Lexikon Risikoanalyse

Risikoanalyse

Q: Was ist eine Risikoanalyse?

ine Risikoanalyse ist ein systematisches Verfahren zur Identifikation, Bewertung und Behandlung von Risiken in Unternehmen oder Projekten. Sie dient dazu, potenzielle Bedrohungen frühzeitig zu erkennen, ihre Eintrittswahrscheinlichkeit und Auswirkungen zu bewerten und geeignete Maßnahmen zur Risikominimierung oder -bewältigung zu entwickeln.

Q: Welche Ziele hat eine Risikoanalyse?

Die Risikoanalyse dient dazu, den Geschäftsbetrieb planbar und stabil zu halten. Sie hilft, potenzielle Gefahren frühzeitig zu erkennen, fundierte Entscheidungen zu treffen und die Planungssicherheit zu erhöhen. Vermögenswerte und Ressourcen können besser geschützt, regulatorische Vorgaben erfüllt und die Transparenz im Unternehmen gesteigert werden. Gleichzeitig stärkt sie die Widerstandsfähigkeit gegenüber Störungen – intern wie extern.

Q: Welche Risiken gibt es in Projekten?

Projekte sind besonders anfällig für Störungen. Das liegt vor allem daran, dass sie auf Zeit, Budget und Zielerreichung hin optimiert sind. Schon kleine Abweichungen im Ablauf können erhebliche Konsequenzen nach sich ziehen. Projektrisiken können in zwei Gruppen eingeteilt werden: 1) Interne Projektrisiken und 2) Externe Projektrisiken.

Q: Wie ist eine Risikoanalyse aufgebaut?

Eine Risikoanalyse muss individuell zum Unternehmen passen – ein starres Schema gibt es nicht. Üblich ist es jedoch, Risiken systematisch nach Eintrittswahrscheinlichkeit und Schadensausmaß zu bewerten und daraus mit Hilfe einer Risikomatrix Handlungsbedarfe abzuleiten. Je nach Kombination werden Risiken entweder akzeptiert, beobachtet oder erfordern Maßnahmen. Das Unternehmen definiert dabei ein eigenes Akzeptanzniveau, das von Risikobereitschaft und Ressourcen abhängt. Bei vielen Risiken empfiehlt sich zudem die Einteilung in Risikoklassen, um Prioritäten klar zu kennzeichnen – von „sofort handeln“ bis „automatisch akzeptieren“

Q: Wie läuft eine Risikoanalyse ab?

Eine Risikoanalyse gliedert sich typischerweise in vier Schritte: Zuerst werden potenzielle Risiken identifiziert, anschließend anhand von Eintrittswahrscheinlichkeit und Schadensausmaß bewertet. Danach folgt die Einschätzung, ob Maßnahmen nötig sind, und schließlich deren Umsetzung. Ergänzend kann eine laufende Überwachung der Risiken erfolgen, um bei Bedarf Anpassungen vorzunehmen.

Was ist eine Risikoanalyse?

Eine Risikoanalyse ist ein systematisches Verfahren zur Identifikation, Bewertung und Behandlung von Risiken in Unternehmen oder Projekten. Sie dient dazu, potenzielle Bedrohungen frühzeitig zu erkennen, ihre Eintrittswahrscheinlichkeit und Auswirkungen zu bewerten und geeignete Maßnahmen zur Risikominimierung oder -bewältigung zu entwickeln.
In der Praxis ist die Risikoanalyse ein wesentlicher Bestandteil des Risikomanagements. Sie hilft Unternehmen, Unsicherheiten zu reduzieren, finanzielle und operationelle Schäden zu vermeiden und fundierte Entscheidungen zu treffen. Wichtig sind ihre Informationen vor allem in wirtschaftlich unsicheren Zeiten oder bei komplexen Projekten.

Lesedauer: 3:10 min

Was ist ein Risiko?

Allgemein ist unter dem Begriff „Risiko“ ein Wagnis zu verstehen, das mit einem bestimmten Vorhaben verbunden ist. Für Unternehmen ist zudem die Definition in verschiedenen Normen interessant.

So wird ein Risiko in der Norm ISO 31000 als die Auswirkung von Unsicherheit auf Ziele definiert. Dabei kann diese Auswirkung sowohl positiv als auch negativ sein. Das bedeutet, ein Risiko kann nicht nur eine Bedrohung, sondern auch eine Chance darstellen.

Die ISO/IEC 27001, die ein Managementsystem für Informationssicherheit beschreibt, verwendet eine ähnliche Definition. Sie legt aber einen besonderen Fokus auf Sicherheitsrisiken. Hier wird das Risiko als die Kombination aus der Wahrscheinlichkeit eines Sicherheitsvorfalls und dessen potenziellen Auswirkungen beschrieben. Mathematisch betrachtet lässt sich dies in folgender Formel ausdrücken:

Risiko = Schaden x Eintrittswahrscheinlichkeit

Welche Ziele hat eine Risikoanalyse?

