Risikoanalyse
Die Risikoanalyse (englisch risk analysis) ist im Rahmen des Risikomanagements die Analyse der durch Risikoidentifikation ermittelten Risiken von unterschiedlichen Sachverhalten und Gefahrensituationen.
Allgemeines
Die Risikoanalyse ist Teil des Risikomanagements, das sich aus der Risikobeurteilung, Risikobewältigung und Risikokommunikation zusammensetzt, wobei die Risikobeurteilung in die Teilbereiche Risikoidentifikation, Risikoanalyse und Risikobewertung untergliedert ist.[1]
Ziel der Risikobeurteilung ist die Identifikation und Quantifizierung (Bewertung) von Risiken, um Transparenz über Art und Umfang von bestehenden Risiken zu schaffen, z. B. um Risiken durch Präventionsmaßnahmen zu vermeiden oder zu reduzieren. Des Weiteren werden ihre Ergebnisse für die Risikokommunikation verwendet, um z. B. die Risikowahrnehmung zu fördern. Das Risiko kann auch durch ein Risikomaß ausgedrückt werden.
Zu beachten ist, dass der Prozess der Risikoanalyse ganz entscheidend von der individuellen Risikowahrnehmung geprägt ist. Dass Risiken überhaupt erkannt werden, hängt auch davon ab, dass verschiedene Risikoträger ein existierendes Risiko unterschiedlich oder gar nicht wahrnehmen.[2] Erfolgt die Risikowahrnehmung fehlerhaft als selektive Wahrnehmung, so werden nur bestimmte Risiken wahrgenommen, andere vorhandene dagegen ausgeblendet. Eine mangelhafte Risikowahrnehmung wirkt sich negativ auf die nachfolgenden Phasen des Risikomanagements aus.[3]
Aspekte der Risikoanalyse finden auch Eingang in die Arbeitsanalyse, Bilanzanalyse, Finanzanalyse, Marktanalyse oder Schwachstellenanalyse.
Prozessablauf
Die Risikoanalyse wird in drei Schritten durchgeführt:
- Identifikation der Gefahren (Risikoidentifikation), die das System verletzen oder zerstören können.
- Analyse der Ursachen der identifizierten Gefahrenereignisse (deduktive Ursachenanalyse / Fehlerbaumanalyse) und Ermittlung deren Häufigkeiten.
- Analyse der Schadensauswirkungen der identifizierten Gefahrenereignisse, die von dem System ausgehen können (induktive Analyse / Ereignisbaumanalyse) und Ermittlung deren Wahrscheinlichkeiten.[4]
Für die Risikoanalyse kommen unterschiedlichste wissenschaftliche Analysetechniken zur Anwendung, wie Arbeitsanalyse, Elementaranalyse, Finanzanalyse, qualitative Analyse, quantitative Analyse, Portfolio-Analyse, Schwachstellenanalyse oder Szenarioanalyse.
Das quantitative Risiko ergibt sich aus der Multiplikation der Schadenshöhe mit der Eintrittswahrscheinlichkeit bzw. der Gefährdungsrate, je nachdem, ob es sich um ein zeitlich begrenztes Wagnis oder um ein Risiko handelt, summiert über die verschiedenen Gefährdungen (Risikoquantifizierung).
Die Gefahrenidentifizierung sollte so weit wie möglich auf quantitativen (historisch, statistisch) Daten beruhen. Auch qualitative Methoden, wie z. B. Expertenmeinungen, Checklisten sollten zur Anwendung kommen. Ziel der Analyse ist es, alle wahrscheinlichen Gefahren zu finden und zu erfassen.
Bei der Risikoanalyse sind auch die mit der Analyse verbundenen Unsicherheiten zu berücksichtigen (Daten- als auch Modellunsicherheiten) und die Unsicherheitsquellen sind soweit möglich zu identifizieren (siehe auch Entscheidung unter Unsicherheit).[5]
Anwendungsgebiete
Risikoanalyse im Bevölkerungsschutz
Die deutsche Bundesregierung hat 2009 die Risikoanalyse im Zivilschutz- und Katastrophenhilfegesetz (ZSKG) gesetzlich verankert. Im Sinne des § 18 ZSKG vom 2. April 2009 führt der Bund im Zusammenwirken mit den Ländern eine bundesweite, ressortübergreifende Risikoanalyse im Bevölkerungsschutz durch und unterrichtet den Deutschen Bundestag über die Ergebnisse der Risikoanalyse ab 2010 jährlich.[6][7]
Die Risikoanalyse ist zentraler Bestandteil des Risikomanagements im Bevölkerungsschutz. Sie liefert belastbare Informationen über Gefahren, Risiken und über vorhandene Fähigkeiten im Umgang mit Risiken auf deren Grundlage angemessen entschieden werden kann. Die Methode orientiert sich am internationalen Standard des Risikomanagements ISO 31000 und 31010.
