Risikoanalyse: Ein umfassender Leitfaden

Der Unterschied zwischen Risikobewertung (Risk Assessment) und Risikoanalyse

Risikobewertung ist nur eine Komponente der Risikoanalyse. Die anderen Komponenten der Risikoanalyse sind das Risikomanagement und die Risikokommunikation. Risikomanagement ist die proaktive Kontrolle und Bewertung von Risiken, während Risikokommunikation der Austausch von Informationen über Risiken ist. Im Gegensatz zur Risikoanalyse geht es bei der Risikobewertung in erster Linie um Sicherheit und
Gefahrenerkennung.

Rahmen für die Risikoanalyse | SafetyCulture

Arten der Risikoanalyse

Da die Risikoanalyse ein breites Spektrum an Themen abdeckt, gibt es viele Ansätze zur Analyse von Risiken oder viele Arten von Risikoanalysen. Dazu gehören unter anderem die folgenden Punkte:

• Risiko-Nutzen- und Kosten-Nutzen-Analyse
  Bei einer Risiko-Nutzen-Analyse werden die Vor- und Nachteile (Nutzen und Risiken) einer Maßnahme abgewogen. Die Elemente werden in eine Rangfolge gebracht und nach den Auswirkungen ihres potenziellen Erfolgs oder Misserfolgs bewertet. Eine Kosten-Nutzen-Analyse hingegen summiert die voraussichtlichen oder geschätzten Kosten einer Maßnahme und wägt die Gesamtkosten gegen die möglichen Vorteile und Chancen ab. Die Entscheidung für eine risiko- oder kostenintensive Maßnahme kann zu Verlusten führen.

• Bedarfsermittlung
  Eine Bedarfsermittlung ist ein systematischer Prozess der Identifizierung und Bewertung von organisatorischen Bedürfnissen und Lücken. Sie gibt den Führungskräften eine Vorstellung davon, wo das Unternehmen möglicherweise Defizite hat, und hilft ihnen, die Ressourcen neu zu konzentrieren, um die Ziele effizienter zu erreichen.

• Geschäftsauswirkungsanalyse
  Eine Geschäftsauswirkungsanalyse beinhaltet die Planung von Betriebsstörungen, die durch Naturkatastrophen und andere externe Faktoren verursacht werden. Sie bildet die Grundlage für Investitionen in Wiederherstellungs-, Präventions- und Schadensminderungsstrategien.

• Fehlermöglichkeits- und -einflussanalyse
  Eine Fehlermöglichkeits- und -einflussanalyse ist eine systematische Methode, um potenzielle Fehler in Geschäftsprozessen zu antizipieren und ihre Auswirkungen auf die Kunden zu mindern. Sie verbessert die Zuverlässigkeit von Produkten und Dienstleistungen und verringert die Kosten von Fehlern.

• Ursachenanalyse
  Eine Root Cause Analysis konzentriert sich auf die Identifizierung und Beseitigung von Grundursachen, um Probleme zu lösen. Sie hilft bei der Vorbeugung von wiederkehrenden Problemen, indem sie auf die ineffektiven Systeme abzielt, die ihnen zugrunde liegen. Neben der Fehlermöglichkeits- und -einflussanalyse gibt es weitere Instrumente zur Ursachenanalyse wie 5 Whys, 8D und DMAIC (Teil von Six Sigma).

Methoden der Risikoanalyse

Es gibt zwei Hauptmethoden der Risikoanalyse. Die einfachere und bequemere Methode ist die qualitative Risikoanalyse. Bei der qualitativen Risikoanalyse wird das Risiko auf der Grundlage der Wahrnehmung der Schwere und der Wahrscheinlichkeit seiner Folgen bewertet oder eingestuft. Bei der quantitativen Risikoanalyse hingegen wird das Risiko auf der Grundlage der verfügbaren Daten berechnet.

Zu den Arten der Risikoanalyse, die mit der qualitativen Risikoanalyse verbunden sind, gehören alle Instrumente der Ursachenanalyse (Root Cause Analysis, RCA) mit Ausnahme der Fehlermöglichkeits- und Einflussanalyse, der Bedarfsanalyse und der Risikomatrix. Die gebräuchlichsten Arten der Risikomatrix sind die 3×3-Risikomatrix, die 4×4-Risikomatrix und die 5×5-Risikomatrix.

Matrix zur Risikobewertung | SafetyCulture

Zu den Arten der Risikobetrachtung, die zur quantitativen Risikoanalyse zählen, gehören die Analyse der Auswirkungen auf das Geschäft (Business Impact Analysis, BIA), die Fehlermöglichkeits- und Einflussanalyse (Failure Mode and Effects Analysis, FMEA) und die Risiko-Nutzen-Analyse.

