Inhalt Abschnitt A Imtech Risk Management Policy... 3 Festlegung der Imtech Risk Management Policy... 3 Die wichtigsten Grundsätze...

Transkript

1

2 Inhalt Abschnitt A Imtech Risk Management Policy Festlegung der Imtech Risk Management Policy Die wichtigsten Grundsätze Rollen und Verantwortungsbereiche Risikobereitschaft... 8 Abschnitt B Imtech Risk Management Manual Umfang Risikomanagement-Prozess Eskalation der Risiken und Bewertung des RM-Prozesses Anhänge Anhang A Definitionen Anhang B Risikoumgebung Anhang C Inhalt des Projektrisiko-Verzeichnisses Anhang D Monatliche Überprüfung Anhang E Inhalt des Projektabschlusses Anhang F Inhalt der Risiko-Eskalation Anhang G -Risikoanalyse Vorlage.. 35 Anhang H -Tenderboard Freigaberichtlinie 36 Anhang I - Eskalationsplan 37 Anhang J - Projektabschlussprotokoll 38 2

3 Abschnitt A Imtech Risk Management Policy 1. Festlegung der Imtech Risk Management Policy Diese Richtlinien legen die Sicht der Imtech auf das Risikomanagement (RM) dar und definieren die Grundsätze und Vorgaben, die Imtech als Organisation erfüllen muss. Imtech hat sich der erfolgreichen Verfolgung ihrer Strategie verschrieben und die erfolgreiche Ausführung von Projekten ist das Herz dieser Strategie. Imtech geht Risiken ein, die ihrer Strategie innewohnen, um die Ziele der Gruppe, der Geschäftsbereiche und Projekte zu erreichen und betrieblich hervorragende Leistungen für die Anteilseigner zu erbringen. Imtech strebt eine gemeinsame, formalisierte und systematische unternehmensweite Methode zur Behandlung von Projektrisiken an. Imtech ermutigt aber auch die Geschäftsbereiche, bewährte Techniken einzusetzen, Wissen und Erfahrungen zu teilen und für die Anteilseigner im möglichen Umfang mehr Transparenz zu den Kernrisiken zu schaffen. Diese Methode steigert das Bewusstsein für Projektrisiken, garantiert eine angemessene Handhabung von Projektrisiken als Teil des Tagesgeschäfts des Managements und macht Risikoprofile der Geschäftsbereiche transparent. Imtech erkennt an, dass die Handhabung von Risiken mit einem guten Corporate Governance und RM untrennbar verbunden ist, und wird zusammen mit anderen Governance, Risk and Compliance (GRC) Initiativen die Konformität mit den geltenden Anforderungen des Corporate Governance unterstützen. Diese RM-Richtlinien basieren auf bewährten Vorgehensweisen und anerkannten Governance Codes. Diese Policy & Manual legen die Ziele des Risikomanagements und die Mindestanforderungen für die Imtech-Geschäftsbereiche fest. Sie gelten für alle Geschäftsbereiche und Unternehmen unter der Kontrolle der Imtech. Das schließt auch Joint Ventures oder andere geschäftliche Konstellationen oder Verbindungen mit ein, an denen Imtech mehrheitlich beteiligt ist. Vom Management wird erwartet, dass es Risiken strukturell in Übereinstimmung mit dieser Policy & Manual behandelt. 3

4 2. Die wichtigsten Grundsätze Die wichtigsten Grundsätze des Risikomanagements der Imtech sind: Das RM ist im Einklang mit und eingebettet in die Strategie der Imtech und ihrer Geschäftsbereiche und stellt die Erkennung und Handhabung von Projektrisiken innerhalb der verschiedenen Geschäftsbereiche in den Mittelpunkt. Imtech Manager aller Ebenen sind für die Implementierung und Durchführung des Risikomanagements innerhalb ihrer jeweiligen Bereiche verantwortlich. Schlüsselrollen, Verantwortlichkeiten und Vollmachten in Bezug auf das Risikomanagement sind klar definiert und innerhalb der Organisation bekannt. Führungsorgane (z. B. Vorstand, Audit-Ausschuss, etc.) verfügen über angemessene Transparenz und Einblicke in die Praktiken des Risikomanagements der Organisation, um ihre Aufgaben zu erfüllen. Eine gemeinsame Definition von Risiken und risikobezogene Begriffe werden konsistent unternehmensweit benutzt. Die gemeinsame Risk Management Policy & Manual werden in der gesamten Organisation zur Behandlung von Risiken eingesetzt. Diese deutsche Version ist auf die Abläufe und Festlegungen der Imtech Deutschland und Osteuropa abgestimmt und gilt als Risiko-Handbuch der Geschäftseinheit. Alle relevanten Dokumente sind in der Community Tenderboard in C3 hinterlegt, das gilt insbesondere für die Freigabematrix und die Vorlage zur Risikoanalyse 3. Rollen und Verantwortungsbereiche Das Projektrisikomanagement liegt primär in der Verantwortung der Linienführung, der Projektmanager und aller (Mitarbeiter-)Funktionen, die in Projekte eingebunden sind. Besondere Verantwortungen für die Anwendung, den Support und die Prüfung von Risikomanagement-Prozessen werden im Einzelnen in diesem Abschnitt dargelegt. Aufsichtsrat und Audit-Ausschuss der Royal Imtech 4

5 Überprüfung und Genehmigung von Risk Management Policy & Manual auf ihre Konsistenz mit den Konzernzielen der Imtech. Überprüfung und Genehmigung der Risikobereitschaft und Risikotoleranz des Konzerns. Überprüfung des Risiko-Portfolios unter Berücksichtigung der Risikotoleranzen des Konzerns. Überwachung der angemessenen Anwendung der Risikomanagement- Richtlinien und der verbundenen Verfahren in den Geschäftsbereichen. Imtech Vorstand/ Board of Management Letztendliche Verantwortung für die Risk Management Policy & Manual sowie deren Umsetzung. Formulierung der Risikobereitschaft und -toleranzen des Konzerns, Prüfung und Genehmigung der Risikotoleranz-Erklärungen der Geschäftsbereiche. Festlegung, Bekanntgabe und Unterstützung der Imtech Methode für das Projektrisikomanagement für und an alle Geschäftsbereiche. Kritische Überprüfung und Kommentierung der Risikoberichte der Geschäftsbereiche. Sicherstellung, dass die geeigneten Strukturen, Prozesse und Kompetenzen Imtech-weit eingerichtet sind, um den in diesen RM-Richtlinien und dem verbundenen Handbuch festgelegten Anforderungen gerecht zu werden. Bericht über die Risiken an den Aufsichtsrat. Konzernausschuss für die Angebotsprüfung/ Group Tender Review Board 5 Diskussion über die spezifischen von einem Geschäftsbereich vorgelegten Projektrisiken und Entscheidung über das Projekt zum Ende der Sitzung. (Tenderboard Sitzung) Sicherstellung, dass die Prüfung der spezifischen Angebotsrisiken und, falls nötig, der spezifischen Bedingungen besprochen wurden und in das Sitzungsprotokoll aufgenommen wurden.

