Risk Management Policy & Manual

Transkript

1 Risk Management Policy & Manual Erstellt von Genehmigt durch Director GRC Vorstand Datum des Inkrafttretens 15. Oktober 2013 Ausstellungsdatum Version Name Titel 15. Okt Fokko Kool Group Director Governance Risk & Compliance 3 / 31

2 Inhaltsverzeichnis Abschnitt A Imtech Risk Management Policy 1. Festlegung der Imtech Risk Management Policy 3 2. Die wichtigsten Grundsätze 4 3. Rollen und Verantwortungsbereiche 4 4. Risikobereitschaft 8 Abschnitt B Imtech Risk Management Manual 5. Umfang 9 6. Risikomanagement-Prozess 9 7. Eskalation der Risiken und Bewertung des RM-Prozesses 21 Anhänge A. Definition 24 B. Risikoumgebung 27 C. Inhalt des Projektrisiko-Verzeichnisses 28 D. Monatliche Überprüfung 29 E. Inhalt des Projektabschlusses 30 F. Inhalt der Risiko-Eskalation 31 4 / 31

3 Abschnitt A Imtech Risk Management Policy 1. Festlegung der Imtech Risk Management Policy Diese Richtlinien legen die Sicht der Imtech auf das Risikomanagement (RM) dar und definieren die Grundsätze und Vorgaben, die Imtech als Organisation erfüllen muss. Imtech hat sich der erfolgreichen Verfolgung ihrer Strategie verschrieben und die erfolgreiche Ausführung von Projekten ist das Herz dieser Strategie. Imtech geht Risiken ein, die ihrer Strategie innewohnen, um die Ziele der Gruppe, der Geschäftsbereiche und Projekte zu erreichen und betrieblich hervorragende Leistungen für die Anteilseigner zu erbringen. Imtech strebt eine gemeinsame, formalisierte und systematische unternehmensweite Methode zur Behandlung von Projektrisiken an. Imtech ermutigt aber auch die Geschäftsbereiche, bewährte Techniken einzusetzen, Wissen und Erfahrungen zu teilen und für die Anteilseigner im möglichen Umfang mehr Transparenz zu den Kernrisiken zu schaffen. Diese Methode steigert das Bewusstsein für Projektrisiken, garantiert eine angemessene Handhabung von Projektrisiken als Teil des Tagesgeschäfts des Managements und macht Risikoprofile der Geschäftsbereiche transparent. Imtech erkennt an, dass die Handhabung von Risiken mit einem guten Corporate Governance und RM untrennbar verbunden ist, und wird zusammen mit anderen Governance, Risk and Compliance (GRC) Initiativen die Konformität mit den geltenden Anforderungen des Corporate Governance unterstützen. Diese RM-Richtlinien basieren auf bewährten Vorgehensweisen und anerkannten Governance Codes. Diese Policy & Manual legen die Ziele des Risikomanagements und die Mindestanforderungen für die Imtech-Geschäftsbereiche fest. Sie gelten für alle Geschäftsbereiche und Unternehmen unter der Kontrolle der Imtech. Das schließt auch Joint Ventures oder andere geschäftliche Konstellationen oder Verbindungen mit ein, an denen Imtech mehrheitlich beteiligt ist. Vom Management wird erwartet, dass es Risiken strukturell in Übereinstimmung mit dieser Policy & Manual behandelt. 3 / 31

4 2. Die wichtigsten Grundsätze Die wichtigsten Grundsätze des Risikomanagements der Imtech sind: Das RM ist im Einklang mit und eingebettet in die Strategie der Imtech und ihrer Geschäftsbereiche und stellt die Erkennung und Handhabung von Projektrisiken innerhalb der verschiedenen Geschäftsbereiche in den Mittelpunkt. Imtech Manager aller Ebenen sind für die Implementierung und Durchführung des Risikomanagements innerhalb ihrer jeweiligen Bereiche verantwortlich. Schlüsselrollen, Verantwortlichkeiten und Vollmachten in Bezug auf das Risikomanagement sind klar definiert und innerhalb der Organisation bekannt. Führungsorgane (z. B. Vorstand, Audit-Ausschuss, etc.) verfügen über angemessene Transparenz und Einblicke in die Praktiken des Risikomanagements der Organisation, um ihre Aufgaben zu erfüllen. Eine gemeinsame Definition von Risiken und risikobezogene Begriffe werden konsistent unternehmensweit benutzt. Diese gemeinsame Risk Management Policy & Manual werden in der gesamten Organisation zur Behandlung von Risiken eingesetzt. 3. Rollen und Verantwortungsbereiche Das Projektrisikomanagement liegt primär in der Verantwortung der Linienführung, der Projektmanager und aller (Mitarbeiter-)Funktionen, die in Projekte eingebunden sind. Besondere Verantwortungen für die Anwendung, den Support und die Prüfung von Risikomanagement- Prozessen werden im Einzelnen in diesem Abschnitt dargelegt. Aufsichtsrat und Audit-Ausschuss der Royal Imtech Überprüfung und Genehmigung von Risk Management Policy & Manual auf ihre Konsistenz mit den Konzernzielen der Imtech. 4 / 31

5 Überprüfung und Genehmigung der Risikobereitschaft und Risikotoleranz des Konzerns. Überprüfung des Risiko-Portfolios unter Berücksichtigung der Risikotoleranzen des Konzerns. Überwachung der angemessenen Anwendung der Risikomanagement-Richtlinien und der verbundenen Verfahren in den Geschäftsbereichen. Imtech Vorstand Letztendliche Verantwortung für die Risk Management Policy & Manual sowie deren Umsetzung. Formulierung der Risikobereitschaft und -toleranzen des Konzerns, Prüfung und Genehmigung der Risikotoleranz-Erklärungen der Geschäftsbereiche. Festlegung, Bekanntgabe und Unterstützung der Imtech Methode für das Projektrisikomanagement für und an alle Geschäftsbereiche. Kritische Überprüfung und Kommentierung der Risikoberichte der Geschäftsbereiche. Sicherstellung, dass die geeigneten Strukturen, Prozesse und Kompetenzen Imtech-weit eingerichtet sind, um den in diesen RM-Richtlinien und dem verbundenen Handbuch festgelegten Anforderungen gerecht zu werden. Bericht über die Risiken an den Aufsichtsrat. Konzernausschuss für die Angebotsprüfung Diskussion über die spezifischen von einem Geschäftsbereich vorgelegten Projektrisiken und Entscheidung über das Projekt zum Ende der Sitzung. Sicherstellung, dass die Prüfung der spezifischen Angebotsrisiken und, falls nötig, der spezifischen Bedingungen besprochen wurden und in das Sitzungsprotokoll aufgenommen wurden. 5 / 31