Seit 2012 wurden folgende Gefahren einer Risikoanalyse unterzogen und die Ergebnisse in den entsprechenden Bundestagsberichten veröffentlicht:
- Extremes Schmelzhochwasser aus den Mittelgebirgen (2012),[8]
- Pandemie durch Virus Modi-SARS (2012),[8]
- Wintersturm (2013),[9]
- Sturmflut (2014),[10]
- Freisetzung radioaktiver Stoffe aus einem Kernkraftwerk (2015),[11]
- Freisetzung chemischer Stoffe (2016),[12]
- Dürre (2018).[13]
Ergebnisse der Analysen sind die Eintrittswahrscheinlichkeiten und Schadensauswirkungen der untersuchten Ereignisse sowie Erkenntnisse und Handlungsempfehlungen, die im Sinne eines ganzheitlichen Risiko- und Krisenmanagements von Bedeutung sind.
Risikenanalysen in Unternehmen
Risikenanalysen in Unternehmen haben Bedeutung:
- als gesetzliche Vorschrift[14] den Jahresabschluss eines Unternehmens um einen Lage- oder Risikobericht zu ergänzen (vgl. Gesetz zur Kontrolle und Transparenz im Unternehmensbereich);
- als Aufgabe in der Projektplanung („Projektrisikoanalyse“) oder Investitionsrechnung;
- bei der Beurteilung der Risikosituation von Unternehmen (z. B. als Grundlage für Unternehmensbewertung oder Strategiebewertung);
- in Kreditinstituten zur Bestimmung von risikobehafteten Kundensegmenten, zur Steuerung des Kreditrisikos oder der Kreditentscheidungen oder zur Bestimmung der Eigenmittelanforderungen nach Basel III (Kreditwürdigkeitsprüfung aller Kreditnehmer, Kontrahenten und Gegenparteien);
- bei der Identifikation von Risiken neuer Technologien oder gesellschaftlicher Entwicklungen;
- bei der Identifikation und Bewertung von Produktrisiken, insbesondere bei der Markteinführung neuer Produkte bzw. Abschluss von Produkthaftpflichtversicherungen;
- für die Feststellung durch dolose Handlungen (Untreue, Unterschlagung, Betrug, Verrat von Dienst- oder Geschäftsgeheimnissen, Korruption usw.) gefährdeter Arbeitsabläufe in Verwaltungen und Betrieben und zur Überprüfung und Weiterentwicklung der bestehenden internen Kontrollsysteme.[15]
Risikoanalyse ist in der Betriebswirtschaftslehre die Identifikation und Quantifizierung von Risiken durch Abschätzung der Eintrittswahrscheinlichkeit und der möglichen, meist unsicheren Auswirkungen (z. B. auf die Kosten). Sie ist die Grundlage für die Ermittlung der Höhe kalkulatorischer Wagniskosten (siehe Risikokosten) und notwendig für die Bestimmung erwartungstreuer Planwerte (z. B. bei der Unternehmensbewertung durch das Risikomanagement).
Sie lässt sich in vier Teilschritte untergliedern:
- Risikoidentifikation: Mit welchen Risiken ist mein Unternehmen konfrontiert?
- Risikoanalyse und -evaluation: Wie wahrscheinlich ist ihr Eintritt und welche Risikohöhe weisen sie auf?
- Risikobearbeitung und -dämpfung: Mit welchen Maßnahmen kann ich vorbeugen bzw. den Schaden im Falle des Eintritts des Risikos begrenzen?
- Risiko-Monitoring und -Review: Wie verändert sich die Risikosituation und mit welchen Mitteln kann ich ihre Entwicklung beobachten?
