„Risikoanalyse“ – Versionsunterschied

Die Artikel Risikomanagement, Risikoanalyse, Risikoidentifikation, Risikoquantifizierung und Risikobeurteilung überschneiden sich thematisch. Informationen, die du hier suchst, können sich also auch in den anderen Artikeln befinden.
Gerne kannst du dich an der betreffenden Redundanzdiskussion beteiligen oder direkt dabei helfen, die Artikel zusammenzuführen oder besser voneinander abzugrenzen (→ Anleitung).

Die Risikoanalyse (englisch [threat and] risk assessment) ist die systematische Analyse zur Identifikation und Quantifizierung („Bewertung“) von Risiken. Sie umfasst also die Teilaufgaben Risikoidentifikation und Risikoquantifizierung; teilweise wird auch die Risikoaggregation als Teil der Risikoanalyse angesehen. Die Risikoanalyse findet Anwendung in technischen Systemen, Finanz-, Wirtschafts- und Dienstleistungsunternehmen sowie Organisationen.

Anwendungsgebiete

Risikoanalysen werden allgemein zur Identifikation und Quantifizierung („Bewertung“) von Risiken eingesetzt, damit Transparenz über Art und Umfang von bestehenden Risiken geschaffen wird (z. B. um im Rahmen des Risikomanagements Risiken durch Präventionsmaßnahmen vermieden, reduziert oder auf Dritte abgewälzt werden können). Des Weiteren werden ihre Ergebnisse für die Kommunikation von Risikosituationen verwendet, um z. B. die Risikowahrnehmung zu fördern. Die Risikomenge eines Risikos kann dabei durch ein Risikomaß ausgedrückt werden. Risikenanalysen haben Bedeutung

• als gesetzliche Vorschrift^[1] den Jahresabschluss eines Unternehmens um einen Lage- oder Risikobericht zu ergänzen (vgl. Gesetz zur Kontrolle und Transparenz im Unternehmensbereich);
• als Aufgabe in der Projektplanung („Projektrisikoanalyse“) oder Investitionsrechnung;
• bei der Beurteilung der Risikosituation von Unternehmungen (z. B. als Grundlage für Unternehmensbewertung oder Strategiebewertung);
• in Banken zur Bestimmung von risikobehafteten Kundensegmenten, zur Steuerung der Kreditvergabe oder -genehmigung und zur Bestimmung der Eigenkapitalanforderungen nach Basel II und (seit 2014) nach Basel III;
• bei der Identifikation von Risiken neuer Technologien, gesellschaftlicher Entwicklungen;
• bei der Identifikation und Bewertung von Produktrisiken, insbesondere bei der Lancierung neuer Produkte, bzw. Abschluss von Produkthaftpflichtversicherungen;
• für die Feststellung durch dolose Handlungen (Untreue, Unterschlagung, Betrug, Verrat von Dienst- oder Geschäftsgeheimnissen, Korruption usw.) gefährdeter Arbeitsabläufe in Verwaltungen und Betrieben und zur Überprüfung und Weiterentwicklung der bestehenden internen Kontrollsysteme.

Risikoanalyse in der Betriebswirtschaftslehre

Risikoanalyse ist in der Betriebswirtschaftslehre die Identifikation und Quantifizierung von Risiken durch Abschätzung der Eintrittshäufigkeit und der möglichen, meist unsicheren Auswirkungen (z. B. Kosten). Sie ist die Grundlage für die Ermittlung der Höhe kalkulatorischer Wagniskosten (siehe Risikokosten) und notwendig für die Bestimmung erwartungstreuer Planwerte (z. B. bei der Unternehmensbewertung durch das Risikomanagement). Sie lässt sich in Teilschritte untergliedern:

• Risikoidentifikation – mit welchen Risiken ist mein Unternehmen konfrontiert,
• Risikoquantifizierung.

Soweit möglich basiert eine Risikoanalyse auf einer statistischen Datenanalyse: Es werden die in den verschiedenen Jahren (sogenannte Produktionsjahre) neu abgeschlossenen Verträge (sogenannte Produktion) in Segmente unterteilt. Innerhalb jedes Segments und pro Produktionsjahre werden die in Zahlungsschwierigkeiten geratenen Verträge ermittelt. Die Segmente, bei denen für viele Produktionsjahre der jeweilige Anteil an in Zahlungsschwierigkeiten geratenen Verträgen in Prozent höher ist als der Anteil in den Produktionsjahren, werden als riskant betrachtet. Es sei darauf aufmerksam gemacht, dass zum einen die Anzahl Verträge ein hinreichend großes Volumen erreichen muss und zum anderen, dass das Ergebnis der Analyse immer nach inhaltlicher Stichhaltigkeit überprüft werden muss, um eine sachlich begründete Aussage zu liefern. Insbesondere ist die Frage zu beantworten, ob die erkannten Zusammenhänge auch in der Zukunft stabil bleiben.

Risikoanalyse für Korruption

Bei einer Risikoanalyse für Korruption handelt es sich um eine standardisierte Befragung möglichst aller Mitarbeiterinnen und Mitarbeiter einer Organisation. Bei dieser Befragung werden anhand von stellenbezogenen, personenbezogenen, situationsbezogenen und organisatorischen Indikatoren, stellenbezogene Risiken in Bezug auf das Auftreten von korruptiven Handlungen dargestellt.^[2]

Die Risikoanalyse ist eine Maßnahme, die sich mit der Aufbauorganisation befasst. Dabei soll Risiko das Produkt aus der Eintrittswahrscheinlichkeit eines unerwünschten Ereignisses (in diesem Fall Korruption) und der Schwere des Schadens als Konsequenz aus einem etwaigen Eintritt des Ereignisses sein.^[3]

[1] Vgl. Krause/ Borens (2009)

Risikoanalyse in anderen Bereichen

Risikoanalysen werden heute in allen Industriebereichen mit einem Risikopotential, wie der Kerntechnik, Luftfahrt, Bahn, Schifffahrt, Chemie, Petrochemie und Staudämme, durchgeführt, wobei die Methoden der Probabilistischen Sicherheitsanalyse (PSA) zur Anwendung kommen.