6 Unterzeichnung der sogenannten Authorization To Proceed (ATP), wenn alles besprochen und genehmigt wurde. GRC Direktor Prüfung und Genehmigung der Risk Management Policy & Manual der Imtech. Überprüfung der Qualität des Risikomanagements innerhalb der Geschäftsbereiche. Koordinierung & Unterstützung des Risikorats (Risk Council) Risikomanagement der Royal Imtech Beratung zu den ATP und des Konzernausschusses für die Angebotsprüfung. Abgabe eines wöchentlichen Berichts über ATP-Projekte an den Vorstand und den GRC-Direktor. Überprüfung der Risiko-Handbücher der Geschäftsbereiche und Sicherstellung, dass diese mit dieser Risk Management Policy & Manual und den entsprechenden Verfahren auf einer Linie liegen. Unterstützung der Geschäftsbereiche bei der Umsetzung dieser Richtlinien, Handbücher und verbundenen Werkzeuge und Methoden. Aufrechterhaltung der Kommunikation über das Risikomanagement innerhalb der Imtech-Organisation. Unterstützung der DRMs (Division Risk Manager) bei der Ausführung ihrer Risikomanagement-Aufgaben und Koordination von Schulungen über das Risikomanagement innerhalb der Geschäftsbereiche. Bewertung der RM-Implementierung innerhalb der einzelnen Geschäftsbereiche sowie Feststellung, inwieweit diese Implementierung mit den RM-Richtlinien und dem verbundenen Handbuch konform ist. Bericht an den GRC-Direktor. Aktualisierung und Pflege des RiskMaster. Management des Geschäftsbereichs/ Geschäftsführung, Geschäftsleitung IMD 6

7 Sicherstellung, dass das Risikomanagement innerhalb der Bereiche mit geeignetem RM-Personal eingerichtet ist. Sicherstellung, dass das Risiko-Handbuch des Geschäftsbereichs die Anforderungen erfüllt, die in dieser (Konzern) Risk Management Policy & Manual beschrieben ist. Implementierung der RM-Richtlinien und des verbundenen Risiko-Handbuchs/ Risikoanalyse des Geschäftsbereichs innerhalb des Geschäftsbereichs. Entwicklung und Überprüfung der Risikobereitschaft und der verbundenen Risikotoleranzen des Geschäftsbereichs entsprechend den Risikotoleranzen des Konzerns. Sicherstellung, dass (Projekt-) Risiken erkannt, bewertet, verwaltet und berichtet werden, so wie es in diesen RM-Richtlinien und den verbundenen Risiko- Handbüchern und -Verfahren des Geschäftsbereichs beschrieben ist. Entwicklung und Aufrechterhaltung einer geeigneten Organisation, um die Anwendung der RM-Richtlinien und der verbundenen Risiko-Handbücher und Verfahren des Bereichs zu erleichtern. Tenderboard Freigaben Risikomanager der Imtech Deutschland/ Division Risk Manager 7 Implementierung und Pflege des Risiko-Handbuchs/ Risikoanalyse des Geschäftsbereichs in Anlehnung an die Imtech Risk Management Policy & Manual und die verbundenen Verfahren. Unterstützung und Schulung der Geschäftseinheiten der Bereiche in Bezug auf die Risikomanagement-Tätigkeiten. Aufbau und Führung einer RM Einheit für die Geschäftsbereiche Sicherstellung, dass (Projekt-) Risiken erkannt, bewertet, verwaltet und berichtet werden, so wie es in diesen RM-Richtlinien und den verbundenen Risiko- Handbüchern und -Verfahren des Geschäftsbereichs beschrieben ist. Beratung des Geschäftsbereich-Managements bei ATP-Projekten. Vorbereitung und Unterstützung im ATP Prozess Angebotsgenehmigungen im Rahmen der Freigabe Richtlinien der Imtech Deutschland und Osteuropa (Tenderboard)

8 Unterzeichnung der sogenannten Authorization To Proceed (ATP) Aufrechterhaltung der Kommunikation über das Risikomanagement innerhalb der Bereichsorganisation. Entwicklung und Mitwirkung des RM-Prozesses im Projekt Durchführung von Projekt Audit Evaluierung der RM Prozesse Bericht über den Stand der Risikomanagement-Implementierung innerhalb des Geschäftsbereichs an den GRC-Direktor. Teilnahme an den Sitzungen des Risk Council. Information an das Management 4. Risikobereitschaft Imtech strebt an, risikobewusst, aber nicht risikoavers zu sein. D. h., dass Imtech sich immer bewusst sein sollte, wo potentielle Risiken und Chancen eines Projekts liegen. Imtech strebt aktiv danach, Risiken/Angebote mit folgenden Konsequenzen zu meiden: Negative Auswirkungen auf die Sicherheit aller relevanten Anteilseigner, Negative Auswirkungen auf unseren Ruf; Verletzungen von Gesetzen oder Vorschriften Gefährdung der zukünftigen Existenz des Unternehmens; oder Gefährdung eines nachhaltigen Gewinns. Gegen interne/ externe GRC Richtlinien verstoßen Kalkuliertes Ergebnis < 5% Das Management der entsprechenden organisatorischen Ebenen wird nach Bedarf das Risikoverhalten zur Erreichung der Projektziele festlegen. Die Reaktionen müssen innerhalb der Risikotoleranzgrenzen des Geschäftsbereichs liegen, die regelmäßig durch das Management formuliert und aktualisiert werden. Die Risikobereitschaft und die Risikotoleranzgrenzen des Geschäftsbereichs müssen auf einer Linie mit der Risikobereitschaft der Imtech-Gruppe liegen. Diese Informationen und Vorgaben sind in der Datei B_5 Risikoanalyse, Register 1 (Anlage G) 8

9 hinterlegt und somit bei der Erstellung der Risikoanalyse immer verfügbar und zu beachten! Abweichungen sind mit DRM/ Tenderboard vorab abzustimmen! Abschnitt B Imtech Risk Management Manual 5. Umfang Dieses RM-Handbuch ist für alle Geschäftsbereiche und Unternehmen unter der Kontrolle der Imtech gültig. Das schließt auch Joint Ventures oder andere geschäftliche Konstellationen oder Verbindungen mit ein, an denen Imtech mehrheitlich beteiligt ist. Es gilt auch auf Konzernebene und für Funktionen, die in das Projektmanagement eingebunden sind sowie für Funktionen der Projektmitarbeiter. Dieses Handbuch legt den Schwerpunkt überwiegend auf das Projektrisikomanagement und bezieht sich somit auf Risikomanagement-Tätigkeiten in folgenden Projektphasen: Angebotsphase Projektausführung Projektabschluss. Das Enterprise Risk Management (ERM) wird in diesem Dokument nicht beschrieben. Es wird in einem späteren Stadium entwickelt und implementiert werden. 6. Risikomanagement-Prozess Der nachfolgend beschriebene Risikomanagement-Prozess definiert die Methoden und Standards des Projektrisikomanagements und die wichtigsten Schritte zur Wahrnehmung der Verantwortung für das Projektrisikomanagement. Er basiert auf den Prinzipien für das Risikomanagement, die in Kapitel 2 beschrieben sind, und muss von den Geschäftsbereichen als Leitlinie für die Mindestanforderungen an die Implementierung und Umsetzung des Projektrisikomanagements benutzt werden. 9

