Methoden der Risikobewertung in Unternehmen: Überblick

Methoden der Risikobewertung in Unternehmen: Überblick

Beitrag vom 13.07.2023

Zur Themenwelt Qualitätsmanagement

Risiken identifizieren und beurteilen

Risiken sind ein fester Bestandteil jeder wirtschaftlichen Tätigkeit. Entscheidend ist, wie Unternehmen sie bewerten und welche Maßnahmen sie ausgehend von dieser Bewertung ergreifen. Denn ebenso wenig, wie es Sinn macht, potenzielle Gefahren zu ignorieren, ist es zielführend, mit den sprichwörtlichen Kanonen auf Spatzen zu schießen. Das richtige Maß finden Verantwortliche mit einer systematischen Risikobewertung beziehungsweise Risikobeurteilung.

Hier erfahren Sie mehr darüber, wie Sie Risiken für Ihr Unternehmen identifizieren und welche Methoden für die Risikobewertung zur Verfügung stehen. Außerdem widmen wir uns den positiven Seiten von Risiken. Denn wer diese nur als etwas Negatives ansieht, verkennt ihr Potenzial.

Gut zu wissen: Der Gesetzgeber verlangt nicht nur von Aktiengesellschaften, dass sie Risiken frühzeitig erkennen und alles tun, um den Erhalt des Unternehmens zu sichern. Gegen Risiken, die sich aus dem politischen oder finanzwirtschaftlichen Umfeld, einer sich verändernden Marktsituation, der technologischen Entwicklung oder anderen externen Faktoren ergeben können, sollten sich Unternehmen absichern – und sie sind sogar gesetzlich zur „Risikofrüherkennung“ verpflichtet.

Der erste Schritt einer Risikoanalyse: Risiken identifizieren

In vielen deutschen KMU, so Manuel Cordas dos Santo, sei die Bereitschaft, sich mit Risiken zu beschäftigen, gering ausgeprägt. „In Deutschland wollen wir von Risiken nicht so viel hören. Da verhält es sich wie mit dem Zahnarztbesuch: Solange die Zähne nicht schmerzen, tut man nichts.

Für den langjährigen Experten für Risikomanagement und Geschäftsführer von GUKSA ist das der falsche Weg. „Sie müssen Ihre Risiken identifizieren. Nur so können Sie geeignete Maßnahmen ergreifen.“ 

Dabei beginnen Unternehmen am besten mit einer SWOT-Analyse (Strengths = Stärken, Weaknesses = Schwächen, Opportunities = Chancen, Threats = Gefahren).

Anschließend können sie mit Methoden wie Mitarbeiterbefragungen, Workshops, Schadensstatistiken oder einer Fehlermöglichkeits- und Einflussanalyse (FMEA) Risiken identifizieren und in Checklisten, sogenannten Gefahrenlisten zusammengetragen.

Diese enthalten zum Beispiel folgende Angaben für jedes Risiko:

  • Risikobereiche („Beschaffung“)
  • Prozesse („Beschaffungsprozess“)
  • Risiken („Abhängigkeit von einem Lieferanten“)
  • mögliche Folgen („keine Alternativen“, „Lieferengpässe“)

Handlungsempfehlung

Jour fixe festlegen

Legen Sie einen wöchentlichen Jour fixe fest, den Sie dazu nutzen, Ihr spezifisches Risiko-Managementsystem aufzubauen.

Kontinuierliche Verbesserung

Setzen Sie Ihre Ansprüche zumindest zu Beginn nicht zu hoch – fangen Sie mit einer einfachen Lösung an und verbessern Sie Ihr System kontinuierlich, Stück für Stück.

Dokumentation

Schaffen Sie kurzfristig eine Aktenlage, mit der Sie dokumentieren, dass Sie sich mit folgenden Fragen beschäftigen:
a)     Welche Risiken haben das Potenzial, den Fortbestand des Unternehmens zu gefährden? (Identifikation von Risiken)
b)     Wie hoch schätzen Sie das Schadenspotenzial der einzelnen identifizierten Risiken ein? (Bewertung von Risiken)

c)     Wie gehen Sie mit den Risiken um?  (Steuerung von Risiken durch konkrete Maßnahmen wie Vermeiden/Vermindern/Transferieren/Akzeptieren)
d)     Wie messen Sie die Wirksamkeit Ihrer Maßnahmen?/Wann und wie oft bewerten Sie diese? (Regelmäßige Überwachung von Risiken)

e)     Wie stellen Sie die Risikosituation übersichtlich dar und zeigen die Wirksamkeit Ihrer Maßnahmen auf? (Bericht der Risiken)

