MOR

Aus Wiki Itil

Inhaltsverzeichnis 1 Was ist M_o_R? - Management of Risk (M_o_R) 2 Warum ist Risikomanagement notwendig? 3 Wann und wo sollte Risikomanagement angewandt werden? 4 Grundsätze des Risikomanagements 5 Methoden des Risikomanagements 6 Prozesse des Risikomanagements 7 Seminar- und Qualifizierungsschema M_o_R (Management of Risk) 7.1 M_o_R-Essential 7.2 M_o_R-Foundation 7.3 M_o_R-Practitioner 8 Siehe auch:

Was ist M_o_R? - Management of Risk (M_o_R)

Kritische Zustände kommen in den seltensten Fällen völlig überraschend auf Organisationen zu. Meist sind die Risiken bekannt, werden aber in den wenigsten Fällen ernst genommen bzw. zu spät erkannt. Dazu ist zunächst notwendig, einmal den Begriff „Risiko“ und dessen Bedeutung zu definieren:

Risiken sind Wahrscheinlichkeiten von Ereignissen. Wenn sie auftreten, können sie die Erreichung von gesetzten Zielen behindern und Unternehmen in kritische Zustände versetzen. Mit Risiken werden Menschen und Unternehmen tagtäglich konfrontiert, sei es zum Beispiel auf dem Weg zur Arbeit, im Auto oder im Unternehmen bei der Entscheidung einer neuen Geschäftsstrategie.

Im Sinne von Organisationen ist das Thema Risikomanagement (Management of Risk, M_o_R) ein zentraler Bestandteil der Geschäftsstrategie. Jedes Unternehmen wird sich in der ein oder anderen Art und Weise mit dem Thema Risikomanagement auseinandersetzen, die meisten Unternehmen machen dies kaum erkennbar und nachvollziehbar. Hierbei fehlt es vor allem an entsprechend definierten Prozessen im Rahmen eines Risikomanagements.

Warum ist Risikomanagement notwendig?

Durch neue Grundsätze im Rahmen der Unternehmensführung, verbunden mit gesetzlichen Vorschriften, ist die intensivere Bewertung von Risiken für den Geschäftsbetrieb heutzutage unerlässlich.

Vor allem infolge der US-Bilanzskandale von Unternehmen wie Enron oder Worldcom und des daraus entstandenen Sarbanes Oxley Act (SOX) für an amerikanischen Börsen notierte Unternehmen spielt der Umgang mit Risiken heutzutage eine besonders herausragende Rolle. SOX beinhaltet Aspekte der Corporate Governance, Compliance und Berichterstattung. Durch diesen Zwang können Risiken früher erkannt werden, um damit sowohl Unternehmen als auch Anleger vor Verlusten rechtzeitig zu schützen.

SOX ist zudem einer der Treiber, weshalb Unternehmen Best Practices-Ansätze wie ITIL umsetzen. Darunter fallen auch die Methoden, die der Best Practice-Ansatz im Rahmen des Risikomanagements vorsieht.

Ziel des Risikomanagements ist, Unternehmen ein Werkzeug an die Hand zu geben, mit dem sie in definierten Schritten (Best Practice) eine bessere Einschätzung ihrer aktuellen Situation erlangen und mit dem sie die drohenden Auswirkungen besser bewerten können. Es ist nicht unbedingt das Ziel des Risikomanagements, Risiken und deren Auswirkungen gänzlich zu vermeiden. Wichtiger ist hierbei, eine korrekte Einschätzung und Handhabung der Situation zu bekommen, um damit die Unternehmensziele zu erreichen.

Wann und wo sollte Risikomanagement angewandt werden?

Eine Anwendung und Etablierung von Risikomanagement ist überall dort zu empfehlen, wo kritische Entscheidungen getroffen werden. Ausgerichtet auf langfristige Ziele, fokussiert ein Risikomanagement auf die Bewertung von Risiken im Verhältnis zu den strategischen Zielen einer Organisation. Strategisches Risikomanagement ist Risikomanagement auf höchster Unternehmensebene.

Auch mittelfristig im Rahmen von Projekten muss Risikomanagement essentieller Bestandteil der Projektplanung sein. Ebenso verhält es sich mit der Absicherung operativer Funktionen. Gerade hier muss im tagtäglichen Betrieb gewährleistet sein, dass jegliche Bedrohungen erkannt werden und der Betrieb sichergestellt ist.

Grundsätze des Risikomanagements

Für die Entwicklung von Verfahren im Rahmen eines unternehmensweiten Risikomanagements müssen verschiedene Grundsätze definiert sein. Diese müssen präzise, verständlich sowie einfach umsetzbar sein. Im Rahmen des Best Practice-Ansatzes beschreibt M_o_R folgende generische Grundsätze bzw. Voraussetzungen:

1. Verständnis der organisatorischen Zusammenhänge
2. Rolle sowie Integration der Interessenvertreter (Stakeholder)
3. Kenntnis über die Zielsetzungen der Organisation
4. Etablierung von M_o_R-Methoden
5. Implementierung von Managementinformationen (Reports)
6. Definition von Rollen und Verantwortlichkeiten
7. Strukturierte Betriebsabläufe
8. Frühzeitige Warnsysteme
9. Review-Zirkel, Qualitätssicherung
10. Überwindung von Barrieren im Bereich M_o_R (kritische Erfolgsfaktoren, Hindernisse)
11. Kultur und Organisation
12. Kontinuierliche Verbesserungsprozesse (KVP)

Diese Grundsätze können auch als Erfolgsfaktoren für die Umsetzung von Risikomanagement angesehen werden. Wie alle Erfolgsfaktoren entwickeln sich die Grundsätze des Risikomanagements kontinuierlich weiter und müssen von Zeit zu Zeit angepasst werden. Organisationen sind dazu angehalten, ihre Strategien an die Bedürfnisse des Marktes anzupassen, wozu auch die dauerhafte Bewertung von Risiken gehört.

