Risikoanalyse und Risikobehandlung richtig durchführen

  • Beitrags-Kategorie:ISO 9001

Lesezeit: ca. 16 Minuten

Hinweis zum Normstand: Dieser Beitrag berücksichtigt die Anforderungen der ISO 9001:2015 einschließlich Amendment 1:2024. Der Final Draft ISO/FDIS 9001 befindet sich in der Schlussphase; die Veröffentlichung der überarbeiteten ISO 9001 wird für September 2026 erwartet. Methodisch orientiert sich der Beitrag an ISO 31000:2018 und IEC 31010:2019. Eine dritte Ausgabe der ISO 31000 befindet sich derzeit in Entwicklung. (ISO) (ISO)

Was sind Risikoanalyse und Risikobehandlung?

Risiko entsteht durch Unsicherheit in Bezug auf Ziele. Es beschreibt nicht nur einen möglichen Schaden, sondern die Auswirkung von Unsicherheit auf das, was eine Organisation erreichen will. Diese Auswirkung kann negativ, positiv oder beides sein.

Die Risikoanalyse untersucht ein identifiziertes Risiko genauer. Sie betrachtet insbesondere Ursachen, mögliche Ereignisse, Auswirkungen, bestehende Steuerungsmaßnahmen und die daraus resultierende Risikohöhe.

Die Risikobewertung geht einen Schritt weiter. Sie vergleicht die Ergebnisse der Analyse mit festgelegten Kriterien und entscheidet, ob ein Risiko akzeptiert werden kann oder behandelt werden muss.

Die Risikobehandlung umfasst die Auswahl und Umsetzung geeigneter Maßnahmen. Ziel ist nicht zwangsläufig, jedes Risiko vollständig zu beseitigen. Vielmehr soll das Risiko auf ein für die Organisation vertretbares Niveau gebracht oder eine damit verbundene Chance gezielt genutzt werden.

Welche Ziele verfolgt das Risikomanagement?

Risikoanalyse und -behandlung unterstützen eine Organisation dabei, fundierte Entscheidungen zu treffen und ihre Ziele verlässlicher zu erreichen.

ZielLeitfrage
Zielerreichung absichernWas könnte verhindern, dass geplante Ergebnisse erreicht werden?
negative Auswirkungen begrenzenWie lassen sich Fehler, Ausfälle, Schäden oder Regelverstöße vermeiden?
Chancen erkennenWelche Unsicherheiten können zu einem vorteilhaften Ergebnis führen?
Prioritäten setzenWelche Risiken benötigen zuerst Aufmerksamkeit und Ressourcen?
Entscheidungen verbessernWelche Handlungsoption bietet das günstigste Verhältnis von Nutzen und Risiko?
Prozesse robuster gestaltenWelche Steuerungen verhindern oder erkennen unerwünschte Ergebnisse?
Veränderungen beherrschenWelche neuen Risiken entstehen durch Technik, Personal, Märkte oder Organisation?
Verantwortlichkeiten klärenWer entscheidet, setzt Maßnahmen um und überwacht das verbleibende Risiko?
Nachvollziehbarkeit schaffenAuf welcher Informationsgrundlage wurde eine Entscheidung getroffen?
kontinuierlich lernenWelche Ereignisse, Kennzahlen und Erfahrungen verändern die Risikoeinschätzung?

Risikomanagement ist damit kein isolierter Verwaltungsprozess. Es gehört in Strategie, Prozesssteuerung, Projektplanung, Beschaffung, Entwicklung, Veränderungsmanagement und tägliche Entscheidungen.

Normative Grundlagen

Risiken und Chancen nach ISO 9001

Die ISO 9001 verankert risikobasiertes Denken im gesamten Qualitätsmanagementsystem. Besonders relevant ist Abschnitt 6.1. Die Organisation muss Risiken und Chancen bestimmen, die behandelt werden müssen, damit das Qualitätsmanagementsystem seine beabsichtigten Ergebnisse erreicht, erwünschte Auswirkungen verstärkt, unerwünschte Auswirkungen verhindert oder verringert und Verbesserung erzielt.

Geeignete Maßnahmen sind zu planen, in die Prozesse des Qualitätsmanagementsystems zu integrieren, umzusetzen und hinsichtlich ihrer Wirksamkeit zu bewerten. Art und Umfang der Maßnahmen sollen zur möglichen Auswirkung auf die Konformität von Produkten und Dienstleistungen passen.

Weitere wichtige Verbindungen bestehen unter anderem zu:

  • Kontext und interessierten Parteien,
  • Prozessplanung und Prozesssteuerung,
  • Qualitätszielen,
  • Planung von Änderungen,
  • Entwicklung von Produkten und Dienstleistungen,
  • Steuerung externer Anbieter,
  • internen Audits,
  • Managementbewertung,
  • Nichtkonformität und Verbesserung.

Die ISO 9001 schreibt keine bestimmte Risikomanagementmethode, keine feste Bewertungsskala und kein formales Risikoregister vor. Die Organisation bestimmt selbst, welches Vorgehen für ihren Kontext und ihre Risiken angemessen ist. Auch der Umfang dokumentierter Informationen richtet sich danach, was für eine wirksame Umsetzung und belastbare Nachweise erforderlich ist. (ISO)

ISO 31000 als methodischer Rahmen

Die ISO 31000:2018 enthält Leitlinien für das Management von Risiken. Sie beschreibt Grundsätze, einen organisatorischen Rahmen und einen Prozess, der für unterschiedliche Branchen, Organisationsgrößen und Risikoarten angepasst werden kann.