6 Unterzeichnung der sogenannten Authorization To Proceed (ATP) [Freigabe], wenn alles besprochen und genehmigt wurde. GRC Direktor Prüfung und Genehmigung der Risk Management Policy & Manual der Imtech. Überprüfung der Qualität des Risikomanagements innerhalb der Geschäftsbereiche. Koordinierung & Unterstützung des Risikorats. Risikomanagement der Gruppe Beratung zu den ATP und des Konzernausschusses für die Angebotsprüfung. Abgabe eines wöchentlichen Berichts über ATP-Projekte an den Vorstand und den GRC- Direktor. Überprüfung der Risiko-Handbücher der Geschäftsbereiche und Sicherstellung, dass diese mit dieser Risk Management Policy & Manual und den entsprechenden Verfahren auf einer Linie liegen. Unterstützung der Geschäftsbereiche bei der Umsetzung dieser Richtlinien, Handbücher und verbundenen Werkzeuge und Methoden. Aufrechterhaltung der Kommunikation über das Risikomanagement innerhalb der Imtech- Organisation. Unterstützung der DRMs bei der Ausführung ihrer Risikomanagement-Aufgaben und Koordination von Schulungen über das Risikomanagement innerhalb der Geschäftsbereiche. Bewertung der RM-Implementierung innerhalb der einzelnen Geschäftsbereiche sowie Feststellung, inwieweit diese Implementierung mit den RM-Richtlinien und dem verbundenen Handbuch konform ist. Bericht an den GRC-Direktor. 6 / 31

7 Aktualisierung und Pflege des RiskMaster. Management des Geschäftsbereichs Sicherstellung, dass das Risikomanagement innerhalb der Bereiche mit geeignetem RM- Personal eingerichtet ist. Sicherstellung, dass das Risiko-Handbuch des Geschäftsbereichs die Anforderungen erfüllt, die in dieser (Konzern) Risk Management Policy & Manual beschrieben ist. Implementierung der RM-Richtlinien und des verbundenen Risiko-Handbuchs des Geschäftsbereichs innerhalb des Geschäftsbereichs. Entwicklung und Überprüfung der Risikobereitschaft und der verbundenen Risikotoleranzen des Geschäftsbereichs entsprechend den Risikotoleranzen des Konzerns. Sicherstellung, dass (Projekt-) Risiken erkannt, bewertet, verwaltet und berichtet werden, so wie es in diesen RM-Richtlinien und den verbundenen Risiko-Handbüchern und - Verfahren des Geschäftsbereichs beschrieben ist. Entwicklung und Aufrechterhaltung einer geeigneten Organisation, um die Anwendung der RM-Richtlinien und der verbundenen Risiko-Handbücher und Verfahren des Bereichs zu erleichtern. Risikomanager des Geschäftsbereichs Implementierung und Pflege des Risiko-Handbuchs des Geschäftsbereichs in Anlehnung an die Imtech Risk Management Policy & Manual und die verbundenen Verfahren. Unterstützung und Schulung der Geschäftseinheiten der Bereiche in Bezug auf die Risikomanagement-Tätigkeiten. Beratung des Geschäftsbereich-Managements bei ATP-Projekten. 7 / 31

8 Aufrechterhaltung der Kommunikation über das Risikomanagement innerhalb der Bereichsorganisation. Erleichterung des Projekt-RM-Prozesses und Beteiligung daran. Bericht über den Stand der Risikomanagement-Implementierung innerhalb des Geschäftsbereichs an den GRC-Direktor. Teilnahme an den Sitzungen des Risikorats. 4. Risikobereitschaft Imtech strebt an, risikobewusst, aber nicht risikoavers zu sein. D. h., dass Imtech sich immer bewusst sein sollte, wo potentielle Risiken und Gelegenheiten eines Projekts liegen. Imtech strebt aktiv danach, Risiken mit folgenden Konsequenzen zu meiden: Negative Auswirkungen auf die Sicherheit aller relevanten Anteilseigner, Negative Auswirkungen auf unseren Ruf; Verletzungen von Gesetzen oder Vorschriften Gefährdung der zukünftigen Existenz des Unternehmens; oder Gefährdung eines nachhaltigen Gewinns. Das Management der entsprechenden organisatorischen Ebenen wird nach Bedarf das Risikoverhalten zur Erreichung der Projektziele festlegen. Die Reaktionen müssen innerhalb der Risikotoleranzgrenzen des Geschäftsbereichs liegen, die regelmäßig durch das Management formuliert und aktualisiert werden. Die Risikobereitschaft und die Risikotoleranzgrenzen des Geschäftsbereichs müssen auf einer Linie mit der Risikobereitschaft der Imtech-Gruppe liegen. 8 / 31

9 Abschnitt B Imtech Risk Management Manual 5. Umfang Dieses RM-Handbuch ist für alle Geschäftsbereiche und Unternehmen unter der Kontrolle der Imtech gültig. Das schließt auch Joint Ventures oder andere geschäftliche Konstellationen oder Verbindungen mit ein, an denen Imtech mehrheitlich beteiligt ist. Es gilt auch auf Konzernebene und für Funktionen, die in das Projektmanagement eingebunden sind sowie für Funktionen der Projektmitarbeiter. Dieses Handbuch legt den Schwerpunkt überwiegend auf das Projektrisiko-management und bezieht sich somit auf Risikomanagement-Tätigkeiten in folgenden Projektphasen: Angebotsphase Projektausführung Projektabschluss. Das Enterprise Risk Management (ERM) wird in diesem Dokument nicht beschrieben. Es wird in einem späteren Stadium entwickelt und implementiert werden. 6. Risikomanagement-Prozess Der nachfolgend beschriebene Risikomanagement-Prozess definiert die Methoden und Standards des Projektrisikomanagements und die wichtigsten Schritte zur Wahrnehmung der Verantwortung für das Projektrisikomanagement. Er basiert auf den Prinzipien für das Risikomanagement, die in Kapitel 2 beschrieben sind, und muss von den Geschäftsbereichen als Leitlinie für die Mindestanforderungen an die Implementierung und Ausführung des Projektrisikomanagements benutzt werden. Er bildet die Grundlage für die Risiko-Handbücher des Geschäftsbereichs. Begriffe und Definitionen, die für den Risikomanagement-Prozess benutzt werden, sind im Anhang A Definitionen erklärt. 9 / 31