10 Begriffe und Definitionen, die für den Risikomanagement-Prozess benutzt werden, sind im Anhang A Definitionen erklärt. Der gesamte RM Prozess ist Bestandteil des Imtech Management-System (IMS) Der hier beschriebene Prozess und die Methode ersetzen nicht das bestehende Authorization To Proceed (ATP) Genehmigungs-Verfahren oder die Genehmigungsabläufe. Sie stellen eine Ergänzung dieser Dokumente dar. Die Tenderboard Freigabe Richtlinien der Imtech Deutschland zur Genehmigung von Angeboten sind uneingeschränkt zu beachten! Ziel des RM-Prozesses ist es, eine strukturierte und konsistente Methode zu unterstützen, um Risiken kontinuierlich und in integrierter Weise in Imtech-Projekten zu erkennen, zu priorisieren und zu handhaben. Der RM-Prozess kennt verschiedene aufeinander folgende Schritte in den verschiedenen Projektphasen. Die verschiedenen Schritte des Risikomanagement- Prozesses werden per Projektphase Angebot, Ausführung, Abschluss beschrieben. Länge und Komplexität einer jeden Phase hängen vom Projekttyp ab (Bau-, Instandhaltungs-, Service-Projekte/-Verträge, etc.). Aber alle haben diese drei Phasen. Für jeden Schritt werden die entsprechenden Funktionen (Mindeststandards) und deren Ergebnisse beschrieben. Weitere Erläuterungen sind in der Datei B_5 Risikoanalyse, Register 2 hinterlegt. Die Abläufe des RM sind zudem im Management Handbuch der Imtech Deutschland beschrieben und festgelegt. Die Relation zwischen einem Standard-Projekt und den Schritten des Risikomanagements wird in der Abbildung unten gezeigt: 10

11 Abb. 6.1 Risikomanagement in einem Standard-Projekt. Beachten Sie hierzu die weiteren Erläuterungen und Ergänzungen in der Vorlage Risikoanalyse (B5) Angebotsphase Die Angebotsphase beginnt mit dem Eingang einer Angebotsanfrage bei Imtech und endet mit einer Vereinbarung mit dem Kunden (unterzeichnetes Angebot und Vertrag). Schritt 1 Identifikation von Risiken/ Chancen Ziel dieses Schritts ist es, eine erste Klassifizierung des Projektprofils vorzunehmen, die Projektziele/Liefergegenstände zu klären und zu vereinbaren und die (einzelnen) Risiken innerhalb des Projekts, die die Erreichung dieser Ziele und Liefergegenstände beeinträchtigen könnten, zu erkennen. Der erste Schritt beinhaltet auch die Erstellung einer ersten Klassifizierung des Projektprofils durch eine Einschätzung des Risikoprofils des Projekts in seiner Gesamtheit (Quick Check Step 0) Diese Klassifizierung muss als Vorlage genutzt werden, wenn die Entscheidung Angebot/kein Angebot getroffen wird. Dieser Prozessschritt ist Teil des Imtech Management Systems. 11

12 Diese Klassifizierung dient auch dazu, Projekte mit einem (sehr) geringen Risikoprofil herauszufiltern, da diese nur einen eingeschränkten Risikomanagement-Prozess benötigen. Diese erste Klassifizierung kann mit Hilfe dieses schnellen und einfachen Fragebogens erfolgen, der auf den Geschäftsbereich und deren Projekttypen zugeschnitten ist. Die Vorlage Quick Check, in der Datei Risikoanalyse, Register 3 ist hier zu verwenden. Die Ergebnisse sind vom Tenderteam abzulegen. Themen, die in dieser ersten Klassifizierung berücksichtigt werden müssen, sind: Art der erforderlichen Arbeiten Art der erforderlichen Technologien Vertragliche Vereinbarungen und verbundene Risiken nach Wunsch des Kunden; Strategische Eignung; Komplexität; Kundentyp/frühere Erfahrungen mit dem Kunden; Notwendigkeit für ein Joint Venture oder eine Zusammenarbeit mit Drittparteien; Landes-/Ortsspezifische Umstände in Bezug auf die Projektausführung; Risikoprofil des Projekts passt nicht in die Risikobereitschaft des Geschäftsbereichs. Ergebnis dieser ersten Klassifizierung ist, dass Projekte, die nicht unter die Risikobereitschaft der Imtech (und die Risikobereitschaft des entsprechenden Geschäftsbereichs) fallen, nicht akzeptiert und nicht in die Angebotsphase übernommen werden. Projekte, die unter die Risikobereitschaft der Imtech (und die Risikobereitschaft des entsprechenden Geschäftsbereichs) fallen, erhalten eine Klassifizierung des Projektrisiko-Profils. Diese Klassifizierung kann Projekt vom Typ A, B, C oder geringes Risiko-Profil, mittleres Risiko-Profil, hohes Risiko-Profil (und sehr hohes Risiko-Profil ) sein. Art und Weise der einzusetzenden Klassifizierung ist in der Risikoanalyse des Geschäftsbereichs beschrieben. Sie muss in einer Weise erfolgen, dass auf der Grundlage der Fragen (und zugrunde liegenden Einschätzung) gewährleistet ist, dass die Risiken im Rahmen eines Projektes (oder für Service, Instandhaltung, Direktverkäufe, etc.) mit der Klassifizierung geringes Risiko-Profil (oder vergleichbare) (sehr) begrenzt sind. 12

13 Projekte mit der Klassifizierung geringes Risiko-Profil werden direkt zu Schritt 5 des Prozesses in der Ausführungsphase weitergeleitet. Diese Projekttypen müssen nicht den ganzen Prozess, wie unten beschrieben, durchlaufen. Die nächste Tätigkeit innerhalb dieses Schritts ist die Identifikation und Vereinbarung der Projektziele. Für ein spezifisches Projekt können Ziele in Vorgaben, geschäftlichen/leistungsbezogenen Schlüsseltätigkeiten, Liefergegenständen oder Meilensteinen ausgedrückt werden. Das kann auf Vereinbarungen mit Kunden (z. B. Meilensteine, Qualität, etc.) oder auf internen Projektzielen (z. b. Termine, Budget, Ergebnis, Einsatz neuer Technologien, Personaleffizienz, etc.) beruhen. Unabhängig von der Terminologie sollte klar sein, was, wann und durch wen erreicht werden sollte. Mit Blick auf die Projektziele müssen die spezifischen Projektrisiken identifiziert werden. Während dieser Risiko-Erkennung muss ein breites Spektrum an Risiken berücksichtigt und bewertet werden (z. B.: birgt die Umgebung, in der wir unser Projekt ausführen müssen, zusätzliche Risiken? Oder verursachen die Kultur des Landes, in dem wir arbeiten werden, und die Menschen, mit denen wir arbeiten werden, zusätzliche Risiken?) Siehe Anhang B für Generische Risikoumgebungen, der eine anschauliche Darstellung potentieller Risikobereiche bietet und als Denkanstoß zur Erkennung potentieller Risikoklassen dient. Diese Risikoumgebung und weitere Hinweise sind auch in der Risikoanalyse, Register 1 hinterlegt. Während dieser Phase der Identifikation von Risiken ist es äußerst empfehlenswert, Projektabschlussprotokolle ähnlicher abgeschlossener Projekte hinzuziehen (für Bewertungsformulare siehe Schritt 6 im Risikomanagement-Prozess). Diese Formulare (Projektabschluss Protokoll) können Einblicke in die erkannten Risiken vor und während früherer Projekte mit vergleichbaren Eigenschaften bieten. Bedenken Sie, dass ein Risiko ein Ereignis mit einer Kombination von Ursache und Wirkung ist, das die Erreichung der Ziele eines spezifischen Projekts oder Service (positiv oder negativ) beeinflussen könnte. Deshalb sollte die Beschreibung der 13