Der Prozess umfasst insbesondere:

  • Kommunikation und Konsultation,
  • Festlegung von Anwendungsbereich, Kontext und Kriterien,
  • Risikobeurteilung mit Identifikation, Analyse und Bewertung,
  • Risikobehandlung,
  • Überwachung und Überprüfung,
  • Aufzeichnung und Berichterstattung.

ISO 31000 ist eine Leitlinie und keine Zertifizierungsnorm. Eine Organisation kann sie jedoch als international anerkannten Orientierungsrahmen nutzen und mit den Anforderungen ihres Managementsystems verbinden.

IEC 31010 für Methoden der Risikobeurteilung

Die IEC 31010:2019 unterstützt bei der Auswahl und Anwendung von Techniken zur Risikobeurteilung. Sie beschreibt zahlreiche Methoden, mit denen Risiken identifiziert, Ursachen und Auswirkungen untersucht, Optionen verglichen und Entscheidungen unter Unsicherheit vorbereitet werden können. (ISO)

Zentrale Begriffe unterscheiden

In der Praxis werden Begriffe häufig vermischt. Eine klare Trennung erleichtert die Anwendung.

BegriffBedeutung
Zielangestrebtes Ergebnis, auf das sich eine Unsicherheit auswirken kann
RisikoAuswirkung von Unsicherheit auf Ziele
RisikoquelleElement, das allein oder gemeinsam ein Risiko verursachen kann
EreignisEintritt oder Veränderung bestimmter Umstände
AuswirkungFolge eines Ereignisses für Ziele
WahrscheinlichkeitMöglichkeit oder Häufigkeit, mit der ein Ereignis eintreten kann
Steuerungsmaßnahmebestehende Regelung oder Handlung, die ein Risiko verändert
inhärentes RisikoRisikohöhe ohne Berücksichtigung von Steuerungsmaßnahmen
Restrisikoverbleibendes Risiko nach Berücksichtigung bestehender oder geplanter Maßnahmen
RisikokriteriumMaßstab, mit dem die Bedeutung eines Risikos beurteilt wird
RisikoeigentümerPerson oder Funktion mit Verantwortung und Befugnis, ein Risiko zu steuern
Risikoakzeptanzbewusste Entscheidung, ein bestimmtes Restrisiko zu tragen

Die Begriffe sollten im Unternehmen einheitlich verwendet werden. Besonders wichtig ist die Unterscheidung zwischen der reinen Risikohöhe und der Entscheidung, ob diese Risikohöhe akzeptabel ist.

Den Risikoprozess systematisch aufbauen

Ein praxistauglicher Ablauf lässt sich in neun Schritte gliedern:

  • Ziel und Betrachtungsbereich festlegen.
  • Kontext und relevante Anforderungen bestimmen.
  • Bewertungskriterien und Akzeptanzgrenzen definieren.
  • Risiken und Chancen identifizieren.
  • Bestehende Steuerungsmaßnahmen erfassen.
  • Risiken analysieren und bewerten.
  • Behandlungsoptionen auswählen und planen.
  • Maßnahmen umsetzen und Restrisiko beurteilen.
  • Risiken, Maßnahmen und Rahmenbedingungen überwachen.

Der Ablauf ist nicht rein linear. Neue Informationen, Ereignisse oder Veränderungen können dazu führen, dass frühere Schritte erneut betrachtet werden müssen.

Kontext, Ziele und Risikokriterien festlegen

Eine belastbare Risikoanalyse beginnt nicht mit einer Tabelle, sondern mit der Frage, welches Ziel geschützt oder erreicht werden soll.

Betrachtungsbereich bestimmen

Der Betrachtungsbereich kann beispielsweise sein:

  • die gesamte Organisation,
  • ein Managementsystem,
  • ein Prozess,
  • ein Standort,
  • ein Produkt oder eine Dienstleistung,
  • ein Projekt,
  • eine geplante Änderung,
  • ein Lieferant oder eine Lieferkette,
  • eine konkrete Entscheidung.

Je klarer die Abgrenzung, desto gezielter lassen sich Risiken bestimmen und Verantwortlichkeiten zuordnen.

Relevante Informationen einbeziehen

Typische Eingaben sind:

  • strategische Ziele und Qualitätsziele,
  • interne und externe Themen,
  • Anforderungen interessierter Parteien,
  • gesetzliche, behördliche und vertragliche Pflichten,
  • Prozessbeschreibungen und Schnittstellen,
  • Kennzahlen und Trends,
  • Reklamationen und Fehlerdaten,
  • Auditfeststellungen,
  • Erfahrungen aus Störungen und Beinahe-Ereignissen,
  • geplante organisatorische oder technische Änderungen,
  • Abhängigkeiten von Personen, Systemen und Lieferanten,
  • Auswirkungen des Klimawandels, soweit sie für das Managementsystem relevant sind.

