Hinweis: Die in diesem Artikel vorgestellte Risiko-App ist auf Basis der Standard-App-Vorlage des App-Generators erstellt worden. Die mit dem App-Generator erstellten Applikationen können auf die individuellen Anforderungen angepasst werden. Diese Anleitung beschreibt die Grundfunktionen der Standard-App-Vorlage. Folgend ein Link zu einem Informationsvideo: Onlinevideo Risiko-App (3:49 min)


Ziel der App

Die Applikation dient dazu, Risiken zu erkennen, diese zu beschreiben und zu bewerten. Daraus können geeignete Maßnahmen ab- und eingeleitet werden. Außerdem ermöglicht die Applikation eine einfache Handhabung der Risiken, um regelmäßige Neubewertungen zu erleichtern.


Vorgehen

Die Risiko-App ist an das Modell der kontinuierlichen Verbesserung angelehnt, weshalb das Vorgehen in regelmäßigen zeitlichen Abständen wiederholt wird. Ein Risiko durchläuft in der App mehrere Status:

  • Risikoentwurf
  • Gesteuerte Risiken
  • Verworfene Risiken


Risiken im Status Risikoentwurf

Diese Entwürfe können jederzeit von beliebigen Nutzern in der App angelegt werden. Sobald ein Risiko im Arbeitsalltag auftritt, sollte dieses mit seinen Rahmendaten, Risikoname, Beschreibung von Ursache und Auswirkung, betroffener Bereich und Informationskreis, in die Applikation aufgenommen werden. Es besteht hier ebenfalls die Möglichkeit, das Risiko mit einem Prozess aus Q.wiki zu verknüpfen, um direkt aus dem dokumentierten Prozess Rückschlüsse auf begleitende Risiken ziehen zu können.


Gesteuerte Risiken

Diese Risiken werden von dem Risikomanager verwaltet. Sobald ein neues Risiko eingereicht wird, ist es seine Aufgabe, dieses Risiko erstmalig zu sichten, fehlende Informationen zu vervollständigen und das Risiko für die nächste Risikorunde vorzubereiten.

Risikorunden sollten regelmäßig stattfinden und dienen dazu, gesteuerte Risiken zu besprechen, zu bewerten und geeignete Maßnahmen zur Verringerung der Risikoauswirkung zu beschließen. Diese Meetings finden in der Regel im Kreis interdisziplinärer Führungskräfte statt. Jedes Risiko wird in drei Dimensionen, Bedeutung, Auftretens- und Entdeckungswahrscheinlichkeit bewertet, wobei die Ausprägungen der Dimensionen in einem individuellen Bewertungsschema zu definieren sind. Diese drei Dimensionen multipliziert ergeben die Risikoprioritätszahl (RPZ). Die RPZ ist der Indikator dafür, wie kritisch ein Risiko ist. Kritische Risiken sind mit Maßnahmen zur Verringerung der RPZ zu belegen. Solange ein Risiko eine RPZ oberhalb des eigens definierten Grenzwertes hat, wird dieses in der folgenden Risikorunde erneut betrachtet.


Verworfene Risiken

Diese Risiken haben keine Relevanz, sind doppelt eingereicht worden oder sind durch kontinuierliches Risikomanagement unkritisch geworden.


App-Element

Ein einzelnes Risiko unterteilt sich in der Risiko-App in drei Blöcke:

  • Angaben zum Risiko (Risikodaten, Beschreibung von Ursache und Auswirkung, Risikoquelle)
  • Bewertung des Risikos
  • Maßnahmen zur Verringerung des Risikos


Unter Angaben zum Risiko fallen die Risikodaten, die Beschreibung von Ursache und Auswirkung sowie die Verknüpfung des Risikos zu einem Prozess, aus dem das Risiko entsteht. Neben den Rahmendaten kann hier der Sichtschutz Geschütztes Risiko im Dokumentenkopf aktiviert werden. Dann werden Zugriffsrechte auf die QMGroup und den ausgewählten Informationskreis beschränkt.


Unter Bewertung ist zuerst das individuelle Risikobewertungsschema zu finden. Dieses wird über einen Link auf eine separate Q.wiki Seite erreicht und kann jederzeit in jedem Risiko nachgelesen werden. Darunter werden die drei Risikodimensionen bewertet:

  • Je gravierender die Auswirkungen des Risikos, desto höher ist die Dimension Bedeutung zu bewerten.
  • Je häufiger das Risiko auftritt, desto höher ist die Dimension Auftretenswahrscheinlichkeit zu bewerten.
  • Je schwieriger das Risiko bei Eintritt zu entdecken ist, desto höher ist die Dimension Entdeckungswahrscheinlichkeit zu bewerten.

Zudem ist es möglich, Risiken mit einer geringen RPZ zu akzeptieren. Werden unterschiedliche Risiken, zum Beispiel IT-Sicherheitsrisiken, Prozessrisiken, Unternehmensrisiken, Umweltrisiken, betrachtet, können diese ebenfalls hier unterschieden werden.


Unter Maßnahmen ist eine Aufgabenverwaltung implementiert, die es ermöglicht, Maßnahmen zur Verringerung der Auswirkungen für das Risiko zu definieren. Maßnahmen können Personen zugeteilt werden und es können Fristen definiert werden, bis wann die Maßnahmen umgesetzt sein müssen. Diesen Bereich wird genutzt, um in den regelmäßigen Risikorunden nachzuverfolgen, was seit der letzten Runde passiert ist und definiert bei Bedarf neue Maßnahmen, um die RPZ weiter zu senken.


Rechtemanagement

Im Reiter Rollen der Konfiguration wird definiert, welche Nutzer oder Gruppen der Rolle Risikomanager zugeordnet sind. Diese Rolleninhaber sind, neben dem Informationskreis, berechtigt, Risiken einzusehen. Zusätzlich können die Risikomanager auch alle geschützten Risiken einsehen und bearbeiten, bei denen sie nicht Teil des Informationskreises sind. Außerdem steuern die Risikomanager eingereichte Risiken, sodass diese in der Risikorunde besprochen werden.


Zusätzlich ist die Risiko-App standardmäßig auf maximale Transparenz ausgelegt und ermöglicht jedem Nutzer alle Risiken sowie Inhalte zu sehen und zu bearbeiten. Ein Sichtschutz kann für einzelne Risiken im Dokumentenkopf über Geschütztes Risiko aktiviert werden und schränkt die Zugriffsrechte auf Ersteller, Informationskreis und QMGroup des jeweiligen Risikos ein.


Mögliche Anpassungen

In der Risiko-App sind keine zwingenden Anpassungen an der Applikation notwendig und sie ist sofort einsatzbereit.


Bevor die Applikation genutzt wird, sollte ein eigenes Risikoschema entwickelt werden. Dazu werde die drei Dimensionen der RPZ definiert und die Stufen der 10er Skala so voneinander abgegrenzt, dass bei der Risikobewertung ein gemeinsames Verständnis für die Skala entsteht. Darüber hinaus sollte eine kritische RPZ bestimmt werden, ab welcher Maßnahmen zur Senkung des Risikos angelegt werden.


Tipp: Der Erfahrungswert liegt bei einer RPZ von 125.


Diese notwendige organisatorische Vorarbeit sollte nicht unterschätzt oder vernachlässigt werden. Gerne unterstützen dabei die Beraterinnen und Berater mit jahrelanger Erfahrung bei der Einführung und individuellen Konfiguration der App.