Lesezeit: ca. 16 Minuten
Hinweis zum Normstand: Dieser Beitrag berücksichtigt die Anforderungen der ISO 9001:2015 einschließlich Amendment 1:2024. Der Final Draft ISO/FDIS 9001 befindet sich in der Schlussphase; die Veröffentlichung der überarbeiteten ISO 9001 wird für September 2026 erwartet. Methodisch orientiert sich der Beitrag an ISO 31000:2018 und IEC 31010:2019. Eine dritte Ausgabe der ISO 31000 befindet sich derzeit in Entwicklung. (ISO) (ISO)
Was sind Risikoanalyse und Risikobehandlung?
Risiko entsteht durch Unsicherheit in Bezug auf Ziele. Es beschreibt nicht nur einen möglichen Schaden, sondern die Auswirkung von Unsicherheit auf das, was eine Organisation erreichen will. Diese Auswirkung kann negativ, positiv oder beides sein.
Die Risikoanalyse untersucht ein identifiziertes Risiko genauer. Sie betrachtet insbesondere Ursachen, mögliche Ereignisse, Auswirkungen, bestehende Steuerungsmaßnahmen und die daraus resultierende Risikohöhe.
Die Risikobewertung geht einen Schritt weiter. Sie vergleicht die Ergebnisse der Analyse mit festgelegten Kriterien und entscheidet, ob ein Risiko akzeptiert werden kann oder behandelt werden muss.
Die Risikobehandlung umfasst die Auswahl und Umsetzung geeigneter Maßnahmen. Ziel ist nicht zwangsläufig, jedes Risiko vollständig zu beseitigen. Vielmehr soll das Risiko auf ein für die Organisation vertretbares Niveau gebracht oder eine damit verbundene Chance gezielt genutzt werden.
Kernaussage: Eine Risikoanalyse liefert erst dann einen Nutzen, wenn ihre Ergebnisse zu nachvollziehbaren Entscheidungen, wirksamen Maßnahmen und einer erneuten Bewertung führen.
Welche Ziele verfolgt das Risikomanagement?
Risikoanalyse und -behandlung unterstützen eine Organisation dabei, fundierte Entscheidungen zu treffen und ihre Ziele verlässlicher zu erreichen.
| Ziel | Leitfrage |
|---|---|
| Zielerreichung absichern | Was könnte verhindern, dass geplante Ergebnisse erreicht werden? |
| negative Auswirkungen begrenzen | Wie lassen sich Fehler, Ausfälle, Schäden oder Regelverstöße vermeiden? |
| Chancen erkennen | Welche Unsicherheiten können zu einem vorteilhaften Ergebnis führen? |
| Prioritäten setzen | Welche Risiken benötigen zuerst Aufmerksamkeit und Ressourcen? |
| Entscheidungen verbessern | Welche Handlungsoption bietet das günstigste Verhältnis von Nutzen und Risiko? |
| Prozesse robuster gestalten | Welche Steuerungen verhindern oder erkennen unerwünschte Ergebnisse? |
| Veränderungen beherrschen | Welche neuen Risiken entstehen durch Technik, Personal, Märkte oder Organisation? |
| Verantwortlichkeiten klären | Wer entscheidet, setzt Maßnahmen um und überwacht das verbleibende Risiko? |
| Nachvollziehbarkeit schaffen | Auf welcher Informationsgrundlage wurde eine Entscheidung getroffen? |
| kontinuierlich lernen | Welche Ereignisse, Kennzahlen und Erfahrungen verändern die Risikoeinschätzung? |
Risikomanagement ist damit kein isolierter Verwaltungsprozess. Es gehört in Strategie, Prozesssteuerung, Projektplanung, Beschaffung, Entwicklung, Veränderungsmanagement und tägliche Entscheidungen.
Normative Grundlagen
Risiken und Chancen nach ISO 9001
Die ISO 9001 verankert risikobasiertes Denken im gesamten Qualitätsmanagementsystem. Besonders relevant ist Abschnitt 6.1. Die Organisation muss Risiken und Chancen bestimmen, die behandelt werden müssen, damit das Qualitätsmanagementsystem seine beabsichtigten Ergebnisse erreicht, erwünschte Auswirkungen verstärkt, unerwünschte Auswirkungen verhindert oder verringert und Verbesserung erzielt.
Geeignete Maßnahmen sind zu planen, in die Prozesse des Qualitätsmanagementsystems zu integrieren, umzusetzen und hinsichtlich ihrer Wirksamkeit zu bewerten. Art und Umfang der Maßnahmen sollen zur möglichen Auswirkung auf die Konformität von Produkten und Dienstleistungen passen.