Das Amendment 1:2024 zur ISO 9001 ergänzt die Kontextbetrachtung ausdrücklich um die Frage, ob der Klimawandel ein relevantes Thema ist, und weist darauf hin, dass interessierte Parteien klimabezogene Anforderungen haben können. Daraus können je nach Organisation Risiken, Chancen oder verbindliche Anforderungen entstehen. (ISO)

Risikokriterien definieren

Risikokriterien legen fest, wie Risiken bewertet und welche Ergebnisse akzeptiert werden.

Mögliche Kriterien sind:

  • Eintrittswahrscheinlichkeit,
  • Ausmaß der Auswirkung,
  • Erkennbarkeit,
  • Dauer und Geschwindigkeit der Auswirkung,
  • gesetzliche Relevanz,
  • Einfluss auf Kunden,
  • finanzielle Belastung,
  • Auswirkungen auf Sicherheit, Umwelt oder Reputation,
  • Wiederherstellungszeit,
  • Grad der Unsicherheit,
  • Wirksamkeit bestehender Steuerungen.

Die Kriterien sollten vor der Bewertung festgelegt werden. Andernfalls besteht die Gefahr, dass Bewertungsskalen nachträglich so ausgelegt werden, dass ein gewünschtes Ergebnis entsteht.

Risiken und Chancen identifizieren

Die Risikoidentifikation soll strukturiert erfassen, was passieren könnte, warum es passieren könnte und welche Ziele betroffen wären.

Eine hilfreiche Formulierung verbindet drei Elemente:

Aufgrund von [Ursache oder Risikoquelle] kann [Ereignis] eintreten, was zu [Auswirkung auf ein Ziel] führt.

Wenig geeignete Beschreibung

Lieferantenausfall

Diese Formulierung ist zu knapp. Ursache, konkrete Auswirkung und betroffenes Ziel bleiben offen.

Bessere Beschreibung

Aufgrund der Abhängigkeit von einem einzigen Lieferanten kann ein Lieferstopp für das Bauteil B-17 eintreten. Dadurch können bestätigte Liefertermine nicht eingehalten werden und Vertragsstrafen entstehen.

Leitfragen zur Identifikation

PerspektiveLeitfrage
ZieleWas kann die Zielerreichung verhindern, verzögern oder verbessern?
AnforderungenWelche Kunden-, Rechts- oder Vertragsanforderungen könnten verletzt werden?
ProzesseWo können Eingaben, Tätigkeiten, Ergebnisse oder Schnittstellen versagen?
RessourcenWelche Personen, Anlagen, Systeme oder Informationen sind kritisch?
LieferketteWelche externen Abhängigkeiten können Leistung oder Konformität beeinflussen?
VeränderungenWelche neuen Unsicherheiten entstehen durch die geplante Änderung?
ErfahrungenWelche Fehler, Reklamationen oder Beinahe-Ereignisse sind bereits aufgetreten?
ZukunftWelche Markt-, Technologie-, Klima- oder Regulierungsentwicklungen sind absehbar?
ChancenWo können Innovation, Standardisierung oder neue Partnerschaften Vorteile bringen?

Risiken sollten nicht ausschließlich in einem jährlichen Workshop gesammelt werden. Prozessbesprechungen, Projektfreigaben, Audits, Reklamationsanalysen und Managementbewertungen liefern laufend neue Informationen.

Risiken analysieren

Die Risikoanalyse untersucht, wie bedeutend ein Risiko ist. Dabei werden nicht nur Wahrscheinlichkeit und Auswirkung betrachtet, sondern auch die Wirksamkeit bereits vorhandener Steuerungen und die Qualität der verfügbaren Informationen.

Beispiel einer einfachen Bewertungsskala

WertWahrscheinlichkeitOrientierung
1sehr geringnur unter außergewöhnlichen Umständen zu erwarten
2geringselten möglich
3mittelgelegentlich möglich
4hochwiederholt zu erwarten
5sehr hochhäufig oder nahezu sicher
WertAuswirkungOrientierung
1unbedeutendkaum messbare Auswirkung, leicht intern korrigierbar
2geringbegrenzte Störung ohne wesentliche Kundenwirkung
3erheblichZielabweichung, Reklamation oder nennenswerter Zusatzaufwand
4schwerwiegendgrößere Kundenwirkung, längerer Ausfall oder deutlicher finanzieller Schaden
5kritischexistenzielle, sicherheitskritische oder erhebliche rechtliche Auswirkung

Bei einer einfachen Risikomatrix wird häufig gerechnet:

Risikowert = Wahrscheinlichkeit × Auswirkung

RisikowertEinstufungTypische Entscheidung
1 bis 4geringakzeptieren und im normalen Prozess überwachen
5 bis 9mittelBehandlung prüfen und Verantwortung festlegen
10 bis 15hochkonkrete Behandlung planen und zeitnah umsetzen
16 bis 25sehr hochunverzüglich entscheiden; Tätigkeit gegebenenfalls nicht beginnen

Die Grenzen sind ein Beispiel und keine Normvorgabe. Sie müssen zum Risikoprofil der Organisation passen.

Grenzen einer Risikomatrix

Eine Risikomatrix erzeugt eine scheinbar genaue Zahl, obwohl die Eingangswerte häufig auf Schätzungen beruhen. Unterschiedliche Kombinationen können außerdem zum gleichen Produkt führen, obwohl sie andere Entscheidungen verlangen.

