Methoden der Risikoanalyse
Jede Organisation agiert in einem Umfeld unterschiedlicher Abhängigkeiten, die ihre ganz speziellen Risiken bergen. Diese äußeren Risikofelder sollte man immer genau im Blick haben, die möglichen äußeren Risikofaktoren kennen und sie entsprechend der Eintrittswahrscheinlichkeit, der Beeinflussbarkeit und des möglichen Schadensumfangs bewerten.
Neben den äußeren Risikofeldern beeinflussen auch innere, also hauseigene Risikobereiche die Unternehmensgeschicke. Krisen sind hausgemacht, wenn den inneren Risikofeldern nicht die notwendige Aufmerksamkeit geschenkt wurde und die inneren Risikofaktoren unbeachtet blieben.
Aus diesem Grund ist eine Analyse der inneren und äußeren Risiken, denen die Organisation ausgesetzt ist, der erste Schritt in Richtung Risiko- und Krisenprävention. Sinnvoll stellt man systematisch zusammen, welchen Risiken das Unternehmen ausgesetzt ist. Es sollten hierzu alle denkbaren und undenkbaren Szenarien ohne Tabus geprüft werden.
Folgende Methoden können hierzu eingesetzt werden:
- Eigene Erfahrung
- Interviews mit Mitarbeitern der Organisation
- Besichtigung von z. B. als kritisch empfundener Infrastruktur
- Workshops mit leitenden Mitarbeitern aus den verschiedenen Bereichen der Organisation
Die Risikoanalyse lässt sich in drei Teilschritte untergliedern:
- Risikoidentifizierung
- Feststellung der inneren und äußeren Risiken
- Risikobewertung
- Klassifizierung nach Risikogruppen und Wahrscheinlichkeiten des Auftretens sowie der Auswirkung für die Organisation
- Risikostrategien
- Maßnahmenplanung zur Eindämmung der Risiken
Vorgehensweise
Zunächst bietet es sich an, ein Risikoinventar zu erstellen. Anschließend werden die ermittelten Risiken des Unternehmens katalogisiert. Diese so systematisch erfassten Gefahrenpotenziale münden dann in eine Planung zur Eindämmung der Risiken.
Identifizierung der Risiken
Ursachen von innen und außen
- z. B. Marktschwankungen, Einflüsse aus den Finanzmärkten, Unfallpotenzial für technische Einrichtungen
Eintrittswahrscheinlichkeit
- von häufig bis unvorstellbar
Bedeutung für das Unternehmen
- geringe Bedeutung,
- noch keine nachhaltigen negativen Auswirkungen
(Maßnahmen müssen eingeleitet werden)
- Bestandgefährdung (hohes Risiko!)
Auswirkungen für das Unternehmen
- z. B. Verringerung des Umsatzes, Erhöhung der Kosten,
nachhaltiger Imageschaden, Vertrauensverlust
Bewertung der Risiken und Einteilung nach Risikoklassen
- Risikoklasse I, niedriges Risiko
- Risikoklasse II, mittleres Risiko
- Risikoklasse III, größeres Risiko
- Risikoklasse IV, existenzgefährdende Risiken
Eine Kumulation vieler Einzelrisiken der Risikoklasse II kann durchaus zu einem kumulierten Risiko für das gesamte Unternehmen oder die gesamte Organisation der Risikoklasse III oder IV führen, da Einzelrisiken mit ihren kumulierten Auswirkungen weitere Risiken nach sich ziehen können. Bei materiellen und kaufmännischen Schäden können die Risikoklassen auch qualifiziert werden. Ihnen kann ein messbarer Schadensbetrag zugeordnet werden.
Aufbau einer Risikoanalyse
Die Anwendung des Verfahrens zur Risikoanalyse soll nachfolgendes Beispiel erläutern. Es gibt viele Risikoarten, denen eine Organisation ausgesetzt sein kann. Beispielhaft wird das Risiko des Versagens einer technischen Einrichtung erläutert.
Man definiere zunächst den Risikobegriff als
Risiko = Eintrittswahrscheinlichkeit x Folgen (Höhe/Schwere des Schadens)
Mit Hilfe der Risikoanalyse wird die Abgrenzung zwischen dem subjektiven Gefühl von Sicherheit einerseits und dem Gefühl für die Gefahr andererseits qualifiziert. In einer Risikomatrix stehen nach der Analyse Zahlenwerte zur Verfügung, die das Grenzrisiko deutlich machen.