Ein wesentlicher Unterschied zwischen qualitativer und quantitativer Risikoanalyse ist die Art des Risikos, das jede Methode mit sich bringt. Bei der qualitativen Risikoanalyse handelt es sich um ein prognostiziertes Risiko, d. h. um eine Schätzung oder Vermutung, wie sich das Risiko manifestieren wird. Die quantitative Risikoanalyse hingegen befasst sich mit dem statistischen Risiko. Im Gegensatz zum prognostizierten Risiko ist das statistische Risiko spezifisch und überprüft. Aus diesem Grund wird sie häufig bei der Berechnung von Versicherungsprämien verwendet.

Beispiel für eine Risikoanalyse

Obwohl die Risikoanalyse branchenübergreifend von Unternehmen aller Größen und Arten verwendet wird, finden manche Führungskräfte ein Beispiel für eine Risikoanalyse, das speziell auf ihre Branche zugeschnitten ist, hilfreicher als ein allgemeines Beispiel. Hier finden Sie Beispiele für Risikoanalysen in drei wichtigen Branchen: Bauwesen, Transport und Logistik sowie verarbeitendes Gewerbe.

Beispiel für eine Risikoanalyse im Bauwesen: Der Inhaberin eines Bauunternehmens wurde ein Projektvorschlag für den Bau eines Luxusresorts vorgelegt. Die Inhaberin zögert jedoch, das Projekt anzunehmen, da ihr Unternehmen auf Wohngebäude im mittleren Preissegment spezialisiert ist. Die Annahme dieses Projekts wäre sowohl ein Sprung als auch eine Herausforderung. Bevor sie eine endgültige Entscheidung trifft, führt sie gemeinsam mit ihrem Team eine Risiko-Nutzen-Analyse durch, um festzustellen, ob die Vorteile der Durchführung dieses Projekts die Risiken überwiegen.

Beispiel einer Risikoanalyse für Transport und Logistik: Die Direktorin eines multinationalen Schifffahrtsunternehmens ist besorgt über die Auswirkungen eines aufkommenden Sturms auf den Geschäftsbetrieb. Sie ist der Meinung, dass das Unternehmen etwas Geld für den Wiederaufbau nach dem Sturm zurücklegen sollte. Ihr Kollege ist jedoch anderer Meinung. Er argumentiert, dass der Sturm sie nicht so stark beeinträchtigen wird. Um ihren Kollegen und ihre Vorstandskollegen zu überzeugen, führt sie eine Analyse der geschäftlichen Auswirkungen durch und präsentiert die Ergebnisse bei der nächsten Vorstandssitzung.

Beispiel für eine Risikoanalyse im verarbeitenden Gewerbe: Ein neu eingestellter Manager ist damit beauftragt, eine Fabrik und ihre Mitarbeiter auf einen großen Zustrom von Kundenaufträgen für die Sommersaison vorzubereiten. Um herauszufinden, was er tun muss, damit die Fabrik genügend Einheiten produzieren kann, führt er eine schnelle Bedarfsanalyse durch, indem er die Arbeiter bittet, eine Umfrage zu den Prozessen in der Fabrik auszufüllen.

Durchführung einer Risikoanalyse

Für Führungskräfte, die bereits entschieden haben, welche Art von Risiko-Analyse sie durchführen wollen, finden Sie hier Schritte und Anleitungen zur Durchführung der Risikoanalyse jeder Art:

Durchführung einer Bedarfsanalyse

• Schritt 1: Ermittlung der Anforderungen – Was muss das Unternehmen leisten, um erfolgreich zu sein?
• Schritt 2: Bewertung der vorhandenen Ressourcen – Was kann für den Erfolg genutzt werden?
• Schritt 3: Bedürfnisse ermitteln – Was fehlt dem Unternehmen, das für den Erfolg entscheidend ist?
• Schritt 4: Entwicklung eines Aktionsplans – Was muss getan werden, um die Lücken zu schließen und erfolgreich zu sein?

Vorlage für eine Bedarfsanalyse

Verwenden Sie diese digitale Vorlage, um Geschäfts-/Abteilungs-, Leistungs- und Lernbedarf zu ermitteln. Sie enthält alle Werkzeuge, die Führungskräfte benötigen, um die Verwaltung ihrer Unternehmen zu verbessern.

