Risikomanagement-Prozess 1. Planung: Die Planung dient der Strukturierung des Vorhabens. Darunter ist bspw. ein Projektkonzept zu verstehen.
2. Identifizieren: Die Risikoidentifikation erfolgt für alle Bereiche zweistufig. Zuerst wird auf Basis der so genannten Risikofelder (Beobachtungsbereiche, strukturiert nach den Geschäftsprozessen) die Risikoidentifikation durchgeführt. Nach strukturierter, nachvollziehbarer Risikoanalyse pro Risikofeld, erfolgt die Einschätzung der Risiken anhand einer Relevanzskala.
3. Analysieren, konsolidieren: Die Risikoanalyse beinhaltet eine detaillierte Beschreibung des Risikos inklusive der Darstellung von Wirkungszusammenhängen und Korrelationen. Bereits bestehende Maßnahmen werden hier aufgeführt und Frühwarnindikatoren, anhand derer Entwicklungstendenzen erkennbar sind, festgehalten.
4. Bewerten: Die quantitative Risikobewertung erfolgt mittels der Definition von Planungsabweichungen sowie aus Basis von Szenariobetrachtungen.
5. Aggregieren, kumulieren: Risiken treten nicht alle gleichzeitig auf. Um die Gesamtrisikoposition zu berechnen ist es deshalb erforderlich, die Risiken unter Ursache-Wirkungs-Beziehungen zu betrachten sowie Schadensausmaß und Eintrittswahrscheinlichkeit zu definieren. Risiken werden mittels Simulationstechnik aggregiert, d.h. in ihrem Zusammenwirken dargestellt. Dies erfolgt bei Joh. Barth zunächst nur im Rahmen der Arbeit des RM-Kernteams.
6. Reporting, Berichtswesen: Die periodische Risikoberichterstattung dient der regelmäßigen Überwachung und Kontrolle. Hierdurch wird sichergestellt, dass den Verantwortlichen die relevanten Risikoinformationen in geeigneter Weise zur Verfügung stehen. Hierzu gehören auch ad-hoc-Berichte in besonderen Ausnahmesituationen.
7. Steuerung, Überwachung: Im Rahmen der definierten Risikostrategie werden Entscheidungen über den weiteren Umgang mit den identifizierten Risiken getroffen. Hierzu gehört unter anderem die Abwägung ob Risiken selbst getragen, vermindert, vermieden oder auf externe Risikoträger transferiert werden. Zudem ist es es erforderlich Verantwortlichkeiten zu definieren und Überwachungszyklen festzulegen.
Risikomanagement-prozess 8. Audits, Weiterentwicklung: Um das implementierte Risikomanagementsystem regelmäßig auf seine Wirksamkeit zu testen werden Audits durchgeführt, die wechselnde Inhalte zum Thema haben. So kann Verbesserungspotenzial aufgedeckt und Weiterentwicklungspotenziale ermittelt werden.
