Menü

Risikobewertung als zweiter Teil im Risikomanagementprozess

Risikomanagement-Wie Sie Ihre Risiken in den Griff bekommen
von Axel Schröder

Heute folgt nun der zweite Teil der kleinen Serie zum Thema Prozesse im Risikomanagement. In diesem zweiten Teil möchte ich einen intensiveren Blick auf die Phase der Risikobewertung werfen. Denn hier entscheidet sich, welches Risiko in Kauf genommen werden kann und bei welchem aktive Gegenmaßnahmen getroffen werden müssen.

Voraussichtliche Lesedauer: 8 Minuten

Inhaltsverzeichnis

Risikobewertung im Risikoprozessmanagement

Zur Einbettung in den Risikomanagementprozess behandeln wir alle vier Phasen. Im ersten Schritt mit der Risikoanalyse haben wir Risiken nach Kategorien erfasst, nachdem wir in der Vorphase das Risikobewusstsein geschärft haben. Durch die Risikobewertung schaffen wir das Fundament, um betriebliche Risiken zu steuern und zu überwachen. Alle vier Phasen mit den passenden Artikeln zum Risikomanagement haben wir daher hier verlinkt:

  1. Risikoanalyse
  2. Risikobewertung
  3. Risikosteuerung
  4. Risikoüberwachung
Risikobewertung im Risikomanagementprozess
Risikobewertung im Risikomanagementprozess

Risikobewertung im Video erklärt

Gerade für das grundlegende Verständnis der Risikobewertung ist es wichtig, die Faktoren Schadenshöhe und Eintrittswahrscheinlichkeit einzurechnen. Wie Sie hier am besten vorgehen erkläre ich mit einigen Beispielen in diesem Video:

Phase 2: Die Risikobewertung

Aus der Risikoanalyse steht als Output nun eine umfassende Zusammenstellung aller ermittelten möglichen Risiken. Mit der Dokumentation und Aufbereitung als Ergebnis bekommt die Risikobewertung ihren Input. Deswegen geht es jetzt darum diese identifizierten Risiken zu bewerten.

Wichtiger Tipp: Arbeiten Sie mit unterschiedlichen Helfern oder Mitarbeitern in der Risikoanalyse und der anschließenden Risikobewertung. Dadurch bekommt die Bewertung eine weitere Pespektive, weil nicht jeder Risiken ähnlich einschätzt und Sie verhindern Verzögerungen und Beeinflussungen aus vorangegangenen Diskussionen.

Die Kriterien sind Schadenshöhe, die Eintrittswahrscheinlichkeit und der Risikowert. Alle drei Faktoren gehen wir im Folgenden detailliert durch, damit Ihr Risikomanagement auf soliden Füßen steht. Wichtig ist aus dem Risikobewusstsein und der Risikoanalyse, die unterschiedlichen Schadenskategorien miteinzubeziehen. Dann sorgen Sie in jedem Fall vor, anstatt lediglich finanzielle Risiken zu bewerten.

Schätzen der Schadenshöhe

Die Schadenshöhe entspricht dabei den Kosten, die entstehen, wenn das Risiko eintritt. Durch die Einschätzung des Gesundheitsrisikos in der Gefährdungsbeurteilung ist das Vorgehen in vielen Betrieben bekannt, denn der entstehende Schaden wird griffiger. Auch Höhere Gewalt mit eher unbestimmten Gefahren kann die Schadenshöhe geschätzt werden, beispielweise bei unterbrochener Lieferkette durch Schlechtwetter.

Die Schadenshöhe kann dabei unterschiedlich bewertet werden: in absoluten Werten oder zuerst in einer grundlegenden Skala, beispielsweise „äußerst gering“ bis „sehr hoch“. Wichtig ist ein vergleichbarer Rahmen zur Einordnung, beispielsweise ist ein hoher Schaden umsatzkritisch, ein sehr hoher Schaden unternehmensgefährdend. Nehmen wir unterschiedliche Schadenskategorien mit dazu, sind folgende Bewertungen bei „sehr schwer“ möglich:

  • Kunde: Sehr schwere Schadenshöhe durch verlorenen Kunden und medialen Shitstorm, sodass weitere Kunden verloren gehen.
  • Gesundheit: Tod oder dauerhafte Arbeitsunfähigkeit.
  • Finanziell: unternehmensgefährdender Schaden

Eine Bewertung in Euro ist dabei möglich, braucht aber vergleichbare Maßstäbe. Eine Einordnung der Schadenshöhe kann deshalb so aussehen:

  • Keine Schadenshöhe – das eingetretene Risiko hat keine Auswirkung.
  • Sehr geringe Schadenshöhe – das eingetretene Risiko hat nur unbedeutende Auswirkungen.
  • Geringe Schadenshöhe – das eingetretene Risiko verursacht einen Schaden, der gut ausgleichbar ist.
  • Mittlere Schadenshöhe – das eingetretene Risiko sorgt für einen spürbaren Schaden.
  • Hohe Schadenshöhe – das eingetretene Risiko hinterlässt einen nachhaltigen, größeren Schaden.
  • Sehr hohe Schadenshöhe – das eingetretene Risiko bedroht die Unternehmensexistenz.

Diese Skala ist eine mögliche Einordnung des Risikoschaden und mit unterschiedlichen Formulierungen pro Schadenskategorie sind alle Schadenshöhen vergleichbar. Die Verschriftlichung ist wichtig, um durch die Risikobewertung hindurch vergleichbare Einordnungen vorzunehmen.

Mein Tipp: Gleichen Sie die Schadensklassen in der Anzahl an die Eintrittswahrscheinlichkeit an. So erhalten Sie zum Schluss eine gleichmäßige Risikomatrix.

Schätzen der Eintrittswahrscheinlichkeit

Bei der Wahrscheinlichkeit ermitteln wir einen prozentualen Wert, der bei der Betrachtung aller Risiken eine Einordnung z.B. in sehr gering, gering, mittel, hoch, sehr hoch zulässt. Dabei ist es wichtig, einen sinnvollen Bezug herzustellen, der die richtige Breite und Tiefe umfasst. Beispiel zur Eintrittswahrscheinlichkeit Lieferant/Kunde fällt weg.

Einen Betrieb mit mehreren verschiedenen Zulieferern wird der Wegfall eines Händlers nicht allzu sehr nach unten mitreißen. Und die Eintrittswahrscheinlichkeit, dass alle Lieferanten wegfallen ist deutlich geringer (sehr gering) wie ein einzelner Lieferant (mittel bis hoch je nach Branche).

Die Wahrscheinlichkeit in der Risikobewertung bemisst sich deshalb an historischen Daten und dem aktuellen Geschehen. Cyber-Attacken waren vor 100 Jahren nicht möglich, also war die Eintrittswahrscheinlichkeit null. Über die letzten Jahrzehnte sind dagegen verschiedene Formen der Cyberkriminalität entstanden und die Wahrscheinlichkeit sprunghaft angestiegen. Wir orientieren uns daher an einen Zeitraum, der aussagekräftig ist und den Vergleich in der Branche:

  • Keine Eintrittswahrscheinlichkeit – das Risiko hat keine Historie.
  • Sehr geringe Eintrittswahrscheinlichkeit – das Risiko kam zwar vor, aber nicht innerhalb der Branche.
  • Geringe Eintrittswahrscheinlichkeit – es gab vereinzelte Fälle in der Branche.
  • Mittlere Eintrittswahrscheinlichkeit – das Risiko ist durchaus bekannt und es gibt einige Fälle.
  • Hohe Eintrittswahrscheinlichkeit – es gab bereits Fälle im Unternehmen, beispielsweise jährlich.
  • Sehr hohe Eintrittswahrscheinlichkeit – es gibt immer aktuelle Fälle im Unternehmen, z.B. monatlich.

Der Risikowert

Ein Risikomanagement muss immer aus dem eigenen Unternehmen heraus entwickelt werden. Nur dann haben Sie Ihre individuellen Risiken erfasst und bewertet. Der Risikowert ist ein Hilfsmittel, um die Risikobewertung einzuordnen, ebenso wie die Risikomatrix mit Schadenshöhe und Eintrittswahrscheinlichkeit.

Indem man die Eintrittswahrscheinlichkeit und die Schadenshöhe multipliziert, erhält man einen sogenannten Risikowert. Dieser Wert trägt hiermit also einen monetären Wert z.B. in Euro und gibt dadurch sofort eine Vorstellung der Auswirkung des Risikos bei Eintritt.

Liefert ein Unternehmen, beispielsweise in der Automobil-Branche nur einem Kunden zu, ist der Risikowert höher beim Wegfall der Geschäftsbeziehung. Bei mehreren Kunden ist der Risikowert dagegen nur ein Bruchteil der Eintrittswahrscheinlichkeit multipliziert mit der Schadenshöhe.