Weitere wichtige Verbindungen bestehen unter anderem zu:
Die ISO 9001 schreibt keine bestimmte Risikomanagementmethode, keine feste Bewertungsskala und kein formales Risikoregister vor. Die Organisation bestimmt selbst, welches Vorgehen für ihren Kontext und ihre Risiken angemessen ist. Auch der Umfang dokumentierter Informationen richtet sich danach, was für eine wirksame Umsetzung und belastbare Nachweise erforderlich ist. (ISO)
ISO 31000 als methodischer Rahmen
Die ISO 31000:2018 enthält Leitlinien für das Management von Risiken. Sie beschreibt Grundsätze, einen organisatorischen Rahmen und einen Prozess, der für unterschiedliche Branchen, Organisationsgrößen und Risikoarten angepasst werden kann.
Der Prozess umfasst insbesondere:
ISO 31000 ist eine Leitlinie und keine Zertifizierungsnorm. Eine Organisation kann sie jedoch als international anerkannten Orientierungsrahmen nutzen und mit den Anforderungen ihres Managementsystems verbinden.
IEC 31010 für Methoden der Risikobeurteilung
Die IEC 31010:2019 unterstützt bei der Auswahl und Anwendung von Techniken zur Risikobeurteilung. Sie beschreibt zahlreiche Methoden, mit denen Risiken identifiziert, Ursachen und Auswirkungen untersucht, Optionen verglichen und Entscheidungen unter Unsicherheit vorbereitet werden können. (ISO)
Zentrale Begriffe unterscheiden
In der Praxis werden Begriffe häufig vermischt. Eine klare Trennung erleichtert die Anwendung.
| Begriff | Bedeutung |
|---|---|
| Ziel | angestrebtes Ergebnis, auf das sich eine Unsicherheit auswirken kann |
| Risiko | Auswirkung von Unsicherheit auf Ziele |
| Risikoquelle | Element, das allein oder gemeinsam ein Risiko verursachen kann |
| Ereignis | Eintritt oder Veränderung bestimmter Umstände |
| Auswirkung | Folge eines Ereignisses für Ziele |
| Wahrscheinlichkeit | Möglichkeit oder Häufigkeit, mit der ein Ereignis eintreten kann |
| Steuerungsmaßnahme | bestehende Regelung oder Handlung, die ein Risiko verändert |
| inhärentes Risiko | Risikohöhe ohne Berücksichtigung von Steuerungsmaßnahmen |
| Restrisiko | verbleibendes Risiko nach Berücksichtigung bestehender oder geplanter Maßnahmen |
| Risikokriterium | Maßstab, mit dem die Bedeutung eines Risikos beurteilt wird |
| Risikoeigentümer | Person oder Funktion mit Verantwortung und Befugnis, ein Risiko zu steuern |
| Risikoakzeptanz | bewusste Entscheidung, ein bestimmtes Restrisiko zu tragen |
Die Begriffe sollten im Unternehmen einheitlich verwendet werden. Besonders wichtig ist die Unterscheidung zwischen der reinen Risikohöhe und der Entscheidung, ob diese Risikohöhe akzeptabel ist.
Den Risikoprozess systematisch aufbauen
Ein praxistauglicher Ablauf lässt sich in neun Schritte gliedern:
Der Ablauf ist nicht rein linear. Neue Informationen, Ereignisse oder Veränderungen können dazu führen, dass frühere Schritte erneut betrachtet werden müssen.
Kontext, Ziele und Risikokriterien festlegen
Eine belastbare Risikoanalyse beginnt nicht mit einer Tabelle, sondern mit der Frage, welches Ziel geschützt oder erreicht werden soll.
Betrachtungsbereich bestimmen
Der Betrachtungsbereich kann beispielsweise sein:
Je klarer die Abgrenzung, desto gezielter lassen sich Risiken bestimmen und Verantwortlichkeiten zuordnen.
Relevante Informationen einbeziehen
Typische Eingaben sind:
Das Amendment 1:2024 zur ISO 9001 ergänzt die Kontextbetrachtung ausdrücklich um die Frage, ob der Klimawandel ein relevantes Thema ist, und weist darauf hin, dass interessierte Parteien klimabezogene Anforderungen haben können. Daraus können je nach Organisation Risiken, Chancen oder verbindliche Anforderungen entstehen. (ISO)
Risikokriterien definieren
Risikokriterien legen fest, wie Risiken bewertet und welche Ergebnisse akzeptiert werden.
Mögliche Kriterien sind:
Die Kriterien sollten vor der Bewertung festgelegt werden. Andernfalls besteht die Gefahr, dass Bewertungsskalen nachträglich so ausgelegt werden, dass ein gewünschtes Ergebnis entsteht.
Risiken und Chancen identifizieren
Die Risikoidentifikation soll strukturiert erfassen, was passieren könnte, warum es passieren könnte und welche Ziele betroffen wären.
Eine hilfreiche Formulierung verbindet drei Elemente:
Aufgrund von [Ursache oder Risikoquelle] kann [Ereignis] eintreten, was zu [Auswirkung auf ein Ziel] führt.