IT-Grundschutz-Praktiker (TÜV)

Die Schulung zum IT-Grundschutz-Praktiker vermittelt Ihnen einen fundierten Überblick über die Inhalte und die Umsetzung der IT-Grundschutz-Methodik des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Die Vorgehensweise bei der Anwendung des IT-Grundschutzes wird Ihnen durch eine Fallstudie und praktische Übungen vermittelt. Im Rahmen der Schulung werden die BSI-Standards 200-x und die IT-Grundschutz-Methodik aufgewiesen.

Das Seminar ist der Einstieg in das offizielle Zertifizierungsprogramm des BSI und entspricht der IT-Grundschutz-Basisschulung. Teilnehmer, die die Prüfung zum IT-Grundschutz-Praktiker (TÜV) bestehen, sind berechtigt, an der IT-Grundschutz-Aufbauschulung zum IT-Grundschutz-Berater teilzunehmen.

Zu den Veranstaltungen

Außerdem macht es Sinn, interne und externe Risiken zu unterscheiden. Beispiele für externe Risiken sind Veränderungen rechtlicher Regeln, technologische Entwicklungen oder Naturkatastrophen. Im Gegensatz zu internen Risiken lassen sie sich von Unternehmen nicht beeinflussen.

Risiken bewerten – Methoden im Vergleich

Es gibt zwei grundlegende Kriterien für die Risikobewertung:

  • Schadenshöhe bzw. -ausmaß (Wie groß ist der Schaden, wenn das Ereignis eintritt?)
  • Eintrittswahrscheinlichkeit (Wie groß ist die Wahrscheinlichkeit, dass das Ereignis eintritt?)

Zudem unterscheidet man zwei Bewertungsansätze:

1. Qualitative Bewertung: Bei einer qualitativen Bewertung werden Risiken in erster Linie mithilfe von Intuition und Erfahrung bewertet und zum Beispiel in „sehr gering“, „gering“, „mittel“, „hoch“ und „sehr hoch“ eingeteilt.

Diese Methode eignet sich für alle Projekte und Organisationen, ist aber stark von der Bewertung von Projektteams und Stakeholder:innen abhängig. Das Ergebnis ist subjektiv eingefärbt.

2. Quantitative Bewertung: Bei der quantitativen Bewertung werden numerische Werte für Risiken berechnet. Je nach Ansatz berechnen Verantwortliche Risiken zum Beispiel als Abweichung von der operativen und strategischen Planung eines Unternehmens.

Der Vorteil dieser Methode ist, dass sie, richtig durchgeführt, für objektiv messbare Ergebnisse sorgt. Allerdings ist sie deutlich komplexer als eine qualitative Bewertung und erfordert neben Erfahrung geeignete Tools. Andernfalls ist das Fehlerpotenzial hoch.

Häufig werden beide Ansätze kombiniert. Auf eine qualitative Bewertung folgt eine quantitative Bewertung ausgewählter Risiken.

Sehr gut darstellen lassen sich die Ergebnisse einer Risikoidentifikation und -bewertung in einer Risikomatrix. Je nach Ansatz basiert diese auf einer quantitativen oder qualitativen Einteilung. In der Regel bildet die horizontale Achse die Eintrittswahrscheinlichkeit von Risiken und die vertikale Achse das Schadensausmaß ab.

Verschiedene Farben kennzeichnen, wie gravierend Risiken sind und wie dringend Maßnahmen dagegen ergriffen werden sollen.

Tipp vom Experten: Beim Aufbau und Betrieb eines Risikomanagementsystems stellt sich immer wieder die Frage nach dem Aufwand, den Sie unter Berücksichtigung von Größe, Branche und Komplexität Ihres Unternehmens betreiben wollen beziehungsweise müssen. Wir empfehlen Ihnen: Bemessen Sie den zusätzlichen Aufwand, den Sie für ein Mehr an Informationsqualität investieren, so, dass er durch ein Mehr an Entscheidungsqualität gedeckt ist, das Sie durch die verbesserten Informationen erreichen können.

