicherheit (vgl. Burger, Buchhart 2001: 94).

"Die Szenario-Technik ist auf die Erfassung von Risiken insofern übertragbar, als durch eine Zusammenfassung von Einzelrisiken einheitliche bzw. konsistente Risikosituationen entstehen. Dabei findet eine Integration von Einzelrisiken in konsistenten Szenarien statt. Dies impliziert, dass gegenseitige Abhängigkeiten zwischen den Einzelrisiken im Rahmen der Risikoerfassung berücksichtigt werden." (Burger, Buchhart 2001: 95)

Szenarien lassen sich dabei sowohl traditionell für das Gesamtunternehmen auf strategischer Ebene in einem langfristigen Kontext bilden als auch für Teilbereiche des Unternehmens, d.h. für operative und kurzfristig zu prognostizierende Risikosituationen. Eine Szenarien-Bildung ist auch zur Risikoerfassung einzelner Geschäfte möglich (vgl. Burger, Buchhart 2001: 95 f.).

2.6.1.4 Frühwarnsysteme als Instrumente der Risikoidentifikation

Die Begriffe Frühwarnung, Früherkennung und Frühaufklärung finden in Literatur und Praxis oftmals synonyme Verwendung (vgl. Wolf, Runzheimer 2003 52). Aus diesem Grund erfolgt zunächst eine definitorische Abgrenzung:

"Frühwarnung: der am weitesten verbreitete Begriff umschreibt das frühzeitige Erkennen von Gefahren, um rechtzeitige Gegenmaßnahmen ergreifen zu können.

Früherkennung: Kritiker der Frühwarnsysteme bemängelten, dass auch das Verpassen einer Chance eine Gefahr für das Unternehmen darstellen kann und forderten daher deren Einbindung in die Analysen. Konkrete Handlungsempfehlungen, die eine Planung teilweise ersetzen würden, sind dagegen nicht Gegenstand der Früherkennung.

Frühaufklärung: Die höchste Entwicklungsstufe umfasst die frühzeitige Identifikation von Chancen und Risiken sowie die Ableitung von adäquaten Gegenmaßnahmen. Frühaufklärung erstreckt sich über sämtliche strategische Managementaufgaben." (ebd.: 52 f.)

Ein Frühwarnsystem ist ein Informationssystem, das frühzeitig auf Gefahren des Umfeldes hinweist, um rechtzeitig Gegenmaßnahmen einleiten zu können. Dies schließt das Wahrnehmen, die Diagnose und Weitergabe von führungsrelevantem Wissen mit ein. Mit der Offenlegung des Chancenpotenzials handelt es sich um ein Früherkennungssystem. Dient das Informationssystem darüber hinaus auch der Ableitung von Handlungsmaßnahmen, spricht man von einem Frühaufklärungssystem. Frühwarnsysteme können sowohl der operativen als auch der strategischen Risikoerkennung dienen. Operative Frühwarnsysteme bauen auf "harten" Informationen über Erfolg und Liquidität des Unternehmens auf. Gemeint sind Kennzahlen, die betriebswirtschaftliche Sachverhalte aufzeigen und Gegenstand der Bilanzanalyse sind (vgl. ebd.: 53 f.).

"Kennzahlen und Kennzahlensysteme greifen stark auf vergangenheitsorientierte Informationen zurück und fokussieren interne Größen (vorherrschend sind Umsatz- und Kostengrößen). Dies ist für Zukunftsprojektionen ungeeignet. ... Fazit: die erste Generation der Frühaufklärungssysteme ist für eine Frühwarnung im engeren Sinne untauglich." (ebd.: 54)

Die Früherkennung stellt die zweite Phase dar.

"Im Mittelpunkt steht die Anwendung von Frühindikatoren, die frühzeitig Informationen über die Entwicklung liefern sollen. Die Größen ermöglichen eine Vorsteuerung, in dem (sic !) sie einen antizipierenden Charakter einnehmen. ... Urteile und Erwartungen (Pläne) der befragten Unternehmen sollen vor deren Realisierung am Markt in die Studie eingehen und somit als vorauseilende Indikatoren präventiven Charakter annehmen." (ebd.: 54)

Obwohl die Informationsversorgung mit einem zeitlichen Verzug verbunden ist, kann das Unternehmen dennoch u.U. wichtige Handlungsempfehlungen daraus ableiten. Hauptproblem dieses Verfahrens ist die Wahl geeigneter Indikatoren.