Wenig geeignete Beschreibung
Lieferantenausfall
Diese Formulierung ist zu knapp. Ursache, konkrete Auswirkung und betroffenes Ziel bleiben offen.
Bessere Beschreibung
Aufgrund der Abhängigkeit von einem einzigen Lieferanten kann ein Lieferstopp für das Bauteil B-17 eintreten. Dadurch können bestätigte Liefertermine nicht eingehalten werden und Vertragsstrafen entstehen.
Leitfragen zur Identifikation
| Perspektive | Leitfrage |
|---|---|
| Ziele | Was kann die Zielerreichung verhindern, verzögern oder verbessern? |
| Anforderungen | Welche Kunden-, Rechts- oder Vertragsanforderungen könnten verletzt werden? |
| Prozesse | Wo können Eingaben, Tätigkeiten, Ergebnisse oder Schnittstellen versagen? |
| Ressourcen | Welche Personen, Anlagen, Systeme oder Informationen sind kritisch? |
| Lieferkette | Welche externen Abhängigkeiten können Leistung oder Konformität beeinflussen? |
| Veränderungen | Welche neuen Unsicherheiten entstehen durch die geplante Änderung? |
| Erfahrungen | Welche Fehler, Reklamationen oder Beinahe-Ereignisse sind bereits aufgetreten? |
| Zukunft | Welche Markt-, Technologie-, Klima- oder Regulierungsentwicklungen sind absehbar? |
| Chancen | Wo können Innovation, Standardisierung oder neue Partnerschaften Vorteile bringen? |
Risiken sollten nicht ausschließlich in einem jährlichen Workshop gesammelt werden. Prozessbesprechungen, Projektfreigaben, Audits, Reklamationsanalysen und Managementbewertungen liefern laufend neue Informationen.
Risiken analysieren
Die Risikoanalyse untersucht, wie bedeutend ein Risiko ist. Dabei werden nicht nur Wahrscheinlichkeit und Auswirkung betrachtet, sondern auch die Wirksamkeit bereits vorhandener Steuerungen und die Qualität der verfügbaren Informationen.
Beispiel einer einfachen Bewertungsskala
| Wert | Wahrscheinlichkeit | Orientierung |
|---|---|---|
| 1 | sehr gering | nur unter außergewöhnlichen Umständen zu erwarten |
| 2 | gering | selten möglich |
| 3 | mittel | gelegentlich möglich |
| 4 | hoch | wiederholt zu erwarten |
| 5 | sehr hoch | häufig oder nahezu sicher |
| Wert | Auswirkung | Orientierung |
|---|---|---|
| 1 | unbedeutend | kaum messbare Auswirkung, leicht intern korrigierbar |
| 2 | gering | begrenzte Störung ohne wesentliche Kundenwirkung |
| 3 | erheblich | Zielabweichung, Reklamation oder nennenswerter Zusatzaufwand |
| 4 | schwerwiegend | größere Kundenwirkung, längerer Ausfall oder deutlicher finanzieller Schaden |
| 5 | kritisch | existenzielle, sicherheitskritische oder erhebliche rechtliche Auswirkung |
Bei einer einfachen Risikomatrix wird häufig gerechnet:
Risikowert = Wahrscheinlichkeit × Auswirkung
| Risikowert | Einstufung | Typische Entscheidung |
|---|---|---|
| 1 bis 4 | gering | akzeptieren und im normalen Prozess überwachen |
| 5 bis 9 | mittel | Behandlung prüfen und Verantwortung festlegen |
| 10 bis 15 | hoch | konkrete Behandlung planen und zeitnah umsetzen |
| 16 bis 25 | sehr hoch | unverzüglich entscheiden; Tätigkeit gegebenenfalls nicht beginnen |
Die Grenzen sind ein Beispiel und keine Normvorgabe. Sie müssen zum Risikoprofil der Organisation passen.
Grenzen einer Risikomatrix
Eine Risikomatrix erzeugt eine scheinbar genaue Zahl, obwohl die Eingangswerte häufig auf Schätzungen beruhen. Unterschiedliche Kombinationen können außerdem zum gleichen Produkt führen, obwohl sie andere Entscheidungen verlangen.
Ein seltenes Ereignis mit katastrophaler Auswirkung darf deshalb nicht automatisch genauso behandelt werden wie ein häufiges Ereignis mit geringer Auswirkung. Gesetzliche, sicherheitskritische oder existenzielle Konsequenzen können unabhängig vom errechneten Wert eine Behandlung erfordern.
Die Bewertung sollte daher durch eine nachvollziehbare Begründung ergänzt werden.
Risiken bewerten und priorisieren
Bei der Risikobewertung wird entschieden, ob die analysierte Risikohöhe akzeptabel ist und welche Priorität eine Behandlung erhält.
Sinnvolle Entscheidungsfragen sind:
Die Priorisierung sollte nicht allein von einer farbigen Ampel abhängen. Sie muss die Ziele, den Kontext und die Risikotragfähigkeit der Organisation berücksichtigen.
