Modul Generator: Grundfunktion des Risiko-Moduls

Geändert am Fr, 13 Sep um 2:37 NACHMITTAGS


Ziel des Moduls

Das Modul dient dazu, Risiken zu erkennen, diese zu beschreiben und zu bewerten. Daraus können geeignete Maßnahmen ab- und eingeleitet werden. Außerdem ermöglicht das Modul eine einfache Handhabung der Risiken, um regelmäßige Neubewertungen zu erleichtern.


Vorgehen

Das Risiko-Modul ist an das Modell der kontinuierlichen Verbesserung angelehnt, weshalb das Vorgehen in regelmäßigen zeitlichen Abständen wiederholt wird. Ein Risiko durchläuft in dem Modul mehrere Status:

  • Risikoentwurf
  • Gesteuerte Risiken
  • Verworfene Risiken


Risiken im Status Risikoentwurf

Diese Entwürfe können jederzeit von beliebigen Nutzern in dem Modul angelegt werden. Sobald ein Risiko im Arbeitsalltag auftritt, sollte dieses mit seinen Rahmendaten, Risikoname, Beschreibung von Ursache und Auswirkung, betroffener Bereich und Informationskreis, in das Modul aufgenommen werden. Es besteht hier ebenfalls die Möglichkeit, das Risiko mit einem Prozess aus Q.wiki zu verknüpfen, um direkt aus dem dokumentierten Prozess Rückschlüsse auf begleitende Risiken ziehen zu können.


Gesteuerte Risiken

Diese Risiken werden von dem Risikomanager verwaltet. Sobald ein neues Risiko eingereicht wird, ist es seine Aufgabe, dieses Risiko erstmalig zu sichten, fehlende Informationen zu vervollständigen und das Risiko für die nächste Risikorunde vorzubereiten.

Risikorunden sollten regelmäßig stattfinden und dienen dazu, gesteuerte Risiken zu besprechen, zu bewerten und geeignete Maßnahmen zur Verringerung der Risikoauswirkung zu beschließen. Diese Meetings finden in der Regel im Kreis interdisziplinärer Führungskräfte statt. Jedes Risiko wird in drei Dimensionen, Bedeutung, Auftretens- und Entdeckungswahrscheinlichkeit bewertet, wobei die Ausprägungen der Dimensionen in einem individuellen Bewertungsschema zu definieren sind. Diese drei Dimensionen multipliziert ergeben die Risikoprioritätszahl (RPZ). Die RPZ ist der Indikator dafür, wie kritisch ein Risiko ist. Kritische Risiken sind mit Maßnahmen zur Verringerung der RPZ zu belegen. Solange ein Risiko eine RPZ oberhalb des eigens definierten Grenzwertes hat, wird dieses in der folgenden Risikorunde erneut betrachtet.


Verworfene Risiken

Diese Risiken haben keine Relevanz, sind doppelt eingereicht worden oder sind durch kontinuierliches Risikomanagement unkritisch geworden.


Modul Element

Ein einzelnes Risiko unterteilt sich in dem Risiko-Modul in drei Blöcke:

  • Angaben zum Risiko (Risikodaten, Beschreibung von Ursache und Auswirkung, Risikoquelle)
  • Bewertung des Risikos
  • Maßnahmen zur Verringerung des Risikos


Unter Angaben zum Risiko fallen die Risikodaten, die Beschreibung von Ursache und Auswirkung sowie die Verknüpfung des Risikos zu einem Prozess, aus dem das Risiko entsteht. Neben den Rahmendaten kann hier der Sichtschutz Geschütztes Risiko im Seitenkopf aktiviert werden. Dann werden Zugriffsrechte auf die QMGroup und den ausgewählten Informationskreis beschränkt.


Unter Bewertung ist zuerst das individuelle Risikobewertungsschema zu finden. Dieses wird über einen Link auf eine separate Q.wiki Seite erreicht und kann jederzeit in jedem Risiko nachgelesen werden. Darunter werden die drei Risikodimensionen bewertet:

  • Je gravierender die Auswirkungen des Risikos, desto höher ist die Dimension Bedeutung zu bewerten.
  • Je häufiger das Risiko auftritt, desto höher ist die Dimension Auftretenswahrscheinlichkeit zu bewerten.
  • Je schwieriger das Risiko bei Eintritt zu entdecken ist, desto höher ist die Dimension Entdeckungswahrscheinlichkeit zu bewerten.

Zudem ist es möglich, Risiken mit einer geringen RPZ zu akzeptieren. Werden unterschiedliche Risiken, zum Beispiel IT-Sicherheitsrisiken, Prozessrisiken, Unternehmensrisiken, Umweltrisiken, betrachtet, können diese ebenfalls hier unterschieden werden.


Unter Maßnahmen ist eine Aufgabenverwaltung implementiert, die es ermöglicht, Maßnahmen zur Verringerung der Auswirkungen für das Risiko zu definieren. Maßnahmen können Personen zugeteilt werden und es können Fristen definiert werden, bis wann die Maßnahmen umgesetzt sein müssen. Dieses Modul wird genutzt, um in den regelmäßigen Risikorunden nachzuverfolgen, was seit der letzten Runde passiert ist und definiert bei Bedarf neue Maßnahmen, um die RPZ weiter zu senken.


Rechtemanagement

Im Reiter Rollen der Konfiguration wird definiert, welche Nutzer als Risikomanager agieren. Trage diesen Personenkreis dazu in die Rolle QMGroup ein. Die Risokomanager sind, neben dem Informationskreis, berechtigt, Risiken einzusehen. Zusätzlich können die Risikomanager auch alle geschützten Risiken einsehen und bearbeiten, bei denen sie nicht Teil des Informationskreises sind. Außerdem steuern die Risikomanager eingereichte Risiken, sodass diese in der Risikorunde besprochen werden.