14 erkannten Risiken klar und hinreichend detailliert Ursachen und Wirkung identifizieren, um so eine Risikobewertung möglich zu machen. Ergebnis dieses Schrittes ist ein Projektrisiko-Verzeichnis, eine standardmäßig dokumentierte Übersicht über die projektspezifischen Risiken (sowohl in der Angebotswie auch in der Ausführungsphase). Dieses Projektrisiko-Verzeichnis ist die Risikoanalyse, Vorlage B5. Das Projektrisiko-Verzeichnis (Risikoanalyse) beinhaltet auch die Resultate der anfänglichen Projektklassifizierung. Für Projekte mit einem Klassifizierungsergebnis niedriges Risikoprofil muss nur die Erstklassifizierung dokumentiert werden. Die Elemente, die durch diese Risikoanalyse abgedeckt sein sollten, sind in Anhang C beschrieben. Die Risikoanalyse muss an zentraler Stelle archiviert/gespeichert und für den Fall eines Audits zugänglich sein. Projekte, die auf der Grundlage der anfänglichen Projektklassifizierung entweder als (sehr) hohes Risikoprofil eingestuft wurden, sich für die Einhaltung des Imtech Royal ATP-Prozesses und dem nachfolgenden Tenderboard zur Angebotsprüfung (Umsatz > 15 Millionen) qualifiziert haben oder den Schwellenwert für die Angebotsprotokollierung in RiskMaster überschreiten und/ oder die Schwellenwerte der IMD Freigaberichtlinie überschreiten, machen einen umfangreicheren Prozess zur Risikoerkennung erforderlich. Die Schwellenwerte zum Berichten von Projekten in RiskMaster sind: Projektumsatz 1M ; (und/oder) Projekte mit einem erwarteten/vorab berechnetem Verlust; (und/oder) Auslandsprojekte (Ausland für die Tochtergesellschaft); (und/oder) Projekte, die in einem Joint Venture mit Drittparteien auszuführen sind. Es gilt zudem die Tenderboard Freigabe Richtlinie der Imtech Deutschland und Osteuropa in der jeweils aktuellen Version (in C3 hinterlegt). Es gilt zudem die Authorization Matrix der Royal Imtech, die in C3 hinterlegt ist Die Funktion des Angebotsteams ist in diesen Schritt mit einbezogen. Die Zusammensetzung des Angebotsteams hängt vom Projekttyp ab. Spezifische 14

15 Fachkenntnisse könnten innerhalb des Angebotsteams benötigt werden. Während dieses Schritts muss auch der DRM einbezogen werden. Wie in der Freigabe Matrix festgelegt, ist für alle Projekte > 1 Mio. eine Risikoanalyse zu erstellen. Die Risikoanalyse ist ein fester Bestandteil der Freigabe/ Genehmigungsunterlagen. Der Grad der Einbeziehung des DRM kann von der Größe des Projekts, der Erstklassifizierung, etc. abhängen. Zumindest muss der DRM die Ergebnisse dieses Schritts dann überprüfen, wenn es sich um Projekte mit der Klassifizierung (sehr) hohes Risikoprofil und um Projekte handelt, für die die Schwellenwerte aus den Prozessen RiskMaster-/ATP-/Freigaberichtlinie überschritten werden. Schritt 2 Risiken/ Chancen bewerten & priorisieren Ziel dieses Schritts ist es, die Aufmerksamkeit des Managements und der Projektbeteiligten auf die für das spezifische Projekt relevanten Risiken zu fokussieren. Deshalb muss jedes erkannte Risiko (Ergebnis aus Schritt 1) (weiter) im Hinblick auf Auswirkungen und Wahrscheinlichkeit eingeschätzt werden. Auswirkungen sind Einflüsse auf die Projektziele unter der Voraussetzung, dass sich das Risiko materialisiert und dass Management- und Kontrollmaßnahmen nicht existieren oder versagen. Die Tragweite des Risikos kann als (sehr) hoch, mittel oder gering bewertet werden. Die Auswirkung des Risikos kann finanziell (quantitativ) und/oder qualitativ sein (z. B. kann das Risiko die Qualität eines Projekts, die Sicherheit des Personals oder den Ruf der Imtech beeinträchtigen). Weitergehende Anleitungen zur Messung der Einflüsse der einzelnen Risiken und deren Einstufungen als gering, mittel oder (sehr) hoch finden sich in der Risikoanalyse. Einige (aber nicht alle) Punkte, die bei der Definition der Kriterien zur Risikobewertung zu berücksichtigen sind, finden sich hier: Einfluss auf die Qualität von Service, Produkten, Liefergegenständen, etc.; Einfluss auf den Terminablauf des Projekts; Einfluss auf die Kosten/das erwartete Projektergebnis; Einfluss auf die Vertrags-/Service-Level Vereinbarungen. 15

16 Die Wahrscheinlichkeit ist als Eintrittswahrscheinlichkeit eines spezifischen Risikos innerhalb einer (erwarteten) Zeitspanne des Projekts (vom Angebot zum Abschluss) definiert. Weitergehende Anleitungen zur Definition der Wahrscheinlichkeit einzelner Risiken und deren Einstufungen als gering, mittel oder (sehr) hoch finden sich in der Risikoanalyse des Geschäftsbereiches. Einige (aber nicht alle) Punkte, die bei der Festlegung der Kriterien zur Wahrscheinlichkeit zu berücksichtigen sind, finden sich hier: Historisches Kriterium (trat dieses Risiko in der Vergangenheit auf und wie oft?). Expertenkriterium (wie ist die Meinung eines Experten zur Wahrscheinlichkeit dieses Risikos?). Die Ergebnisse dieses Schritts müssen im Projektrisiko-Verzeichnis, das auch in Schritt 1 genutzt wurde (Anhang G), dokumentiert werden. Mindestens alle Risiken mit mittleren bis (sehr) hohen Einflüssen müssen für den nächsten Schritt berücksichtigt werden. Dieser Schritt muss für alle Projekte ausgeführt werden. Ausgenommen sind nur die Projekte, die in Schritt 1 als Projekt mit geringem Risikoprofil klassifiziert wurden. Wenn ein Projekt als hohes Risikoprofil (siehe Schritt 1) klassifiziert wurde, wird die Anzahl der Risiken (hoher Einfluss), die in diesem Schritt identifiziert und bewertet wurden, sehr wahrscheinlich ansteigen. Im Allgemeinen kann das Angebotsteam diesen Schritt ausführen. Aber für Projekte, die als hohes Risikoprofil klassifiziert sind (oder sich für die Prozesse RiskMaster-/ATP-/Angebotsprüfung durch den Konzernausschuss qualifiziert haben) bzw. gem. Tenderboard Freigaberichtlinien genehmigungspflichtig sind, muss auch der DRM hinzugezogen werden. 16

