Risikomanagement – Teil 3
Teil 3 der Serie Risikomanagement widmet sich dem zweiten Schritt des Risikomanagementprozesses, dem Beurteilen von Risiken. Dieser Schritt umfasst das Ermitteln bzw. Identifizieren, Analysieren und Bewerten der Risiken für die festgelegten wesentlichen Risikofelder unter Beachtung des Risikokontext.
Bisher veröffentlicht:
Teil 1: Risikomanagementprozess
Teil 2: Risikokontext / Risikofelder klären
Weitere Teile:
Teil 4: Risiken bewältigen / behandeln / steuern
Teil 5: Übergeordnete Elemente des Risikomanagementprozesses
Risikobeurteilung Voraussetzungen
Für die praktische Durchführung der Risikobeurteilung ist VOR deren Durchführung festzulegen, welche Methoden eingesetzt werden sollen, welche Organisationsebenen bzw. welche Bereiche eingebunden werden sollen, wer (Einzelner, Gruppe) die Risiken identifizieren soll. Spätestens VOR dem Start der Risikobeurteilung sollte für alle Beteiligten unter Berücksichtigung der Organisationsebene ein Training oder Workshop zur Bewusstseinsbildung betreffend Risikomanagement, Risiken und Methoden erfolgen. Mit dem Start der Risikobeurteilung muss die Risikostrategie und Risikopolitik vorliegen. Nur so kann festgelegt werden, wann (zeitliche Priorisierung), wie (Methode) und in welchem Umfang eine Beurteilung der möglichen Risiken durchgeführt werden soll.
Risiken ermitteln – Was kann passieren und warum?
Beim Risiko ermitteln oder identifizieren geht um die gemeinsame Bestimmung möglicher Risiken der wichtigsten Risikofelder. In ihrer Gesamtheit bilden die möglichen Risiken das Risikoprofil. Die Risikoermittlung umfasst die Beschreibung des Risikos und der zugehörigen möglichen Ursachen. An dieser Stelle erfolgt noch KEINE Bewertung der möglichen Risiken.
Die Risikoermittlung hat als Grundlage für alle weiteren Schritte des Risikomanagementprozesses eine besondere Bedeutung. Eine schlecht und nicht vollständig ausgeführte Risikoermittlung ist Zeitverschwendung, bedeutet wiederholten Mehraufwand, führt im schlimmsten Fall wegen fehlender Glaubwürdigkeit, Akzeptanz und Vertrauen zum Abbruch der Einführung eines Risikomanagementsystems.
Die wesentlichen Fragen zur Risikoermittlung externer und interner Risiken sind z.B. wann, wo, warum und wie tritt das Risiko auf? Wer ist am Risiko beteiligt, sind Verantwortlichkeiten beschrieben, welche Kontrollen gibt es für dieses Risiko? In der Praxis wird unterschieden zwischen der qualitativen und quantitativen Risikoermittlung.
Die qualitative Risikoermittlung eignet sich, wenn wenige genaue und detaillierte Daten und Informationen greifbar sind. Hier geht es um die Nutzung des Wissens fachkundiger interner und externer Experten, von erkennbaren Entwicklungen, von bereits stattgefundenen Ereignissen.
Die quantitative Risikoermittlung verwendet ZDF = Zahlen, Daten, Fakten. Ihr Hauptnachteil besteht im Nichtvorliegen belastbarer Daten, dem im Vergleich zum Nutzen hohen Aufwand für das Sammeln der Daten und der schlechten Abbildbarkeit komplexer Zusammenhänge durch Daten. Bereits im Unternehmen vorhandene Kennzahlensysteme unterstützen den quantitativen Ansatz. Im Idealfall sind beide Ansätze miteinander zu kombinieren.
Zu den wesentlichen Techniken oder Methoden für die Ermittlung möglicher Risiken eignen sich an das Unternehmen angepasste Checklisten, die Fehlermöglichkeits- und -einflussanalyse FMEA, die Stärken-Schwächen-Chancen-Risiko-Analyse SWOT, die Umfeldanalyse politischer, ökonomischer, sozialer und technologischer Faktoren – kurz PEST-Analyse, die Wettbewerbsanalyse bzw. Porter’s Five Forces, die Risikoursache und Risikoauswirkung in Verbindung bringende Risiko-Identifikationsmatrix RIM und die Expertenbefragung bzw. Delphi-Methode. Speziell für die Ursachenfindung eignen sich Risikostudien, die 5 mal Warum-Fragetechnik 5W und das Ishikawa- bzw. Fischgrätendiagramm. Einem möglichen Risiko können dabei eine oder mehrere Ursachen zugeordnet werden.
Die Dokumentation der Risikoermittlung bildet auch die Grundlage für die Anpassung an einen sich ändernden Risikokontext bzw. sich ändernde Risikofelder.
Risiken analysieren – Was sind die Auswirkungen?
Risikoanalyse ist nach ISO 31000 der Prozess zur Erfassung des Wesens eines Risikos und zur Bestimmung von dessen Risikohöhe bzw. Risikoauswirkung. Nach ONR 49000 ist die Risikoanalyse die systematische Ermittlung und der Gebrauch von Informationen, um ein Risiko zu verstehen und eine Einschätzung betreffend Wahrscheinlichkeit und Auswirkung vorzunehmen. Die Risikoanalyse umfasst somit eine Risikoschätzung und bildet die Ausgangsbasis für die Risikobewertung und Festlegung der jeweiligen Risikobewältigung.
Im Kern geht es darum, wie wahrscheinlich der Eintritt eines Risikos ist und mit welchen Auswirkungen – einer oder mehrerer – zu rechnen ist. Unabhängig von der angewendeten Methodik ist ein Verständnis für die Unsicherheiten notwendig, um eine richtige Interpretation der Auswirkungen vorzunehmen.
