Risikoanalyse


Risikoanalyse

Die Risikoanalyse ist ein Bestandteil des Risikomanagements. Dieses wird in der DIN ISO 31000:2018-10: „Risikomanagement – Leitlinie“ als ein Prozess aus den Phasen Risikoidentifikation, Risikoanalyse, Risikobewertung und Risikobehandlung beschrieben. Auf welcher Ebene die Betrachtung erfolgt, ist dabei unerheblich: Ein soziotechnisches System – wie ein Unternehmen oder eine Verwaltungseinheit – kann ebenso im Fokus stehen wie ein Prozess oder Verfahren sowie ein Projekt.

Die Risikoanalyse folgt also auf die Identifikation einer unter Umständen negativen Entwicklung. Anhand der Analyse kann das Gefährdungspotenzial, das unter diesen Bedingungen besteht, bewertet werden. Dies ist die Basis für das Handling des Risikos durch geeignete Maßnahmen, die auf die möglicherweise eintretende Situation abgestimmt sind.

Eine Risikoanalyse zielt darauf ab, die bestehenden Gefahren anhand eines systematischen, definierten Vorgehens zu erkennen und zu priorisieren. Am Anfang steht dabei die möglichst objektive und quantitative Beschreibung des Risikos. Gemäß EN ISO 12100:2010 ergibt sich das Risiko dabei als Produkt aus Eintrittshäufigkeit bzw. Eintrittswahrscheinlichkeit und Ereignisschwere bzw. Schadensausmaß:

Risiko = Eintrittswahrscheinlichkeit * Schadensausmaß

Anhand von Risikomaßen, die bestehende Ungewissheiten in Bezug auf ein Ereignis quantitativ beschreiben, können Risiken hinsichtlich ihres Potenzials und ihrer Auswirkung miteinander verglichen werden.

Erweitert werden kann eine solche Risikoanalyse durch drei Vorgehensweisen:

  • die Einbeziehung rein qualitativer Beurteilungen von Risiken,
  • die Neustrukturierung bekannter Risiken und
  • die Analyse der gegenseitigen Abhängigkeiten von Risiken. Hier kommt es durch die gesamthafte Betrachtung von Einzelrisiken und über die Berechnung des Gesamtrisikos zur sogenannten Risikoaggregation.

Risikoanalysen in Organisationen

Für jede soziotechnische Organisation, insbesondere für produzierende Unternehmen ab einer gewissen Größe (mittlere Unternehmen nach KMU-Definition der EU) sowie Kapitalgesellschaften, ist die regelmäßige, strukturierte Analyse der bestehenden Risiken sinnvoll. Dabei sollten nicht nur vorhandene und geplante Prozesse und Abläufe einer Risikoanalyse unterzogen werden, sondern auch unternehmerische Entscheidungen.

Das Ziel einer solchen Analyse ist, die Auswirkungen von Risiken abschätzen zu können. Dies betrifft nicht nur die betriebswirtschaftliche Situation, sondern auch die sozialen, gesellschaftlichen und ökologischen Zusammenhänge. Denn Risikoanalysen
sind nicht nur eine Grundlage für die Bestimmung von Planwerten, die Ermittlung der Höhe kalkulatorischer Wagniskosten oder die Berechnung eines Kreditrahmens. Sie beziehen auch Informationen ein über die gesellschaftliche Akzeptanz von Vorgehensweisen und Maßnahmen und berücksichtigen deren Einfluss auf das Unternehmens- oder Markenimage.

Risikoanalysen werden typischerweise durchgeführt, um ...

  • dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich nachzukommen, indem sie die Bilanz oder den Jahresabschluss um einen Lage- oder Risikobericht ergänzen.
  • die betriebswirtschaftliche Situation einer Organisation (z. B. bei einer Unternehmensbewertung) zu beurteilen.
  • Kreditinstituten bei Kreditvergaben die Bestimmung und Steuerung des Risikos zu ermöglichen und die eigene Kreditwürdigkeit zu wahren.
  • Projektplanungen („Projektrisikoanalyse“) und Investitionsrechnungen zu stützen.
  • die Risiken neuer Technologien oder gesellschaftlicher Entwicklungen abzuschätzen.
  • Produktrisiken zu bewerten, insbesondere bei der Einführung eines neuen Angebots in einen Markt.
  • im Rahmen einer Gefährdungsbeurteilung als gesetzlich verpflichtender Maßnahme des Arbeitsschutzes die Belastung und Gefährdung der Beschäftigten zu minimieren.

Durchführung

Basis der Risikoanalyse sind üblicherweise:

  • statistische Datenanalysen von betriebswirtschaftlichen Daten oder Produktionsparametern;
  • Prozessanalysen, bei denen die eingesetzten Produktions- und Arbeitsmittel (technische Einrichtungen, Materialen und Teile, Roh-, Betriebs- und Hilfsstoffe), aber auch die personelle Ausstattung betrachtet werden;
  • deterministische oder stochastische Szenarioanalysen, abhängig davon, ob die Wahrscheinlichkeit des Auftretens der Risiken und ihre Auswirkungen bekannt oder nicht vorhersehbar sind.