"Diskontinuitäten und Strukturbrüche setzen diese Systeme außer Kraft, da die Indikatoren veränderte Umweltzustände nicht abgreifen. Dies ist beispielsweise bei technologischen Durchbrüchen, Streiks oder wirtschaftlichen Veränderungen der Fall. Aus diesem Grund ist eine zyklische Anpassung zugrundeliegender Beobachtungsbereiche und Indikatoren durchzuführen. Die Anwendung der Früherkennung bietet sich im Wesentlichen im Rahmen der operativen Planung an." (ebd.: 55)

Die höchste Entwicklungsstufe der Frühaufklärungssysteme ist die erfolgspotenzialorientierte Frühaufklärung. Hier werden alle Aktivitäten zur Früherkennung potenzieller bzw. latenter Unternehmensrisiken herangezogen. Die Frühaufklärung knüpft an das Anforderungsprofil der Umwelt an, um die für das Unternehmen relevanten Veränderungen zu identifizieren.

"Ein in der Literatur als 'strategisches Radar' bezeichnetes Instrument soll die notwendigen Informationen, die sich in Form von schwachen Signalen ankündigen, aufnehmen. Diese Informationen dienen in der Szenarioanalyse bspw. der Ermittlung von Störgrößen." (ebd.: 55)

Als Beispiele lassen sich neue Meinungen in den Medien, die Häufung gleichartiger Ereignisse oder Initiativen in der Gesetzgebung nennen. Schwache Signale haben eine Vorläuferfunktion. Ereignisse treten niemals plötzlich ein, sondern kündigen sich mit zunehmender Häufigkeit in ihrem Entwicklungsstadium an (vgl. ebd.: 55). Folgende Abbildung zeigt eine Übersicht über verschiedene Typologisierungsmöglichkeiten von Frühwarnsystemen:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Typologisierung von Frühaufklärungsansätzen (aus Wolf, Runzheimer 2003: 53)

Als Ergebnis der Risikoidentifikation werden die identifizierten Risiken bzw. Risikokategorien in einem Risikoinventar (auch Risikokatalog genannt) dokumentiert. In komprimierter Form werden hier die Erkenntnisse und Informationen zusammengefasst, die während der Risikoidentifikation gewonnen wurden. Eine angemessene Dokumentation ist von zentraler Bedeutung für eine dauerhafte und von Personen unabhängige Funktionsfähigkeit des Risikomanagement-Regelkreislaufes (vgl. Romeike 2003b: 179).

[...]

---

^[1] Vgl. Wolf, Runzheimer 2003 (29 f.), Middendorf 2005 (18 f.), Brühwiler 2003 (30 f.), Diederichs 2004 (8 f.), Romeike 2004 (102), Keitsch 2004 (4), Graf et al. Hrsg. 2003 (19 f.)

^[2] Vgl. Reinspach 2001 (18 ff.)

^[3] Wolf (2003) ist der einzige Autor der in dieser Arbeit verwendeten Literatur, welcher explizit in beide Begrifflichkeiten unterscheidet.

^[4] Vgl. Merbecks et al. 2004 (81 ff.), Middendorf 2005 (20 ff.), Romeike 2005 (20 ff.), Romeike 2003b (170), Keitsch 2004 (5 f.), Diederichs 2004 (100 ff.)

^[5] Unter Corporate Governance versteht man die "...verantwortungsvolle, auf langfristige Wertschöpfung und Steigerung des Unternehmenswertes ausgerichtete Leitung und Kontrolle von Unternehmen." (Romeike 2004: 32) Weitere Ausführungen dazu in Kapitel 2.7.1 .

^[6] Risikokosten setzen sich zusammen aus Versicherungsprämien, Kosten für die Schadensverhütung und den dazugehörigen Verwaltungskosten (vgl. Diederichs 2004: 13 f.).

^[7] "Umfangreiche Aufgaben erfordern zu ihrer Bewältigung den Zusammenschluss von Personen und daraus folgend die Arbeitsteilung... . Wenn dann noch entsprechende Sachmittel wie z.B. Maschinen verwendet werden, spricht man von einem sozio-technischen System, das bestimmte Ziele verfolgt." (Krallmann et al. 2002: 119)

^[8] Die drei Ebenen können nicht nur getrennt voneinander oder nacheinander auftreten, sondern auch gleichzeitig als Kombination von Faktoren (vgl. Middendorf 2005: 33).

^[9] In der Literatur wird häufig auch das Synonym "Risikoerkennung" verwendet (vgl. Wolf 2003 55, Graf et al. Hrsg. 2003: 141).