Die Praxis unterscheidet zwischen der qualitativen und quantitativen Risikoanalyse. Im Idealfall sind beide Ansätze miteinander zu kombinieren. Die qualitative Risikoanalyse eignet sich, wenn nicht ausreichend genaue und detaillierte Daten und Informationen vorhanden sind. Die Nutzung des Wissens fachkundiger interner und externer Experten, von erkennbaren Entwicklungen, von bereits stattgefundenen Ereignissen steht im Vordergrund. Die zugehörigen qualitativen Techniken oder Methoden sind Brainstorming, Fragebögen, strukturierte Interviews, Bestimmung der Auswirkungen durch interdisziplinäre Gruppen oder Fachexperten.
Die quantitative Risikoanalyse beruht auf dem Prinzip ZDF = Zahlen, Daten, Fakten. Die Datenqualität, insbesondere die Validität, ist von entscheidender Bedeutung für eine zutreffende Risikoeinstufung. Die Gefahr liegt hier in einer Überinterpretation der Objektivität der Daten. Die quantitativen Techniken oder Methoden haben in vielen Fällen komplexe statistische Modelle als Grundlage, z.B. Wahrscheinlichkeitsanalyse, Simulationen wie z.B. Monte-Carlo-Simulation, Marktforschungsdaten, Lebenszykluskostenanalysen, Fehlerbaumanalysen FTA.
In der Praxis erleichtert die Einführung von unternehmensindividuellen Risikoklassen für die Eintrittswahrscheinlichkeit des möglichen Risikos und für die Auswirkung bzw. Schadenshöhe die folgende Risikobewertung und die damit verbundene Risikobehandlung. Branchenbezogene Risikoklassen können zum Abgleich der eigenen Risikoklassen herangezogen werden.
Risikoklassen für die Eintrittswahrscheinlichkeit können z.B. sein erwarteter Eintritt innerhalb eines Jahres = häufig, erwarteter Eintritt innerhalb von drei Jahren = möglich, erwarteter Eintritt innerhalb von fünf Jahren = selten, erwarteter Eintritt unwahrscheinlich, jedoch nicht ausschließbar = unwahrscheinlich. Risikoklassen für die Auswirkung bzw. Schadenshöhe können z.B. sein kleine Auswirkung auf das Unternehmen und keine Massnahmen notwendig = vernachlässigbar, Änderungen von Mitteln und Wegen notwendig = klein, mittelfristige Änderung der Unternehmensziele notwendig = mittel, kurzfristige Änderung der Unternehmensziele notwendig = Krise, hoch, Existenzgefährdung = Gefahr Insolvenz.
Risiken bewerten – in welchem Umfang wird das jeweilige Ziel oder die Existenz gefährdet?
Die Risikobewertung steht nach ISO 31000 bzw. ONR 49000 für einen Prozess, der die Ergebnisse der Risikoanalyse mit Risikokriterien vergleicht, um zu bestimmen, ob ein Risiko oder sein Ausmaß akzeptierbar oder tolerierbar sind. Risikokriterien sind individuell festgelegte Bezugspunkte, mit denen die Bedeutung eines Risikos bewertet wird.
Im Kern geht es darum, das Produkt aus der Eintrittswahrscheinlichkeit eines Risikos und der zugehörigen Auswirkung zu ermitteln oder auf Achsen getrennt grafisch als sogenannte Risikomatrix darzustellen. Die Risikobewertung kann bei gleicher Eintrittswahrscheinlichkeit eines Risikos und der zugehörigen Auswirkung aufgrund unterschiedlicher Höhe der Risikokriterien, auch Schwellwerte genannt, unterschiedlich ausfallen, z.B. Bewertung mittel = Kosten und Nutzen abwägen oder Bewertung hoch = Handlungsbedarf notwendig. Das Ergebnis ist eine Einteilung der Risiken in Risikozonen. Die jeweilige Risikobewertung bzw. Zuordnung zur Risikozone, z.B. kein Handlungsbedarf, Kosten und Nutzen abwägen, Handlungsbedarf, beeinflusst die Entscheidungen zur Festlegung der jeweiligen Risikobewältigung.
Für die Risikobewertung werden drei grundsätzliche Methode eingesetzt. Die induktive Methode geht von einer bekannten Ursache aus und sucht nach den Wirkungen. Die deduktive Methode geht von bekannten Wirkungen aus und sucht nach den Ursachen. Kreative Methoden wie Brainstorming oder Interviews nutzen die Erfahrungen von internen und externen Experten.
Ergebnis der Risikobeurteilung
Das Ergebnis des Schrittes Risiken beurteilen, d.h. ermitteln, analysieren und bewerten sind die ermittelten wesentlichen möglichen Risiken, die Bestimmung von deren Eintrittswahrscheinlichkeit und deren Auswirkungen, sowie deren Zuordnung zu Risikozonen.
Lesen Sie demnächst in Teil 4 mehr zu Risiken bewältigen, behandeln, steuern.
Hinweis: Wir leisten im Rahmen des Risikomanagements keine Beratung zu rechtlichen und steuerrechtlichen Themen. Für der Inhalt dieses Artikels, der sich als informativer Überblick versteht, übernehmen wir keine Haftung und die Geltendmachung von Ansprüchen jeglicher Art ist ausgeschlossen. Bitte fragen Sie für alle Rechtsthemen den Rechtsanwalt Ihres Vertrauens, für alle Steuerthemen den Steuerberater oder den Wirtschaftsprüfer Ihres Vertrauens.