Risikomanagement Prozesslandkarte

Es ist weder möglich noch erforderlich, alle FM-Risiken zu analysieren. Das Risikomanagement sollte sich an der Relevanz und Bedeutung der Risiken ausrichten. Eine grobe Risikoidentifikation basiert auf der zuvor genannten Liste, die typische FM-Risiken in Bezug auf die Leistungen im Facility Management abfragt und grob bewertet.

Identifizierte Risiken werden in Form von Szenarien hinsichtlich ihres Ausmaßes und ihrer Wahrscheinlichkeit oder Häufigkeit analysiert. Der entscheidende Schritt ist die Bewertung. Hierfür werden Kriterienkataloge für das Ausmaß, zum Beispiel von unbedeutend bis kritisch, und die Wahrscheinlichkeit, von häufig bis selten, erstellt. Diese Kriterienkataloge richten sich nach unternehmerischen Vorgaben wie der Risikopolitik oder ethischen und regulatorischen Anforderungen.

Die Risikoidentifikation basiert am besten auf Fachkonzepten mit Geschäftsprozessen der zuvor genannten FM-Funktionen, die mit detaillierten Risikotabellen hinterlegt sind. Es ist wertvoll, Gefahrenlisten als Erfahrungs- und Wissensbasis im Unternehmen zu etablieren.

Eine rechtzeitige, angemessene und effiziente Reaktion auf unerwünschte Entwicklungen oder deren Vermeidung setzt ein tiefes Verständnis der Unternehmensrisiken und ihrer Wirkungszusammenhänge voraus. Dazu zählen insbesondere die Identifikation von Risiken sowie ihre qualitative oder quantitative Bewertung. Diese Informationen bilden die Grundlage für nachfolgende Prozessschritte, vor allem für die Risikosteuerung.

Nicht identifizierte oder analysierte Risiken können nicht gesteuert oder vermieden werden.

Risiken sind alle Ereignisse und potenziellen Entwicklungen innerhalb und außerhalb der Organisation, die die Erreichung der Unternehmensziele negativ beeinflussen können. Sie beziehen sich auch explizit auf die fehlende Identifikation oder unzureichende Nutzung positiver Entwicklungsmöglichkeiten und Chancen.

Das Ziel der Risikobeurteilung besteht in der strukturierten Erfassung der wesentlichen Risiken oder Risikobereiche im Unternehmen. Das Risikobewusstsein der Kollegen beeinflusst die Risikoerkennung maßgeblich.

Für die grobe Risikobeurteilung ist die von uns empfohlene Liste der FM-Leistungen ausreichend.

• potentiellen finanziellen Auswirkungen

• Reputationsschäden

• Häufigkeit des Auftretens

• maximales Verlustpotential

• Instrumente der detaillierten Risikoidentifikation und Beurteilung pro Arbeitspaket sind:

• Erstellung je eines Fachkonzeptes (mit Anhängen; beispielsweise für die Technische Betriebsführung) und Zusammenstellung aller relevanten Geschäftsprozesse, Vereinbarungen und Standards dieses Arbeitspaketes als stimmige Anweisende Dokumentation zur Zuordnung von Risiken entsprechend einer Risikotabelle pro Arbeitspaket

• Flow-Chart-Analysen (die prozessorientierte Risikoanalyse)

• Vertragsanalysen

• Facility Incident Reporting Systeme / Störungsmeldungen / Ticketsysteme / CAFM

• Risikoaudits / Begehungen

• Beschwerden / Beschwerdemanagement

• Zufriedenheit / Kundenzufriedenheitsbefragungen

• Schadenstatistiken

• Betriebswirtschaftliche Planungsinstrumente / Benchmarks

• die Fehler-Ursachen-Analyse

• die Fehlermöglichkeits- und Einflussanalyse FMEA

• die Fehlerzustandsbaum-Analyse und das Risiko-Assessment.

Die Identifikation von Risiken ist oft eine komplexe Tätigkeit. Besonders bei Risiken, die im Unternehmen möglicherweise unbekannt sind, ist ein systematisches Vorgehen auf Basis von Fachkonzepten, Geschäftsprozessen und Risikokatalogen hilfreich.

Es ist wichtig, die Wirkungszusammenhänge einzelner Risiken zu berücksichtigen. In dieser Phase macht man die Ursachen, Fehlvorgänge und/oder Risiken transparent und bewertet ihre Wirkungen detailliert. Um die potenzielle Auswirkung zu quantifizieren, betrachtet man Risikoausmaße (Schadenpotential) und Eintrittswahrscheinlichkeiten.