10 Der hier beschriebene Prozess und die Methode ersetzen nicht das bestehende Authorization To Proceed (ATP) [Freigabe]-Verfahren oder die Genehmigungsabläufe. Sie stellen eine Ergänzung dieser Dokumente dar. Ziel des RM-Prozesses ist es, eine strukturierte und konsistente Methode zu unterstützen, um Risiken kontinuierlich und in integrierter Weise in Imtech-Projekten zu erkennen, zu priorisieren und zu handhaben. Der RM-Prozess kennt verschiedene aufeinander folgende Schritte in den verschiedenen Projektphasen. Die verschiedenen Schritte des Risikomanagement-Prozesses werden per Projektphase Angebot, Ausführung, Abschluss beschrieben. Länge und Komplexität einer jeden Phase hängen vom Projekttyp ab (Bau-, Instandhaltungs-, Service-Projekte/-Verträge, etc.). Aber alle haben diese drei Phasen. Für jeden Schritt werden die entsprechenden Funktionen (Mindeststandards) und deren Ergebnisse beschrieben. Die Relation zwischen einem Standard-Projekt und den Schritten des Risikomanagements wird in der Abbildung unten gezeigt: Abb. 6.1 Risikomanagement in einem Standard-Projekt. 10 / 31

11 Angebotsphase Die Angebotsphase beginnt mit dem Eingang einer Angebotsanfrage bei Imtech und endet mit einer Vereinbarung mit dem Kunden (unterzeichnetes Angebot und Vertrag). Schritt 1 Identifikation von Risiken Ziel dieses Schritts ist es, eine erste Klassifizierung des Projektprofils vorzunehmen, die Projektziele/Liefergegenstände zu klären und zu vereinbaren und die (einzelnen) Risiken innerhalb des Projekts, die die Erreichung dieser Ziele und Liefergegenstände beeinträchtigen könnten, zu erkennen. Der erste Schritt ist die Erstellung einer ersten Klassifizierung des Projektprofils durch eine Einschätzung des Risikoprofils des Projekts in seiner Gesamtheit. Diese Klassifizierung sollte als Eingabe genutzt werden, wenn die Entscheidung Angebot/kein Angebot getroffen wird. Diese Klassifizierung dient auch dazu, Projekte mit einem (sehr) geringen Risikoprofil herauszufiltern, da diese nur einen eingeschränkten Risikomanagement-Prozess benötigen. Diese erste Klassifizierung kann mit Hilfe eines schnellen und einfachen Fragebogens erfolgen, der auf den Geschäftsbereich und deren Projekttypen zugeschnitten ist. Einige (aber nicht alle) Themen, die in dieser ersten Klassifizierung berücksichtigt werden müssen, sind: Art der erforderlichen Arbeiten Art der erforderlichen Technologien Vertragliche Vereinbarungen und verbundene Risiken nach Wunsch des Kunden; Strategische Eignung; Komplexität; Kundentyp/frühere Erfahrungen mit dem Kunden; Notwendigkeit für ein Joint Venture oder eine Zusammenarbeit mit Drittparteien; Landes-/Ortsspezifische Umstände in Bezug auf die Projektausführung; Risikoprofil des Projekts passt nicht in die Risikobereitschaft des Geschäftsbereichs. 11 / 31

12 Ergebnis dieser ersten Klassifizierung ist, dass Projekte, die nicht unter die Risikobereitschaft der Imtech (und die Risikobereitschaft des entsprechenden Geschäftsbereichs) fallen, nicht akzeptiert und nicht in die Angebotsphase übernommen werden. Projekte, die unter die Risikobereitschaft der Imtech (und die Risikobereitschaft des entsprechenden Geschäftsbereichs) fallen, erhalten eine Klassifizierung des Projektrisiko-Profils. Diese Klassifizierung kann Projekt vom Typ A, B, C (oder D) oder geringes Risiko-Profil, mittleres Risiko-Profil, hohes Risiko-Profil (und sehr hohes Risiko-Profil ) oder jede andere Klassifizierung sein. Art und Weise der einzusetzenden Klassifizierung ist im Risiko-Handbuch des Geschäftsbereichs beschrieben. Sie muss in einer Weise erfolgen, dass auf der Grundlage der Fragen (und zugrunde liegenden Einschätzung) gewährleistet ist, dass die Risiken im Rahmen eines Projektes (oder für Service, Instandhaltung, Direktverkäufe, etc.) mit der Klassifizierung geringes Risiko-Profil (oder vergleichbare) (sehr) begrenzt sind. Projekte mit der Klassifizierung geringes Risiko-Profil werden direkt zu Schritt 5 des Prozesses in der Ausführungsphase weitergeleitet. Diese Projekttypen müssen nicht den ganzen Prozess, wie unten beschrieben, durchlaufen. Die nächste Tätigkeit innerhalb dieses Schritts ist die Identifikation und Vereinbarung der Projektziele. Für ein spezifisches Projekt können Ziele in Vorgaben, geschäftlichen/leistungsbezogenen Schlüsseltätigkeiten, Liefergegenständen oder Meilensteinen ausgedrückt werden. Das kann auf Vereinbarungen mit Kunden (z. B. Meilensteine, Qualität, etc.) oder auf internen Projektzielen (z. b. Spanne, Einsatz neuer Technologien, Personaleffizienz, etc.) beruhen. Unabhängig von der Terminologie sollte klar sein, was, wann und durch wen erreicht werden sollte. Mit Blick auf die Projektziele müssen die spezifischen Projektrisiken identifiziert werden. Während dieser Risiko-Erkennung muss ein breites Spektrum an Risiken berücksichtigt und bewertet werden (z. B.: birgt die Umgebung, in der wir unser Projekt ausführen müssen, zusätzliche Risiken? Oder verursachen die Kultur des Landes, in dem wir arbeiten werden, und die Menschen, mit denen wir arbeiten werden, zusätzliche Risiken?) Siehe Anhang B für Generische Risikoumgebungen, der eine anschauliche Darstellung potentieller Risikobereiche bietet und als Denkanstoß zur Erkennung potentieller Risikoklassen dient. 12 / 31