Ein seltenes Ereignis mit katastrophaler Auswirkung darf deshalb nicht automatisch genauso behandelt werden wie ein häufiges Ereignis mit geringer Auswirkung. Gesetzliche, sicherheitskritische oder existenzielle Konsequenzen können unabhängig vom errechneten Wert eine Behandlung erfordern.

Die Bewertung sollte daher durch eine nachvollziehbare Begründung ergänzt werden.

Risiken bewerten und priorisieren

Bei der Risikobewertung wird entschieden, ob die analysierte Risikohöhe akzeptabel ist und welche Priorität eine Behandlung erhält.

Sinnvolle Entscheidungsfragen sind:

  • Liegt das Risiko innerhalb der festgelegten Akzeptanzgrenze?
  • Bestehen gesetzliche oder vertragliche Pflichten, die unabhängig vom Zahlenwert erfüllt werden müssen?
  • Kann ein einzelnes Ereignis kritische oder irreversible Folgen haben?
  • Wie verlässlich sind Daten und Annahmen?
  • Welche Wechselwirkungen bestehen mit anderen Risiken?
  • Wie schnell kann das Risiko eintreten?
  • Wie lange dauert es, eine geeignete Maßnahme umzusetzen?
  • Wer besitzt die Befugnis, das Restrisiko zu akzeptieren?

Die Priorisierung sollte nicht allein von einer farbigen Ampel abhängen. Sie muss die Ziele, den Kontext und die Risikotragfähigkeit der Organisation berücksichtigen.

Optionen der Risikobehandlung auswählen

Für ein Risiko kommen unterschiedliche Behandlungsoptionen infrage.

OptionBeispiel
Risiko vermeidenauf ein Produkt oder Verfahren mit nicht beherrschbarer Gefahr verzichten
Risikoquelle beseitigenfehleranfällige manuelle Datenübertragung durch Systemschnittstelle ersetzen
Wahrscheinlichkeit verändernvorbeugende Wartung oder Lieferantenqualifizierung einführen
Auswirkung verändernNotfallbestand, Datensicherung oder Wiederanlaufplan bereitstellen
Risiko teilenVersicherung, vertragliche Aufteilung oder Kooperation nutzen
Risiko bewusst übernehmengeringes Restrisiko mit begründeter Entscheidung akzeptieren
Chance nutzen oder verstärkenPilotprojekt starten oder zusätzliche Ressourcen für Innovation bereitstellen

Mehrere Optionen können kombiniert werden. Bei einem kritischen Lieferantenrisiko kann die Organisation beispielsweise einen zweiten Lieferanten qualifizieren, einen Sicherheitsbestand aufbauen und vertragliche Informationspflichten vereinbaren.

Maßnahmen nach dem STOP-Prinzip

Wo Gefährdungen von Personen oder vergleichbare operative Risiken betrachtet werden, kann das STOP-Prinzip bei der Auswahl helfen:

  1. Substitution: Risikoquelle ersetzen oder vermeiden.
  2. Technische Maßnahmen: Risiko durch technische Einrichtungen reduzieren.
  3. Organisatorische Maßnahmen: Abläufe, Verantwortlichkeiten oder Kontrollen anpassen.
  4. Personenbezogene Maßnahmen: Kompetenz, Unterweisung oder persönliche Schutzausrüstung sicherstellen.

Die Übertragbarkeit hängt von der Risikoart ab. Eine Schulung allein ist selten die stärkste Maßnahme, wenn das Risiko bereits durch Prozessgestaltung oder technische Lösungen wirksamer reduziert werden kann.

Einen Risikobehandlungsplan erstellen

Eine Maßnahme wie „Mitarbeitende sensibilisieren“ ist für sich genommen meist nicht ausreichend steuerbar. Ein belastbarer Risikobehandlungsplan beschreibt mindestens:

ElementInhalt
Risikoeindeutige Beschreibung mit Ursache, Ereignis und Auswirkung
AusgangsbewertungRisikohöhe vor der zusätzlichen Behandlung
Behandlungszielangestrebte Veränderung von Wahrscheinlichkeit, Auswirkung oder Steuerungsqualität
Maßnahmekonkrete Handlung
Verantwortlichkeitzuständige Person mit ausreichender Befugnis
RessourcenBudget, Personal, Technik oder externe Unterstützung
Terminverbindlicher Umsetzungszeitpunkt
Erfolgsindikatormessbares Kriterium für Umsetzung und Wirkung
erwartetes Restrisikoprognostizierte Bewertung nach Umsetzung
WirksamkeitsprüfungMethode, Zeitpunkt und verantwortliche Person
AkzeptanzentscheidungFreigabe des verbleibenden Risikos durch eine befugte Funktion

Die Maßnahme sollte verhältnismäßig sein. Aufwand, Nebenwirkungen und neu entstehende Risiken sind ebenfalls zu betrachten.

Restrisiko und Wirksamkeit bewerten

Mit der Umsetzung einer Maßnahme ist die Risikobehandlung noch nicht abgeschlossen.

Es sind drei Fragen zu unterscheiden:

  1. Wurde die Maßnahme umgesetzt?
    Beispiel: Ein zweiter Lieferant wurde freigegeben.
  2. Funktioniert die neue Steuerung wie vorgesehen?
    Beispiel: Der zweite Lieferant kann das benötigte Bauteil in der geforderten Qualität und Menge liefern.
  3. Wurde das Risiko tatsächlich ausreichend reduziert?
    Beispiel: Die Wahrscheinlichkeit eines Produktionsstillstands ist gesunken und das Restrisiko liegt innerhalb der Akzeptanzgrenze.