17 Schritt 3 Reaktionen auf Risiken/Chancen Ziel ist die Definition der Maßnahmen in Bezug auf Risiken/ Chancen, die im vorhergehenden Schritt als Risiken mit hohem Einfluss bewertet wurden und den Status Act in der Risikoanalyse haben. Im Allgemeinen gibt es für jedes Risiko 4 T-Strategien : Take = Akzeptanz wir akzeptieren dieses Risiko, wenn es eintritt, und ergreifen keine (weiteren) Maßnahmen zur Abschwächung dieses Risikos. Transfer = Risikoübertragung Wir übertragen dieses Risiko auf eine andere Partei (z. B. Subunternehmer, Kunde, Versicherung). Beachten Sie, dass die Übertragung eines Risikos das Risiko nicht immer ausräumt. Wenn z. B. ein Service ausgegliedert wird und ein Problem auftritt, kann die Marke Imtech immer noch beschädigt werden, auch wenn es rechtlich das Problem der Fremdfirma ist. Terminate = Risikovermeidung Wir beenden dieses Risiko, indem wir die Tätigkeit, die das Risiko verursacht, nicht ausüben. Treat = Risikobegrenzung Wir definieren (zusätzliche) Maßnahmen und/ oder Kontrollen zur Abschwächung dieses Risikos, um zu gewährleisten, dass die Tragweite/ Auswirkung auf ein akzeptables Niveau gesenkt wird (z. B. innerhalb der Risikobereitschaft des Geschäftsbereichs). Für die meisten Risiken wird die Treat-Strategie eingesetzt werden. D. h., es müssen Maßnahmen zur Abschwächung der Risiken definiert werden. Diese Maßnahmen bestehen aus aktuellen/vorhandenen und zusätzlich einzurichtenden Kontrollen/Maßnahmen, was die Besitzer der Maßnahmen mit einbezieht. Für mindestens alle Risiken, die als Risiko mit mittlerer bis (sehr) hoher Tragweite klassifiziert sind, müssen die Risikostrategien (4Ts) und für die Risiken, die begrenzt werden, die zusätzlichen Kontrollen/Maßnahmen in der Risikoanalyse dokumentiert werden. Das hat in dem Format zu erfolgen, das auch in den vorangegangenen Schritten benutzt wurde (siehe Anhang G, Risikoanalyse). Beginnen Sie mit den Risiken mit (sehr) hoher Tragweite, die eine (sehr) große Wahrscheinlichkeit haben. Die Risiken mit (sehr) großer Tragweite/(sehr) hoher Wahrscheinlichkeit müssen in den 17

18 Fokus der Aufmerksamkeit des Managements (und von Kontrollen/Maßnahmen) gestellt werden. Es folgen die Risiken mit (sehr) hoher Tragweite, mittlerer Wahrscheinlichkeit, etc. Die Kalkulation der Gesamtkosten zur Ausführung der vorhandenen Maßnahmen und der zusätzlich erforderlichen Kontrollen/Maßnahmen definiert zusammen mit den Gesamtkosten aller zu erwartenden (Netto-) Risikowerten und Chancen die theoretische Notfall-Rückstellung.(alle Risiken und Chancen treten ein!) Die Kosten des Netto-Risikos (Risikowert) werden als mögliche finanzielle (Rest)- Belastung durch ein Risiko nach Ausführung der mildernden Maßnahmen/Kontrollen definiert. Wenn ein Risiko durch die Maßnahmen/Kontrollen vollkommen abgeschwächt wird, sind die finanzielle Belastung oder die Kosten des Netto-Risikos gleich Null. Der Status des Risikos wird in der Risikoanalyse auf Calc gesetzt, die Kosten sind berücksichtigt und werden in der entsprechenden Spalte nur informativ eingetragen. Die Gesamtabschwächung eines Risikos steigert oftmals die Kosten der abschwächenden Maßnahmen/Kontrollen. In der Risikoanalyse werden die gesamten oder anteiligen Kosten für mindernde Maßnahmen in die entsprechenden Spalten eingetragen. Die Leitung Kalkulation muss sicherstellen, dass dieses Kosten auch in die Kalkulation einfließen. Es sind auch Maßnahmen einzutragen, die ggf. keine zusätzlichen Kosten verursachen, wie z.b. strikte Projektkontrolle oder verstärkte Qualitätskontrollen etc. Die Summe der kalkulierten Maßnahmen und die eingerechneten Chancen bestimmen zusammen mit den kalkulierten Kosten und der Gewinnspanne die Gesamtverkaufskosten. Die Summe der Risikowerte und Chancen werden mit den bereits berücksichtigten Kosten verrechnet und das sich hieraus ergebende neue verbleibende Ergebnis ist die Notfall Rückstellung für das Worst Case Szenario.(Zeile Ergebnis neu bewertet ) Tenderteam und Management legen dann fest, welche Kosten ggf. noch in der Kalkulation berücksichtigt werden müssen. Der verbleibende Netto-Risikowert wird dann automatisch ermittelt. Im Rahmen der Genehmigung können in Abstimmung mit DRM/Tenderboard weitere Anpassungen vorgenommen werden, um den Gesamt- Netto- Risikowert zu reduzieren. 18

19 Das Gleiche gilt für die Bewertung der Chancen in der Risikoanalyse. Abgesehen von den in Schritt 1 als Projekt mit einem geringen Risikoprofil klassifizierten muss dieser Schritt für alle Projekte ausgeführt werden. Das Angebotsteam kann diesen Schritt ausführen, aber bei Projekten, die als hohes Risikoprofil klassifiziert sind (oder sich für die Prozesse RiskMaster/ATP/Angebotsprüfung durch den Konzernausschuss klassifiziert haben), muss auch der DRM eingebunden werden. Schritt 4 Überprüfung und Übergaberisiken Dieser Schritt findet statt, bevor das Angebot und der Vertrag an den Interessenten/Kunden gesandt werden. Ziel ist es sicherzustellen, dass sich der Projektmanager der Risiken bewusst ist (falls er/sie nicht im Angebotsteam war) und Gelegenheit hat, die erkannten Risiken, Risiko-Strategien und definierten Kontrollmaßnahmen zu überprüfen und zu vervollständigen. Dieser Schritt ist sehr wichtig, weil der Projektmanager für die Leitung des Projekts in einer Weise verantwortlich ist, die die rechtzeitige Lieferung der Projektergebnisse und Realisierung der erwarteten Ergebnisse/Gewinne bewirkt. Zudem ist er verantwortlich für die Umsetzung der in der Risikoanalyse festgelegten Maßnahmen. Alle erkannten Risiken stellen eine potentielle Belastung für diese (finanziellen) Projektergebnisse dar. Das Angebotsteam übermittelt und erklärt dem Projektmanager a) die Erstklassifizierung des Projekts einschließlich einer Einschätzung der Risikobereitschaft, b) die einzelnen identifizierten Risiken mit (sehr) hohem Einfluss, c) die Strategien für diese Risiken, d) die bestehenden und zusätzlich definierten Kontrollmaßnahmen und e) die Notfall-Rückstellung. Der Projektmanager überprüft diese Ergebnisse (die im Projektrisiko-Verzeichnis dokumentiert sind) und nimmt nach Bedarf Änderungen und Ergänzungen vor, nachdem er diese mit dem Angebotsteam besprochen hat. Alle Änderungen und Ergänzungen werden im Projektrisiko- Verzeichnis aufgezeichnet. Nachdem eine Einigung erzielt wurde, zeigen das Angebotsteam, der Projektmanager und eventuell die DRM an, dass sie den Ergebnissen aus den Schritten 1-4 im Projektrisiko-Verzeichnis zustimmen (siehe Anhang G). 19

