20
eine Vielzahl von Methoden zur Verfügung (vgl.
beispielhaft Abbildung 3, Spalte 7). Eine umfang-
reiche Beschreibung zahlreicher Instrumente der
Risikoidentifikation und -analyse mit ihren Ein-
satzbereichen ist in der ISO 31010 enthalten, die
zur Normenfamilie der ISO 31000 gehört.
13
Nach der Risikoidentifikation folgt die
Risiko-
analyse
, in der ein Verständnis und eine Be-
wertung für das Risiko entwickelt werden sol-
len. Die Analyse umfasst die Prüfung der Ursa-
chen des Risikos sowie die quantitative und
qualitative Abschätzung der Folgen und der
Eintrittswahrscheinlichkeit. Ein wesentlicher
Bestandteil liegt hierbei auch in der Identifika-
tion von Korrelationen der Einzelrisiken.
14
Für
die Ermittlung der Eintrittswahrscheinlichkeit
und des Risikoausmaßes sind Verteilungsan-
nahmen auf Basis von historischen Daten oder
Experteneinschätzungen zu treffen, um die Un-
sicherheit über die zukünftige wirtschaftliche
Entwicklung sachgerecht abzubilden. Die Ein-
schätzung der wirtschaftlichen Folgen sollte
dabei soweit als möglich quantitativ erfolgen.
15
Ergänzende qualitative Einschätzungen bieten
sich z. B. für die Abbildung von Risikofolgen für
die Unternehmensreputation an.
Basierend auf der Risikoanalyse erfolgt in der
Risikobewertung
eine Klassifizierung und Pri-
orisierung der Risiken. Diese kann z. B. eine
Beurteilung nach sogenannten Risikozonen in
einer Risk Map vorsehen. Die Risikozonen
(meist unterteilt in „kein Handlungsbedarf“,
„Kosten/Nutzen abwägen“ und „Handlungsbe-
darf“) dienen der Orientierung bzw. Entschei-
dung, welche Risiken behandelt werden müs-
sen.
16
Kommt es zu einer Überschreitung defi-
nierter Schwellenwerte, liegt es in der Verant-
wortung des Managements zu entscheiden,
wie es das Risiko behandeln will. Hierzu stehen
ihnen verschiedene Risikobehandlungsstrategi-
en
17
zur Verfügung.
Dieser allgemeingültige Risikobeurteilungspro-
zess wird aufgrund der Besonderheiten im Ma-
schinenbau weiterentwickelt und in zwei Vorge-
hensweisen in Abhängigkeit der Risikoarten
differenziert, vgl. auch Abbildung 4:
1. Einzelbeurteilung für strategische und
externe Risiken,
2. Multibeurteilung für projektbezogene
Risiken.
Die
Risikoidentifikation
umfasst dabei im We-
sentlichen die kontinuierliche Ermittlung von Risi-
ken und ihre Klassifizierung in externe Risiken,
strategische Risiken oder operative Projektrisi-
ken. Sie bildet die Basis für alle weiteren Schritte
der Risikobeurteilung und sollte daher mit beson-
derer Sorgfalt durchgeführt werden.
12
Für die Ri-
sikoidentifikation stehen dem Risikomanagement
1. Welche Ereignisse können zu einer Zielab-
weichung führen? (
Risikoidentifikation
)
2. Was sind die Ursachen und Konsequenzen
des Risikoeintritts und wie wahrscheinlich ist
der Risikoeintritt? (
Risikoanalyse
)
3. Wie sind die einzelnen Risiken unter Berücksich-
tigung der internen und externen Rahmenbedin-
gungen zu priorisieren? (
Risikobewertung
).
Autoren
Stephan Bartelt M.B.A.
ist Teamleiter Controlling bei der TROESTER GmbH & Co. KG, einem
mittelständischen Unternehmen des Maschinen- und Anlagenbaus.
E-Mail:
Prof. Dr. Hans-Jürgen Wieben
ist Studiengangsleiter M Sc. Controlling, Finanzen und Risiko-
management an der Fachhochschule für die Wirtschaft
(FHDW), Hannover.
E-Mail:
Abb. 4: Adaptierter Risikomanagementprozess nach ISO 31000
Ganzheitliches Risikomanagement nach ISO 31000