Geeignete Nachweise für die Wirksamkeit können sein:

  • Kennzahlen vor und nach der Maßnahme,
  • Ergebnisse aus Tests oder Notfallübungen,
  • Stichproben und Prozessbeobachtungen,
  • Reklamations- und Fehlertrends,
  • Auditfeststellungen,
  • Lieferantenbewertungen,
  • Nachweise aus Pilotbetrieb oder Validierung,
  • Rückmeldungen von Kunden und Beschäftigten.

Eine Maßnahme darf nicht allein deshalb als wirksam gelten, weil sie fristgerecht erledigt wurde.

Geeignete Methoden auswählen

Die Methode sollte zur Fragestellung, Komplexität, Datenlage und möglichen Auswirkung passen.

MethodeGeeignet für
Brainstorming oder moderierter Workshoperste Sammlung unterschiedlicher Perspektiven
Checklistebekannte und wiederkehrende Risikofelder
SWOT-Analysestrategische Stärken, Schwächen, Chancen und Bedrohungen
ProzessanalyseRisiken an Eingaben, Tätigkeiten, Schnittstellen und Ergebnissen
FMEAsystematische Analyse möglicher Fehlerarten, Folgen und Ursachen
Ursache-Wirkungs-Diagrammstrukturierte Untersuchung möglicher Ursachen
Bow-Tie-AnalyseVerbindung von Ursachen, kritischem Ereignis, Folgen und Barrieren
Szenarioanalyseplausible zukünftige Entwicklungen und ihre Konsequenzen
Fehlerbaumanalyselogische Kombination von Ursachen eines unerwünschten Ereignisses
Ereignisbaumanalysemögliche Folgen nach einem auslösenden Ereignis
Business-Impact-AnalyseAuswirkungen von Unterbrechungen und notwendige Wiederanlaufzeiten
EntscheidungsbaumVergleich von Handlungsoptionen unter Unsicherheit
Monte-Carlo-Simulationquantitative Bandbreiten bei ausreichend belastbaren Daten

IEC 31010 enthält eine umfangreiche Übersicht solcher Techniken und unterstützt bei ihrer Auswahl. Nicht jede Organisation benötigt komplexe quantitative Verfahren. Bei hohen oder schwer abschätzbaren Auswirkungen kann eine vertiefte Methode jedoch angemessen sein. (ISO)

Risiken und Chancen gemeinsam betrachten

Eine Chance ist nicht einfach das Gegenteil eines Risikos. Sie kann eine Handlungsoption sein, durch die ein vorteilhaftes Ergebnis wahrscheinlicher wird. Gleichzeitig kann die Nutzung einer Chance neue Risiken erzeugen.

Beispiel

Ein Unternehmen erwägt die Automatisierung der Auftragsprüfung.

Mögliche Chancen:

  • kürzere Bearbeitungszeit,
  • weniger Übertragungsfehler,
  • bessere Skalierbarkeit,
  • schnellere Kundenrückmeldung.

Mögliche Risiken:

  • fehlerhafte Entscheidungslogik,
  • unzureichende Datenqualität,
  • fehlende Nachvollziehbarkeit automatischer Entscheidungen,
  • Ausfall oder Cyberangriff,
  • unzureichende Kompetenz der Anwender.

Eine fundierte Entscheidung bewertet daher sowohl das Potenzial als auch die Voraussetzungen und Nebenwirkungen der Umsetzung.

Verantwortlichkeiten festlegen

Risikomanagement funktioniert nur, wenn Zuständigkeiten und Entscheidungsbefugnisse eindeutig sind.

RolleTypische Verantwortung
oberste LeitungRahmen, Risikokriterien, Ressourcen und wesentliche Akzeptanzentscheidungen
ProzesseigentümerRisiken im Prozess bestimmen, Maßnahmen steuern und Wirksamkeit überwachen
Risikoeigentümerkonkretes Risiko beobachten und Entscheidungen veranlassen
Maßnahmenverantwortlichevereinbarte Behandlung fristgerecht umsetzen
Fachfunktionenmethodische oder rechtliche Expertise bereitstellen
BeschäftigteRisiken, Veränderungen und Schwachstellen melden
interne Auditorenrisikobasiertes Denken und Wirksamkeit der Steuerungen unabhängig bewerten

Das Qualitätsmanagement kann den Prozess moderieren und Transparenz schaffen. Die Verantwortung für operative Risiken sollte jedoch dort liegen, wo Prozesse gesteuert und Entscheidungen getroffen werden.

Risiken überwachen und regelmäßig überprüfen

Risiken verändern sich. Eine einmal jährlich aktualisierte Liste reicht nicht aus, wenn sich Prozesse, Technologien oder Rahmenbedingungen schneller entwickeln.