Zusätzlich ist das Risiko-Modul standardmäßig auf maximale Transparenz ausgelegt und ermöglicht jedem Nutzer alle Risiken sowie Inhalte zu sehen und zu bearbeiten. Ein Sichtschutz kann für einzelne Risiken im Seitenkopf über Geschütztes Risiko aktiviert werden und schränkt die Zugriffsrechte auf Ersteller, Informationskreis und QMGroup des jeweiligen Risikos ein.


Mögliche und Notwendige Anpassungen

In der Ausgangskonfiguration dieses Moduls sind mindestens zwei Anpassungen notwendig, bevor du diese produktiv einsetzen kannst.

  1. Definiere den Kreis der Risikomanager (Einstellungen des Moduls öffnen > Reiter Rollen > Nutzer der Rolle QMGroup hinzufügen)
  2. Modul definieren, aus dem Q.wiki Links erlaubt sind (Einstellungen des Moduls öffnen > Reiter "Daten und Ansichten" > Inhaltsblock Risikodaten > Feld "Q.wiki Link" > Prozess Modul auswählen)



Bevor das Modul genutzt wird, sollte ein eigenes Risikoschema entwickelt werden. Dazu werde die drei Dimensionen der RPZ definiert und die Stufen der 10er Skala so voneinander abgegrenzt, dass bei der Risikobewertung ein gemeinsames Verständnis für die Skala entsteht. Darüber hinaus sollte eine kritische RPZ bestimmt werden, ab welcher Maßnahmen zur Senkung des Risikos angelegt werden.


Tipp: Der Erfahrungswert liegt bei einer RPZ von 125.


Diese notwendige organisatorische Vorarbeit sollte nicht unterschätzt oder vernachlässigt werden. Gerne unterstützen dabei die Beraterinnen und Berater mit jahrelanger Erfahrung bei der Einführung und individuellen Konfiguration des Moduls.


Bewertungsschema 

Bedeutung 

Bewertung 

Auswirkung 

Schadensumme 

10 

Gefährdung des Unternehmens oder von Menschen ohne Vorwarnung 

> 200% EBIT 

9 

Gefährdung des Unternehmens oder von Menschen mit Vorwarnung 

> 200% EBIT 

8 

Sehr hoch 

> 100% EBIT 

7 

Hoch 

> 50% EBIT 

6 

Mittelmäßig 

> 10% EBIT 

5 

Wenig 

> 5% EBIT 

4 

Sehr wenig 

> 1% EBIT 

3 

Gering 

> 0,1% EBIT 

2 

Sehr gering 

< 0,1% EBIT 

1 

Keine 

~ 0 

 

Auftretenswahrscheinlichkeit 

Bewertung 

Wahrscheinlichkeit 

Fehlerrate 

10 

Ständiges Auftreten 

jeder Prozessdurchlauf / Unternehmen: stündlich 

9 

Ständiges Auftreten 

jeder 2.-10. Prozessdurchlauf / Unternehmen: täglich 

8 

häufiges Auftreten 

jeder 11.-20. Prozessdurchlauf / Unternehmen: wöchentlich 

7 

häufiges Auftreten 

jeder 21.-40. Prozessdurchlauf / Unternehmen: monatlich 

6 

gelegentliches Auftreten 

jeder 41.-100. Prozessdurchlauf / Unternehmen: quartalsweise 

5 

gelegentliches Auftreten 

jeder 101.-200. Prozessdurchlauf / Unternehmen: jährlich 

4 

gelegentliches Auftreten 

jeder 201.-400. Prozessdurchlauf / Unternehmen: jährlich 

3 

seltenes Auftreten 

jeder 401-1.000. Prozessdurchlauf / Unternehmen: selten 

2 

seltenes Auftreten 

jeder 1000.-2.000. Prozessdurchlauf / Unternehmen: selten 

1 

tritt fast nie auf 

>2.000. Prozessdurchlauf / Unternehmen: nie 

 

Entdeckungswahrscheinlichkeit 

Bewertung

Entdeckung 

Wahrscheinlichkeit 

10 

Ereignis wird nicht (vor Eintreten des vollen Schadens) erkannt 

~0% 

9 

Ereignis wird möglicherweise (vor Eintreten des vollen Schadens) nicht erkannt 

~30% 

8 

Ereignis wird mit nur geringer Chance (vor Eintreten des vollen Schadens) erkannt 

~40% 

7 

Ereignis wird mit nur geringer Chance (vor Eintreten des vollen Schadens) erkannt 

~50% 

6 

Ereignis könnte vor Eintreten des vollen Schadens erkannt werden 

~60% 

5 

Ereignis könnte vor Eintreten des Schadens erkannt werden 

~70% 

4 

Ereignis wird mit guter Chance vor Eintreten des Schadens erkannt 

~80% 

3 

Ereignis wird mit guter Chance vor Eintreten des Schadens erkannt 

~90% 

2 

Ereignis wird fast sicher vor Eintreten des Schadens erkannt 

~95% 

1 

Ereignis wird sicher vor Eintreten des Schadens erkannt 

~100% 

War dieser Artikel hilfreich?

Das ist großartig!

Vielen Dank für das Feedback

Leider konnten wir nicht helfen

Vielen Dank für das Feedback

Wie können wir diesen Artikel verbessern?

Wählen Sie wenigstens einen der Gründe aus
CAPTCHA-Verifikation ist erforderlich.

Feedback gesendet

Wir wissen Ihre Bemühungen zu schätzen und werden versuchen, den Artikel zu korrigieren