Die Risikobewertung ist Teil des Risikomanagements. Zu dessen systematischer und kontinuierlicher Durchführung sind viele Organisationen gesetzlich verpflichtet – insbesondere Unternehmen mit spezifischen Wagnissen, wie Kapitalgesellschaften (wie AGs oder GmbHs) und Unternehmen der Finanz- und Versicherungsbranche. Zusammen mit den vorangehenden Schritten der Risikoidentifikation und der Risikoanalyse bildet die Risikobewertung die drei Elemente der Risikobeurteilung. Im Risikomanagement-Prozess folgen darauf die Phasen Risikobewältigung und Risikokommunikation.
Die Risikobewertung im Arbeitsschutz
Jede Organisation mit mindestens einem Mitarbeiter ist verpflichtet, die Regelungen des Arbeitsschutzes umzusetzen. Dazu sind regelmäßig Gefährdungsermittlungen durchzuführen. Sie sind die Grundlage dafür, die potenziellen Gefahren am Arbeitsplatz über eine Risikobewertung möglichst quantitativ zu bestimmen.
Die Risikobewertung besteht aus dem Abschätzen oder Berechnen der Wahrscheinlichkeit einer körperlichen oder psychischen Belastung. Ursächlich dafür können beispielsweise sein:
- Umgebungsbedingungen (wie Lärm, Staub, Vibrationen, Be- bzw. Entlüftung, Temperatur, Feuchtigkeit, Licht- und Farbverhältnisse);
- Gefahrstoffe (wie Chemikalien, zündfähige, entflammbare, brennbare oder Explosivstoffe);
- Tätigkeiten (Arbeiten in der Höhe, unter beengten Verhältnissen oder mit ungünstigen Körperhaltungen);
- Werkzeuge und Maschinen (vom Schneidmesser über die Kettensäge bis zur Hochdruckstanze oder Hydraulikpresse);
- Stress, Zeitdruck, Konflikte, Belästigung, Gewalteinwirkung etc.
Aus einer fortwährenden Belastung folgt – je nach individueller körperlicher und geistiger Konstitution der Person – früher oder später eine Beanspruchung, aus der ein Gesundheitsschaden resultieren kann.
Die Risikobewertung deckt die bestehenden Gefährdungen auf und dient als Grundlage für die Prävention. Diese hat nach dem STOP-Prinzip zu erfolgen: Die Substitution (S) von Gefährdungsfaktoren hat Vorrang. Danach folgen technische (T) und organisatorische (O) Maßnahmen. Greifen diese nicht oder beseitigen sie die Ursachen nicht, sind schließlich personenbezogene Maßnahmen (P) zu planen und umzusetzen. Hierzu zählen beispielsweise persönliche Schutzausrüstungen (PSA) oder Unterweisungen der Mitarbeiter. Deren Dokumentation gilt als Nachweis des ordnungsgemäßen Vorgehens.
Wer trägt die Verantwortung?
Das Risikomanagement und damit auch die Risikobewertung liegen in der Verantwortung der Führungsebene, also der Leitung der Organisation. Hier fallen die strategischen Entscheidungen.
Die operative Umsetzung der als notwendig erachteten Maßnahmen, also deren Gestaltung und Ausführung, kann allerdings an untergeordnete Ebenen delegiert werden. Beim Arbeitsschutz erfolgt dies beispielsweise an den Sicherheitsbeauftragten (SiBe), die zuständige Sicherheitsfachkraft (SiFa) oder einen Chemikalienbeauftragten.
Das Vorgehen bei der Risikobewertung
Die Risikobewertung baut auf der Risikoidentifikation und der Risikoanalyse auf. Bewertet werden die in den vorangegangenen Schritten ermittelten, dokumentierten und eingeordneten potenziellen Gefährdungen.
Die Bandbreite der möglichen Negativeinflüsse reicht dabei von Planungsrisiken (in verschiedenen Stadien der Planung) bis hin zu Ereignisrisiken. Letztere können – auch aufgrund schlechter Planung – wiederholt vorkommen, etwa in der laufenden Produktion, oder auch einmalig sein, wie etwa Naturphänomene.
Als Bewertungsgrundlage werden in vielen Fällen festgelegte Verfahren oder Kriterien aus Standards und Normen herangezogen. Wichtige Parameter sind dabei die Schadenshöhe, auch als Tragweite bezeichnet, die Eintrittswahrscheinlichkeit und der Risikowert.
Schadenshöhe und Tragweite
Die Schadenshöhe wird monetär quantifiziert. Sie ergibt sich als Summe der Kosten, die bei Eintritt des als Risiko identifizierten Ereignisses entstehen. Hierbei wird unterschieden zwischen den direkten und den indirekten Kosten:
- Direkte Kosten entstehen durch den Schaden selbst (etwa den Verlust der zerstörten Maschine als Abschreibung), die Schadensbeseitigung (die Reparatur oder Instandsetzung der beschädigten Anlage) sowie durch eventuelle Wiedergutmachungsleistungen (z. B. als Schadensersatz bei Geschädigten) und Strafen (wie Bußgeldzahlungen).
