Ziel der Risikoanalyse ist, die bestehenden Risiken für eine Organisation oder in einem Prozess oder Projekt anhand eines systematischen, definierten Vorgehens zu erkennen und zu priorisieren. Erster Schritt dabei ist die möglichst objektive quantitative Beschreibung des Risikos. Das Risiko ergibt sich dabei gemäß EN ISO 12100:2010 als Kombination von Eintrittshäufigkeit bzw. Eintrittswahrscheinlichkeit und Ereignisschwere bzw. Schadensausmaß. Daraus ergibt sich die „Faustformel“:
Risiko = Eintrittswahrscheinlichkeit * Schadensausmaß
Durch Risikomaße, welche die Ungewissheit eines Ereignisses quantitativ beschreiben, können Risiken im Hinblick auf ihr Potenzial und ihre Auswirkung verglichen werden. Ergänzt werden kann die Risikoanalyse durch eine rein qualitative Beurteilung von Risiken, die Neustrukturierung bekannter Risiken und die Analyse der gegenseitigen Abhängigkeiten von Risiken. Im letzteren Fall kommt es durch die gesamthafte Betrachtung von Einzelrisiken und über die Berechnung des Gesamtrisikos zur sogenannten Risikoaggregation.
Risikoanalysen in Organisationen
Alle Organisationen, insbesondere produzierende Unternehmen sowie Kapitalgesellschaften, sollten nicht nur bestehende und geplante Prozesse und Abläufe einer Risikoanalyse unterziehen, sondern auch unternehmerische Entscheidungen. Ziel ist, deren Auswirkungen – sowohl im Hinblick auf die betriebswirtschaftliche Situation als auch auf die sozialen und gesellschaftlichen Implikationen – abschätzen zu können. So sind Risikoanalysen unter anderem Grundlage für die Ermittlung der Höhe kalkulatorischer Wagniskosten und notwendig für die Bestimmung von Planwerten oder Kreditrahmen, geben aber auch Hinweise auf die gesellschaftliche Akzeptanz von Maßnahmen und deren Einfluss auf das Unternehmens- oder Markenimage.
Üblicherweise werden Risikoanalysen durchgeführt ...
- aufgrund des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich, um den Jahresabschluss oder die Bilanz um einen Lage- oder Risikobericht zu ergänzen.
- bei der Beurteilung der betriebswirtschaftlichen Situation einer Organisation (z. B. bei einer Unternehmensbewertung).
- in Kreditinstituten zur Bestimmung und Steuerung des Risikos bei Kreditvergaben und zur Wahrung der eigenen Kreditwürdigkeit.
- im Rahmen der Projektplanung („Projektrisikoanalyse“) oder bei Investitionsrechnungen.
- zur Abschätzung der Risiken neuer Technologien oder gesellschaftlicher Entwicklungen.
- zur Bewertung von Produktrisiken, insbesondere bei der Markteinführung neuer Angebote.
- im Rahmen einer Gefährdungsbeurteilung als gesetzlich verpflichtender Maßnahme des Arbeitsschutzes zur Minimierung der Belastung und Gefährdung von Arbeitnehmenden.
Durchführung
Die Risikoanalyse lässt sich in vier Teilschritte untergliedern:
- Risikoidentifikation: Welche Risiken können – in der Organisation oder im Rahmen eines Projekts – prinzipiell auftreten?
Zu betrachten sind hier alle Prozesse und Abläufe in allen Unternehmensbereichen bzw. Projektphasen im Hinblick auf potenzielle Gefährdungen oder Belastungen. Verantwortlich dafür sind die „Risk Owner“, also die Personen, die direkt mit dem Risiko konfrontiert sind – ob Sicherheitsbeauftragter oder Projektleiter.
- Risikobewertung: Wie groß sind jeweils die Eintrittswahrscheinlichkeit und das Schadensausmaß?
Hier kann eine Risikomatrix mit den beiden Dimensionen Eintrittswahrscheinlichkeit und Schadensausmaß aufgestellt werden, um die Gefährdung deutlich zu machen. Beide Dimensionen werden qualitativ jeweils in die Stufen niedrig, mittel und hoch unterteilt. Alle betrachteten Aspekte können dann den neun Feldern der Matrix zugeordnet werden, um das Risiko zu visualisieren und Handlungsfelder zu priorisieren. Kritische Prozesse und Abläufe, die besonderer Aufmerksamkeit bedürfen, finden sich im Feld „hoch/hoch“.
- Risikominimierung: Mit welchen Maßnahmen kann einem Schaden vorgebeugt bzw. dieser im Falle des Eintritts begrenzt werden?
Die Risikominimierung sollte bei den hochkritischen Prozessen und Abläufen ansetzen. Präventive Maßnahmen zielen auf die Ursache eines Risikos und senken damit die Eintrittswahrscheinlichkeit. Korrektive Maßnahmen beziehen sich auf die Risikoauswirkungen, reduzieren also das Schadensausmaß. Substitutive Maßnahmen dienen der Risikovermeidung, da Prozesse oder Abläufe durch gänzlich andere ersetzt werden. Zudem kann das Risiko übertragen oder delegiert werden, beispielsweise an eine Versicherung. Ansonsten ist das Risiko zu akzeptieren und regelmäßig zu überwachen.
- Risiko-Monitoring und -Review: Greifen die durchgeführten Maßnahmen und wie verändert sich dadurch die Risikosituation? Welche Instrumente und Methoden können eingesetzt werden, um die Entwicklung des Risikos zu erfassen und zu analysieren? Welche neuen Risiken sind aufgrund der durchgeführten Maßnahmen aufgetreten?
Das Monitoring kann durch kontinuierliche Überwachung von Prozessen, Abläufen und Zuständen erfolgen oder durch regelmäßige Überprüfungen wie Begehungen oder Probennahmen. Wichtig ist die Dokumentation aller erhobenen Daten und deren zeitnahe Auswertung mit standardisierten Methoden, um weitere Maßnahmen ableiten zu können. Denn die Risikoanalyse ist nie beendet – nach dem Monitoring startet der Prozess mit der Risikoidentifikation neu.
Basis der Risikoanalyse können sein:
- statistische Datenanalysen von betriebswirtschaftlichen oder Produktionsdaten;
- Prozessanalysen, bei denen die eingesetzten Produktionsmittel (technische Ausstattung, Personal, Roh-, Betriebs- und Hilfsstoffe) betrachtet werden;
- deterministische oder stochastische Szenarioanalysen, je nachdem, ob die Wahrscheinlichkeit des Auftretens der Risiken und ihre Auswirkung bekannt sind oder nicht vorhersehbar.
Fazit
Risikoanalysen sind nicht nur sinnvoll und oft notwendig, sondern vielfach vom Gesetzgeber vorgeschrieben. Auf jeden Fall schaffen sie Klarheit über bestehende Gefährdungspotenziale – ob auf Unternehmens- oder Projektebene – und helfen bei der Absicherung der eigenen Tätigkeiten. DIN-Normen beschreiben Aufbau, Inhalt und Durchführung von Risikoanalysen und können als Basis für die eigene Bewertung dienen.