13 Während dieser Phase der Identifikation von Risiken ist es äußerst empfehlenswert, Formulare mit Projektbewertungen ähnlicher abgeschlossener Projekte hinzuziehen (für Bewertungsformulare siehe Schritt 6 im Risikomanagement-Prozess). Diese Formulare können Einblicke in die erkannten Risiken vor und während früherer Projekte mit vergleichbaren Eigenschaften bieten. Bedenken Sie, dass ein Risiko ein Ereignis mit einer Kombination von Ursache und Wirkung ist, das die Erreichung der Ziele eines spezifischen Projekts oder Service (positiv oder negativ) beeinflussen könnte. Deshalb sollte die Beschreibung der erkannten Risiken klar und hinreichend detailliert Ursachen und Wirkung identifizieren, um so eine Risikobewertung möglich zu machen. Ergebnis dieses Schrittes ist ein Projektrisiko-Verzeichnis, eine standardmäßig dokumentierte Übersicht über die projektspezifischen Risiken (sowohl in der Angebots- wie auch in der Ausführungsphase). Das muss keine separate Übersicht sein. Sie kann Teil der vorhandenen Projektmanagement-Dokumente und -Berichte sein. Das Projektrisiko-Verzeichnis (oder ein vergleichbares Dokument) beinhaltet auch die Resultate der anfänglichen Projektklassifizierung. Für Projekte mit einem Klassifizierungsergebnis niedriges Risikoprofil muss nur die Erstklassifizierung dokumentiert werden. Die Elemente, die durch dieses Projektrisiko-Verzeichnis abgedeckt sein sollten, sind in Anhang C beschrieben. Das Projektrisiko-Verzeichnis muss an zentraler Stelle archiviert/gespeichert und für den Fall eines Audits zugänglich sein. Projekte, die auf der Grundlage der anfänglichen Projektklassifizierung entweder als (sehr) hohes Risikoprofil eingestuft wurden, sich für die Einhaltung des ATP-Prozesses und den nachfolgenden Konzernausschuss zur Angebotsprüfung (Umsatz > 15 Millionen) qualifiziert haben oder den Schwellenwert für die Angebotsprotokollierung in RiskMaster überschreiten, machen einen umfangreicheren Prozess zur Risikoerkennung erforderlich. Die Schwellenwerte zum Berichten von Projekten in RiskMaster sind: Projektumsatz 4M ; (und/oder) Projekte mit einem erwarteten/vorab berechnetem Verlust; (und/oder) Auslandsprojekte (Ausland für die Tochtergesellschaft); (und/oder) Projekte, die in einem Joint Venture mit Drittparteien auszuführen sind. 13 / 31

14 Die Funktion des Angebotsteams ist in diesen Schritt mit einbezogen. Die Zusammensetzung des Angebotsteams hängt vom Projekttyp ab. Spezifische Fachkenntnisse könnten innerhalb des Angebotsteams benötigt werden. Während dieses Schritts muss auch der DRM einbezogen werden. Der Grad der Einbeziehung des DRM kann von der Größe des Projekts, der Erstklassifizierung, etc. abhängen und wird im Risiko-Handbuch des Geschäftsbereichs erläutert. Zumindest muss der DRM die Ergebnisse dieses Schritts dann überprüfen, wenn es sich um Projekte mit der Klassifizierung (sehr) hohes Risikoprofil und um Projekte handelt, für die die Schwellenwerte aus den Prozessen RiskMaster-/ATP-/Angebotsprüfung (durch den Konzernausschuss) überschritten werden. Schritt 2 Risiken bewerten & priorisieren Ziel dieses Schritts ist es, die Aufmerksamkeit des Managements auf die für das spezifische Projekt relevanten Risiken zu fokussieren. Deshalb muss jedes erkannte Risiko (Ergebnis aus Schritt 1) (weiter) im Hinblick auf Auswirkungen und Wahrscheinlichkeit eingeschätzt werden. Auswirkungen sind Einflüsse auf die Projektziele unter der Voraussetzung, dass sich das Risiko materialisiert und dass Management- und Kontrollmaßnahmen nicht existieren oder versagen. Der Einfluss des Risikos kann als (sehr) hoch, mittel oder gering bewertet werden. Der Einfluss des Risikos kann finanziell (quantitativ) und/oder qualitativ sein (z. B. kann das Risiko die Qualität eines Projekts, die Sicherheit des Personals oder den Ruf der Imtech beeinträchtigen). Weitergehende Anleitungen zur Messung der Einflüsse der einzelnen Risiken und deren Einstufungen als gering, mittel oder (sehr) hoch finden sich in den Risiko-Handbüchern der Geschäftsbereiche. Einige (aber nicht alle) Punkte, die bei der Definition der Kriterien zur Risikobewertung zu berücksichtigen sind, finden sich hier: Einfluss auf die Qualität von Service, Produkten, Liefergegenständen, etc.; Einfluss auf den Terminablauf des Projekts; Einfluss auf die Kosten/das erwartete Projektergebnis; Einfluss auf die Vertrags-/Service-Level Vereinbarungen. 14 / 31