Methoden des Risikomanagements

Jedes Unternehmen verwendet unterschiedliche Ansätze im Bereich des Risikomanagements. Um diese Methoden zu formulieren und den Beteiligten näherzubringen, empfiehlt der M_o_R-Ansatz die Entwicklung von entsprechenden Dokumenten, die die Ansätze des Risikomanagements erfassen und verbreiten.

Prinzipiell geht es darum, in der Organisation ein Bewusstsein für die Risiken des Unternehmens zu schaffen und dazu geeignete Verfahren zu entwickeln. Dazu werden folgende Leitlinien empfohlen:

• Risk Management Policy: Ein Grundlagendokument, das Richtlinien zum Risikomanagement definiert, den Umgang mit Risiken innerhalb der Organisation festlegt sowie die Art der Kommunikation beschreibt. Diese Richtlinien sind strategisch ausgerichtet.
• Risk Management Process Guide: Beschreibung der Prozesse im Risikomanagement von der Identifizierung bis hin zur Implementierung
• Risk Management Strategies: Beschreibung von Aktivitäten im Risikomanagement für (bestimmte) Teile der Organisation
• Risk Registers: Erfassung bzw. Zusammenfassung jeglicher Risiken und Chancen für jeden Bereich der Organisation
• Issue Logs: Sachbezogene Erfassung aller identifizierten Themen inklusive schon eingetretener Risiken

Das Bewusstsein für diese Themen muss Bestandteil der Organisationskultur werden. Dazu fassen die Dokumente Aufgaben, Verantwortlichkeiten und Kompetenzen im Rahmen der Identifizierung und Bewertung von Risiken zusammen.

Prozesse des Risikomanagements

Risikomanagement lässt sich in vier Teilprozesse gliedern:

• Identifizierung (Identifizierung von Risiken für das Unternehmen / das Projekt)
• Bewertung (Bewertung von Risiken und deren Auswirkungen, Berechnung von Eintrittswahrscheinlichkeiten anhand von mathematischen Methoden)
• Planung (Vorbereitung von Maßnahmen aus Sicht des Managements, um auf identifizierte Risiken zu reagieren)
• Implementierung (Erstellen von Maßnahmen zur Risikovermeidung und Überwachung dieser)

Die vier Prozesse ergeben einen zusammenhängenden, logischen Ansatz für die Implementierung von Risikomanagement. Jeder nachfolgende Schritt kann ohne die Ergebnisse des Vorgängers keine brauchbaren Aussagen im Rahmen des Risikomanagements liefern.

Auch hier spielt das Thema Lifecycle erneut die zentrale Rolle, ist doch das Erkennen vorhandener Risiken sowie eine bewusste Planung von Gegenmaßnahmen tagtägliche Aufgabe von Entscheidern. Gerade in der Lifecycle-Betrachtung in ITIL v3 spielt das Thema Risikomanagement eine große Rolle – vor allem in den Bereichen Service Strategy sowie Service Design –, soll es doch als Werkzeug beim Design von Services sowie bei der strategischen Ausrichtung der Unternehmensziele dem Management helfend zur Seite stehen.

Seminar- und Qualifizierungsschema M_o_R (Management of Risk)

Im Rahmen des Risikomanagements (M_o_R) ist folgendes Seminar- und Qualifizierungsangebot vorhanden:

M_o_R-Essential

Ziel der eintägigen Essential-Veranstaltung ist, den Teilnehmern eine Übersicht über das Thema Risikomanagement zu vermitteln. Am Ende der Einführung sollte jeder Teilnehmer die Notwendigkeit von Risikomanagement erkannt und einen Überblick über die Ansätze und Methoden des M_o_R-Ansatzes erlangt haben.

M_o_R-Foundation

Die dreitägige Foundation-Ausbildung verfolgt das Ziel, die Teilnehmer in den Grundsätzen des Risikomanagements sowie den Methoden und Prozessen des M_o_R-Ansatzes auszubilden. Die Ausbildung zur M_o_R-Foundation wird mit einer Zertifizierungsprüfung abgeschlossen. Diese umfasst eine Prüfung über 45 Fragen im Multiple-Choice-Stil mit einer Dauer von 45 Minuten.

M_o_R-Practitioner

In der fünftägigen Practitioner-Ausbildung werden die Grundsätze, Methoden und Prozesse im Rahmen des M_o_R-Ansatzes in aller Tiefe ausgearbeitet. Hierbei ist der Transfer in die Praxis von großem Interesse. Dazu findet als Abschluss eine dreistündige Prüfung statt, die auf einer Praxissituation beruht (Fallstudie). Die erfolgreich abgeschlossene Foundation-Ausbildung ist hierfür Grundlage.

Siehe auch:

Weitere Informationen dazu finden Sie unter http://www.m-o-r.org/.