Mit dem letzten Schritt schließt sich der Kreis, falls neue Risiken ausgemacht werden?[16]
Soweit möglich basiert eine Risikoanalyse auf einer statistischen Datenanalyse: Es werden die in den verschiedenen Jahren (sogenannte Produktionsjahre) neu abgeschlossenen Verträge (sogenannte Produktion) in Segmente unterteilt. Innerhalb jedes Segments und pro Produktionsjahr werden die in Zahlungsschwierigkeiten geratenen Verträge ermittelt. Die Segmente, bei denen für viele Produktionsjahre der jeweilige Anteil an in Zahlungsschwierigkeiten geratenen Verträgen in Prozent höher ist als der Anteil in den Produktionsjahren, werden als riskant betrachtet. Es sei darauf aufmerksam gemacht, dass zum einen die Anzahl Verträge ein hinreichend großes Volumen erreichen muss und zum anderen, dass das Ergebnis der Analyse stets nach inhaltlicher Stichhaltigkeit überprüft werden muss, um eine sachlich begründete Aussage zu liefern. Insbesondere ist die Frage zu beantworten, ob die erkannten Zusammenhänge auch in der Zukunft stabil bleiben.
Technisch bedingte betriebswirtschaftliche Risiken können z. B. durch Fehlerbaumanalyse, Failure Mode and Effects Analysis oder Fehler-Ursachen-Analyse aufgedeckt und quantifiziert werden.[17]
Bei anstehenden strategischen Entscheidungen und Planungen hinsichtlich der Unternehmensentwicklung kommen die deterministische Szenarioanalyse zur Anwendung, bei der ausgewählte Szenarien untersucht werden, sofern die Wahrscheinlichkeit des Auftretens der Risiken und ihrer Einflussrichtung hinlänglich bekannt sind.[18] Ist dies nicht der Fall, sind also die Bestimmungsfaktoren des Risikos zufallsverteilt, kann die stochastische Szenarioanalyse herangezogen werden, etwa in Form der Monte-Carlo-Simulation oder einer PERT-Analyse mit stochastischen Knoten.[19]
Ein Problem der klassischen betriebswirtschaftlichen Risikoanalyse besteht darin, dass in internationalen Kontexten und Lieferketten schwer quantifizierbare und auch stochastisch schwer beschreibbare länderspezifische makroökonomische und politische Risiken durch Terror, Kriminalität, Korruption, Staatsbankrotte, Währungskrisen, Embargos, Handelssanktionen, rechtliche Änderungen sowie infolge von Risiken des Geldtransfers eine zunehmende Rolle spielen.[20]
Risikoanalyse in anderen Bereichen
Risikoanalysen werden heute in allen Industriebereichen mit einem Risikopotential, wie der Kerntechnik, Luftfahrt, Eisenbahn, Schifffahrt, Chemie, Petrochemie und Staudämme oder sonstige technische Anlagen durchgeführt, wobei die Methoden der probabilistischen Sicherheitsanalyse (PSA) zur Anwendung kommen.
- Bei Großveranstaltungen wird – der unterschiedlichen Gefahrenneigung Rechnung tragend – zur Berechnung der Stärke der Einsatzkräfte des Sanitätswachdienstes das Maurer-Schema angewandt.
- Bei Feuerwehren wird ein Brandschutzbedarfsplan in einigen Bundesländern vorgeschrieben, um mit diesem Instrument der Risiko- und Gefahrenanalyse zur Erreichung der Schutzziele innerhalb der Hilfsfrist zu gewährleisten.
- Im Arbeitsschutz heißt die Risikoanalyse Gefährdungsbeurteilung.
- In der Toxikologie und Ökotoxikologie.
- Umweltrisikoanalyse im Rahmen des Umweltrisikomanagements.
- Für Siedlungen im Gebirge und bei Großbauten sind die möglichen Naturgefahren (Bergrutsche, Lawinen, Muren, Setzungen, Sackungen etc.) abzuschätzen. Neben Methoden der Geotechnik wird oft auch die Geoseismik angewandt.
- Bei der Maschinen- und Anlagekonstruktion werden die von der Maschine / Anlage ausgehende Gefahr bestimmt und die Gegenmaßnahmen bestimmt anhand der Norm ISO 12100 Sicherheit von Maschinen – Allgemeine Gestaltungsleitsätze – Risikobeurteilung und Risikominderung (siehe auch Sicherheitssystem).
- In der Medizinwirtschaft und bei der Entwicklung von Medizinprodukten muss gemäß den Vorgaben der EN ISO 14971 und den Regelungen des Medizinproduktegesetzes ein Risikomanagementprozess fortlaufend geführt und dokumentiert werden.
- Im Bereich Elektrotechnik führt die europäische Norm EN 62305-2 (siehe Blitzschutz) zur Notwendigkeit einer Risikoanalyse (betreffend Gefährdung durch Blitzschlag und Überspannung) bei der Errichtung elektrischer Anlagen.
