Risiko Erkennung, Riskmanagement-Cockpits und andere Scheinlösungen

31.05.2020 18:15:56 | BLOG | CascadeIT, Helmut Steigele | BLOG | 0 Kommentare


Nach dem Einschlag ist vor dem Einschlag. Widerstandsfähige Organisationen wissen das, weniger widerstandsfähige vielleicht nicht.

Bei genauerem Hinsehen scheint die Zeit AC (After Corona) für die "Data driven Decision", "Riskmanagement Cockpits" und "Predictive Analytics" vorgezeichnet. Ich sehe schon jetzt Myriaden von Beratern, Experten und Accountmanagern auf die Kunden loslaufen.

Aber Pustekuchen, ich werde den Teufel tun und jetzt den Zukunftspropheten nach dem Maul bloggen.

Au contraire - Gerade noch im "Absorb", morgen vielleicht im Recovery Mode, haben Entscheider anderes zu tun, als sich aufs Neue mit unausgegorenen Ideen in die Nesseln zu setzen:


Wie würden also Pragmatiker und Krisenmanager mit den Phänomenen umgehen, welche ein Lockdown und ein daraus resultierender Block im Supply und Demand auslösen.

Er würde sich fragen, wie er künftig eher erkennen kann, welche Leistungszuflüsse bei Unterbruch zu einem Krisenszenario führen, er würde alle intern anschliessenden Abläufe enstprechend neu gestalten, sie ebenfalls überwachen und im Bereich der Kundenbeziehungen nach jenen Indikatoren suchen, die anzeigen, dass eine Beziehung am Erodieren ist.

 

Das erfordert als Grundlage zwei Dinge (beide sind durchaus nur mit internen Ressourcen bewältigbar).

 

  • Kenntnis der erfolgskritischen Leistungsketten
    • Die Erstellung eines "Prozess-Repositories" mit dem klar festgehalten ist, welche In- und Outputs von wo kommen, wo hin gehen
    • Daraus abgeleitet, eine Liste an "kritischen" Leistungsketten, welche bei Unterbruch zu einem krisenhaften Ereignis führen können
    • Hieraus abgeleitet, die bereits existierenden Datentöpfe, Systemlogs und Quellen, die jetzt schon vorhanden sind, damit man sich "Messpunkte" setzen kann.
  • Einbezug der internen Wissensträgern, die Bescheid wissen, wann und wo die Daten liegen, welche anzeigen, ob es in einem Ablauf gefährlich wird oder auch nicht
    • Manches davon ist nicht dokumentiert, weil man nie auf diese Mitarbeiter gehört hat
    • Oder die Information ist verloren gegangen, weil Mitarbeiter, welche unter "Eigensicherung" nicht daran denken, dass dieses Wissen für andere relevant sein könnte

Basierend auf diesen Voraussetzungen, nehmen wir nun die im Fokus stehenden Leistungsketten und fragen uns, wo hätte man etwas voraussehen können, welcher Teil der Leistungskette konnte etwas abfangen, und was davon hat sich im Recoverymodus wie verhalten.








Will man nun Monitoringpunkte (vorher waren es eher Pain-Points und Crisis-Triggers innerhalb eines Ablaufes) setzen, so stellt man sich die Fragen:

  • Wo hat es gehakt
  • Wie lange hat es gedauert, bis man die Wirkung des Unterbruches gemerkt hat (für eine spätere Vorwarnzeit gut verwendbar)
  • Welche Folgeabläufe waren betroffen
  • Kann es an dieser Stelle nochmal haken, oder haben sich die Umstände so geändert, dass ein schon einmal eingetretenes Szenario nicht mehr stattfinden wird.






Auf Basis dieses Mechanos kann man für das spätere Resilience-Management entlang aller kritischen Leistungsketten gezielt aus schon vorhandenen und in Zukunft neu erstellten Datentöpfen Auswertungen fahren, Key Risk Indicators definieren und ein Frühwarnsystem hochfahren, dass die Grundlagen und ersten Erfahrungen liefert, welche für spätere Zukunftsmusik wie Predictive Analytics, Big Data und Risk Management Cockpits verwendet werden kann.

 

Und hier der Grund, warum ich hier auf die Ratschläge derer die jetzt mit Risk-Management Cockpits, Predictive Data-Assessments und anderen Pilllen herumsalbadern wollen nichts gebe.

 

Die derzeit vorhandenen Risk-Management-Cockpits prüfen die intern vorhandenen und erfassten Assets, nach subjektiv zusammengestellten Risikoszenarien, fragen aber nie entlang eines Ablaufs, sondern nur danach, was passiert, wenn Asset X oder Y ausfällt (nach dem Failure Mode Effects - Ansatz). Dumm nur wenn diese Assets gemeinsam mit den verbundenen Prozessen nicht systematisch erfasst sind, mit Ereignissen verbunden sind, die gleich gar nicht erfasst wurden (siehe Corona) und nicht aussagen, welche Wirkung der Ausfall im Umfeld des Unternehmens hat. Nebst der Tatsache, dass auch heute noch viele Abläufe im Unternehmen  nie erfasst oder gemessen wurden .

In diesem Fall ist der Einsatz selbiger Risk-Cockpits schlicht nutzlos, oder es wirkt, weil man sich darauf verlässt, beim Eintritt eines Krisenfalles wie Sagrotan, dass man mit Trinkwasser verwechselt hat.

Wer sich aber ein Unternehmen als eine Aneinanderreihung von Abläufen Outside-in-Inside-Out denkt und entlang daran erlernt hat, gezielt Fragen nach Indikatoren, Quellen und Schwellwerten zu stellen hat schneller, eher und wirksamer die Krise bekämpft. Dieses Wissen ist aber eher bei denen vorhanden, die tagtäglich ihren Job mit "Eigensicherung" und Erfahrungswissen absichern, statt sich schön gepinselte Logik aus Lehrbüchern auszuleihen, um in der Krise für die nächste Krise vorzusorgen. Vergessen Sie also die ganzen Risiko-Management-Berater. Diese Herren wissen auch nicht mehr, als ihre eigenen Mitarbeiter.

Einzig beim Etablieren von künftig gültigen Risikobewältigungsmechanismen und der Implementierung von Resilienz-Instrumenten, die den gesamten Businessflow im Auge haben sind "externe Experten" eine probate Alternative (weil diese auf Ereignisse achten, die intern nie wirklich beachtet wurden). Dann aber haben Sie auch etwas davon, bzw. dann hat es sich aber auch schon mit den externen Experten.

 

PS: Wer obigen Mechanismus nutzt hat für sich schon die ansonst fehlenden Grundlagen und ersten Erfahrungen erarbeitet, die die späteren Segnungen von Big Data und Predictive Analytics und Data Driven Decision erst ermöglichen.
 

  • Sie haben erlernt die "richtigen Fragen" zu stellen
  • Sie haben die notwendigen Daten-Sourcen schon isoliert, um auch antworten finden zu können
  • und sie haben die Fragen so gestellt, dass sie später beim Entscheiden auch wirklich etwas nützen

Ankündigung für den nächsten Recovery-Blog: Wie man mit "Distanz" trotzdem im Geschäft bleibt