• Bei Großveranstaltungen wird – der unterschiedlichen Gefahrenneigung Rechnung tragend – zur Berechnung der Stärke der Einsatzkräfte des Sanitätswachdienstes das Maurer-Schema angewandt.
• Bei Feuerwehren wird ein Brandschutzbedarfsplan in einigen Bundesländern vorgeschrieben, um mit diesem Instrument der Risiko- und Gefahrenanalyse zur Erreichung der Schutzziele innerhalb der Hilfsfrist zu gewährleisten.
• Im Arbeitsschutz heißt die Risikoanalyse Gefährdungsbeurteilung.
• In der Toxikologie und Ökotoxikologie

• Umweltrisikoanalyse im Rahmen des Umweltrisikomanagements

• Für Siedlungen im Gebirge und bei Großbauten sind die möglichen Naturgefahren (Bergrutsche, Lawinen, Muren, Setzungen, Sackungen etc.) abzuschätzen. Neben Methoden der Geotechnik wird oft auch die Geoseismik angewandt.
• Bei der Maschinen- und Anlagekonstruktion werden die von der Maschine / Anlage ausgehende Gefahr bestimmt und die Gegenmaßnahmen bestimmt (siehe auch Sicherheitssystem).
• In der Medizinwirtschaft und bei der Entwicklung von Medizinprodukten muss gemäß den Vorgaben der EN ISO 14971 und den Regelungen des Medizinproduktegesetzes ein Risikomanagementprozess fortlaufend geführt und dokumentiert werden.
• Im Bereich Elektrotechnik führt die europäische Norm EN 62305-2 (siehe Blitzschutz) zur Notwendigkeit einer Risikoanalyse (betreffend Gefährdung durch Blitzschlag und Überspannung) bei der Errichtung elektrischer Anlagen.
• Zur Evaluierung von Bahnübergängen können Risikoanalysen eingesetzt werden, um die benötigte Sicherheitsanforderungsstufe zu bestimmen, sodass eine angemessene Sicherung z. B. durch ein Warnsystem vorgesehen wird.
• Für Risiken rund um Informationen, IT-Systeme und IT-Dienstleistungen werden Risikomanagementprozesse aufgesetzt.
• Für die Lebensmittelsicherheit findet das Konzept Gefahrenanalyse und kritische Kontrollpunkte (HACCP) Anwendung.

Phasen der Risikoanalyse

Risikoidentifizierung

Es wird eine Liste der verschiedenen Risiken erstellt, im Fall von technischen Systemen anhand der Funktionsanforderungen (unabhängig von einer technischen Ausführung).

Risikoursachenanalyse

Für jedes Risiko werden mögliche Ursachen identifiziert und die sich ergebenden Häufigkeiten geschätzt (für technische Systeme siehe FTA).

Das Risiko ergibt sich aus der Multiplikation der Schadenshöhe mit der Eintrittswahrscheinlichkeit bzw. der Gefährdungsrate, je nachdem, ob es sich um ein zeitlich begrenztes Wagnis oder um ein fortdauerndes Risiko handelt, summiert über die verschiedenen Gefährdungen.

Risikobewertung und Risikoquantifizierung

Im engeren Sinn ist dies die quantitative Beschreibung eines Risikos durch eine geeignete Wahrscheinlichkeitsverteilung (Risikoquantifizierung). Für die Bewertung des Risikos können verschiedene Beurteilungsmethoden verwendet werden, die meist auf einem Vergleich mit anderen Risiken basieren (siehe das GAMAB-Prinzip). Um den Umfang von Risiken vergleichen zu können werden Risikomaße berechnet. Weitere Beispiele für Verfahren sind ALARP oder die Minimale endogene Mortalität (MEM).

Die Reihenfolge der beiden vorangehenden Phasen hängt davon ab, ob die Situation, das Vorhaben, die technische Ausführung vorgegeben ist oder sich nach einem in der Phase der Risikobewertung ermittelten maximal zu tolerierenden Risiko richten soll.

Risikoaggregation

Die Bestimmung des Gesamtumfangs mehrerer Risiken, die Risikoaggregation, wird gelegentlich als weitere Phase der Risikoanalyse aufgefasst oder alternativ als eigenständige Aufgabe im Risikomanagement verstanden.

Siehe auch

• Gefahr
• RAMS (Reliability, Availability, Maintainability, Safety)
• Risikoanalyse und Risikomanagement bei Zollkontrollen der deutschen Zollverwaltung

Literatur

• C. Cottin, C. / Döhler, S. : Risikoanalyse, 2013
• W. Gleißner : Risikoanalyse, Risikoquantifizierung und Risikoaggregation, in: WiSt, 9/2017, S. 4–11
• D. Vose : Risk Analysis: A Quantitative Guide, 2008

Einzelnachweise

1. ↑ siehe HGB § 289(1) Lagebericht, § 315(1) Konzernlagebericht
2. ↑ Carsten Stark: Korruptionsprävention. Klassische und ganzheitliche Ansätze. Springer, Wiesbaden 2017, ISBN 978-3-658-06313-9. 
3. ↑ Krause, L., Borens, D: Das strategische Risikomanagement der ISO 31000, ZRFG 4+5 2009.

Weblinks

• Society for Risk Analysis (englisch)