In projektorientierten Unternehmen (bspw. Beratungsunternehmen, Bauunternehmen etc.) sind zumindest zwei Ebenen des Risikomanagements zu differenzieren:
- Risikomanagement auf Gesamtunternehmensebene (Enterprise Risk Management) und
- Risikomanagement auf Projektebene
Auf Gesamtunternehmensebene liegt der Fokus des Risikomanagements auf Risiken mit relevanter Wirkung auf die Unternehmensziele. Dafür gilt es, einen Prozess zu etablieren, der sicherstellt, dass diese Risiken rechtzeitig identifiziert, systematisch bewertet, mitigiert und berichtet werden. Ansprechpartner in diesem Prozess und Adressaten der Ergebnisse sind neben externen Adressaten vor allem Aufsichtsrat, Vorstand und Führungskräfte des Unternehmens. Prozess und Berichterstattung orientieren sich dabei am Geschäftsjahr und werden zumindest jährlich, häufiger halbjährlich oder vierteljährlich durchgeführt. Wichtig ist, Risikomanagement nicht als isolierten Prozess zu etablieren, sondern mit der Unternehmenssteuerung, dh. mit Strategie und Controlling, zu integrieren.
Risikomanagement auf Projektebene hat den Fokus auf Risiken mit relevanter Wirkung auf den Projekterfolg (Zeit, Kosten, Qualität). Von besonderer Bedeutung ist neben der Risikotransparenz für die Projektteammitglieder vor allem die zeitnahe Entscheidung über Risikobewältigungsstrategien und -maßnahmen. Im Vergleich zum Enterprise Risk Management erfolgt die Arbeit und Berichterstattung typischerweise in kürzeren Zyklen (Wochen, Monate), wobei dies natürlich auch von der Art und Dauer der Projekte bestimmt wird.
Zusätzlich zum Enterprise Risk Management ist also in projektorientierten Unternehmen ein Risikomanagement auf Projektebene zu installieren. Dieses hat seinen Fokus auf dem Einzelprojekt, und zeichnet sich durch einen spezifischen, in den Risikomanagement-Prozess involvierten Personenkreis (Projektauftraggeber, Projektleiter, Projektteam) und sehr kurze Prozesszyklen (über die gesamte Prozesskette der Risikoidentifikation, Risikobewertung und -aggregation, Risikoberichtswesen, Risikosteuerung) aus.
Im Zeitablauf, dh. in den verschiedenen Projektphasen von der Projektentstehung bis zum Projektabschluss, kann dieses Risikomanagement auch unterschiedlich ausgeprägt sein. So kann es beispielsweise sinnvoll sein, in der Projektentstehungsphase/Entscheidungsphase unterschiedliche Verantwortlichkeiten und Methoden anzuwenden als in der Projektrealisierungsphase:
In der Entscheidungsphase gilt es, häufig unter großem Zeitdruck Risiko- und Chancentransparenz zu schaffen, um eine bewusste unternehmerische Entscheidung über die Weiterverfolgung eines Projekts zu unterstützen. Bei Kundenprojekten werden dabei die Einzelrisiken und das Gesamtrisiko des Projekts ermittelt, um eine Entscheidung über Angebotsabgabe und Angebotspreis treffen zu können sowie Risikobewältigungsmaßnahmen festzulegen. Ziel ist nicht zuletzt auch die Unterstützung der vertraglichen Absicherung der Risiken sowie der Projektkalkulation.
In der Projektrealisierungsphase geht es darum, den Projekterfolg durch kontinuierliche Durchführung des Risikomanagementprozesses sicherzustellen. Der Fokus liegt dabei auf der Risikopriorisierung, der Definition von Maßnahmen und Verantwortlichen sowie auf dem Maßnahmencontrolling.
Wesentlich ist auch hier, Risikomanagement nicht als ein zusätzliches, isoliertes System zu etablieren, sondern es mit der Projektsteuerung/dem Projektcontrolling zu integrieren.
Eine der großen Herausforderungen in vielen Unternehmen ist die Gestaltung der Schnittstellen zwischen Enterprise Risk Management und Projektrisikomanagement. Viele Unternehmen versuchen, ein möglichst einheitliches Risikomanagement-System und -instrumentarium sowohl auf Unternehmens- als auch auf Projektebene einzusetzen.
Vor dem Hintergrund der oben beschriebenen, voneinander stark abweichenden Schwerpunkte und Zielsetzungen ist dies aber nicht unbedingt sinnvoll. Das eingesetzte Instrumentarium kann sich zwischen Unternehmens- und Projektebene durchaus unterscheiden:
Zur Risikoidentifikation wird es beispielsweise sinnvoll sein, auf Unternehmensebene andere Checklisten/Risikokataloge bzw. -kategorien anzuwenden als auf Projektebene. Auf Projektebene ist hier ein höherer Detaillierungsgrad und projektspezifisches Erfahrungswissen bezüglich möglicher Risiken erforderlich als auf Unternehmensebene.
Auch die Bewertungsmethode kann sich unterscheiden. Beispielsweise ist es möglich, auf Unternehmensebene einen stark quantitativen Ansatz umzusetzen und Risiken systematisch quantitativ zu bewerten, während auf Projektebene – bedingt durch die kurzen Prozesszyklen – auf die Risikoquantifizierung bewusst verzichtet wird und mit qualitativen Methoden gearbeitet wird. Andererseits gibt es in der Praxis auch Unternehmen, die auf Projektebene Risiken stärker quantifizieren, beispielsweise um Risikozuschläge zu ermitteln, während sie im unternehmensweiten Risikomanagement auf die Quantifizierung verzichten. Selbst wenn sowohl auf Unternehmens- als auch auf Projektebene Risiken quantifiziert werden, können Bewertungen oft nicht einfach von Projekt- auf Unternehmensebene übernommen werden, da sich sowohl Zielsetzung (Projekterfolg vs. Unternehmenserfolg) als auch Bewertungshorizont (Gesamtprojekt vs. Geschäftsjahr) unterscheiden.
In der Praxis ist daher der Risikomanager gefordert, eine „Übersetzung“ des Projektrisikos in ein Enterprise Risiko zu unterstützen. Es reicht häufig nicht, eine Schnittstelle zu definieren und Projektrisiken aggregiert oder bei Überschreiten einer bestimmten Schwelle ins Enterprise Risk Management zu übernehmen. Vielmehr gilt es, gemeinsam mit den Projektmanagern jene Risiken zu identifizieren, die nicht nur auf die Projektziele, sondern auch auf die Unternehmensziele wirken und diese in Bezug auf die Unternehmensziele und die relevanten Zeiträume neu zu bewerten.
Seminarhinweis:
Das Seminar “Risikomanagement in projektorientierten Unternehmen” vom Controller Institut in Wien gibt einen Überblick, welche Strategien sich in projektorientierten Unternehmen bewähren, warum diese trotzdem häufig scheitern und was Sie dagegen tun können.
Dr. Karin Exner ist Senior Advisor Strategy bei Contrast EY Management Consulting in Wien und leitet den Lehrgang Certified Corporate Risk Management, beim Controller-Institut, Wien.