Optionen der Risikobehandlung auswählen
Für ein Risiko kommen unterschiedliche Behandlungsoptionen infrage.
| Option | Beispiel |
|---|---|
| Risiko vermeiden | auf ein Produkt oder Verfahren mit nicht beherrschbarer Gefahr verzichten |
| Risikoquelle beseitigen | fehleranfällige manuelle Datenübertragung durch Systemschnittstelle ersetzen |
| Wahrscheinlichkeit verändern | vorbeugende Wartung oder Lieferantenqualifizierung einführen |
| Auswirkung verändern | Notfallbestand, Datensicherung oder Wiederanlaufplan bereitstellen |
| Risiko teilen | Versicherung, vertragliche Aufteilung oder Kooperation nutzen |
| Risiko bewusst übernehmen | geringes Restrisiko mit begründeter Entscheidung akzeptieren |
| Chance nutzen oder verstärken | Pilotprojekt starten oder zusätzliche Ressourcen für Innovation bereitstellen |
Mehrere Optionen können kombiniert werden. Bei einem kritischen Lieferantenrisiko kann die Organisation beispielsweise einen zweiten Lieferanten qualifizieren, einen Sicherheitsbestand aufbauen und vertragliche Informationspflichten vereinbaren.
Maßnahmen nach dem STOP-Prinzip
Wo Gefährdungen von Personen oder vergleichbare operative Risiken betrachtet werden, kann das STOP-Prinzip bei der Auswahl helfen:
- Substitution: Risikoquelle ersetzen oder vermeiden.
- Technische Maßnahmen: Risiko durch technische Einrichtungen reduzieren.
- Organisatorische Maßnahmen: Abläufe, Verantwortlichkeiten oder Kontrollen anpassen.
- Personenbezogene Maßnahmen: Kompetenz, Unterweisung oder persönliche Schutzausrüstung sicherstellen.
Die Übertragbarkeit hängt von der Risikoart ab. Eine Schulung allein ist selten die stärkste Maßnahme, wenn das Risiko bereits durch Prozessgestaltung oder technische Lösungen wirksamer reduziert werden kann.
Einen Risikobehandlungsplan erstellen
Eine Maßnahme wie „Mitarbeitende sensibilisieren“ ist für sich genommen meist nicht ausreichend steuerbar. Ein belastbarer Risikobehandlungsplan beschreibt mindestens:
| Element | Inhalt |
|---|---|
| Risiko | eindeutige Beschreibung mit Ursache, Ereignis und Auswirkung |
| Ausgangsbewertung | Risikohöhe vor der zusätzlichen Behandlung |
| Behandlungsziel | angestrebte Veränderung von Wahrscheinlichkeit, Auswirkung oder Steuerungsqualität |
| Maßnahme | konkrete Handlung |
| Verantwortlichkeit | zuständige Person mit ausreichender Befugnis |
| Ressourcen | Budget, Personal, Technik oder externe Unterstützung |
| Termin | verbindlicher Umsetzungszeitpunkt |
| Erfolgsindikator | messbares Kriterium für Umsetzung und Wirkung |
| erwartetes Restrisiko | prognostizierte Bewertung nach Umsetzung |
| Wirksamkeitsprüfung | Methode, Zeitpunkt und verantwortliche Person |
| Akzeptanzentscheidung | Freigabe des verbleibenden Risikos durch eine befugte Funktion |
Die Maßnahme sollte verhältnismäßig sein. Aufwand, Nebenwirkungen und neu entstehende Risiken sind ebenfalls zu betrachten.
Restrisiko und Wirksamkeit bewerten
Mit der Umsetzung einer Maßnahme ist die Risikobehandlung noch nicht abgeschlossen.
Es sind drei Fragen zu unterscheiden:
- Wurde die Maßnahme umgesetzt?
Beispiel: Ein zweiter Lieferant wurde freigegeben. - Funktioniert die neue Steuerung wie vorgesehen?
Beispiel: Der zweite Lieferant kann das benötigte Bauteil in der geforderten Qualität und Menge liefern. - Wurde das Risiko tatsächlich ausreichend reduziert?
Beispiel: Die Wahrscheinlichkeit eines Produktionsstillstands ist gesunken und das Restrisiko liegt innerhalb der Akzeptanzgrenze.
Geeignete Nachweise für die Wirksamkeit können sein:
Eine Maßnahme darf nicht allein deshalb als wirksam gelten, weil sie fristgerecht erledigt wurde.
