Operational Risk Model

Basel II · 2004 · vereinfacht

Seite 1 / 2

Kern-Aussage

Jede Organisation hat operative Risiken — die Frage ist nur, ob sie sie bewusst managt oder zufällig mit ihnen umgeht. Die vier Quellen bilden ein vollständiges Bild der nicht-strategischen Risiken, die den Alltag prägen.

Die 4 Risikoquellen (nach Basel II)

Menschen

Fehler, Fehlverhalten, Ausfall von Schlüsselpersonen, mangelnde Qualifikation.

Prozesse

Fehlerhafte Abläufe, fehlende Kontrollen, unklare Verantwortlichkeiten.

Systeme

IT-Ausfälle, Datenverlust, Sicherheitslücken, Technologieabhängigkeit.

Externe Ereignisse

Marktveränderungen, regulatorische Eingriffe, Lieferantenausfälle.

Operatives Risiko = Verlust durch unzureichende Prozesse, Menschen, Systeme oder externe Ereignisse.

Besonders unterschätzt

M
Menschen — Schlüsselpersonenabhängigkeiten sind der häufigste blinde Fleck. Wenn ein Mitarbeitender geht, geht das Wissen mit.
P
Prozesse — Abläufe, die niemand mehr vollständig versteht, sind tickende Zeitbomben. Dokumentation ist keine Bürokratie, sondern Schutz.
E
Externe Ereignisse — Lieferantenausfälle, regulatorische Änderungen und Marktschocks kommen selten mit Vorwarnung.

Human Factory

human-factory.de/inside/humanfactors

Seite 2 — Arbeiten

Human Factory · Operational Risk Model

Basel II · 2004 · Seite 2 / 2

Arbeiten

Praxis

Stolperfallen

–Schlüsselpersonenabhängigkeiten benennen, aber nicht adressieren — weil es unbequem ist, das Gespräch zu führen
–Risikomanagement als Compliance-Übung behandeln, statt als strategisches Steuerungswerkzeug
–Den Faktor 'Mensch' in der Risikobetrachtung ausklammern, weil er sich schwerer quantifizieren lässt als IT oder Prozesse

Woran erkenne ich Fortschritt?

+Neue Projekte und Prozesse durchlaufen eine operative Risikoprüfung — bevor sie live gehen, nicht danach
+Incidents werden nach Kategorie (Mensch, Prozess, System, Extern) erfasst und ausgewertet
+Schlüsselpersonenabhängigkeiten sind dokumentiert und es gibt aktive Maßnahmen dagegen
+IT- und Systemrisiken werden in der Geschäftsführung besprochen — nicht nur in der IT-Abteilung

Buzzword-Check

≠ 'Nur für Banken': Operatives Risiko existiert in jeder Organisation — Basel II hat es formalisiert, nicht erfunden
≠ 'Risikomatrix': Eine Matrix ist ein Werkzeug, kein System. Ohne Verantwortliche, Kontrollen und Review bleibt sie Papierdekoration
≠ 'Das managen wir situativ': Situatives Risikomanagement ist reaktives Risikomanagement — und kostet strukturell mehr als systematische Prävention

Einsatzmöglichkeiten

Jahresplanung: Operative Risikoprüfung nach den vier Quellen als fester Bestandteil der Strategie- und Budgetplanung
Projektstart: Jedes größere Projekt mit einer 4-Quellen-Risikoprüfung beginnen — vor der ersten Implementierung
Personalentscheidungen: Bei der Besetzung kritischer Rollen explizit prüfen: Wo entsteht Schlüsselpersonenabhängigkeit?
Incident-Management: Jede Störung kategorisieren — und monatlich auswerten, welche Quelle am häufigsten auftritt

Was kann ich morgen schon tun?

4-Quellen-Scan

Die eigene Organisation durch alle vier Risikoquellen betrachten: Wo sind die größten unadressierten Risiken gerade?

Schlüsselperson-Check

Drei Namen notieren, deren Ausfall oder Abgang morgen ein ernstes Problem wäre. Was ist dagegen vorbereitet?

Incident kategorisieren

Den letzten Fehler oder die letzte Störung nehmen und einer der vier Quellen zuordnen. Was lernt man daraus?

Meine Gedanken

Human Factory

human-factory.de/inside/humanfactors

Im Browser: „Als PDF speichern" wählen · Seitenlayout: Hochformat · Ränder: Keine