20 Es ist nicht unbedingt erforderlich, den Projektmanager, der tatsächlich dieses spezifische Projekt leiten wird, einzubinden. Allerdings muss der in diesen Schritt eingebundene Projektmanager (oder die Person/Funktion mit vergleichbarer Erfahrung) über umfangreiche Erfahrungen in der Leitung von vergleichbaren Projekten im Hinblick auf Volumen, Umfang, Komplexität, etc. verfügen. Falls nötig, kann dieser Schritt in 2 Unterschritte aufgeteilt werden: 1) die Überprüfung (die vor dem Versand des Angebots/Vertrags stattfinden muss) und 2) die Übergabe (die nach Unterzeichnung des Angebots/Vertrags oder zusammen mit der Überprüfung vor dem Versand des Angebots/Vertrags stattfinden kann). Hierbei sind auch die Vorgaben aus der Tenderboard Freigaberichtlinie zu beachten. Dort ist festgelegt welche Unterlagen zu welcher Genehmigung vorgelegt werden müssen. Das Projektrisiko-Verzeichnis muss in einem Projektordner gespeichert werden, der allen relevanten Funktionen, die in den Risikomanagement-Prozess eingebunden sind, einschließlich DRM, zugänglich ist. Die Aktualisierungen (Schritte 5-6) müssen ebenfalls gespeichert werden, um sicherzustellen, dass alle relevanten Mitarbeiter Zugriff auf die neueste Version des Projektrisiko-Verzeichnisses haben. Wie und wo das in den Geschäftsbereichen erfolgt, ist im QM-Handbuch/ IMS des Bereichs beschrieben. Dieser Schritt muss für alle Projekte ausgeführt werden, die als mittleres oder hohes Risiko-Profil klassifiziert sind. Für diese Projekte (oder Projekte, die als Prozesse für RiskMaster/ATP/Angebotsprüfung durch den Konzernausschuss klassifiziert sind) sind DRM und Angebotsteam hinzuzuziehen. Für Projekte mit hohem Risiko-Profil muss auch der Projektmanager einbezogen werden. Anmerkung: vor dem Versand des Angebots und Vertrags müssen Sie sicherstellen, dass alle Imtech-Verfahren befolgt wurden, einschließlich der Dos und Don ts, die Teil der neuen Autorisierungsmatrix sind und in der Risikoanalyse unter Register1 beschrieben sind. Die aktuelle Authorization Matrix der Royal Imtech ist in C3 hinterlegt. 20

21 Projektausführungsphase Die Projektausführungsphase beginnt mit der Annahme und Unterzeichnung des Angebots und Vertrags durch den Kunden und endet, nachdem die letzten Lieferungen erfolgt sind, übergeben und durch den Kunden abgenommen wurden. Schritt 5 Überwachen und Berichten von Risiken Ziel dieses Schritts ist es sicherzustellen, dass die erkannten und bewerteten Risiken noch aktuell sind und dass die formalisierten Maßnahmen, die während der Schritte 1-3 erarbeitet wurden, planmäßig ausgeführt werden. Während der Ausführungsphase trägt der Projektmanager die Hauptverantwortung für die Behandlung der in der Angebotsphase erkannten Risiken, die Aktualisierung der Risiken und der nötigen Maßnahmen, die Identifizierung neuer Risiken und die Berichte über und die Eskalation von Risiken nach Bedarf. Das sollte nicht als zusätzliche Tätigkeit oder Verantwortung angesehen werden, sondern als integraler Bestandteil des üblichen Projektmanagements. Obwohl die obigen Tätigkeiten und Verantwortungen kontinuierlich wahrgenommen werden müssen, bespricht der Projektmanager die Risiken und definierten Maßnahmen während der monatlichen Projektüberprüfung mit dem Bereichsmanagement und/oder BU-Management/Linienmanagement und aktualisiert diese entsprechend. Das Bereichsmanagement definiert, welche (Management-) Funktionen zwingend an der monatlichen Überprüfung beteiligt werden müssen. Updates und zusätzliche Risiken mit den Maßnahmen müssen im Projektrisiko-Verzeichnis (siehe Anhang G) oder in vorhandenen Projektmanagement-Ordnern/- Dateien eingetragen werden. 21

22 Die erwarteten Projektziele/-ergebnisse (z. B. Lieferungen, Qualität, Zeit und/oder Projekteinkommen/-gewinn) müssen ebenfalls als Teil des monatlichen Prüfprozesses überprüft werden. Falls irgendwelche (erwartete) Abweichungen von den Projektzielen/- ergebnissen auftreten, muss geklärt werden, wo die Gründe für diese Abweichungen liegen, ob diese sich auf erkannte Risiken beziehen oder auf neue Risiken/Probleme, die nicht während der Schritte 1-3 im RM-Prozess oder im Verlauf früherer monatlicher Überprüfungen identifiziert wurden. Wieder erfolgt eine Aufzeichnung im Projektrisiko- Verzeichnis oder in vergleichbaren Projektmanagement-Ordnern/-Dokumenten. Dieser Schritt muss für alle Projekte ausgeführt werden. Für Projekte mit der Klassifizierung geringes Risiko-Profil kann die Überprüfung sehr begrenzt ausfallen. Der Umfang dieser Überprüfung wird von Fall zu Fall festgelegt. Für Projekte mit der Klassifizierung hohes Risiko-Profil (oder Projekte, die für die Prozesse RiskMaster/ATP/Angebotsprüfung durch den Konzernausschuss qualifiziert sind) muss auch der DRM hinzugezogen werden. DRM wird für ausgewählte Projekte Project Reviews und Audits vornehmen. Termine und Teilnehmer werden individuell festgelegt. Ziel ist es den RM Prozess im Projekt zu bewerten, die Risikoanalyse zu überprüfen und ggf. auch den RM Prozess mit den gewonnen Erkenntnissen zu evaluieren. Projektabschluss-Phase Die Projektabschluss-Phase beginnt, wenn die Projektlieferungen an den Kunden übergeben und durch ihn abgenommen wurden, und sie endet, wenn das Projekt finanziell endgültig abgeschlossen wurde und alle Vorlagen/Vorgaben aus dem RM- Prozess für das Projekt ausgefüllt, erledigt und abgeschlossen wurden. 22