Mit diesem Risikowert ist es nun sehr leicht, festzustellen welche Risiken besonders zu behandeln sind und welche der Risiken eher keiner intensiven Beobachtung unterzogen werden müssen.

Die Risikomatrix

Anhand der Schadenshöhe und der Eintrittswahrscheinlichkeit lassen sich die gefundenen Risiken auch in einer Risikomatrix erfassen. Je niedriger die Wahrscheinlichkeit und der Schaden, desto näher liegt das Risiko in der linken unteren grünen Ecke. Je höher der Schaden und die Wahrscheinlichkeit, desto weiter oben rechts im roten Bereich ist das Risiko angesiedelt. Mit dieser grafischen Auswertung erfassen Sie schnell und einfach die Risiken, für die Sie Vorsorge treffen sollten (dunkelrot). Grüne Risiken können Sie dagegen abwarten, da die Wahrscheinlichkeit oder die Schadenshöhe niedrig ist. Nach der Risikobewertung sorgt die Risikosteuerung für die richtige Behandlung eines jeden Risikos.

Risikobewertung nach verschiedenen Kriterien
Risikobewertung nach verschiedenen Kriterien

Mein Tipp zur Risikobewertung: regelmäßige Prüfung!

Pandemie-Risiko, Energiekrise und mehr haben gezeigt, wie unterschiedlich Risiken sich in ihrer Eintrittswahrscheinlichkeit entwickeln können. Deswegen ist die Neubewertung nötig und zwar in Intervallen, die mit der Strategie zusammenfallen oder sich anhand gesellschaftlicher Veränderungen bemessen.

Gesetzliche Regulierungen, neue IT-Möglichkeiten oder auch Veränderungen auf dem Arbeitsmarkt sorgen für neue Risiken, wie die Probleme mit dem Fachkräftemangel. Wenn das Risiko „fehlende Arbeitskraft“ nicht im Risikomanagement erfasst ist, drohen Überlastung der Mitarbeiter sowie Verzug und unzufriedene Mitarbeiter. Feste Termine mit einer erneuten Risikoanalyse und Risikobewertung helfen gegen übersehen Risiken. Branchennachrichten geben dagegen Anhaltspunkte für notwendige aktue Neubewertungen.

Beispielsweise ist eine Verteuerung der Energiekosten nicht für jede Branche gleich dramatisch, aber unterschiedlich spürbar:

  • Glasereien haben das Risiko höherer Materialkosten aus der Glasherstellung.
  • Bäckereien sehen das Risiko von Mehrkosten in der eigenen energieintensiven Herstellung.
  • Dienstleister haben höhere Kosten durch verteuerte Heizenergie.

Das Risiko der Energiepreissteigerung sorgt daher für unterschiedliche Auswirkungen und benötigt individuelle Vorgehensweisen. Die Ergebnisse der Risikobewertung bilden die Grundlage für die dritte Phase des Risikomanagement Prozesses – der Risikosteuerung – die ich dann im dritten Teil betrachten werde.

Die Excel Vorlage Risiko Matrix

Die Excel Vorlage Risiko Matrix

Erstellen Sie Ihren Risikokatalog, identifizieren Sie Eintrittswahrscheinlichkeit und Schadenshöhe. Dann steuern Sie Ihre Risiken durch die automatische Einordnung in die Risiko-Matrix. Für Ihr Risikomanagement haben wir die umfangreiche Excel Vorlage Risiko Matrix bereitgestellt.

0,00
Jetzt herunterladen

Bildquelle: Fotolia, © Gino Santa Maria

Wir haben den Industriepreis 2013 gewonnen!
Die Unternehmensberatung Axel Schröder ist ausgezeichnet als Top-Dienstleister 2022 bei ProvenExpert

Unternehmensberatung Axel Schröder
Wolfsbacher Str. 22
95448 Bayreuth
+4917620809943

Die Unternehmensberatung Axel Schröder ist ausgezeichnet als Top-Dienstleister 2023 bei ProvenExpert
Die Unternehmensberatung Axel Schröder ist ausgezeichnet als Top-Dienstleister 2024 bei ProvenExpert
Unternehmensberatung Axel Schröder hat 4,55 von 5 Sternen 170 Bewertungen auf ProvenExpert.com

Unser Angebot richtet sich ausschließlich an Unternehmen, Freiberufler und Gewerbetreibende (B2B) und nicht an Endverbraucher. Die auf den Produktseiten genannten Preise sind Nettopreise zuzüglich der geltenden gesetzliche Umsatzsteuer und sonstiger Preisbestandteile.