15 Die Wahrscheinlichkeit ist als Eintrittswahrscheinlichkeit eines spezifischen Risikos innerhalb einer (erwarteten) Zeitspanne des Projekts (vom Angebot zum Abschluss) definiert. Weitergehende Anleitungen zur Definition der Wahrscheinlichkeit einzelner Risiken und deren Einstufungen als gering, mittel oder (sehr) hoch finden sich in den Risiko-Handbüchern der Geschäftsbereiche. Einige (aber nicht alle) Punkte, die bei der Festlegung der Kriterien zur Wahrscheinlichkeit zu berücksichtigen sind, finden sich hier: Historisches Kriterium (trat dieses Risiko in der Vergangenheit auf und wie oft?). Expertenkriterium (wie ist die Meinung eines Experten zur Wahrscheinlichkeit dieses Risikos?). Die Ergebnisse dieses Schritts müssen im Projektrisiko-Verzeichnis, das auch in Schritt 1 genutzt wurde (Anhang C), dokumentiert werden. Mindestens alle Risiken mit (sehr) hohen Einflüssen müssen für den nächsten Schritt berücksichtigt werden. Dieser Schritt muss für alle Projekte ausgeführt werden. Ausgenommen sind nur die Projekte, die in Schritt 1 als Projekt mit geringem Risikoprofil klassifiziert wurden. Wenn ein Projekt als hohes Risikoprofil (siehe Schritt 1) klassifiziert wurde, wird die Anzahl der Risiken (hoher Einfluss), die in diesem Schritt identifiziert und bewertet wurden, sehr wahrscheinlich ansteigen. Im Allgemeinen kann das Angebotsteam diesen Schritt ausführen. Aber für Projekte, die als hohes Risikoprofil klassifiziert sind (oder sich für die Prozesse RiskMaster-/ATP-/Angebotsprüfung durch den Konzernausschuss qualifiziert haben) muss auch der DRM hinzugezogen werden. Schritt 3 Reaktionen auf Risiken Ziel ist die Definition der Maßnahmen in Bezug auf Risiken, die im vorhergehenden Schritt als Risiken mit hohem Einfluss bewertet wurden. Im Allgemeinen gibt es für jedes Risiko 4 T- Strategien : Take = Akzeptanz wir akzeptieren dieses Risiko, wenn es eintritt, und ergreifen keine (weiteren) Maßnahmen zur Abschwächung dieses Risikos. Transfer = Risikoüberwälzung Wir übertragen dieses Risiko auf eine andere Partei (z. B. Subunternehmer, Kunde, Versicherung). Beachten Sie, dass die Übertragung eines 15 / 31

16 Risikos das Risiko nicht immer ausräumt. Wenn z. B. ein Service ausgegliedert wird und ein Problem auftritt, kann die Marke Imtech immer noch beschädigt werden, auch wenn es rechtlich das Problem der Fremdfirma ist. Terminate = Risikovermeidung Wir beenden dieses Risiko, indem wir die Tätigkeit, die das Risiko verursacht, nicht ausüben. Treat = Risikobegrenzung Wir definieren (zusätzliche) Kontrollmaßnahmen zur Abschwächung dieses Risikos, um zu gewährleisten, dass die Belastung auf ein akzeptables Niveau gesenkt wird (z. B. innerhalb der Risikobereitschaft des Geschäftsbereichs). Für die meisten Risiken wird die Treat-Strategie eingesetzt werden. D. h., es müssen Kontrollmaßnahmen zur Abschwächung der Risiken definiert werden. Diese Kontrollmaßnahmen bestehen aus aktuellen/vorhandenen und zusätzlich einzurichtenden Kontrollen/Maßnahmen, was die Besitzer der Maßnahmen mit einbezieht. Für alle Risiken, die als Risiko mit (sehr) hoher Belastung klassifiziert sind, müssen die Risikostrategien (4Ts) und für die Risiken, die begrenzt werden, die zusätzlichen Kontrollen/Maßnahmen dokumentiert werden. Das kann in dem Format erfolgen, das auch in den vorangegangenen Schritten benutzt wurde (siehe Anhang C). Beginnen Sie mit den Risiken mit (sehr) hoher Belastung, die eine (sehr) große Wahrscheinlichkeit haben. Die Risiken mit (sehr) großer Belastung/(sehr) hoher Wahrscheinlichkeit müssen in den Fokus der Aufmerksamkeit des Managements (und von Kontrollen/Maßnahmen) gestellt werden. Es folgen die Risiken mit (sehr) hoher Belastung, mittlerer Wahrscheinlichkeit, etc. Die Schätzung der Gesamtkosten zur Ausführung der vorhandenen Maßnahmen und der zusätzlich erforderlichen Kontrollen/Maßnahmen definiert zusammen mit den Gesamtkosten der erwarteten (Netto-) Risiken die Notfall-Rückstellung. Die Kosten des Netto-Risikos werden als finanzielle Restbelastung durch ein Risiko nach Ausführung der mildernden Maßnahmen/Kontrollen definiert. Wenn ein Risiko durch die Maßnahmen/Kontrollen vollkommen abgeschwächt wird, sind die finanzielle Belastung oder die Kosten des Netto-Risikos gleich Null. Die Gesamtabschwächung eines Risikos steigert die Kosten 16 / 31

17 der abschwächenden Maßnahmen/Kontrollen. Diese Notfall-Rückstellung bestimmt zusammen mit den kalkulierten Kosten und der Gewinnspanne die Gesamtverkaufskosten. Abgesehen von den in Schritt 1 als Projekt mit einem geringen Risikoprofil klassifizierten muss dieser Schritt für alle Projekte ausgeführt werden. Das Angebots-team kann diesen Schritt ausführen, aber bei Projekten, die als hohes Risikoprofil klassifiziert sind (oder sich für die Prozesse RiskMaster/ATP/Angebotsprüfung durch den Konzernausschuss klassifiziert haben), muss auch der DRM eingebunden werden. Schritt 4 Überprüfung und Übergaberisiken Dieser Schritt findet statt, bevor das Angebot und der Vertrag an den Interessenten/Kunden gesandt werden. Ziel ist es sicherzustellen, dass sich der Projektmanager der Risiken bewusst ist (falls er/sie nicht im Angebotsteam war) und Gelegenheit hat, die erkannten Risiken, Risiko- Strategien und definierten Kontrollmaßnahmen zu überprüfen und zu vervollständigen. Dieser Schritt ist sehr wichtig, weil der Projektmanager für die Leitung des Projekts in einer Weise verantwortlich ist, die die rechtzeitige Lieferung der Projektergebnisse und Realisierung der erwarteten Einkommen/Gewinne bewirkt. Alle erkannten Risiken stellen eine potentielle Belastung für diese (finanziellen) Projektergebnisse dar. Das Angebotsteam übermittelt und erklärt dem Projektmanager a) die Erstklassifizierung des Projekts einschließlich einer Einschätzung der Risikobereitschaft, b) die einzelnen identifizierten Risiken mit (sehr) hohem Einfluss, c) die Strategien für diese Risiken, d) die bestehenden und zusätzlich definierten Kontrollmaßnahmen und e) die Notfall-Rückstellung. Der Projektmanager überprüft diese Ergebnisse (die im Projektrisiko-Verzeichnis dokumentiert sind) und nimmt nach Bedarf Änderungen und Ergänzungen vor, nachdem er diese mit dem Angebotsteam besprochen hat. Alle Änderungen und Ergänzungen werden im Projektrisiko-Verzeichnis aufgezeichnet. Nachdem eine Einigung erzielt wurde, zeigen das Angebotsteam, der Projektmanager und eventuell die DRM an, dass sie den Ergebnissen aus den Schritten 1-4 im Projektrisiko- Verzeichnis zustimmen (siehe Anhang C). Es ist nicht unbedingt erforderlich, den Projektmanager, der tatsächlich dieses spezifische Projekt leiten wird, einzubinden. Allerdings muss der in diesen Schritt eingebundene Projektmanager (oder die Person/Funktion mit vergleichbarer Erfahrung) über umfangreiche 17 / 31