23 Schritt 6 Projekt, Risiken und Ergebnisse bewerten Ziel ist es sicherzustellen, dass Lektionen, die gelernt wurden, aufgezeichnet und innerhalb der Organisation zur Nutzung verteilt wurden. Der Projektmanager und das Angebotsteam (oder dessen Vertreter) bewerten das Projekt, nachdem alle Lieferungen abgeschlossen und vom Kunden abgenommen wurden. Das Formular zur Projektbewertung muss ausgefüllt (Mindestanforderungen an den Inhalt siehe Anhang E) und zusammen mit dem Projektrisiko-Verzeichnis, den monatlichen Bewertungsformularen und, falls zutreffend, den Formularen zur Risiko- Eskalation im Projektordner gespeichert werden (siehe Kapitel 7 für eine Erklärung der Risiko-Eskalation). Die Bewertungsformulare müssen für alle Projektmanager, das Management und andere Funktionen, die in das Angebotsteam des Geschäftsbereichs eingebunden sind, zugänglich sein. So ist gewährleistet, dass sie diese Informationen für alle neuen Projekte mit vergleichbaren Eigenschaften zu Rate ziehen können. Dieser Schritt muss vom Projektmanager für alle Projekte ausgeführt werden, die als mittleres oder hohes Risikoprofil klassifiziert wurden. Dieser Schritt muss aber auch für alle Projekte mit geringem Risikoprofil ausgeführt werden, wenn die Projektergebnisse deutlich von den anfänglichen Projektzielen (positiv oder negativ) abweichen. Für Projekte, die als hohes Risikoprofil klassifiziert sind (oder Projekte, die sich für die Prozesse RiskMaster/ATP/Angebotsprüfung durch den Konzernausschuss qualifizierten) müssen auch ein Vertreter des Angebotsteams sowie der DRM mit einbezogen werden. 7. Eskalation der Risiken und Bewertung des RM-Prozesses Eskalation der Risiken: Die Projektrisiken werden kontinuierlich im Rahmen der standardmäßigen Projektmanagement-Tätigkeiten und während der monatlichen Überprüfungen der Projektleistung bewertet. Allerdings können für einige auftauchende Risiken/Ereignisse Sofortmaßnahmen erforderlich sein. Dabei handelt es sich um Ereignisse/Risiken, die 23

24 einen wesentlichen Einfluss auf die Projektziele haben und das Potential besitzen, erhebliche Abweichungen von den Projektergebnissen/vom Gewinn zu verursachen. Der Projektleiter hat monatlich die Risiken zu überprüfen. In der Risikoanalyse ist für jedes Risiko in der Spalte Eskalation einzutragen, ob es eintritt oder nicht. Sollte zu erkennen sein, dass das Risiko eintritt, muss es sofort mit einem ausgefüllten Eskalations Plan (Anhang I als Bestandteil der Datei Risikoanalyse) dem Management gemeldet - eskaliert werden. Maßnahmen, Termine, Ressourcen und erforderliche Kosten sind einzutragen. Das Management muss dann entscheiden was umgesetzt wird und die Kosten in die Prognose aufnehmen. Der Eskaltionsplan wird fortgeschrieben und verbleibt beim Projekt. Das Gleiche gilt für die Chancen, wenn zu erkennen ist, dass geplante Chancen nicht eintreten werden. Auch dieses Ereignis muss sofort eskaliert werden. Für alle diese Vorgänge muss eine Eskalation auf das Management erfolgen, damit es sicher informiert bleibt und rechtzeitig mit einbezogen wird und Entscheidungen treffen kann! Risiken, die in einer früheren Phase nicht definiert wurden und eskaliert werden, müssen in das Projektrisiko-Verzeichnis aufgenommen werden. Das Risiko kann mittels vorhandener Dokumente/Eskalationsformulare, die bereits Teil der Projektmanagement- Dokumente sind oder anhand der Informationen über spezifische Risiken, die im Projektrisiko-Verzeichnis aufgezeichnet sind, eskaliert werden. Anhang F zeigt die Angaben, die für den Bericht mindestens eingegeben werden müssen. Die Vorlage Eskakaltionsplan (Anhang I) ist ein Bestandteil der Risikoanalyse. Eine Risiko-Eskalation muss für alle Projekte erfolgen. Der Projekt-Manager muss die Eskalation einleiten und den Eskalationsplan ausfüllen. Das Management des Geschäftsbereichs und der DRM müssen das Eskalationsformular erhalten. Das Management des Geschäftsbereichs nutzt die bestehenden Verfahren, um zu entscheiden, ob eine Eskalation auf die GRC-Funktion nötig ist. 24

25 Risikomanagement-Bewertung Der RM Prozess selbst unterliegt einschließlich der Nutzung dieser Risikomanagement- Richtlinien, des Handbuchs und aller verbundenen Richtlinien und Verfahren auch einem Bewertungsprozess. Dieser kann durch den DRM innerhalb des Geschäftsbereichs organisiert werden, ist aber auch Bestandteil der regelmäßigen Sitzungen des Risikorats, der durch den GRC-Direktor organisiert und ermöglicht wird. Alle DRM und GRM müssen diesen Sitzungen beiwohnen. Der GRC-Direktor wird auf der Basis der Eingaben und/oder spezifischer Wünsche des DRM die Tagesordnungspunkte für die Sitzungen des Risikorats festlegen. Der GRM führt auch (Standort-) Bewertungen im Hinblick auf die Umsetzung des Risikomanagement-Prozesses durch. Feststellungen und Beobachtungen, die während dieser Standort-Bewertungen gemacht werden, werden den DRM mitgeteilt und können auch Tagesordnungspunkt der Sitzungen des Risikorats sein. 25

26 Anhänge A. Definitionen B. Risiko-Umgebung C. Inhalt des Projektrisiko-Verzeichnisses D. Inhalt der monatlichen Überprüfung E. Inhalt des Projektabschlusses F. Inhalt der Risiko-Eskalation G. Risikoanalyse H. Tenderboard Freigaberichtlinie I. Eskalationsplan J. Muster Protokoll Projektabschluss 26

27 Anhang A Definitionen Begriff Besitzer der Maßnahme DRM Eskalationsplan Generische Risikoumgebung Konzernausschuss zur Angebotsprüfung Tenderboard Gouda Risiko Definition Partei, die beauftragt ist, den Maßnahmenplan auszuführen und zusätzliche Kontrollen zur Abschwächung des Risikos auf eine akzeptable Risikotoleranz einzurichten. Division Risk Manager für Imtech Deutschland & Osteuropa: Alexander Reichmuth Vorlage zur Meldung - Eskalation - von eintretenden Risiken an das Management und den DRM; beinhaltet einen Maßnahmenplan mit Stellungnahme zu den Auswirkungen; Vorlage ist Teil der Datei Risikoanalyse Register 6 Eine Darstellung potentieller Risikobereiche innerhalb der Organisation. Die Generische Risikoumgebung trägt zum Verständnis/Unterstützung bei, in welchen Bereichen oder (Unter-) Kategorien Risiken auftreten können. Register 1 der Risikoanalyse. Der Direktor des Geschäftsbereichs muss alle Angebote mit einem Umsatzwert von 15 Mio. oder mehr (Imtech allein oder in einem Joint Venture) in einer Sitzung des Konzernausschusses zwecks Prüfung und Vorlage beim Vorstand vorstellen. Bei Imtech NV sitzt ein Vorstandsmitglied dem Angebotsprüfungsausschuss vor. Weitere Mitglieder sind der GRC Direktor und der GRM. Die Mitglieder des Angebotsprüfungsausschusses sollten bei den Sitzungen persönlich anwesend sein, wenn nicht der Vorstand etwas anderes festgelegt hat. Die Sitzung des Angebotsprüfungsausschusses wird nach Eingang eines Antrags auf ATP (Authorization To Proceed) bei Imtech NV organisiert. Die endgültige Verantwortung für die Beantragung einer ATP liegt beim Direktor des Geschäftsbereichs. Die Ausführung kann delegiert werden. Der Angebotsprüfungsausschuss überprüft die Risiken des Angebots und unterzeichnet die ATP, wenn alles besprochen und genehmigt wurde. In den Tenderboard Freigaberichtlinien ist festgelegt, welche Dokument vorab an den DRM übergeben werden müssen. Ein Ereignis, das intern oder extern eintritt und die Erreichung der geschäftlichen Ziele der Imtech beeinträchtigt und zu einem Werteverlust führt (z. B. Versäumnis, bestehende Werte zu schützen). Ein Risiko zeigt sich in vielen Formen und hat das Potential, z. B. strategische Initiativen, Sicherheit und Gesundheit, die Umwelt, die Gemeinschaft, den Ruf, die regulative, betriebliche, marktbezogene und finanzielle 27