Anlässe für eine Überprüfung sind beispielsweise:

  • neue oder geänderte Kundenanforderungen,
  • Änderungen von Gesetzen und Normen,
  • neue Produkte, Dienstleistungen oder Technologien,
  • Prozess- oder Organisationsänderungen,
  • neue Lieferanten oder geänderte Lieferketten,
  • Reklamationen, Störungen und Beinahe-Ereignisse,
  • auffällige Kennzahlen,
  • Auditfeststellungen,
  • Personalwechsel in Schlüsselfunktionen,
  • neue Erkenntnisse über Ursachen oder Auswirkungen,
  • externe Krisen oder klimabezogene Veränderungen.

Geeignete Risikokennzahlen

KPIAussage
Anteil überfälliger MaßnahmenWerden Behandlungspläne konsequent umgesetzt?
Risiken oberhalb der AkzeptanzgrenzeWo besteht unmittelbarer Entscheidungsbedarf?
Entwicklung kritischer RestrisikenWerden wesentliche Risiken tatsächlich reduziert?
eingetretene RisikenWie zutreffend und wirksam war die bisherige Steuerung?
Wirksamkeitsquote abgeschlossener MaßnahmenErreichen Maßnahmen die geplante Risikoreduktion?
Zeit bis zur RisikobehandlungWie schnell reagiert die Organisation auf wesentliche Risiken?
neue Risiken aus ÄnderungenWerden Veränderungen vorausschauend bewertet?
umgesetzte ChancenmaßnahmenWerden vorteilhafte Handlungsoptionen systematisch genutzt?

Die Anzahl erfasster Risiken ist allein kein Qualitätsmerkmal. Entscheidend ist, ob wesentliche Unsicherheiten erkannt, Entscheidungen getroffen und Maßnahmen wirksam gesteuert werden.

Dokumentation sinnvoll gestalten

Ein Risikoregister kann Transparenz schaffen, ist nach ISO 9001 jedoch nicht ausdrücklich vorgeschrieben. Risiken können auch in Prozessbeschreibungen, Projektplänen, FMEAs, Maßnahmenlisten, Managementbewertungen oder anderen geeigneten Systemen dokumentiert werden.

Ein einfaches Risikoregister kann folgende Felder enthalten:

FeldZweck
ID und Bereicheindeutige Zuordnung
ZielbezugVerbindung zur betroffenen Zielsetzung
RisikobeschreibungUrsache, Ereignis und Auswirkung
bestehende Steuerungenbereits umgesetzte Kontrollen
aktuelle BewertungWahrscheinlichkeit, Auswirkung und Risikoklasse
Entscheidungakzeptieren, behandeln, beobachten oder eskalieren
Maßnahmengeplante zusätzliche Behandlung
Verantwortlichkeit und TerminSteuerung der Umsetzung
RestrisikoBewertung nach erfolgreicher Umsetzung
WirksamkeitsnachweisErgebnis der späteren Prüfung
Überprüfungsdatumnächste planmäßige oder anlassbezogene Betrachtung

Die Dokumentation sollte Entscheidungen unterstützen. Eine umfangreiche Tabelle, die niemand für die Prozesssteuerung nutzt, erfüllt diesen Zweck nicht.

Risikoanalyse in Managementprozesse integrieren

Risikobasiertes Denken wirkt am besten, wenn es in vorhandene Abläufe eingebaut wird.

ManagementprozessMögliche Integration
Strategie und PlanungRisiken und Chancen bei Zielen und Investitionen bewerten
Angebots- und VertragsprüfungRisiken aus unklaren oder neuen Anforderungen vor Annahme klären
Entwicklungtechnische und anwendungsbezogene Risiken über den Entwicklungsverlauf prüfen
BeschaffungKritikalität von Lieferanten und beschafften Leistungen berücksichtigen
ProjektmanagementProjektrisiken in Meilensteinentscheidungen einbeziehen
ÄnderungsmanagementAuswirkungen vor Freigabe einer Änderung bewerten
KompetenzmanagementRisiken aus fehlendem Wissen und Schlüsselpersonenabhängigkeit behandeln
interne Auditsrisikokritische Prozesse und unwirksame Steuerungen priorisieren
ManagementbewertungTrends, Restrisiken und Ressourcenbedarf auf Leitungsebene entscheiden
Verbesserungeingetretene Risiken und unwirksame Maßnahmen als Lernquelle nutzen

Die ISO 9001 Auditing Practices Group betont, dass risikobasiertes Denken nicht als isolierte Aktivität auditiert werden sollte. Es soll im gesamten Qualitätsmanagementsystem und in den tatsächlichen Entscheidungen erkennbar sein. (ISO)

Typische Fehler bei Risikoanalyse und -behandlung

Typischer FehlerMögliche Folge
Risiken ohne Zielbezug erfassenBedeutung und Priorität bleiben unklar
nur allgemeine Schlagworte verwendenUrsachen und konkrete Auswirkungen sind nicht steuerbar
jedes Risiko gleich bewertenkritische Themen erhalten zu wenig Aufmerksamkeit
Skalen nachträglich verändernBewertung wird beliebig und nicht vergleichbar
nur negative Risiken betrachtenChancen und Verbesserungsmöglichkeiten bleiben ungenutzt
bestehende Steuerungen überschätzenRestrisiko wird zu niedrig angesetzt
Risikowert rein mathematisch behandelnkritische Einzelwirkungen werden verharmlost
Maßnahmen ohne Verantwortliche und TerminUmsetzung bleibt unverbindlich
Schulung als Standardlösung wählenstärkere technische oder organisatorische Maßnahmen werden übersehen
Umsetzung mit Wirksamkeit verwechselnMaßnahmen werden geschlossen, obwohl das Risiko fortbesteht
Restrisiko nicht freigebenAkzeptanzentscheidung und Verantwortung bleiben unklar
Register nur vor Audits aktualisierentatsächliche Entscheidungen erfolgen außerhalb des Systems
Veränderungen nicht berücksichtigenneue Risiken werden zu spät erkannt
zu komplexe Methode verwendenAufwand steigt, ohne die Entscheidungsqualität zu verbessern