Die Bewertung erfolgt nach einem für das Unternehmen einheitlichen Raster mit einer Zuordnung in z.B. fünf Stufen von unbedeutend bis existenzgefährdend für das mögliche Schadensausmaß und in den Stufen unwahrscheinlich bis fast sicher für die Eintrittswahrscheinlichkeit.

Diese Phase richtet sich nach Ihrer Unternehmenspolitik beziehungsweise Ihrer Risikopolitik und Ihren Unternehmenszielen. Auf Basis der Risikobewertung werden die passenden Steuerungsmaßnahmen eingeleitet, die die Risiken beeinflussen, z. B. personelle Maßnahmen, technische Maßnahmen und organisatorische Maßnahmen. Die Maßnahmen können entweder ursachenorientiert oder wirkungsorientiert sein. Ursachenorientierte Maßnahmen umfassen alle präventiven risikopolitischen Instrumente, die die Wahrscheinlichkeit des Schadenseintritts reduzieren. Wirkungsorientierte Maßnahmen haben dagegen das Ziel, im Schadensfall das Schadensausmaß zu begrenzen. Für die Risikohandhabung stehen die Risikovermeidung, Risikoverminderung, Risikoabwälzung und die Risikoübernahme zur Verfügung.

Wenn ein Unternehmen aufgrund hoher Risikopotentiale entscheidet, bestimmte Aktivitäten aufzugeben oder anzupassen, bezeichnet man dies als Risikovermeidung. Die Anpassung der Prozessabläufe trägt zur Vermeidung von Risiken bei.

Wenn ein Unternehmen Risiken auf Dritte überwälzt, die nicht Versicherer sind, innerhalb des Unternehmens einen Risikoausgleich erzielt oder durch technische und organisatorische Maßnahmen Schäden verhindert, bezeichnet man dies als Schadenminderung.

Risiken werden auf andere Wirtschaftssubjekte externalisiert durch Haftungsvereinbarungen und Gewährleistungsregelungen in Allgemeinen Geschäftsbedingungen, Verträge im Facility- und Gebäudemanagement, EDV, Factoring / Forderungseinzug, Logistik und Leasingverträge für Maschinen.

In der Risikofinanzierung geht es darum, ob Risiken auf Dritte externalisiert oder vom Unternehmen selbst getragen werden. Das bekannteste risikopolitische Instrument hierfür ist die Risikofinanzierung durch Fremdversicherungen. Die Kosten versicherter Schäden werden aufgrund eines Versicherungsvertrages gegen Zahlung einer Prämie von einer oder mehreren Versicherungsgesellschaften getragen. Oftmals werden Selbstbehalte vereinbart, sodass die Versicherungsgesellschaft ihre Leistung erst erbringt, wenn der Schaden den Selbstbehalt übersteigt.

Traditionelle Versicherungsprogramme verlagern Risiken durch den Einkauf von Versicherungsschutz auf einen Versicherer. Besonders wichtig ist die Absicherung von existenzbedrohenden Risiken. Bei mittleren Risiken bietet eine Kosten-Nutzen-Betrachtung Orientierung bei der Gestaltung des Versicherungsprogramms.

Risiken können z.B. durch Verträge auf Dritte verlagert werden.

Im Bereich des Facility Managements und des Immobilienmanagements ist die Selbstfinanzierung oder das Selbsttragen eine häufige Form der Risikobewältigung. Das Unternehmen trägt dabei alle nicht versicherten oder nicht versicherbaren Maßnahmen zur Risikobeschränkung selbst. Die Finanzierung der Schadenskosten erfolgt in der Regel aus den laufenden Budgets, was hohe Schadenskosten zur Folge haben kann.

Es ist zu beachten, dass das beim Unternehmen verbleibende Risikopotenzial oft höher ist als das Risikopotenzial, das durch Verminderungsmaßnahmen oder Versicherungen abgedeckt wird.

Viele Risiken werden selbstgetragen, weil sie nicht versicherbar sind, wie zum Beispiel das Katastrophenrisiko und das unternehmerische Risiko. Die externe Selbstversicherung kann über Captive Insurance Companies, Pensionskassen oder kommunale Schadensausgleiche realisiert werden.