18 Erfahrungen in der Leitung von vergleichbaren Projekten im Hinblick auf Volumen, Umfang, Komplexität, etc. verfügen. Falls nötig, kann dieser Schritt in 2 Unterschritte aufgeteilt werden: 1) die Überprüfung (die vor dem Versand des Angebots/Vertrags stattfinden muss) und 2) die Übergabe (die nach Unterzeichnung des Angebots/Vertrags oder zusammen mit der Überprüfung vor dem Versand des Angebots/Vertrags stattfinden kann). Das Projektrisiko-Verzeichnis muss in einem Projektordner gespeichert werden, der allen relevanten Funktionen, die in den Risikomanagement-Prozess eingebunden sind, einschließlich DRM, zugänglich ist. Die Aktualisierungen (Schritte 5-6) müssen ebenfalls gespeichert werden, um sicherzustellen, dass alle relevanten Mitarbeiter Zugriff auf die neueste Version des Projektrisiko-Verzeichnisses haben. Wie und wo das in den Geschäftsbereichen erfolgt, ist im Risiko-Handbuch des Bereichs beschrieben. Dieser Schritt muss für alle Projekte ausgeführt werden, die als mittleres oder hohes Risiko- Profil klassifiziert sind. Für diese Projekte (oder Projekte, die als Prozesse für RiskMaster/ATP/Angebotsprüfung durch den Konzernausschuss klassifiziert sind) sind DRM und Angebotsteam hinzuzuziehen. Für Projekte mit hohem Risiko-Profil muss auch der Projektmanager einbezogen werden. Anmerkung: vor dem Versand des Angebots und Vertrags müssen Sie sicherstellen, dass alle Imtech-Verfahren befolgt wurden, einschließlich der Dos und Don ts, die Teil der neuen Autorisierungsmatrix sind. Projektausführungsphase Die Projektausführungsphase beginnt mit der Annahme und Unterzeichnung des Angebots und Vertrags durch den Kunden und endet, nachdem die letzten Lieferungen erfolgt sind, übergeben und durch den Kunden abgenommen wurden. 18 / 31

19 Schritt 5 Überwachen und Berichten von Risiken Ziel dieses Schritts ist es sicherzustellen, dass die erkannten und bewerteten Risiken noch aktuell sind und dass die formalisierten Maßnahmen, die während der Schritte 1-3 erarbeitet wurden, planmäßig ausgeführt werden. Während der Ausführungsphase trägt der Projektmanager die Hauptverantwortung für die Behandlung der in der Angebotsphase erkannten Risiken, die Aktualisierung der Risiken und der nötigen Maßnahmen, die Identifizierung neuer Risiken und die Berichte über und die Eskalation von Risiken nach Bedarf. Das sollte nicht als zusätzliche Tätig-keit oder Verantwortung angesehen werden, sondern als integraler Bestandteil des üblichen Projektmanagements. Obwohl die obigen Tätigkeiten und Verantwortungen kontinuierlich wahrgenommen werden müssen, bespricht der Projektmanager die Risiken und definierten Maßnahmen während der monatlichen Projektüberprüfung mit dem Bereichsmanagement und/oder BU- Management/Linienmanagement und aktualisiert diese entsprechend. Das Bereichsmanagement definiert, welche (Management-) Funktionen zwingend an der monatlichen Überprüfung beteiligt werden müssen. Updates und zusätzliche Risiken mit den Maßnahmen müssen im Projektrisiko-Verzeichnis (siehe Anhang C und D) oder in vorhandenen Projektmanagement-Ordnern/- Dateien eingetragen werden. Die erwarteten Projektziele/-ergebnisse (z. B. Lieferungen, Qualität, Zeit und/oder Projekteinkommen/-gewinn) müssen ebenfalls als Teil des monatlichen Prüfprozesses überprüft werden. Falls irgendwelche (erwartete) Abweichungen von den Projektzielen/-ergebnissen auftreten, muss geklärt werden, wo die Gründe für diese Abweichungen liegen, ob diese sich auf erkannte Risiken beziehen oder auf neue Risiken/Probleme, die nicht während der Schritte 1-3 im RM-Prozess oder im Verlauf früherer monatlicher Überprüfungen identifiziert wurden. Wieder erfolgt eine Aufzeichnung im Projektrisiko-Verzeichnis oder in vergleichbaren Projektmanagement-Ordnern/-Dokumenten. Dieser Schritt muss für alle Projekte ausgeführt werden. Für Projekte mit der Klassifizierung geringes Risiko-Profil kann die Überprüfung sehr begrenzt ausfallen. Der Umfang dieser Überprüfung ist im Risiko-Handbuch des Bereichs beschrieben. Für Projekte mit der Klassifizierung hohes Risiko-Profil (oder Projekte, die für die Prozesse 19 / 31