Das Grenzrisiko auf dem Risikostrahl
Akzeptanz von Risiken
Ein wichtiges Kriterium für die Akzeptanz von Risiken ist die Gefährdungswahrscheinlichkeit von Menschenleben durch eine technische Einrichtung.[1]
Die minimale endogene Mortalität (MEM) ist ein Begriff aus der Risikoeinschätzung für technische, sicherheitsrelevante Systeme, wie etwa Kraftwerke oder Bahnanlagen. MEM ist ein Maß für das akzeptierte (unvermeidliche) Risiko, durch die betreffende Technologie zu Tode zu kommen. Sie wird in der europäischen CENELEC-Norm EN 50126 beschrieben und konkretisiert als 0,0002 Todesfälle pro Person und Jahr. Dies ist statistisch die Mortalität (Sterberisiko) eines europäischen Jugendlichen.[1]
Gefahrenstufen und deren Konsequenzen
Eine Einteilung der Gefahrenstufen nach Konsequenzen für Personen und Umwelt einerseits und Konsequenzen für die Betriebs- oder Dienstleistung andererseits ordnet identifizierte Gefahren nach inneren und äußeren Auswirkungen. Den Gefahrenstufen kann für materielle oder betriebswirtschaftliche Schäden eine Schadenshöhe zugeordnet werden.
Selbstverständlich gilt dies nicht für Umstände, bei denen Menschen zu Schaden kommen. In diesen Fällen finden die Auswirkungen auf anderen weniger oder nicht messbaren Feldern statt.
Festlegung der Eintrittswahrscheinlichkeit
Die Eintrittswahrscheinlichkeit für ein Ereignis kann beispielsweise in sechs Stufen von unvorstellbar bis häufig vorgenommen werden. Die Definition der Begriffe hilft bei der späteren Zuordnung der Kategorien zu den erwarteten oder möglichen Vorkommnissen innerhalb eines Zeitraumes.
Den Eintrittswahrscheinlichkeiten sollte sinnvollerweise ein Zeitraum zugeordnet werden. Dies hilft in einem späteren Schritt der Risikoanalyse das identifizierte Risiko in einem Zahlenwert mit anderen Risiken zu vergleichen.
Schutzziel festlegen
Die Schutzziele werden in Abhängigkeit zwischen Häufigkeit eines Gefahrenfalls und den festgelegten Gefahrenstufen festgelegt. Sie zeigen auf, ob ein Risiko für die Organisation als vernachlässigbar oder als intolerabel eingestuft wird. Entsprechend dieser Einstufung werden dann Maßnahmen zur Verminderung oder Umgehung der Risiken eingeleitet.
Risikomatrix – Ermittlung des Risikowertes
Die Risikoklassen werden zum Schluss den Eintrittswahrscheinlichkeiten gegenübergestellt. Hieraus ergibt sich dann die endgültige Risikomatrix für materielle Risiken. Untersucht werden muss jedes einzelne identifizierte Risiko. So z. B. für die Infrastruktur, die Ausfallwahrscheinlichkeit einer wichtigen Maschine oder die Funktionalität einer Seilbahn.
Die absoluten Zahlen geben die Höhe des Risikos an. Sie werden aus der Häufigkeit des erwarteten Auftretens und der qualifizierten Risikoklasse ermittelt. Die Formel dazu lautet Risikohäufung / qualifizierte Risikoklasse x 100. So ergibt sich beispielsweise der Risikowert des Risikofeldes A IV zu 365 Tage / 10.000 € x 100 = 3,65. Die hervorgehobenen Werte über 1,0 stellen die größeren Risiken dar, denen besondere Aufmerksamkeit bei der Einleitung von Maßnahmen zur Risikoeindämmung geschenkt werden sollte.
Risikobewertung
Im dargestellten Beispiel für die Höhe des Risikos zur Ausfallwahrscheinlichkeit und der Schadenshöhe z.B. zum Betrieb einer Seilbahn, ergibt sich ein Risikowert von 3,65 für die Eintrittswahrscheinlichkeit „täglich“ bei einer Schadenshöhe von EUR 10.000. Hingegen wird das Risiko mit nur 0,01 bewertet, wenn bei gleicher Schadenshöhe mit einer nur einmal im Jahr vorkommenden Ausfallwahrscheinlichkeit gerechnet wird. Das Risiko ist also deutlich geringer.
Wenn aber bei jährlicher Ausfallwahrscheinlichkeit die Schadenshöhe mit beispielsweise einer Million Euro angenommen wird, so steigt das Risiko des Ausfalls mit der verbundenen Schadenshöhe der Seilbahn auf den Risikowert 1,0 und ist damit deutlich höher zu bewerten. Im nächsten Schritt sollten sich die verantwortlichen Betreiber überlegen, bis zu welcher Risikozahl ein akzeptables Risiko besteht, bzw. welche Maßnahmen zur Minimierung der Risiken bei Überschreiten dieses Wertes eingeleitet werden sollten.
Beispiel Berechnung des Risikowertes
- Mittlere Eintrittswahrscheinlichkeit C (1) x Mittlere Folgenschwere III (1)
= Risikowert von 1 (gelb)
- Hohe Eintrittswahrscheinlichkeit B (2) x Mittlere Folgenschwere III (1)
= Risikowert von 2 (rot)
- Geringe Eintrittswahrscheinlichkeit (0,5) x Geringe Folgenschwere (0,5)
= Risikowert von 0,25 (grün)
[2] Bild Kraftwerk Ruth Klapproth
[1] Quelle Wikipedia
Abb. MEM: TU Wien / Österreichische Bundesbahn, Schöbel, Kunz, 2004