Das Selbsttragen von Risiken erfolgt oft unfreiwillig und bleibt nach allen anderen Maßnahmen übrig. Selbsttragen hat sowohl einen passiven als auch einen aktiven Aspekt. Passiv wird vor allem durch die Risikobereitschaft der Unternehmensleitung bestimmt, wie weit man bereit ist, einen Schaden bewusst in Kauf zu nehmen und die Konsequenzen zu tragen. Aktiv werden Mittel bereitgestellt, um eine Störung aus eigener Kraft zu überwinden, ohne die Unternehmensziele wesentlich zu beeinträchtigen.

Im Risikomanagement gilt der Grundsatz: Das Risikodeckungspotential, vor allem das Eigenkapital, muss dem selbst zu tragenden Risikoumfang entsprechen. Es geht nicht um die Minimierung der Risikopositionen, sondern um die Optimierung des Chancen-Risiko-Profils, da Unternehmertum ohne Risiko nicht existiert.

Risiken mit geringem Schadensausmaß und Eintrittswahrscheinlichkeit akzeptiert das Unternehmen. Auch mittlere Risiken, bei denen die Kosten für mögliche Steuerungsmaßnahmen zu hoch sind, werden akzeptiert. Bei dieser Strategie bleibt zu berücksichtigen, dass Risiken, die bewusst akzeptiert werden, kontinuierlich beobachtet werden müssen, um mögliche Änderungen rechtzeitig zu berücksichtigen.

Die Entscheidung, welche Steuerungsstrategie für ein bestimmtes Risiko angewendet wird, ist immer individuell. Es ist wichtig sicherzustellen, dass die eingesetzten Instrumente von den Risikoverantwortlichen verstanden werden und durch das vorhandene Risiko-, Berichts- und Kontrollwesen angemessen erfasst und überwacht werden. Der Einsatz von Instrumenten zur Risikominderung oder Übertragung kann neue Risikopotentiale schaffen. Die Auswirkungen auf die Gesamtrisikoposition des Unternehmens müssen sorgfältig überwacht werden.

Die Risikoüberwachung stellt sicher, dass die Ist-Risikolage des Unternehmens zu jeder Zeit der gewollten Soll-Risikolage entspricht. Im Mittelpunkt steht die ständige operative Kontrolle der Wirksamkeit der Risikosteuerungsmaßnahmen und der Unternehmensabläufe.

Eine ständige Erfolgskontrolle durch Soll-Ist-Vergleich gewährleistet den reibungslosen Ablauf und die Funktionstüchtigkeit des Risikomanagements im Facility Management und somit der FM-Prozesse. Abweichungsanalysen beziehen sich im Bereich der quantifizierbaren Risiken auf die Einhaltung von Limitvorgaben. Bei nicht quantifizierbaren Risiken überwachen sie die relevanten Grenzen für ausgewählte Kriterien oder Kennzahlen.

Zur Risikoüberwachung gehört auch die Erfassung von Risikoveränderungen über die Zeit. Risikoverläufe werden ständig ausgewertet und kommuniziert und können bei Bedarf Steuerungsmaßnahmen auslösen.

Das Ziel der Überwachung des gesamten Risikomanagement-Systems ist es, die Wirksamkeit, Angemessenheit und Effizienz der ergriffenen Risikomanagement-Maßnahmen und Kontrollstrukturen zu überprüfen. Sie identifiziert Schwachstellen und löst notwendige Anpassungen aus.

Die Überwachung des Risikomanagement-Systems sorgt auch für eine zukunftsorientierte Beobachtung der operativen und strategischen Risikosituation des Unternehmens und macht auf veränderte Umfeldparameter aufmerksam. Sie dient als "Risikoradar" und stellt sicher, dass die Risikoidentifikation und -analyse über die Zeit effektiv bleibt.

Die regelmäßige Überprüfung der Risikomessmethoden, einschließlich ihrer Grundannahmen, in Bezug auf ihre Aussagekraft gegenüber tatsächlichen Wertänderungen, ist Teil der Überwachung des Risikomanagement-Systems.

All diese Maßnahmen sind nur dann erfolgreich, wenn das Risikomanagement im Unternehmen aktiv umgesetzt wird. Eine offene Fehlerkultur ist entscheidend. Nur wenn Mitarbeiter bereit sind, offen über ihre Fehler zu sprechen, werden Fehler und damit Risiken im Unternehmen bekannt und können gemanagt werden.

Daher ist es unerlässlich, ein Facility Incident Reporting System einzuführen.