20 RiskMaster/ATP/Angebotsprüfung durch den Konzernausschuss qualifiziert sind) muss auch der DRM hinzugezogen werden. Projektabschluss-Phase Die Projektabschluss-Phase beginnt, wenn die Projektlieferungen an den Kunden übergeben und durch ihn abgenommen wurden, und sie endet, wenn das Projekt finanziell endgültig abgeschlossen wurde und alle Formate in dem RM-Prozess für das Projekt ausgefüllt, erledigt und abgeschlossen wurden. Schritt 6 Projekt, Risiken und Ergebnisse bewerten Ziel ist es sicherzustellen, dass Lektionen, die gelernt wurden, aufgezeichnet und innerhalb der Organisation zur Nutzung verteilt wurden. Der Projektmanager und das Angebotsteam (oder dessen Vertreter) bewerten das Projekt, nachdem alle Lieferungen abgeschlossen und vom Kunden abgenommen wurden. Das Formular zur Projektbewertung muss ausgefüllt (Mindestanforderungen an den Inhalt siehe Anhang E) und zusammen mit dem Projektrisiko-Verzeichnis, den monatlichen Bewertungsformularen und, falls zutreffend, den Formularen zur Risiko-Eskalation im Projektordner gespeichert werden (siehe Kapitel 7 für eine Erklärung der Risiko-Eskalation). Die Bewertungsformulare müssen für alle Projektmanager, das Management und andere Funktionen, die in das Angebotsteam des Geschäftsbereichs eingebunden sind, zugänglich sein. So ist gewährleistet, dass sie diese Informationen für alle neuen Projekte mit vergleichbaren Eigenschaften zu Rate ziehen können. Dieser Schritt muss vom Projektmanager für alle Projekte ausgeführt werden, die als mittleres oder hohes Risikoprofil klassifiziert wurden. Dieser Schritt muss aber auch für alle Projekte mit geringem Risikoprofil ausgeführt werden, wenn die Projektergebnisse deutlich von den anfänglichen Projektzielen (positiv oder negativ) abweichen. Für Projekte, die als hohes Risikoprofil klassifiziert sind (oder Projekte, die sich für die Prozesse RiskMaster/ATP/Angebotsprüfung durch den Konzernausschuss qualifizierten) müssen auch ein Vertreter des Angebotsteams sowie der DRM mit einbezogen werden. 20 / 31

21 7. Eskalation der Risiken und Bewertung des RM-Prozesses Eskalation der Risiken: Die Projektrisiken werden kontinuierlich im Rahmen der standardmäßigen Projekt-management- Tätigkeiten und während der monatlichen Überprüfungen der Projektleistung bewertet. Allerdings können für einige auftauchende Risiken/Ereignisse Sofortmaßnahmen erforderlich sein. Dabei handelt es sich um Ereignisse/Risiken, die einen wesentlichen Einfluss auf die Projektziele haben und das Potential besitzen, erhebliche Abweichungen von den Projektergebnissen/vom Gewinn zu verursachen. Für diese Vorgänge sollte eine Eskalation auf das Management erfolgen, damit es sicher informiert bleibt und rechtzeitig mit einbezogen wird. Im Risiko-Handbuch des Geschäftsbereichs finden Sie weitere Informationen darüber, wann eine Eskalation von Risiken auf das Management ratsam ist. Risiken, die in einer früheren Phase nicht definiert wurden und eskaliert werden, müssen in das Projektrisiko-Verzeichnis aufgenommen werden. Das Risiko kann mittels vorhandener Dokumente/Eskalationsformulare, die bereits Teil der Projektmanagement-Dokumente sind oder anhand der Informationen über spezifische Risiken, die im Projektrisiko-Verzeichnis aufgezeichnet sind, eskaliert werden. Anhang F zeigt die Angaben, die für den Bericht mindestens eingegeben werden müssen. Eine Risiko-Eskalation muss für alle Projekte erfolgen. Der Projekt-Manager muss die Eskalation einleiten und das Eskalationsformular ausfüllen. Das Management des Geschäftsbereichs und der DRM müssen das Eskalationsformular erhalten. Das Management des Geschäftsbereichs nutzt die bestehenden Verfahren, um zu entscheiden, ob eine Eskalation auf die GRC-Funktion nötig ist. Risikomanagement-Bewertung Der RM Prozess selbst unterliegt einschließlich der Nutzung dieser Risikomanagement- Richtlinien, des Handbuchs und aller verbundenen Richtlinien und Verfahren auch einem Bewertungsprozess. Dieser kann durch den DRM innerhalb des Geschäftsbereichs organisiert werden, ist aber auch Bestandteil der regelmäßigen Sitzungen des Risikorats, der durch den GRC-Direktor organisiert und ermöglicht wird. Alle DRM und GRM müssen diesen Sitzungen 21 / 31

22 beiwohnen. Der GRC-Direktor wird auf der Basis der Eingaben und/oder spezifischer Wünsche des DRM die Tagesordnungspunkte für die Sitzungen des Risikorats festlegen. Der GRM führt auch (Standort-) Bewertungen im Hinblick auf die Umsetzung des Risikomanagement-Prozesses durch. Feststellungen und Beobachtungen, die während dieser Standort-Bewertungen gemacht werden, werden den DRM mitgeteilt und können auch Tagesordnungspunkt der Sitzungen des Risikorats sein. 22 / 31

23 Anhänge A. Definitionen B. Risiko-Umgebung C. Inhalt des Projektrisiko-Verzeichnisses D. Inhalt der monatlichen Überprüfung E. Inhalt des Projektabschlusses F. Inhalt der Risiko-Eskalation 23 / 31

24 Anhang A Definitionen Begriff Besitzer der Maßnahme Generische Risikoumgebung Konzernausschuss zur Angebotsprüfung Risiko Definition Partei, die beauftragt ist, den Maßnahmenplan auszuführen und zusätzliche Kontrollen zur Abschwächung des Risikos auf eine akzeptable Risikotoleranz einzurichten. Eine Darstellung potentieller Risikobereiche innerhalb der Organisation. Die Generische Risikoumgebung trägt zum Verständnis bei, in welchen Bereichen oder (Unter-) Kategorien Risiken auftreten können. Der Direktor des Geschäftsbereichs muss alle Angebote mit einem Umsatzwert von 15 Mio. oder mehr (Imtech allein oder in einem Joint Venture) in einer Sitzung des Konzern-ausschusses zwecks Prüfung und Vorlage beim Vorstand vorstellen. Bei Imtech NV sitzt ein Vorstandsmitglied dem Angebotsprüfungsausschuss vor. Weitere Mitglieder sind der GRC Direktor und der GRM. Die Mitglieder des Angebots-prüfungsausschusses sollten bei den Sitzungen persönlich anwesend sein, wenn nicht der Vorstand etwas anderes festgelegt hat. Die Sitzung des Angebotsprüfungs-ausschusses wird nach Eingang eines Antrags auf ATP (Authorization To Proceed) bei Imtech NV organisiert. Die endgültige Verantwortung für die Beantragung einer ATP liegt beim Direktor des Geschäftsbereichs. Die Ausführung kann delegiert werden. Der Angebotsprüfungsausschuss überprüft die Risiken des Angebots und unterzeichnet die ATP, wenn alles besprochen und genehmigt wurde. Ein Ereignis, das intern oder extern eintritt und die Erreichung der geschäftlichen Ziele der Imtech beeinträchtigt und zu einem Werteverlust führt (z. B. Versäumnis, bestehende Werte zu schützen). Ein Risiko zeigt sich in vielen Formen und hat das Potential, z. B. strategische Initiativen, Sicherheit und Gesundheit, die Umwelt, die Gemeinschaft, den Ruf, die regulative, betriebliche, marktbezogene und finanzielle Leistung der Imtech und ihrer Geschäftsbereiche zu belasten. In diesen Richtlinien liegt der Fokus hauptsächlich auf den Risiken, die die Ziele und Ausführung spezifischer Projekte belasten, was aber auch die Ziele und Leistung des Unternehmens als Ganzes beeinflusst. Risikobereitschaft Eine Leitlinie, die im Einzelnen die Grenzen der Risiko-akzeptanz - definiert als Summe des Risikopotentials (oder potentielle nachteilige Auswirkungen) - aufführt, die Imtech bereit ist, für spezifische Projekte zu tolerieren. Die Risikobereitschaft der Geschäftsbereiche der Imtech orientiert sich auch für deren Projekte an der Risikobereitschaft der Imtech Konzernebene. 24 / 31