Durchführung einer Analyse der Auswirkungen auf das Geschäft

• Schritt 1: Sammeln Sie Informationen über Geschäftsprozesse, Finanzen und Management.
• Schritt 2: Identifizieren Sie die Wiederherstellungszeit (Recovery Time Objective, RTO) oder wie lange es dauert, Geschäftsprozesse nach einer Unterbrechung wiederherzustellen. Mit Hilfe der RTO wird bestimmt, wie lange das Unternehmen ohne normale Geschäftsprozesse funktionieren kann.
• Schritt 3: Ermittlung des Wiederherstellungsziels (Recovery Point Objective, RPO) oder des akzeptablen Verlusts für Kunden im Falle einer Störung. RPO hilft bei der Ermittlung der geschätzten finanziellen Auswirkungen auf das Unternehmen.
• Schritt 4: Entwicklung von Umgehungsverfahren für das Unternehmen im Falle einer Störung oder Unterbrechung.
• Schritt 5: Entscheiden Sie auf der Grundlage der in den vorangegangenen Schritten gesammelten Informationen über den Geschäftsbedarf.

Vorlage für eine Analyse der Auswirkungen auf das Geschäft

Nutzen Sie diese digitale Vorlage, um die Auswirkungen möglicher Störfälle auf wichtige Unternehmensfunktionen zu bewerten. Diese Vorlage umfasst eine Bewertung der Verluste in Bezug auf die operativen Tätigkeiten und die Einnahmen. Führungskräfte können damit in Krisenzeiten Prioritäten für die Wiederherstellung von Funktionen setzen.

Durchführung einer Fehlermöglichkeits- und Einflussanalyse

• Schritt 1: Identifizieren Sie den Mechanismus des Versagens

Der Mechanismus des Versagens (potenzielle Versagensarten, -auswirkungen und -ursachen) kann richtig identifiziert werden, wenn die für FMEA verantwortlichen Führungskräfte frühere Versäumnisse berücksichtigen, sich auf bestimmte Annahmen einigen und Grundregeln festlegen.

• Schritt 2: Bestimmung der RPZ

Die Risikoprioritätszahl wird verwendet, um die potenziellen Ausfälle, die eine zusätzliche Planung erfordern, zu priorisieren. Sie ist ein Produkt aus drei Faktoren: Schweregrad, Auftreten und Erkennung.

FMEA RPZ Risikoanalyse | SafetyCulture

Die Führungskräfte sollten ihre Verbesserungsbemühungen auf potenzielle Fehler in den oberen 20 % der höchsten RPZ konzentrieren. Diese risikoreichen Ausfallarten müssen durch wirksame Aktionspläne angegangen werden.

• Schritt 3: Nachbereitung der Maßnahmen

Nachdem sie wirksame Aktionspläne aufgestellt und ausgeführt haben, sollten die Führungskräfte daran denken, diese Pläne und die risikoreichen Fehlerarten, die sie behandeln, kontinuierlich zu überprüfen.

Vorlage für die Fehlermöglichkeits- und Einflussanalyse (FMEA)

Verwenden Sie diese digitale Vorlage, um Probleme in Prozessen oder Produkten zu identifizieren. Beschreiben Sie die möglichen Auswirkungen des Fehlers, die mögliche Ursache und die aktuellen Kontrollen. Fügen Sie die Bewertungen für Schweregrad, Auftreten und Erkennung hinzu. Abschließend wird die RPZ aufgezeichnet und abgezeichnet.

Durchführung einer Ursachenanalyse

• Schritt 1: Definieren Sie das Problem– Im Zusammenhang mit der Risikoanalyse ist ein Problem eine beobachtbare Folge eines nicht identifizierten Risikos oder einer nicht identifizierten Ursache.
• Schritt 2: Wählen Sie ein Werkzeug – 5 Whys, 8D oder DMAIC

Bei „5 Whys“ wird die Frage nach dem „Warum“ fünfmal gestellt. 5 Whys ist die einfachste Methode, doch dabei können Probleme auch zu sehr vereinfacht werden. 8D steht für die acht Disziplinen des Problemlösens. 8D bietet zwar langfristige Lösungen, aber die korrekte Durchführung erfordert eine umfassende Schulung.

DMAIC hingegen ist umfassender als 5 Whys, aber auch einfacher durchzuführen als 8D, insbesondere wenn der dritte Schritt (Analysieren) vereinfacht wird.

• Schritt 3: Maßnahmen umsetzen – Beheben Sie die Ursache(n), die Sie mit dem im vorigen Schritt ausgewählten Instrument ermittelt haben, indem Sie Maßnahmen erstellen und umsetzen. Diese Maßnahmen sollten spezifisch sein und der Person/den Personen übertragen werden, die am besten in der Lage sind, sie auszuführen.