- Zur Evaluierung von Bahnübergängen können Risikoanalysen eingesetzt werden, um die benötigte Sicherheitsanforderungsstufe zu bestimmen, sodass eine angemessene Sicherung z. B. durch ein Warnsystem vorgesehen wird.
- Für Risiken rund um Informationen, IT-Systeme und IT-Dienstleistungen werden Risikomanagementprozesse aufgesetzt.
- Für die Lebensmittelsicherheit findet das Konzept Gefahrenanalyse und kritische Kontrollpunkte (HACCP) Anwendung.
Siehe auch
- Bedrohungsmatrix
- Gefahr
- RAMS (Reliability, Availability, Maintainability, Safety)
- Risikoanalyse und Risikomanagement bei Zollkontrollen der deutschen Zollverwaltung
Literatur
- Claudia Cottin/Sebastian Döhler, Risikoanalyse, Springer, 2. Aufl. 2013
- Werner Gleißner, Risikoanalyse, Risikoquantifizierung und Risikoaggregation, in: WiSt, 9/2017, S. 4–11
- Frank Romeike, Risikomanagement. Springer, 2018
- David Vose, Risk Analysis: A Quantitative Guide, 2008
Weblinks
- Society for Risk Analysis (englisch)
Einzelnachweise
- ↑ Robert Schmitt/Tilo Pfeifer, Qualitätsmanagement: Strategien – Methoden – Techniken, 2015, S. 363
- ↑ Nikolaus Raupp, Das Entscheidungsverhalten japanischer Venture-Capital-Manager unter dem Einfluss der Risikowahrnehmung im Verbund mit anderen Faktoren, 2012, S. 27
- ↑ Frank Romeike (Hrsg.), Erfolgsfaktor Risiko-Management, 2004, S. 165
- ↑ Marvin Rausand: Risk Assessment: Theory, Methods, and Applications, 2013 - 664 Seiten.
- ↑ Risk Assessment and Mapping Guidelines for Disaster Management, EU COMMISSION STAFF WORKING PAPER, Brussels, 21.12.2010 SEC(2010) 1626, final.
- ↑ Risikoanalysen Bund und Länder, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).
- ↑ Gesetz über den Zivilschutz und die Katastrophenhilfe des Bundes, Bundesministerium der Justiz und für Verbraucherschutz.
- ↑ a b Bericht zur Risikoanalyse im Bevölkerungsschutz 2012. In: 17. Deutscher Bundestag, Drucksache 17/12051, 3. Januar 2013 - Risikoanalysen Extremes Schmelzhochwasser und Pandemie.
- ↑ Bericht zur Risikoanalyse im Bevölkerungsschutz 2013. In: 18. Deutscher Bundestag, Drucksache 18/208, 16. Dezember 2013 - Risikoanalyse Wintersturm.
- ↑ Bericht zur Risikoanalyse im Bevölkerungsschutz 2014. In: 18. Deutscher Bundestag, Drucksache 18/3682, 23. Dezember 2014 - Risikoanalyse Sturmflut.
- ↑ Bericht zur Risikoanalyse im Bevölkerungsschutz 2015. In: 18. Deutscher Bundestag, Drucksache 18/7209, 4. Januar 2016 - Risikoanalyse Freisetzung radioaktiver Stoffe aus einem Kernkraftwerk.
- ↑ Bericht zur Risikoanalyse im Bevölkerungsschutz 2016. In: 18. Deutscher Bundestag, Drucksache 18/10850, 28 Dezember 2016 - Risikoanalyse Freisetzung chemischer Stoffe.
- ↑ Bericht zur Risikoanalyse im Bevölkerungsschutz 2018, in: 19. Deutscher Bundestag, Drucksache 19/9521, 12.04.2019 - Risikoanalyse Dürre.
- ↑ siehe § 289 Abs. 1 HGB: Risikobericht, § 315 Abs. 1 HGB: Konzernlagebericht
- ↑ Lars Krause/David Borens, Das strategische Risikomanagement der ISO 31000, in: Risk, Fraud & Compliance (ZRFC) 4/5 2009, Teil 1: S. 180 ff.
- ↑ Frank Romeike: Risikomanagement. Springer, 2018, S. 38.
- ↑ Romeike 2018, S. 56–61.
- ↑ Romeike 2018, S. 168.
- ↑ Romeike 2018, S. 177.
- ↑ Herbert Meffert, Joachim Bolz: Internationale Marketing-Management, 3. Auflage Stuttgart 1998, S. 69.