25 Begriff Definition Risikobewertung und -priorisierung Kriterien der Risikobewertung Risiko- Management (RM) RiskMaster Besitzer von Risiken RM-Richtlinien RM-Handbuch RM-Prozess Eine Bewertung der auf der Grundlage der Bewertungs-kriterien erkannten Risiken. Risiken, die die Risikotoleranzen übersteigen, benötigen die Aufmerksamkeit oder Maßnahmen des Managements. Kriterien der Risikobewertung sind spezifische Komponenten und Beispiele der Auswertungskriterien, die anzeigen, was zu einer Zuordnung zu (sehr) hoch, mittel und gering ausmacht. Diese Auswertungskriterien basieren auf den Erklärungen des Imtech Konzerns zur Risikobereitschaft. Das RM ist ein Prozess, der vom Vorstand, dem Management auf Bereichsebene und anderem Personal bewirkt wird. Das RM betrifft die Festlegung der Strategien durch die gesamte Organisation hindurch. Das RM ist dazu ausgelegt, potentielle Ereignisse zu identifizieren, die die Organisation nachteilig beeinflussen könnten, Risiken im Rahmen der Imtech Projekte gemäß der jeweiligen Risikobereitschaft zu behandeln und angemessene Absicherungen zur Erreichung strategischer Initiativen, der Geschäfts- wie auch der Projektziele zu liefern. Das Risikomanagement-Werkzeug des Imtech Konzerns dient dazu, die anfängliche Risikobewertung für ein Projekt in der Angebotsphase zu erleichtern. Für alle Projekte, die spezifische Anforderungen erfüllen oder bestimmte Schwellen (gemäß Definition in Kapitel 3) überschreiten, muss RiskMaster eingesetzt werden. Eine Person, die bei Imtech für die Behandlung spezifischer Risiken innerhalb eines Projekts verantwortlich ist. Legen die Sicht der Imtech auf das Risikomanagement (RM) dar und definieren die Grundsätze und Leitlinien des Risiko-managements, die Imtech als Organisation erfüllen muss. Liefert eine Struktur, die die Organisation des RM bei Projekten unterstützt, so dass Projektrisiken in einheitlicher Form erkannt, bewertet, behandelt, überwacht und berichtet werden. Mindestanforderungen an das Projekt-Risikomanagement werden definiert. Die Risiko-Handbücher der Bereiche liefern weitere Einzelheiten dazu, wie Prozesse, Standards und Mindestanforderungen für einen spezifischen Bereich eingesetzt werden müssen. Beschreibt die wichtigsten Schritte, die bei der Ausübung der Verantwortung für das Risikomanagement eines Projekts befolgt 25 / 31

26 Begriff Strategie zur Reaktion auf Risiken Projektrisiko- Verzeichnis Definition werden sollten. Ziel des RM-Prozesses ist es, eine strukturierte und konsistente Methode zur Erkennung, Priorisierung und Behandlung von Risiken auf kontinuierlicher Basis und integral mit den Imtech Projekten zu unterstützen. Die geeignete Strategie, mit den wichtigsten in der Risikobewertung erkannten Projektrisiken umzugehen, einschließlich aller erforderlichen Management- und Kontrolltätigkeiten. Die Reaktionsstrategie kann Take (akzeptieren), Transfer (Risikoüberwälzung), Treat (Risiko-begrenzung) oder Terminate (Risikovermeidung) sein. Ein Werkzeug, das die konsistente Anwendung des Risikomanagements sicherstellen soll und zur Dokumentierung von Risiko- Informationen in allen Phasen eines Projekts eingesetzt wird. 26 / 31

27 Anhang B Risikoumgebung Die Risikoumgebung ist eine Übersicht, die potentielle Risiko-Bereiche darstellt und als Denkanstoß zur Erkennung potentieller Risikokategorien genutzt werden kann. Eine komplette Übersicht über alle möglichen Risiken ist nicht beabsichtigt. Andererseits gelten nicht alle Risikobereiche für alle Projekte. 27 / 31

28 Anhang C Inhalt des Projektrisiko-Verzeichnisses Das Projektrisiko-Verzeichnis muss mindestens die unten gezeigten Informationen umfassen. Für jeden Schritt des Risikomanagement-Prozesses ist angegeben, welche Informationen in das Projektrisiko-Register (oder vergleichbare vorhandene Projekt-dokumentationen/-formate) aufgenommen werden müssen. 28 / 31

29 Anhang D Monatliche Überprüfung Die monatliche Überprüfung ist Teil des Projektmanagements. Die vorhandenen Dokumente oder Formate können für Aufzeichnungen und Berichte über die monatliche Überprüfung benutzt werden. Die Informationen unten definieren die Punkte, die mindestens für das Risikomanagement besprochen und in die Überprüfung und den Bericht mit einbezogen werden müssen. Diese Informationen können auch Bestandteil des Projektrisiko-Verzeichnisses sein (siehe auch Anhang C): 29 / 31