Template für Ursachenanalyse

Verwenden Sie diese digitale Vorlage, um ein wiederkehrendes Problem und seine Auswirkungen auf die Produktivität zu analysieren. Führen Sie die Gründe für das Auftreten des Problems auf und bewerten Sie, wie wahrscheinlich es ist, dass es sich dabei um die Hauptursachen handelt. Sobald eine Ursache ermittelt wurde, wählen Sie die entsprechende Kategorie aus und legen eine Präventionsstrategie fest.

Führungskräfte, die sich noch nicht für einen bestimmten Typ entschieden haben oder einen allgemeinen Überblick über die Durchführung einer Risikoanalyse wünschen, können sich an den nachstehenden Schritten orientieren:

1. Ziel für die Risikoanalyse festlegen
2. Daten sammeln, um Risiken zu identifizieren
3. Werte zu Risiken hinzufügen
4. Risiken mit höchster Priorität identifizieren
5. Plan zur Abschwächung dieser Risiken entwickeln
6. Plan umsetzen
7. Wirksamkeit des Plans überprüfen

Verwalten und Kommunizieren von Risiken

Eine Möglichkeit für ein wirksames Risikomanagement ist die Anwendung der Norm ISO 31000. ISO 31000 ist ein international anerkannter Maßstab für das Risikomanagement. Sie lässt sich in drei Leitlinien zusammenfassen, die die Führungskräfte befolgen sollten:

• Das Risikomanagement muss strukturiert, innovativ, umfassend, dynamisch, kontinuierlich verbessert und an die Unternehmensziele angepasst sein.
• Führungskräfte müssen das Risikomanagement proaktiv auf allen Ebenen des Unternehmens integrieren.
• Die Grundsätze und Praktiken des Risikomanagements sollten eine offene Risikokommunikation unterstützen.

Ein weiterer wichtiger Aspekt bei der Anwendung der ISO 31000 ist die Sicherstellung, dass alle Mitarbeiter mit der Norm vertraut sind und/oder eine entsprechende Schulung zur Anwendung der Norm bei ihrer Arbeit erhalten haben. Während die Führungskräfte die Verantwortung für das gesamte Risikomanagement übernehmen sollten, sollten sie darauf achten, die Mitarbeiter nicht von diesem Prozess zu entfremden. Ohne die Unterstützung und den Beitrag der Mitarbeiter wird die Umsetzung der ISO 31000 viel schwieriger sein, als sie sein müsste.

ISO 31000:2018 Risikomanagement-Vorlage

Verwenden Sie diese digitale Vorlage, um einen soliden Rahmen für das Risikomanagement auf der Grundlage der ISO 31000 zu schaffen. Zeigen Sie Führungsstärke, indem Sie sich zum Risikomanagement verpflichten. Teilen Sie die Verantwortung für das Risikomanagement mit anderen Beteiligten im Unternehmen, einschließlich der Mitarbeiter.

Obwohl die Einhaltung der ISO 31000-Norm empfohlen wird, kann dies für kleinere Unternehmen oder solche, die weniger Ressourcen für das Risikomanagement aufwenden können, einschüchternd oder übermäßig kompliziert erscheinen. Eine vorübergehende Alternative ist die Verwendung eines Risikomanagementplans, der die folgenden Teile umfassen sollte:

• Beschreibungen aller identifizierten Risiken, ihrer Folgen und möglichen Ursachen
• Ein Modell zur Abschätzung der Wahrscheinlichkeit und Schwere von Folgen (Risikoanalyse)
• Korrekturmaßnahmen zur Beseitigung möglicher Ursachen oder zur Minderung der Schwere der Folgen

Wenn Sie einen Risikomanagementplan verwenden, kann es hilfreich sein, eine Vorlage für einen Risikomanagementplan zu haben, die leicht an die Mitarbeiter verteilt und bei Bedarf aktualisiert werden kann. Ohne eine Vorlage kann es schwierig sein, einen Risikomanagementplan für das gesamte Unternehmen zu verwenden oder zu erstellen.

Vorlage für einen Risikomanagementplan

Verwenden Sie diese digitale Vorlage, um die Wahrscheinlichkeit und Schwere der Folgen abzuschätzen. Legen Sie die geplanten Abhilfestrategien und den/die für ihre Durchführung zuständigen Mitarbeiter fest. Geben Sie die geschätzten Kosten und den Zeitplan für die Korrekturmaßnahmen an.

Risikomanagement mit SafetyCulture (früher iAuditor)

SafetyCulture ist eine digitale Inspektionsplattform, die Unternehmen nutzen können, um Risiken effektiv zu identifizieren, zu analysieren, zu kommunizieren und zu verwalten. Gemeinsam mit Mitti, einem technologieorientierten Versicherungsunternehmen, belohnt SafetyCulture Unternehmen mit proaktivem Risikomanagement.