Risikobeschreibung (operative Risiken)

Risikobereich Prozess Vorhandene / potenzielle Risiken Mögliche Folgen
1. Beschaffung  
  • Beschaffungsprozess



     
  • Anlieferung
 
 
  • Engpässe bei der Beschaffung (nähere Beschreibung)
  • Lieferantenabhängigkeit (nähere Beschreibung)

 

  • Qualitätsmängel des Lieferanten XY (nähere Erläuterungen
 
 
  • Maschinenstillstand
  • Schlechterfüllung des Lieferanten XY
  • keine Alternativlieferanten
  • Reklamationsgefahr
  • Wegfall der Kund:innen
 
2. Fertigung  
  • Qualitätsplanung

     
  • Produktionsplanung
 
 
  • Qualitätsrisiken (näheren Bezug auf FMEA)

 

  • Durchlaufzeiten zu hoch
  • Fehlzeiten in der Produktion
 
 
  • Terminverschiebung
  • ...
 

 

TÜV NORD – Ihr Partner für berufliche Weiterbildungen

  • Über 900 qualifizierte Referentinnen und Referenten geben ihr Know-how in über 520 verschiedenen Seminarthemen täglich an Sie weiter.
  • Wir bieten Ihnen volle Flexibilität. Entscheiden Sie selbst, ob Sie an unserem OnlineCampus, einer Präsenzschulung oder an einer für Sie konzipierten Inhouse-Schulung teilnehmen möchten.
  • Wir stehen für Qualität. Unsere Zertifikate und Bescheinigungen sind Qualitätssiegel für Sie und Ihr Unternehmen.

Unsere Seminar-Empfehlungen für Sie

Risikomanager (TÜV) – Risk Manager

Mit der Teilnahme am Seminar Risikomanager (TÜV) – Risk Manager lernen Sie die Anforderungen an ein systematisches Risikomanagement (RMS) kennen. Bauen Sie für sich die perfekte Grundlage, um ein RMS in Ihrem Unternehmen, gemäß aktueller gesetzlicher und normativer Regelungen (z. B. ISO 31000, OENORM D 4900 ff) zu etablieren oder in bereits vorhandene Managementsysteme, wie z. B. ISO 9001, zu integrieren. Erkennen Sie Zusammenhänge und agieren Sie präventiv, um Risiken zu vermeiden und den Unternehmenserfolg nachhaltig zu sichern.

Zu den Veranstaltungen

Risikomanagement Koordinator (TÜV)

Ziel unseres Seminars Risikomanagement-Koordinator (TÜV) ist die praxisorientierte Implementierung eines operativen Risikomanagementsystems in das vorhandene Managementsystem, z. B. ISO 9001 oder IATF 16949. Dies ermöglicht Ihnen sowohl das frühzeitige Erkennen von existenzgefährdenden Risiken als auch Chancen für Ihr Unternehmen. Als Risikomanagement-Koordinator können Sie ein Management-System-Risiko-Prozess in Ihrer Organisation einführen. Qualifiziert und faktengestützt berichten Sie über die Umsetzung und Wirksamkeit der Risikomaßnahmen und den Risikostatus an die Beauftragte bzw. den Beauftragten der obersten Leitung.

Zu den Veranstaltungen

IT-Grundschutz-Praktiker (TÜV)

Die Schulung zum IT-Grundschutz-Praktiker vermittelt Ihnen einen fundierten Überblick über die Inhalte und die Umsetzung der IT-Grundschutz-Methodik des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Die Vorgehensweise bei der Anwendung des IT-Grundschutzes wird Ihnen durch eine Fallstudie und praktische Übungen vermittelt. Im Rahmen der Schulung werden die BSI-Standards 200-x und die IT-Grundschutz-Methodik aufgewiesen.

Das Seminar ist der Einstieg in das offizielle Zertifizierungsprogramm des BSI und entspricht der IT-Grundschutz-Basisschulung. Teilnehmer, die die Prüfung zum IT-Grundschutz-Praktiker (TÜV) bestehen, sind berechtigt, an der IT-Grundschutz-Aufbauschulung zum IT-Grundschutz-Berater teilzunehmen.