28 Begriff Risikobereitschaft Risikobewertung und -priorisierung Kriterien der Risikobewertung Risiko- Management (RM) RiskMaster Besitzer von Risiken Definition Leistung der Imtech und ihrer Geschäftsbereiche zu belasten. In diesen Richtlinien liegt der Fokus hauptsächlich auf den Risiken, die die Ziele und Ausführung spezifischer Projekte belasten, was aber auch die Ziele und Leistung des Unternehmens als Ganzes beeinflusst. Eine Leitlinie, die im Einzelnen die Grenzen der Risikoakzeptanz - definiert als Summe des Risikopotentials (oder potentielle nachteilige Auswirkungen) - aufführt, die Imtech bereit ist, für spezifische Projekte zu tolerieren. Die Risikobereitschaft der Geschäftsbereiche der Imtech orientiert sich auch für deren Projekte an der Risikobereitschaft der Imtech Konzernebene. Siehe Register 1 der Risikoanalyse Eine Bewertung der auf der Grundlage der Bewertungskriterien erkannten Risiken. Risiken, die die Risikotoleranzen übersteigen, benötigen die Aufmerksamkeit oder Maßnahmen des Managements. Hinweise dazu sind in der Datei Risikoanalyse Register 4. Kriterien der Risikobewertung sind spezifische Komponenten und Beispiele der Auswertungskriterien, die anzeigen, was zu einer Zuordnung zu (sehr) hoch, mittel und gering ausmacht. Diese Auswertungskriterien basieren auf den Erklärungen des Imtech Konzerns zur Risikobereitschaft. Hinweise dazu sind in der Datei Risikoanalyse Register 4. Das RM ist ein Prozess, der vom Vorstand, dem Management auf Bereichsebene und anderem Personal bewirkt wird. Das RM betrifft die Festlegung der Strategien durch die gesamte Organisation hindurch. Das RM ist dazu ausgelegt, potentielle Ereignisse zu identifizieren, die die Organisation nachteilig beeinflussen könnten, Risiken im Rahmen der Imtech Projekte gemäß der jeweiligen Risikobereitschaft zu behandeln und angemessene Absicherungen zur Erreichung strategischer Initiativen, der Geschäfts- wie auch der Projektziele zu liefern. Hinweise dazu sind in der Datei Risikoanalyse Register 2. Das Risikomanagement-Werkzeug des Imtech Konzerns dient dazu, die anfängliche Risikobewertung für ein Projekt in der Angebotsphase zu erleichtern. Für alle Projekte, die spezifische Anforderungen erfüllen oder bestimmte Schwellen (gemäß Definition in Kapitel 3) überschreiten, muss RiskMaster eingesetzt werden. Eine Person, die bei Imtech für die Behandlung spezifischer Risiken innerhalb eines Projekts verantwortlich ist. 28

29 Begriff RM-Richtlinien RM-Handbuch RM-Prozess Strategie zur Reaktion auf Risiken Tenderboard Freigaberichtlinie Definition Legen die Sicht der Imtech auf das Risikomanagement (RM) dar und definieren die Grundsätze und Leitlinien des Risikomanagements, die Imtech als Organisation erfüllen muss. Liefert eine Struktur, die die Organisation des RM bei Projekten unterstützt, so dass Projektrisiken in einheitlicher Form erkannt, bewertet, behandelt, überwacht und berichtet werden. Mindestanforderungen an das Projekt- Risikomanagement werden definiert. Die Risiko-Handbücher der Bereiche liefern weitere Einzelheiten dazu, wie Prozesse, Standards und Mindestanforderungen für einen spezifischen Bereich eingesetzt werden müssen. Beschreibt die wichtigsten Schritte, die bei der Ausübung der Verantwortung für das Risikomanagement eines Projekts befolgt werden sollten. Ziel des RM-Prozesses ist es, eine strukturierte und konsistente Methode zur Erkennung, Priorisierung und Behandlung von Risiken auf kontinuierlicher Basis und integral mit den Imtech Projekten zu unterstützen. Die geeignete Strategie/ Maßnahme, mit den wichtigsten in der Risikobewertung erkannten Projektrisiken umzugehen, einschließlich aller erforderlichen Management- und Kontrolltätigkeiten. Die Reaktionsstrategie kann Take (akzeptieren), Transfer (Risikoüberwälzung), Treat (Risikobegrenzung) oder Terminate (Risikovermeidung) sein. Diese Maßnahmen sind in der Risikoanalyse einzutragen. Übersicht der gültigen Genehmigungsgrenzen der einzelnen Geschäftseinheiten der Imtech Deutschland und Osteuropa; Aufstellung über die erforderlichen Dokumente zur Angebotsgenehmigung (ATP Prozess); Dokument ist in der jeweils gültigen Fassung in C3 hinterlegt (Anlage H). Alle Unterlagen finden Sie in dieser C3 Community. Projektrisiko- Verzeichnis, Risikoanalyse Ein Werkzeug, das die konsistente Anwendung des Risikomanagements sicherstellen soll und zur Dokumentierung von Risiko-Informationen in allen Phasen eines Projekts eingesetzt wird. Datei Risikoanalyse in C3 hinterlegt (Anhang G) 29

30 Anhang B Risikoumgebung Die Risikoumgebung ist eine Übersicht, die potentielle Risiko-Bereiche darstellt und als Denkanstoß zur Erkennung potentieller Risikokategorien genutzt werden kann. Eine komplette Übersicht über alle möglichen Risiken ist nicht beabsichtigt. Andererseits gelten nicht alle Risikobereiche für alle Projekte. 30

31 Anhang C Inhalt des Projektrisiko-Verzeichnisses Das Projektrisiko-Verzeichnis muss mindestens die unten gezeigten Informationen umfassen. Für jeden Schritt des Risikomanagement-Prozesses ist angegeben, welche Informationen in das Projektrisiko-Register (oder vergleichbare vorhandene Projektdokumentationen/-formate) aufgenommen werden müssen. (Risikoanalyse Anhang G) 31

32 Anhang D Monatliche Überprüfung Die monatliche Überprüfung ist Teil des Projektmanagements. Die vorhandenen Dokumente oder Formate müssen für Aufzeichnungen und Berichte über die monatliche Überprüfung benutzt werden. Der monatliche update der Risikoanalyse ist ein Teil des Statusberichtes. Die Informationen unten definieren die Punkte, die mindestens für das Risikomanagement besprochen und in die Überprüfung und den Bericht mit einbezogen werden müssen. Diese Informationen sind Bestandteil des Projektrisiko-Verzeichnisses (siehe auch Anhang G): 32