Risikoanalyse

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Die Artikel Risikomanagement, Risikoanalyse, Risikoidentifikation, Risikoquantifizierung und Risikobeurteilung überschneiden sich thematisch. Hilf mit, die Artikel besser voneinander abzugrenzen oder zusammenzuführen (→ Anleitung). Beteilige dich dazu an der betreffenden Redundanzdiskussion. Bitte entferne diesen Baustein erst nach vollständiger Abarbeitung der Redundanz und vergiss nicht, den betreffenden Eintrag auf der Redundanzdiskussionsseite mit {{Erledigt|1=~~~~}} zu markieren. Seelefant (Diskussion) 00:54, 23. Mär. 2019 (CET)

Die Risikoanalyse (englisch [threat and] risk assessment) ist die systematische Analyse zur Identifikation und Quantifizierung („Bewertung“) von Risiken. Sie umfasst also die Teilaufgaben Risikoidentifikation und Risikoquantifizierung; teilweise wird auch die Risikoaggregation als Teil der Risikoanalyse angesehen. Die Risikoanalyse findet Anwendung in technischen Systemen, Finanz-, Wirtschafts- und Dienstleistungsunternehmen sowie Organisationen.

Anwendungsgebiete[Bearbeiten | Quelltext bearbeiten]

Risikoanalysen werden allgemein zur Identifikation und Quantifizierung („Bewertung“) von Risiken eingesetzt, damit Transparenz über Art und Umfang von bestehenden Risiken geschaffen wird (z. B. um im Rahmen des Risikomanagements Risiken durch Präventionsmaßnahmen vermieden, reduziert oder auf Dritte abgewälzt werden können). Des Weiteren werden ihre Ergebnisse für die Kommunikation von Risikosituationen verwendet, um z. B. die Risikowahrnehmung zu fördern. Die Risikomenge eines Risikos kann dabei durch ein Risikomaß ausgedrückt werden. Risikenanalysen haben Bedeutung

  • als gesetzliche Vorschrift[1] den Jahresabschluss eines Unternehmens um einen Lage- oder Risikobericht zu ergänzen (vgl. Gesetz zur Kontrolle und Transparenz im Unternehmensbereich);
  • als Aufgabe in der Projektplanung („Projektrisikoanalyse“) oder Investitionsrechnung;
  • bei der Beurteilung der Risikosituation von Unternehmungen (z. B. als Grundlage für Unternehmensbewertung oder Strategiebewertung);
  • in Banken zur Bestimmung von risikobehafteten Kundensegmenten, zur Steuerung der Kreditvergabe oder -genehmigung und zur Bestimmung der Eigenkapitalanforderungen nach Basel II und (seit 2014) nach Basel III;
  • bei der Identifikation von Risiken neuer Technologien, gesellschaftlicher Entwicklungen;
  • bei der Identifikation und Bewertung von Produktrisiken, insbesondere bei der Lancierung neuer Produkte, bzw. Abschluss von Produkthaftpflichtversicherungen;
  • für die Feststellung durch dolose Handlungen (Untreue, Unterschlagung, Betrug, Verrat von Dienst- oder Geschäftsgeheimnissen, Korruption usw.) gefährdeter Arbeitsabläufe in Verwaltungen und Betrieben und zur Überprüfung und Weiterentwicklung der bestehenden internen Kontrollsysteme.

Risikoanalyse in der Betriebswirtschaftslehre[Bearbeiten | Quelltext bearbeiten]

Risikoanalyse ist in der Betriebswirtschaftslehre die Identifikation und Quantifizierung von Risiken durch Abschätzung der Eintrittshäufigkeit und der möglichen, meist unsicheren Auswirkungen (z. B. Kosten). Sie ist die Grundlage für die Ermittlung der Höhe kalkulatorischer Wagniskosten (siehe Risikokosten) und notwendig für die Bestimmung erwartungstreuer Planwerte (z. B. bei der Unternehmensbewertung durch das Risikomanagement). Sie lässt sich in Teilschritte untergliedern:

  • Risikoidentifikation – mit welchen Risiken ist mein Unternehmen konfrontiert,
  • Risikoquantifizierung.

Soweit möglich basiert eine Risikoanalyse auf einer statistischen Datenanalyse: Es werden die in den verschiedenen Jahren (sogenannte Produktionsjahre) neu abgeschlossenen Verträge (sogenannte Produktion) in Segmente unterteilt. Innerhalb jedes Segments und pro Produktionsjahre werden die in Zahlungsschwierigkeiten geratenen Verträge ermittelt. Die Segmente, bei denen für viele Produktionsjahre der jeweilige Anteil an in Zahlungsschwierigkeiten geratenen Verträgen in Prozent höher ist als der Anteil in den Produktionsjahren, werden als riskant betrachtet. Es sei darauf aufmerksam gemacht, dass zum einen die Anzahl Verträge ein hinreichend großes Volumen erreichen muss und zum anderen, dass das Ergebnis der Analyse immer nach inhaltlicher Stichhaltigkeit überprüft werden muss, um eine sachlich begründete Aussage zu liefern. Insbesondere ist die Frage zu beantworten, ob die erkannten Zusammenhänge auch in der Zukunft stabil bleiben.