Besonders problematisch ist eine Risikoliste, in der nahezu alle Einträge im grünen Bereich liegen. Das kann ein Zeichen für sehr stabile Prozesse sein. Häufiger deutet es jedoch auf zu großzügige Kriterien, optimistische Schätzungen oder fehlende kritische Perspektiven hin.

Praxisbeispiel: Lieferausfall eines kritischen Bauteils

Ein mittelständischer Hersteller bezieht ein kundenspezifisches Elektronikmodul ausschließlich von einem Lieferanten. Die Lieferzeiten haben sich verlängert; zugleich soll das Produktionsvolumen steigen.

Risikoidentifikation

ElementFestlegung
Zielbestätigte Kundentermine einhalten
RisikoquelleAbhängigkeit von einem einzigen Lieferanten
mögliches EreignisLieferstopp oder erhebliche Lieferverzögerung
AuswirkungProduktionsstillstand, Terminüberschreitung, Vertragsstrafen und Vertrauensverlust
bestehende SteuerungenBestellvorschau und Sicherheitsbestand für zwei Wochen
RisikoeigentümerLeitung Einkauf

Ausgangsbewertung

KriteriumBewertungBegründung
Wahrscheinlichkeit4drei deutliche Terminabweichungen innerhalb von sechs Monaten
Auswirkung5Produktion wäre ohne Ersatzmodul nach kurzer Zeit nicht fortführbar
Risikowert20sehr hohes Risiko

Die Organisation entscheidet, dass das Risiko nicht akzeptiert werden kann.

Behandlungsplan

MaßnahmeVerantwortlichTerminErfolgsindikator
zweiten Lieferanten technisch qualifizierenEinkauf und Entwicklung30.09.freigegebene Erstmuster und bestandene Belastungsprüfung
Sicherheitsbestand vorübergehend erhöhenDisposition15.08.Bestand deckt sechs Wochen durchschnittlichen Bedarf
monatliches Lieferanten-Risikogespräch einführenEinkaufsleitungsofortdokumentierter Status und Frühwarnindikatoren
technische Alternativlösung prüfenEntwicklungsleitung31.10.bewertete Machbarkeit und Freigabeentscheidung

Restrisiko und Wirksamkeitsprüfung

Nach Freigabe des zweiten Lieferanten wird erneut bewertet:

KriteriumVorherNachherBegründung
Wahrscheinlichkeit42zwei qualifizierte Bezugsquellen und monatliche Frühwarnung
Auswirkung53ein Ausfall verursacht Aufwand, führt aber nicht sofort zum Stillstand
Risikowert206mittleres Restrisiko

Die Geschäftsleitung akzeptiert das Restrisiko unter der Bedingung, dass Liefertermintreue und Bestandsreichweite monatlich überwacht werden. Nach sechs Monaten wird geprüft, ob beide Lieferanten die geforderte Qualität und Lieferfähigkeit tatsächlich erreicht haben.

Praktische Checkliste für Risikoanalyse und -behandlung

Vorbereitung und Kontext

PrüffrageErfüllt
Sind Ziel, Betrachtungsbereich und Entscheidung eindeutig festgelegt?
Wurden interne und externe Themen berücksichtigt?
Sind relevante interessierte Parteien und Anforderungen einbezogen?
Wurde die Relevanz klimabezogener Themen geprüft?
Sind Risikokriterien und Akzeptanzgrenzen vorab definiert?

Risikoidentifikation und -analyse

PrüffrageErfüllt
Beschreibt jedes Risiko Ursache, Ereignis und Auswirkung auf ein Ziel?
Wurden Chancen ebenso wie negative Auswirkungen betrachtet?
Sind bestehende Steuerungsmaßnahmen und ihre Wirksamkeit berücksichtigt?
Sind Wahrscheinlichkeit und Auswirkung nachvollziehbar begründet?
Wurden Datenunsicherheit, Wechselwirkungen und kritische Folgen betrachtet?

Bewertung und Behandlung

PrüffrageErfüllt
Wurde jedes Risiko mit den festgelegten Kriterien verglichen?
Sind Priorität und Behandlungsentscheidung nachvollziehbar?
Wurden unterschiedliche Behandlungsoptionen geprüft?
Sind Maßnahmen konkret, terminiert und einer verantwortlichen Person zugeordnet?
Sind Ressourcen und Erfolgsindikatoren festgelegt?
Wurden mögliche Nebenwirkungen oder neu entstehende Risiken betrachtet?