Bei der Durchführung einer Risikoanalyse lassen sich vier Teilschritte unterscheiden: die Risikowahrnehmung, die Risikoabschätzung bzw. -berechnung, die Risikominimierung und das Risiko-Monitoring und -Review.

  • Risikowahrnehmung: Welche Risiken können prinzipiell auftreten?

    Zu unterscheiden ist hier prinzipiell zwischen internen und externen Risiken. Zur Wahrnehmung der internen Risiken sollten alle Prozesse, Verfahren, Abläufe und Projekte in allen Unternehmensbereichen im Hinblick auf potenzielle Gefährdungen oder Belastungen untersucht werden. Besondere Aufmerksamkeit verdienen Vorgänge der Leistungserstellung bzw. Wertschöpfung, die Abteilung Forschung und Entwicklung – sowie der Bereich Finanzen. Verantwortlich dafür sind die Personen, die direkt mit dem Risiko konfrontiert sind, die sogenannten „Risk Owner“. Dies können Sicherheitsbeauftragte oder Projektleiter sein, aber auch der Controller. Um externe Risiken zu erkennen, sind die wirtschaftlichen, politischen, sozialen, gesellschaftlichen und ökologischen Randbedingungen, Entwicklungen und Trends zu verfolgen.
  • Risikoabschätzung bzw. -berechnung: Wie groß sind die Eintrittswahrscheinlichkeiten und das jeweilige Schadensausmaß?

    Um alle wahrgenommenen Risiken einschätzen und priorisieren zu können, wird typischerweise eine Risikomatrix aufgestellt. Sie enthält die beiden Dimensionen Eintrittswahrscheinlichkeit und Schadensausmaß. Beide werden, um einen ersten Überblick zu erhalten, nicht berechnet, sondern qualitativ jeweils in die Stufen niedrig, mittel und hoch unterteilt. Alle betrachteten Aspekte werden dann einem Feld in der sich ergebenden Neun-Felder-Matrix zugeordnet. So lässt sich die Zugehörigkeit in einer der neun „Risikoklassen“ veranschaulichen. Damit wird es möglich, Handlungsfelder zu priorisieren. Kritische Vorgänge und Faktoren, die besonders aufmerksam verfolgt werden sollten, sind im Feld „hoch/hoch“ angesiedelt.
  • Risikominimierung: Welche Maßnahmen dienen der Vorbeugung oder der Schadensbegrenzung?

    Die Risikominimierung sollte bei den hochkritischen Vorgängen und Faktoren ansetzen. Präventive Maßnahmen dienen der vorbeugenden Senkung der Eintrittswahrscheinlichkeit, indem die Ursachen der Gefährdung abgestellt werden. Korrektive Maßnahmen reduzieren das Schadensausmaß nach dem Eintritt des Ereignisses. Substitutive Maßnahmen werden vorgesehen, um Vorgänge durch gänzlich andere zu ersetzen und damit das bestehende Risiko zu eliminieren. Wenn ein Risiko nicht übertragen oder delegiert werden kann, beispielsweise an eine Versicherung, sind die Risiken zu akzeptieren. Idealerweise werden sie allerdings kontinuierlich überwacht oder zumindest regelmäßig sorgfältig geprüft.
  • Risiko-Monitoring und -Review: Wie verändert sich die Risikosituation aufgrund der durchgeführten Maßnahmen? Wie kann die Entwicklung des Risikos erfasst und analysiert werden? Welche neuen Risiken sind absehbar?

    Ein Monitoring der Risiken kann durch kontinuierliche Überwachung aller Risikofaktoren erfolgen oder durch regelmäßige Überprüfungen wie Begehungen oder Probennahmen. Voraussetzung für die Konstanz des Monitorings ist die Dokumentation aller erhobenen Daten und deren zeitnahe Auswertung mit standardisierten Methoden. Daraus lassen sich dann weitere Maßnahmen ableiten. Wichtig ist, die Risikoanalyse als permanenten Prozess zu verstehen, um sich auch wechselnden Bedingungen anpassen zu können. Denn die Risikoanalyse ist nie beendet – nach dem Monitoring startet der Prozess mit der Risikowahrnehmung neu.

Fazit

Risikoanalysen sind ein sinnvolles und oft notwendiges Instrument der Lagebestimmung und universell einsetzbar – bei soziotechnischen Systemen, Prozessen, Verfahren oder Projekten. Gerade bei Kapitalgesellschaften und in sensiblen Wirtschaftsbereichen sind sie vielfach vom Gesetzgeber vorgeschrieben. Denn sie schaffen Klarheit über bestehende Gefährdungspotenziale und ermöglichen oder unterstützen die Absicherung der eigenen Aktivitäten. DIN-Normen beschreiben den Aufbau, den Inhalt und die Durchführung von Risikoanalysen und können damit die Vorgehensweise bei der eigenen Bewertung erleichtern.

Die Gleichbehandlung aller Geschlechter ist uns wichtig und gehört zu unseren gelebten Kernwerten. In Texten verzichten wir auf sprachliches Gendern,
um ein einheitliches und unkompliziertes Lesen zu gewährleisten. Selbstverständlich sprechen wir alle Geschlechter an.