Risikoanalyse in anderen Bereichen[Bearbeiten | Quelltext bearbeiten]

Risikoanalysen werden heute in allen Industriebereichen mit einem Risikopotential, wie der Kerntechnik, Luftfahrt, Bahn, Schifffahrt, Chemie, Petrochemie und Staudämme, durchgeführt, wobei die Methoden der Probabilistischen Sicherheitsanalyse (PSA) zur Anwendung kommen.

  • Für Siedlungen im Gebirge und bei Großbauten sind die möglichen Naturgefahren (Bergrutsche, Lawinen, Muren, Setzungen, Sackungen etc.) abzuschätzen. Neben Methoden der Geotechnik wird oft auch die Geoseismik angewandt.
  • Bei der Maschinen- und Anlagekonstruktion werden die von der Maschine / Anlage ausgehende Gefahr bestimmt und die Gegenmaßnahmen bestimmt (siehe auch Sicherheitssystem).
  • In der Medizinwirtschaft und bei der Entwicklung von Medizinprodukten muss gemäß den Vorgaben der EN ISO 14971 und den Regelungen des Medizinproduktegesetzes ein Risikomanagementprozess fortlaufend geführt und dokumentiert werden.
  • Im Bereich Elektrotechnik führt die europäische Norm EN 62305-2 (siehe Blitzschutz) zur Notwendigkeit einer Risikoanalyse (betreffend Gefährdung durch Blitzschlag und Überspannung) bei der Errichtung elektrischer Anlagen.
  • Zur Evaluierung von Bahnübergängen können Risikoanalysen eingesetzt werden, um die benötigte Sicherheitsanforderungsstufe zu bestimmen, sodass eine angemessene Sicherung z. B. durch ein Warnsystem vorgesehen wird.
  • Für Risiken rund um Informationen, IT-Systeme und IT-Dienstleistungen werden Risikomanagementprozesse aufgesetzt.
  • Für die Lebensmittelsicherheit findet das Konzept Gefahrenanalyse und kritische Kontrollpunkte (HACCP) Anwendung.

Phasen der Risikoanalyse[Bearbeiten | Quelltext bearbeiten]

Risikoidentifizierung
Es wird eine Liste der verschiedenen Risiken erstellt, im Fall von technischen Systemen anhand der Funktionsanforderungen (unabhängig von einer technischen Ausführung).
Risikoursachenanalyse
Für jedes Risiko werden mögliche Ursachen identifiziert und die sich ergebenden Häufigkeiten geschätzt (für technische Systeme siehe FTA).

Das Risiko ergibt sich aus der Multiplikation der Schadenshöhe mit der Eintrittswahrscheinlichkeit bzw. der Gefährdungsrate, je nachdem, ob es sich um ein zeitlich begrenztes Wagnis oder um ein fortdauerndes Risiko handelt, summiert über die verschiedenen Gefährdungen.

Risikobewertung und Risikoquantifizierung
Im engeren Sinn ist dies die quantitative Beschreibung eines Risikos durch eine geeignete Wahrscheinlichkeitsverteilung (Risikoquantifizierung). Für die Bewertung des Risikos können verschiedene Beurteilungsmethoden verwendet werden, die meist auf einem Vergleich mit anderen Risiken basieren (siehe das GAMAB-Prinzip). Um den Umfang von Risiken vergleichen zu können werden Risikomaße berechnet. Weitere Beispiele für Verfahren sind ALARP oder die Minimale endogene Mortalität (MEM).

Die Reihenfolge der beiden vorangehenden Phasen hängt davon ab, ob die Situation, das Vorhaben, die technische Ausführung vorgegeben ist oder sich nach einem in der Phase der Risikobewertung ermittelten maximal zu tolerierenden Risiko richten soll.

Risikoaggregation
Die Bestimmung des Gesamtumfangs mehrerer Risiken, die Risikoaggregation, wird gelegentlich als weitere Phase der Risikoanalyse aufgefasst oder alternativ als eigenständige Aufgabe im Risikomanagement verstanden.

Siehe auch[Bearbeiten | Quelltext bearbeiten]

Literatur[Bearbeiten | Quelltext bearbeiten]

  • C. Cottin, C. / Döhler, S. : Risikoanalyse, 2013
  • W. Gleißner : Risikoanalyse, Risikoquantifizierung und Risikoaggregation, in: WiSt, 9/2017, S. 4–11
  • D. Vose : Risk Analysis: A Quantitative Guide, 2008

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. siehe HGB § 289(1) Lagebericht, § 315(1) Konzernlagebericht

Weblinks[Bearbeiten | Quelltext bearbeiten]