Umsetzung und Wirksamkeitsprüfung

PrüffrageErfüllt
Ist die Umsetzung der Maßnahmen nachgewiesen?
Wurde die tatsächliche Wirkung mit geeigneten Daten oder Stichproben geprüft?
Ist das Restrisiko erneut bewertet und nachvollziehbar akzeptiert?
Sind Frühwarnindikatoren und Überwachungsintervalle festgelegt?
Werden Veränderungen und eingetretene Ereignisse zeitnah berücksichtigt?
Fließen wesentliche Risiken in Audits und Managementbewertung ein?

Häufig gestellte Fragen

Verlangt ISO 9001 ein Risikoregister?

Nein. ISO 9001 fordert, relevante Risiken und Chancen zu bestimmen, Maßnahmen zu planen, diese in die Prozesse zu integrieren und ihre Wirksamkeit zu bewerten. Eine bestimmte Form der Dokumentation oder ein zentrales Risikoregister ist nicht vorgeschrieben. Die Organisation muss jedoch in angemessenem Umfang nachweisen können, dass risikobasiertes Denken wirksam angewendet wird. (ISO)

Muss eine Risikomatrix verwendet werden?

Nein. Eine Risikomatrix ist eine verbreitete, leicht verständliche Methode, aber keine Normforderung. Abhängig von Komplexität und Risikohöhe können qualitative Beschreibungen, FMEA, Szenarioanalysen, Bow-Tie-Analysen oder quantitative Verfahren besser geeignet sein.

Wie oft muss eine Risikoanalyse aktualisiert werden?

Es gibt kein allgemeines festes Intervall. Die Überprüfung sollte zur Dynamik und Bedeutung des betrachteten Bereichs passen. Zusätzlich sind anlassbezogene Bewertungen erforderlich, beispielsweise bei wesentlichen Änderungen, neuen Anforderungen, Störungen, Reklamationen oder auffälligen Kennzahlen.

Was ist der Unterschied zwischen Risikoanalyse und Risikobewertung?

Die Risikoanalyse untersucht Ursachen, Auswirkungen, Wahrscheinlichkeiten und bestehende Steuerungen. Die Risikobewertung vergleicht dieses Ergebnis mit Kriterien und entscheidet, ob das Risiko akzeptiert oder behandelt werden muss. Beide Schritte bilden gemeinsam mit der Risikoidentifikation die Risikobeurteilung.

Muss jedes Risiko behandelt werden?

Nein. Ein Risiko kann bewusst akzeptiert werden, wenn es innerhalb festgelegter Grenzen liegt und die Entscheidung durch eine befugte Person getroffen wird. Gesetzliche oder vertragliche Pflichten können jedoch unabhängig von der rechnerischen Einstufung eine Maßnahme verlangen.

Wer darf ein Restrisiko akzeptieren?

Die Organisation sollte Akzeptanzbefugnisse anhand der Risikohöhe festlegen. Geringe operative Risiken können häufig durch Prozesseigentümer akzeptiert werden. Hohe, strategische, rechtliche oder existenzielle Risiken gehören in der Regel auf die entsprechende Leitungsebene.

Was ist der Unterschied zwischen einer Korrekturmaßnahme und einer Risikobehandlung?

Eine Risikobehandlung ist vorausschauend und verändert ein erkanntes Risiko. Eine Korrekturmaßnahme reagiert auf eine bereits eingetretene Nichtkonformität und beseitigt deren Ursache, um ein erneutes Auftreten zu verhindern. Erkenntnisse aus Nichtkonformitäten sollten wiederum in die Risikobewertung einfließen.

Kann ISO 31000 zertifiziert werden?

Nein. ISO 31000 enthält Leitlinien und ist nicht als Zertifizierungsnorm vorgesehen. Sie kann jedoch genutzt werden, um einen strukturierten Risikomanagementrahmen aufzubauen und bestehende Managementsysteme zu unterstützen. (ISO)

Müssen auch Chancen bewertet werden?

ISO 9001 verlangt, Risiken und Chancen zu bestimmen, die für die beabsichtigten Ergebnisse und Verbesserungen relevant sind. Chancen müssen nicht zwingend mit derselben numerischen Skala wie negative Risiken bewertet werden. Entscheidend ist, dass relevante Chancen erkannt, priorisiert und angemessen behandelt werden.

Mini-Zusammenfassung

Risikoanalyse und -behandlung machen Unsicherheit für Entscheidungen handhabbar.

Ein wirksames Vorgehen:

  • beginnt mit klaren Zielen, Kontext und Bewertungskriterien,
  • beschreibt Risiken mit Ursache, Ereignis und Auswirkung,
  • berücksichtigt Risiken, Chancen und bestehende Steuerungen,
  • verwendet eine zur Fragestellung passende Methode,
  • verbindet Bewertung mit eindeutigen Akzeptanzentscheidungen,
  • plant konkrete Maßnahmen mit Verantwortung, Termin und Erfolgsindikator,
  • bewertet nach der Umsetzung das Restrisiko,
  • prüft die tatsächliche Wirksamkeit,
  • überwacht Veränderungen und neue Informationen,
  • integriert Risikomanagement in die vorhandenen Führungs- und Prozessabläufe.

Der eigentliche Wert einer Risikoanalyse liegt nicht in einer farbigen Matrix. Er entsteht, wenn die Organisation Unsicherheit früher erkennt, bessere Entscheidungen trifft und nachweisen kann, dass ihre Maßnahmen tatsächlich wirken.

Passender Onlinekurs

Unterstützung bei Risikoanalyse und -behandlung