- Indirekte Kosten entstehen beispielsweise durch Produktionsausfälle, Qualitätseinbußen (Angebot verbilligter Produkte, „2. Wahl“) oder Regressforderungen wegen nicht eingehaltener Verpflichtungen (etwa Liefertermine oder -mengen).
Die Tragweite berücksichtigt auch qualitative Aspekte. So haben Schadensfälle oftmals Auswirkungen auf die körperliche und die psychische Konstitution der direkt und indirekt betroffenen Personen. Neben beispielsweise Verletzungen unterschiedlicher Schweregrade sind hier auch psychische Belastungen bis hin zu Traumata zu nennen. Die Folge können Auswirkungen auf die Wahrnehmung der Organisation sein. Ein Imageschaden kann nach innen und außen wirken und beispielsweise den Ruf als Arbeitgeber untergraben oder die Corporate Social Responsibility (CSR) infrage stellen. Monetäre Konsequenzen sind zu befürchten, wenn der Imageverlust sich in nachlassenden Umsatzzahlen widerspiegelt und damit das betriebswirtschaftliche Ergebnis des Unternehmens verschlechtert.
Eintrittswahrscheinlichkeit
Die Eintrittswahrscheinlichkeit eines Schadensfalls kann sowohl abgeschätzt als auch berechnet werden. Dies hängt nicht nur vom betrachteten Ereignis selbst, sondern unter anderem auch vom Reifegrad des Risikomanagements im Unternehmen ab.
- Bei einer qualitativen Schätzung wird die Eintrittswahrscheinlichkeit anhand von Aussagen wie „sehr gering“, „gering“, „mittel“, „hoch“, „sehr hoch“ bewertet. Diese Angaben auf einer Ordinalskala können dann durch Zuordnung eines Prozentwerts oder -bereichs operationalisiert und beispielsweise in einer Risikomatrix genutzt werden.
- Bei einer quantitativen Berechnung werden Verfahren etwa des statistischen Qualitätsmanagements (z. B. Six Sigma), Simulationsrechnungen (Worst Case, Most Likely Case, Best Case; Value at Risk, Cashflow at Risk) sowie Bandbreitenplanungen eingesetzt. Sie ergeben einen statistisch vergleichbaren Wert oder einen umgrenzten Wertebereich.
Risikowert und Risikozahl
Die der Schadenshöhe bzw. Tragweite und der Eintrittswahrscheinlichkeit zugeordneten Zahlenwerte werden benutzt, um den Risikowert zu berechnen. Er ergibt sich als Produkt der beiden Angaben:
Risikowert = Eintrittswahrscheinlichkeit * Schadenshöhe
Eine Berechnung der tatsächlichen finanziellen Auswirkung eines Ereignisses ist möglich, wenn die Schadenshöhe in Währungseinheiten – in Euro – angegeben werden kann und statistisch gesicherte Prozentwerte für die Eintrittswahrscheinlichkeit vorliegen. So lässt sich die monetäre Belastung konkretisieren und bewerten.
Sind weder die Eintrittswahrscheinlichkeit noch die Schadenshöhe als finanzielle Folge zu quantifizieren, erfolgt eine qualitative Abschätzung, etwa durch eine Einteilung in Risikoklassen. Dabei werden Angaben in den Ordinalskalen Punktwerte zugeordnet, beispielsweise von „sehr hoch = 5 Punkte“ bis „sehr gering = 1 Punkt“. Die Multiplikation der beiden Punktwerte führt dann zur sogenannten Risikozahl, die bei diesem Bewertungsschema zwischen 1 und 25 liegen kann. So können auch bei rein qualitativen Angaben untereinander vergleichbare Risikozahlen angegeben werden.
Die grafische Darstellung
Der Zusammenhang zwischen der Eintrittswahrscheinlichkeit und der Schadenshöhe wird in der grafischen Darstellung deutlicher als in der Berechnung oder in einer Tabelle. Eine Visualisierung erfolgt meist als Risikomatrix oder als Risikoportfolio. Damit wird das Ergebnis, also die Risikobewertung, in einfach verständlicher Form veranschaulicht.
Die Risikomatrix
In einer Risikomatrix wird das Risikopotenzial – der Risikowert bei quantitativ erfassbaren, die Risikozahl bei qualitativ bewertbaren Risiken – quasi ohne weitere Erklärung sichtbar. Das Risikopotenzial wird dabei je nach Wertebereich durch eine entsprechende Farbe abgebildet; idealerweise werden dazu die bekannten Ampelfarben genutzt. Dann steht die Farbe Grün für Akzeptanz, Gelb hingegen für Besorgnis und Rot kennzeichnet die Gefahr. Bei Grün besteht kein Handlungsbedarf, bei Gelb sind Maßnahmen zur Steuerung zu ergreifen und bei Rot ist sofortiges Eingreifen erforderlich. Prinzipiell sind zwei Darstellungsarten möglich: eine kontinuierliche und eine diskontinuierliche.