Geeignete Methoden auswählen
Die Methode sollte zur Fragestellung, Komplexität, Datenlage und möglichen Auswirkung passen.
| Methode | Geeignet für |
|---|---|
| Brainstorming oder moderierter Workshop | erste Sammlung unterschiedlicher Perspektiven |
| Checkliste | bekannte und wiederkehrende Risikofelder |
| SWOT-Analyse | strategische Stärken, Schwächen, Chancen und Bedrohungen |
| Prozessanalyse | Risiken an Eingaben, Tätigkeiten, Schnittstellen und Ergebnissen |
| FMEA | systematische Analyse möglicher Fehlerarten, Folgen und Ursachen |
| Ursache-Wirkungs-Diagramm | strukturierte Untersuchung möglicher Ursachen |
| Bow-Tie-Analyse | Verbindung von Ursachen, kritischem Ereignis, Folgen und Barrieren |
| Szenarioanalyse | plausible zukünftige Entwicklungen und ihre Konsequenzen |
| Fehlerbaumanalyse | logische Kombination von Ursachen eines unerwünschten Ereignisses |
| Ereignisbaumanalyse | mögliche Folgen nach einem auslösenden Ereignis |
| Business-Impact-Analyse | Auswirkungen von Unterbrechungen und notwendige Wiederanlaufzeiten |
| Entscheidungsbaum | Vergleich von Handlungsoptionen unter Unsicherheit |
| Monte-Carlo-Simulation | quantitative Bandbreiten bei ausreichend belastbaren Daten |
IEC 31010 enthält eine umfangreiche Übersicht solcher Techniken und unterstützt bei ihrer Auswahl. Nicht jede Organisation benötigt komplexe quantitative Verfahren. Bei hohen oder schwer abschätzbaren Auswirkungen kann eine vertiefte Methode jedoch angemessen sein. (ISO)
Risiken und Chancen gemeinsam betrachten
Eine Chance ist nicht einfach das Gegenteil eines Risikos. Sie kann eine Handlungsoption sein, durch die ein vorteilhaftes Ergebnis wahrscheinlicher wird. Gleichzeitig kann die Nutzung einer Chance neue Risiken erzeugen.
Beispiel
Ein Unternehmen erwägt die Automatisierung der Auftragsprüfung.
Mögliche Chancen:
Mögliche Risiken:
Eine fundierte Entscheidung bewertet daher sowohl das Potenzial als auch die Voraussetzungen und Nebenwirkungen der Umsetzung.
Verantwortlichkeiten festlegen
Risikomanagement funktioniert nur, wenn Zuständigkeiten und Entscheidungsbefugnisse eindeutig sind.
| Rolle | Typische Verantwortung |
|---|---|
| oberste Leitung | Rahmen, Risikokriterien, Ressourcen und wesentliche Akzeptanzentscheidungen |
| Prozesseigentümer | Risiken im Prozess bestimmen, Maßnahmen steuern und Wirksamkeit überwachen |
| Risikoeigentümer | konkretes Risiko beobachten und Entscheidungen veranlassen |
| Maßnahmenverantwortliche | vereinbarte Behandlung fristgerecht umsetzen |
| Fachfunktionen | methodische oder rechtliche Expertise bereitstellen |
| Beschäftigte | Risiken, Veränderungen und Schwachstellen melden |
| interne Auditoren | risikobasiertes Denken und Wirksamkeit der Steuerungen unabhängig bewerten |
Das Qualitätsmanagement kann den Prozess moderieren und Transparenz schaffen. Die Verantwortung für operative Risiken sollte jedoch dort liegen, wo Prozesse gesteuert und Entscheidungen getroffen werden.
Risiken überwachen und regelmäßig überprüfen
Risiken verändern sich. Eine einmal jährlich aktualisierte Liste reicht nicht aus, wenn sich Prozesse, Technologien oder Rahmenbedingungen schneller entwickeln.
Anlässe für eine Überprüfung sind beispielsweise:
Geeignete Risikokennzahlen
| KPI | Aussage |
|---|---|
| Anteil überfälliger Maßnahmen | Werden Behandlungspläne konsequent umgesetzt? |
| Risiken oberhalb der Akzeptanzgrenze | Wo besteht unmittelbarer Entscheidungsbedarf? |
| Entwicklung kritischer Restrisiken | Werden wesentliche Risiken tatsächlich reduziert? |
| eingetretene Risiken | Wie zutreffend und wirksam war die bisherige Steuerung? |
| Wirksamkeitsquote abgeschlossener Maßnahmen | Erreichen Maßnahmen die geplante Risikoreduktion? |
| Zeit bis zur Risikobehandlung | Wie schnell reagiert die Organisation auf wesentliche Risiken? |
| neue Risiken aus Änderungen | Werden Veränderungen vorausschauend bewertet? |
| umgesetzte Chancenmaßnahmen | Werden vorteilhafte Handlungsoptionen systematisch genutzt? |
Die Anzahl erfasster Risiken ist allein kein Qualitätsmerkmal. Entscheidend ist, ob wesentliche Unsicherheiten erkannt, Entscheidungen getroffen und Maßnahmen wirksam gesteuert werden.
