Risikoidentifikation und Risikobewertung
Bei der Risikoidentifikation werden alle möglichen Risiken in Form eines Szenarios aufgelistet. Die Risiken werden identifiziert, bewertet und anschliessend priorisiert.
Bei der Risikoidentifikation wird der Fokus auf die Hauptrisiken des Unternehmens gelegt. Die Checkliste wird oft auch Gefahrenliste genannt. Meistens sind die personellen Möglichkeiten begrenzt. Wichtig ist daher, sich vorab auf die Top-Risiken zu konzentrieren, um diese mit maximalem Erfolg abzudecken.
Externe und interne Risiken
Die Risikoidentifikation beginnt in der Regel mit einer Stärken-Schwächen-Analyse, einer sogenannten SWOT-Analyse (Strengths = Stärken, Weaknesses = Schwächen, Opportunities = Chancen, Threats = Gefahren). Das kann im Rahmen eines Workshops und Interviews mit den Schlüssel-Verantwortlichen des Unternehmens durchgeführt werden. Die SWOT-Analyse ist ein einfaches Instrument, welches einerseits das Verständnis eines Risikomanagements im Unternehmen schafft, andererseits zeigt sie die Verknüpfung der relevanten Problemfelder zu den unternehmenseigenen Zielen. Das Ziel einer SWOT-Analyse ist, die wesentlichen internen und externen Faktoren zu identifizieren, welche einen Einfluss auf die Unternehmensentwicklung und den Unternehmenswert haben.
Die gewonnenen Erkenntnisse aus Workshops und Interviews, Benchmark-Analysen und Informationen aus weiteren internen und externen Datenquellen unterstützen den Aufbau einer Datenbank mit allen relevanten Risikoinformationen. Dabei werden die Risiken in der Art und Weise kategorisiert, dass sie der richtigen Dimension des Risikomodells zugeordnet werden können.
Chancen-/Bedrohungsprofil
Quelle: Dr. Bruno Brühwiler, Management und Qualität, 5/2009
Wenn der Risikokatalog definiert ist, wird zunächst eine grobe Risikobewertung für alle identifizierten Risiken vorgenommen. Die Risikobewertung befasst sich mit der Frage, wann ein Risiko tragbar ist und deshalb von den Risikoeignern akzeptiert werden kann.
Zu diesem Zweck wird in die Risikolandschaft oft eine Risiko-Toleranzgrenze eingezeichnet. So könnte man sagen, dass Risiken, die oberhalb dieser Grenze liegen, im Prinzip nicht toleriert werden sollten, hingegen Risiken unterhalb dieser Grenze akzeptabel sind.
Die Risikobewertung wird normalerweise in zwei Dimensionen durchgeführt:
- Die Eintretenswahrscheinlichkeit beschreibt die Wahrscheinlichkeit des Eintritts eines Ereignisses. Im Normalfall wird für die Wahrscheinlichkeitsvorhersage von einem Drei-Jahres-Rhythmus ausgegangen. Wenn das Unternehmen einen strategischen Planungszyklus hat, wird dieser Zeitraum normalerweise als Basis verwendet.
- Die Auswirkung beschreibt den Effekt, den das Eintreffen eines Ereignisses tatsächlich haben kann. Für die Beurteilung wird normalerweise ein finanzieller Wert angenommen. Da nicht jedes Risiko finanziell bewertet werden kann, besteht auch die Möglichkeit, Risiken auf qualitative Weise zu beurteilen. Dies kann beispielsweise vorgenommen werden mittels dem Reputations-, Compliance-, Gesundheits- und Sicherheitsrisiko oder dem Aufwand, der durch das Management betrieben werden muss, um die Situation zu kontrollieren, wenn ein Ereignis eintreten sollte.
Das Ergebnis der Risikobewertung wird grafisch in Form einer Risikolandkarte dargestellt.
Risikolandkarte Treuhandfirma Muster AG
Nachstehendes Beispiel zeigt die Toprisiken einer Treuhandfirma auf. Die Top-Risiken werden unter Berücksichtigung der Dimensionen Eintretenswahrscheinlichkeit und Auswirkung (Schadenpotenzial) ausgewählt. Die Erfahrung zeigt, dass Unternehmen sich oftmals auf etwa 10 Top-Risiken fokussieren.
0. Gefahrengebiete: Strategische Bedrohung; Operative Bedrohung; Finanzielle Bedrohung; Management und Mitarbeiter
1. Häufig = wöchentlich; möglich = monatlich; selten = jährlich; sehr selten = alle 5 Jahre; unwahrscheinlich = < 5 Jahre
2. Unbedeutend = < CHF 5'000; gering = < CHF 10'000; spürbar = < CHF 50'000; kritisch = < CHF 100'000; existenzbedrohend > CHF 100'000
Verschiedene Methoden der Risikobeurteilung
Ein Unternehmen kann zwischen verschiedenen Methoden der Risikobewertung wählen. Diese werden in fünf Gruppen eingeteilt.
Es gibt eine Vielzahl von Methoden der Risikobeurteilung, die sich insgesamt in fünf Gruppen unterteilen lassen:
- Kreativitätstechniken: Brainstorming, Delphi-Technik, Morphologische Matrix
- Szenario-Analysen: Root Cause Analysis, Fehlerbaum und Ablaufanalyse, Worst-Case-Szenario-Analyse
- Indikatoren-Analysen: Critical Incidents-Reporting Systems, Change Based Risk Management
- Gefährdungsanalysen: FMEA, Gefährdungsanalysen, HAZOP, HACCP
- Statistische Analysen: Standardabweichung, Vertrauensintervall, Monte-Carlo-Simulation
Quelle: Risikomanagement, Schweiz. Vereinigung für Qualitäts- und Management-Systeme (SQS), Zollikofen; 2008