In der kontinuierlichen Form bilden die Eintrittswahrscheinlichkeit (EW) und die Schadenshöhe (SH) zwei senkrecht zueinander stehende Achsen. Eingetragen werden können sowohl quantifizierte Werte (z. B. von 0 bis 100 % oder von 0 bis 1 Mrd. Euro) als auch qualitative Einschätzungen (etwa von „sehr gering“ bis „sehr hoch“). In der entstehenden Vier-Felder-Matrix lassen sich beispielsweise verschiedene Szenarien einer Risikobewertung miteinander vergleichen.
Eine Darstellung in der diskontinuierlichen Form ist von Vorteil, wenn einer der beiden Parameter (oft die Schadenshöhe) oder sogar beide nicht ausreichend quantifiziert werden können. Dann werden in der Matrix die mögliche Schwere eines Schadens und die Wahrscheinlichkeit des Auftretens aus den qualitativen Angaben abgeleitet und gegenübergestellt. In den Feldern der Matrix werden dann die aus den Punktwerten berechneten Risikozahlen eingetragen. Je nach Bewertungsschema können diese Matrixfelder dann zur Visualisierung eingefärbt werden (etwa in den Ampelfarben).
Das Risikoportfolio
Die kontinuierliche Darstellung als Vier-Felder-Matrix lässt auch einen Vergleich der bestehenden Risiken zu. Hier ergibt sich für jedes Risiko ein jeweils individueller Platz in der Matrix, der sich aus den Eintrittswahrscheinlichkeiten und den Schadenshöhen der bewerteten Risiken ergibt. Die einzelnen Risiken werden auf diese Weise bestimmten Feldern zugeordnet. So lässt sich übersichtlich darstellen, welche Risiken einer höheren Aufmerksamkeit bedürfen. Aus der Position lässt sich auch ableiten, mit welchem Aufwand das jeweilige potenzielle Negativereignis eingegrenzt werden kann. Das Risikoportfolio kann damit die Entscheidungsfindung auf Leitungsebene der Organisation erleichtern.
Eine Gesamtbetrachtung der Risikobewertung
Am Risikoportfolio wird deutlich: Die Bewertung eines einzelnen Ereignisses als singuläres Risiko ist nur der erste Schritt bei der Beurteilung der Gesamtrisiken. Eine solche Gesamtbetrachtung kann dabei auf mehrere Arten erfolgen.
In der einfachsten Form werden die errechneten (monetären) Risikowerte zu einem Gesamtwert addiert. Der Nachteil dabei ist, dass die jeweiligen Risiken nur isoliert betrachtet werden, ohne Zusammenhänge und gegenseitige Abhängigkeiten zu berücksichtigen. Die Aussagekraft eines solchen Gesamtwerts für die Risikobelastung ist daher begrenzt.
Eine differenzierte, quantitative Betrachtung von Risiken und ihren Verflechtungen ist dagegen nur mit dem Einsatz ausgefeilter mathematischer und technischer Methoden möglich. Üblich sind statistische Methoden, Risikoszenarien, Sensitivitätsanalysen oder Simulationsverfahren. Diese komplexen und aufwendigen Verfahren liefern belastbare Aussagen, wenn entsprechende Expertise bei deren Einsatz und der Auswertung vorliegt. Hier ist dementsprechend ein fortgeschrittenes Risikomanagement gefragt.
Positive Aspekte der Risikobewertung
Eine Risikobewertung ist oftmals kompliziert und wird daher gerne vermieden oder umgangen. Doch gerade bei der Beurteilung von Projekten kann sie zur Bewertung des Planungsrisikos herangezogen werden – und auch Chancen offenbaren. Das Risiko ergibt sich durch das Wahrnehmen einer Chance (Opportunity) – die mit einer SWOT-Analyse identifiziert werden kann. Anstelle eines Schadens führt das Ergreifen einer Chance dann zu einem Mehrwert, der als finanzieller oder ideeller Gewinn oder Nutzen erkennbar wird.
Die Bewertung lässt sich analog zur Schadenshöhe durchführen:
Chancenwert = Eintrittswahrscheinlichkeit * Nutzenhöhe
Fazit
Die Risikobewertung wird oft als notwendiges, weil aufgezwungenes Übel gesehen. Sie kann aber auch einen Erfolgsfaktor für eine Organisation darstellen. Denn werden bestehende und potenzielle Risiken frühzeitig identifiziert, erfasst und bewertet, lassen sich negative Auswirkungen minimieren: Präventivmaßnahmen helfen dabei, mögliche negative Entwicklungen abzufedern oder ganz zu vermeiden. Eine solche Vorsorge kann zu wirtschaftlichen Vorteilen führen und zu größerer Sicherheit in der Organisation sowie zu einem verbesserten Image beitragen.