Dokumentation sinnvoll gestalten
Ein Risikoregister kann Transparenz schaffen, ist nach ISO 9001 jedoch nicht ausdrücklich vorgeschrieben. Risiken können auch in Prozessbeschreibungen, Projektplänen, FMEAs, Maßnahmenlisten, Managementbewertungen oder anderen geeigneten Systemen dokumentiert werden.
Ein einfaches Risikoregister kann folgende Felder enthalten:
| Feld | Zweck |
|---|---|
| ID und Bereich | eindeutige Zuordnung |
| Zielbezug | Verbindung zur betroffenen Zielsetzung |
| Risikobeschreibung | Ursache, Ereignis und Auswirkung |
| bestehende Steuerungen | bereits umgesetzte Kontrollen |
| aktuelle Bewertung | Wahrscheinlichkeit, Auswirkung und Risikoklasse |
| Entscheidung | akzeptieren, behandeln, beobachten oder eskalieren |
| Maßnahmen | geplante zusätzliche Behandlung |
| Verantwortlichkeit und Termin | Steuerung der Umsetzung |
| Restrisiko | Bewertung nach erfolgreicher Umsetzung |
| Wirksamkeitsnachweis | Ergebnis der späteren Prüfung |
| Überprüfungsdatum | nächste planmäßige oder anlassbezogene Betrachtung |
Die Dokumentation sollte Entscheidungen unterstützen. Eine umfangreiche Tabelle, die niemand für die Prozesssteuerung nutzt, erfüllt diesen Zweck nicht.
Risikoanalyse in Managementprozesse integrieren
Risikobasiertes Denken wirkt am besten, wenn es in vorhandene Abläufe eingebaut wird.
| Managementprozess | Mögliche Integration |
|---|---|
| Strategie und Planung | Risiken und Chancen bei Zielen und Investitionen bewerten |
| Angebots- und Vertragsprüfung | Risiken aus unklaren oder neuen Anforderungen vor Annahme klären |
| Entwicklung | technische und anwendungsbezogene Risiken über den Entwicklungsverlauf prüfen |
| Beschaffung | Kritikalität von Lieferanten und beschafften Leistungen berücksichtigen |
| Projektmanagement | Projektrisiken in Meilensteinentscheidungen einbeziehen |
| Änderungsmanagement | Auswirkungen vor Freigabe einer Änderung bewerten |
| Kompetenzmanagement | Risiken aus fehlendem Wissen und Schlüsselpersonenabhängigkeit behandeln |
| interne Audits | risikokritische Prozesse und unwirksame Steuerungen priorisieren |
| Managementbewertung | Trends, Restrisiken und Ressourcenbedarf auf Leitungsebene entscheiden |
| Verbesserung | eingetretene Risiken und unwirksame Maßnahmen als Lernquelle nutzen |
Die ISO 9001 Auditing Practices Group betont, dass risikobasiertes Denken nicht als isolierte Aktivität auditiert werden sollte. Es soll im gesamten Qualitätsmanagementsystem und in den tatsächlichen Entscheidungen erkennbar sein. (ISO)
Typische Fehler bei Risikoanalyse und -behandlung
| Typischer Fehler | Mögliche Folge |
|---|---|
| Risiken ohne Zielbezug erfassen | Bedeutung und Priorität bleiben unklar |
| nur allgemeine Schlagworte verwenden | Ursachen und konkrete Auswirkungen sind nicht steuerbar |
| jedes Risiko gleich bewerten | kritische Themen erhalten zu wenig Aufmerksamkeit |
| Skalen nachträglich verändern | Bewertung wird beliebig und nicht vergleichbar |
| nur negative Risiken betrachten | Chancen und Verbesserungsmöglichkeiten bleiben ungenutzt |
| bestehende Steuerungen überschätzen | Restrisiko wird zu niedrig angesetzt |
| Risikowert rein mathematisch behandeln | kritische Einzelwirkungen werden verharmlost |
| Maßnahmen ohne Verantwortliche und Termin | Umsetzung bleibt unverbindlich |
| Schulung als Standardlösung wählen | stärkere technische oder organisatorische Maßnahmen werden übersehen |
| Umsetzung mit Wirksamkeit verwechseln | Maßnahmen werden geschlossen, obwohl das Risiko fortbesteht |
| Restrisiko nicht freigeben | Akzeptanzentscheidung und Verantwortung bleiben unklar |
| Register nur vor Audits aktualisieren | tatsächliche Entscheidungen erfolgen außerhalb des Systems |
| Veränderungen nicht berücksichtigen | neue Risiken werden zu spät erkannt |
| zu komplexe Methode verwenden | Aufwand steigt, ohne die Entscheidungsqualität zu verbessern |
Besonders problematisch ist eine Risikoliste, in der nahezu alle Einträge im grünen Bereich liegen. Das kann ein Zeichen für sehr stabile Prozesse sein. Häufiger deutet es jedoch auf zu großzügige Kriterien, optimistische Schätzungen oder fehlende kritische Perspektiven hin.