Zu den Veranstaltungen

Nach der Bewertung: Wie Unternehmen auf Risiken reagieren können

Haben Unternehmen Risiken identifiziert, stehen sie vor der Frage, welche Maßnahmen sie ergreifen. Auch in dieser Beziehung haben sie die Wahl:

  • Für viele Risiken gibt es Versicherungen. Manuel Cordas dos Santos rät allerdings dringend dazu, sich die Versicherungsbestimmungen genau durchzulesen, um keine böse Überraschung zu erleben. Manche Folgen von Schadensereignissen lassen sich schwer oder gar nicht versichern. Dazu gehört der Verlust von Kund:innen nach einem längeren Produktionsstillstand.
  • Unternehmen können Risiken vermeiden, indem sie aus Prozessen oder Geschäftsbeziehungen aussteigen.
  • Durch gezielte Maßnahmen lassen sich Risiken reduzieren. In jedem Fall sinnvoll ist es, Frühwarn-Identifikatoren einzurichten und Mitarbeitende für Risiken zu sensibilisieren. Zahlt beispielsweise ein Lieferant Rechnungen wiederholt spät, kann das ein wichtiger Warnhinweis sein. Dasselbe gilt, wenn eine Mitarbeiterbefragung ergibt, dass in der Belegschaft ein hoher Grad an Unzufriedenheit herrscht.
  • Auch Geld für den Ernstfall zurückzulegen, ist eine Methode der Risikobewältigung.
  • Schließlich gibt es die Möglichkeit, Risiken und ihre Konsequenzen bewusst zu akzeptieren. Dies bezeichnet man auch als Risikoübernahme.

Für Manuel Cordas dos Santos ist es entscheidend, Risiken proaktiv anzugehen. Dann spricht nichts dagegen, sie einzugehen, aber es sollte bewusst geschehen.

Rollen und Verantwortlichkeiten – welche Personen sind entscheidend für eine Risikoanalyse?

Im Risikomanagement lassen sich folgende Rollen unterscheiden:

  • Risikoeigner
  • Personen, die das Risikomanagement systemisch beauftragen
  • Risikomanager, die es in den Abteilungen koordinieren.

KMU haben im Gegensatz zu großen Finanzinstituten oft nicht die nötigen Ressourcen, um Risikomanager einzustellen. Allerdings kann es sich lohnen, von Zeit zu Zeit externe Unterstützung hinzuzuziehen, zum Beispiel für eine quantitative Bewertung von Risiken.

Wichtig: Ein Risikomanagement ist immer zuallererst Angelegenheit der Geschäftsführung. Diese muss ein ehrliches Interesse daran haben, Risiken systematisch zu analysieren. Sie entscheidet auch über die Risikokommunikation nach außen. Auch das GmbH-Gesetz nimmt die Geschäftsführung in die Pflicht (§ 43 I und II GmbHG). Dabei wird § 43 II in Bezug auf das Risikomanagement so ausgelegt, dass die GmbH-Geschäftsführung die ausgewiesenen Pflichten des § 91 II AktG (Aktiengesetz) erfüllen muss. Hier heißt es: „Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“

Risiken und Chancen

Manuel Cordas dos Santos hält es für einen folgenreichen Fehler, sich nicht mit Risiken zu beschäftigen. Schließlich würden einige Entwicklungen KMU in den nächsten Jahren vor große Herausforderungen stellen, angefangen bei einem tiefgreifenden Struktur- und Wertewandel über sehr dynamische Wettbewerbskosten bis hin zum Generationenwechsel in zahlreichen Unternehmen. Wer sich mit den damit verbundenen Risiken beschäftige, könne rechtzeitig Maßnahmen ergreifen. Wie diese aussehen, hängt von der Bewertung ab. Denn nicht auf jedes Risiko kann oder muss man reagieren. Aber selbst die Risiken zu identifizieren, die man bewusst akzeptiert, ist ein wichtiger Teil des Risikomanagements.

Außerdem müssen Gefahren, die für das Unternehmen existenzbedrohend sind, frühzeitig erkannt und beseitigt werden. Unmittelbar haftungsrelevant sind finanzwirtschaftliche Risiken in Hinblick auf eine drohende Zahlungsunfähigkeit.

Ihre Ansprechpartnerin

Silke LiehrTÜV NORD Akademie GmbH & Co. KG
Produktmanagerin Qualitätsmanagement
Am TÜV 1, 30519 Hannover

Tel.: +49 511 998-62087
Fax: +49 511 998-62075
sliehr@tuev-nord.de