Praxisbeispiel: Lieferausfall eines kritischen Bauteils
Ein mittelständischer Hersteller bezieht ein kundenspezifisches Elektronikmodul ausschließlich von einem Lieferanten. Die Lieferzeiten haben sich verlängert; zugleich soll das Produktionsvolumen steigen.
Risikoidentifikation
| Element | Festlegung |
|---|---|
| Ziel | bestätigte Kundentermine einhalten |
| Risikoquelle | Abhängigkeit von einem einzigen Lieferanten |
| mögliches Ereignis | Lieferstopp oder erhebliche Lieferverzögerung |
| Auswirkung | Produktionsstillstand, Terminüberschreitung, Vertragsstrafen und Vertrauensverlust |
| bestehende Steuerungen | Bestellvorschau und Sicherheitsbestand für zwei Wochen |
| Risikoeigentümer | Leitung Einkauf |
Ausgangsbewertung
| Kriterium | Bewertung | Begründung |
|---|---|---|
| Wahrscheinlichkeit | 4 | drei deutliche Terminabweichungen innerhalb von sechs Monaten |
| Auswirkung | 5 | Produktion wäre ohne Ersatzmodul nach kurzer Zeit nicht fortführbar |
| Risikowert | 20 | sehr hohes Risiko |
Die Organisation entscheidet, dass das Risiko nicht akzeptiert werden kann.
Behandlungsplan
| Maßnahme | Verantwortlich | Termin | Erfolgsindikator |
|---|---|---|---|
| zweiten Lieferanten technisch qualifizieren | Einkauf und Entwicklung | 30.09. | freigegebene Erstmuster und bestandene Belastungsprüfung |
| Sicherheitsbestand vorübergehend erhöhen | Disposition | 15.08. | Bestand deckt sechs Wochen durchschnittlichen Bedarf |
| monatliches Lieferanten-Risikogespräch einführen | Einkaufsleitung | sofort | dokumentierter Status und Frühwarnindikatoren |
| technische Alternativlösung prüfen | Entwicklungsleitung | 31.10. | bewertete Machbarkeit und Freigabeentscheidung |
Restrisiko und Wirksamkeitsprüfung
Nach Freigabe des zweiten Lieferanten wird erneut bewertet:
| Kriterium | Vorher | Nachher | Begründung |
|---|---|---|---|
| Wahrscheinlichkeit | 4 | 2 | zwei qualifizierte Bezugsquellen und monatliche Frühwarnung |
| Auswirkung | 5 | 3 | ein Ausfall verursacht Aufwand, führt aber nicht sofort zum Stillstand |
| Risikowert | 20 | 6 | mittleres Restrisiko |
Die Geschäftsleitung akzeptiert das Restrisiko unter der Bedingung, dass Liefertermintreue und Bestandsreichweite monatlich überwacht werden. Nach sechs Monaten wird geprüft, ob beide Lieferanten die geforderte Qualität und Lieferfähigkeit tatsächlich erreicht haben.
Praktische Checkliste für Risikoanalyse und -behandlung
Vorbereitung und Kontext
| Prüffrage | Erfüllt |
|---|---|
| Sind Ziel, Betrachtungsbereich und Entscheidung eindeutig festgelegt? | ☐ |
| Wurden interne und externe Themen berücksichtigt? | ☐ |
| Sind relevante interessierte Parteien und Anforderungen einbezogen? | ☐ |
| Wurde die Relevanz klimabezogener Themen geprüft? | ☐ |
| Sind Risikokriterien und Akzeptanzgrenzen vorab definiert? | ☐ |
Risikoidentifikation und -analyse
| Prüffrage | Erfüllt |
|---|---|
| Beschreibt jedes Risiko Ursache, Ereignis und Auswirkung auf ein Ziel? | ☐ |
| Wurden Chancen ebenso wie negative Auswirkungen betrachtet? | ☐ |
| Sind bestehende Steuerungsmaßnahmen und ihre Wirksamkeit berücksichtigt? | ☐ |
| Sind Wahrscheinlichkeit und Auswirkung nachvollziehbar begründet? | ☐ |
| Wurden Datenunsicherheit, Wechselwirkungen und kritische Folgen betrachtet? | ☐ |
Bewertung und Behandlung
| Prüffrage | Erfüllt |
|---|---|
| Wurde jedes Risiko mit den festgelegten Kriterien verglichen? | ☐ |
| Sind Priorität und Behandlungsentscheidung nachvollziehbar? | ☐ |
| Wurden unterschiedliche Behandlungsoptionen geprüft? | ☐ |
| Sind Maßnahmen konkret, terminiert und einer verantwortlichen Person zugeordnet? | ☐ |
| Sind Ressourcen und Erfolgsindikatoren festgelegt? | ☐ |
| Wurden mögliche Nebenwirkungen oder neu entstehende Risiken betrachtet? | ☐ |
Umsetzung und Wirksamkeitsprüfung
| Prüffrage | Erfüllt |
|---|---|
| Ist die Umsetzung der Maßnahmen nachgewiesen? | ☐ |
| Wurde die tatsächliche Wirkung mit geeigneten Daten oder Stichproben geprüft? | ☐ |
| Ist das Restrisiko erneut bewertet und nachvollziehbar akzeptiert? | ☐ |
| Sind Frühwarnindikatoren und Überwachungsintervalle festgelegt? | ☐ |
| Werden Veränderungen und eingetretene Ereignisse zeitnah berücksichtigt? | ☐ |
| Fließen wesentliche Risiken in Audits und Managementbewertung ein? | ☐ |
Häufig gestellte Fragen
Verlangt ISO 9001 ein Risikoregister?
Nein. ISO 9001 fordert, relevante Risiken und Chancen zu bestimmen, Maßnahmen zu planen, diese in die Prozesse zu integrieren und ihre Wirksamkeit zu bewerten. Eine bestimmte Form der Dokumentation oder ein zentrales Risikoregister ist nicht vorgeschrieben. Die Organisation muss jedoch in angemessenem Umfang nachweisen können, dass risikobasiertes Denken wirksam angewendet wird. (ISO)
Muss eine Risikomatrix verwendet werden?
Nein. Eine Risikomatrix ist eine verbreitete, leicht verständliche Methode, aber keine Normforderung. Abhängig von Komplexität und Risikohöhe können qualitative Beschreibungen, FMEA, Szenarioanalysen, Bow-Tie-Analysen oder quantitative Verfahren besser geeignet sein.
Wie oft muss eine Risikoanalyse aktualisiert werden?
Es gibt kein allgemeines festes Intervall. Die Überprüfung sollte zur Dynamik und Bedeutung des betrachteten Bereichs passen. Zusätzlich sind anlassbezogene Bewertungen erforderlich, beispielsweise bei wesentlichen Änderungen, neuen Anforderungen, Störungen, Reklamationen oder auffälligen Kennzahlen.
Was ist der Unterschied zwischen Risikoanalyse und Risikobewertung?
Die Risikoanalyse untersucht Ursachen, Auswirkungen, Wahrscheinlichkeiten und bestehende Steuerungen. Die Risikobewertung vergleicht dieses Ergebnis mit Kriterien und entscheidet, ob das Risiko akzeptiert oder behandelt werden muss. Beide Schritte bilden gemeinsam mit der Risikoidentifikation die Risikobeurteilung.
Muss jedes Risiko behandelt werden?
Nein. Ein Risiko kann bewusst akzeptiert werden, wenn es innerhalb festgelegter Grenzen liegt und die Entscheidung durch eine befugte Person getroffen wird. Gesetzliche oder vertragliche Pflichten können jedoch unabhängig von der rechnerischen Einstufung eine Maßnahme verlangen.
Wer darf ein Restrisiko akzeptieren?
Die Organisation sollte Akzeptanzbefugnisse anhand der Risikohöhe festlegen. Geringe operative Risiken können häufig durch Prozesseigentümer akzeptiert werden. Hohe, strategische, rechtliche oder existenzielle Risiken gehören in der Regel auf die entsprechende Leitungsebene.
Was ist der Unterschied zwischen einer Korrekturmaßnahme und einer Risikobehandlung?
Eine Risikobehandlung ist vorausschauend und verändert ein erkanntes Risiko. Eine Korrekturmaßnahme reagiert auf eine bereits eingetretene Nichtkonformität und beseitigt deren Ursache, um ein erneutes Auftreten zu verhindern. Erkenntnisse aus Nichtkonformitäten sollten wiederum in die Risikobewertung einfließen.
Kann ISO 31000 zertifiziert werden?
Nein. ISO 31000 enthält Leitlinien und ist nicht als Zertifizierungsnorm vorgesehen. Sie kann jedoch genutzt werden, um einen strukturierten Risikomanagementrahmen aufzubauen und bestehende Managementsysteme zu unterstützen. (ISO)
Müssen auch Chancen bewertet werden?
ISO 9001 verlangt, Risiken und Chancen zu bestimmen, die für die beabsichtigten Ergebnisse und Verbesserungen relevant sind. Chancen müssen nicht zwingend mit derselben numerischen Skala wie negative Risiken bewertet werden. Entscheidend ist, dass relevante Chancen erkannt, priorisiert und angemessen behandelt werden.
Mini-Zusammenfassung
Risikoanalyse und -behandlung machen Unsicherheit für Entscheidungen handhabbar.
Ein wirksames Vorgehen:
Der eigentliche Wert einer Risikoanalyse liegt nicht in einer farbigen Matrix. Er entsteht, wenn die Organisation Unsicherheit früher erkennt, bessere Entscheidungen trifft und nachweisen kann, dass ihre Maßnahmen tatsächlich wirken.