Die Risikoanalyse verfolgt mehrere Ziele, die darauf ausgerichtet sind, einen stabilen und planbaren Geschäftsbetrieb zu gewährleisten. Im unternehmerischen Umfeld stehen insbesondere folgende Zielsetzungen im Vordergrund:

Früherkennung potenzieller Gefahren: Risiken sollen bereits im Vorfeld erkannt werden, bevor sie zu konkreten Problemen führen. Dadurch lässt sich Schaden oft vermeiden oder begrenzen.
Verbesserung der Entscheidungsgrundlage: Managemententscheidungen werden auf Basis fundierter Informationen und Daten getroffen. Unsicherheiten werden nicht ausgeblendet, sondern strukturiert in den Entscheidungsprozess eingebunden.
Erhöhung der Planungssicherheit: Durch die transparente Einschätzung von Risiken kann besser beurteilt werden, ob und wie realistisch bestimmte Ziele erreicht werden können.
Schutz von Vermögenswerten und Ressourcen: Risiken, die sich negativ auf finanzielle Mittel, Mitarbeiter, Know-how oder Infrastruktur auswirken könnten, werden identifiziert und gezielt minimiert.
Stärkung der Unternehmens- und Projektstabilität: Durch strukturiertes Risikomanagement wird die Widerstandsfähigkeit gegenüber externen und internen Störungen erhöht.
Einhaltung regulatorischer Vorgaben: In vielen Branchen ist die Durchführung einer Risikoanalyse gesetzlich vorgeschrieben oder Bestandteil von Compliance-Anforderungen (zum Beispiel im Rahmen von ISO-Normen).
Erhöhung der Transparenz: Risiken und deren potenzielle Auswirkungen werden nachvollziehbar dokumentiert und bewertet. Die Daten schaffen Klarheit im Unternehmen und gegenüber externer Stakeholder.

Welche Risiken gibt es in Projekten?

Ohne sorgfältige Projektplanung sind Projekte besonders anfällig für Störungen. Das liegt vor allem daran, dass sie auf Zeit, Budget und Zielerreichung hin optimiert sind. Schon kleine Abweichungen im Ablauf können erhebliche Konsequenzen nach sich ziehen.

Projektrisiken können in zwei Gruppen eingeteilt werden:

1. Interne Projektrisiken

Interne Projektrisiken entstehen aus dem Unternehmen heraus. Zu nennen sind beispielsweise:

Ressourcenmangel: Häufig fehlen entweder die benötigten Materialien oder qualifizierte Mitarbeiter. Letzteres ist besonders kritisch. Denn ein kurzfristiger Personalausfall kann Projekte ins Stocken bringen oder komplett stoppen.
„Scope Creep“: Der sogenannte „schleichende Anstieg des Projektumfangs“ entsteht, wenn Anforderungen laufend ergänzt werden, ohne dass Zeitplan oder Budget angepasst werden. Dadurch steigt der Aufwand unkontrolliert.
Fehlerhafte IT-Systeme: Technische Defekte oder Sicherheitslücken können den Projektfortschritt empfindlich stören. Auch inkompatible Systeme, etwa bei der Integration von neuer Software, gelten als Risikofaktor.
Qualitätsprobleme: Wenn die interne Produktion fehlerhafte oder nicht spezifikationskonforme Ergebnisse liefert, sind Nacharbeiten oder Neuplanungen nötig. Diese führen zu Verzögerungen und Zusatzkosten.
Verzögerte interne Prozesse: Langwierige Freigaben, fehlende Entscheidungen oder überlastete Abteilungen können das Projekt ungewollt blockieren.

2. Externe Projektrisiken:

Auch externe Risiken können Einfluss auf ein Projekt nehmen. Beispielsweise sind folgende Faktoren zu berücksichtigen:

Preissteigerungen bei Lieferanten: Steigende Preise – etwa für Rohstoffe, Komponenten oder Dienstleistungen – können schnell zu einer Überschreitung des geplanten Budgets führen.
Lieferverzögerungen: Beschaffungsprozesse laufen nicht wie geplant, sei es durch Engpässe, Transportprobleme oder ausfallende Lieferanten. Somit trifft Material zu spät ein und die Zeitpuffer schrumpfen.
Rechtliche Änderungen: Neue gesetzliche Vorgaben, beispielsweise im Steuer- oder Umweltrecht, können Projektparameter im Nachhinein verändern. Dies kann Auswirkungen auf Genehmigungen, Abläufe oder eingesetzte Technologien haben.
Marktentwicklungen: Veränderungen im Kundenverhalten, neue Wettbewerber oder wirtschaftliche Schwankungen führen dazu, dass ein Projekt, das zu Beginn sinnvoll erschien, plötzlich infrage steht.

Wie ist eine Risikoanalyse aufgebaut?

Es gibt kein festgelegtes Schema für den Aufbau einer Risikoanalyse. Vielmehr muss jedes Unternehmen für sich selbst ein Vorgehen finden, das zu seinen Anforderungen passt. Gerade bei Projekten ist es aber gängig, verschiedene Risikokriterien zu definieren, um eine systematische Einordnung von Risiken nach Ausmaß und Bedeutung vornehmen zu können. Folgende Kriterien haben sich dabei bewährt:

Schadensklassen

Die Schadensklasse beschreibt das potenzielle Ausmaß eines Risikos, sollte es eintreten. Die Bewertung erfolgt häufig in mehreren Stufen – beispielsweise:

Gering: kein spürbarer Schaden, keine Auswirkungen auf Projektziele oder Betrieb
Mittel: spürbare Beeinträchtigung, zum Beispiel Zeitverzögerung oder Mehrkosten
Hoch: wesentliche Projektstörung, hoher finanzieller oder operativer Schaden
Sehr hoch: Projektabbruch oder existenzielle Bedrohung für das Unternehmen

Eintrittswahrscheinlichkeit

Parallel zum Schadensausmaß wird abgeschätzt, wie wahrscheinlich es ist, dass ein Risiko eintritt. Auch hier wird in der Regel eine mehrstufige Skala verwendet.

Sehr gering: eher theoretisch, kaum reale Anzeichen
Gering: möglich, aber selten beobachtet
Mittel: tritt gelegentlich auf
Hoch: kommt regelmäßig vor
Sehr hoch: nahezu sicher oder bereits eingetreten

Risikomatrix

Die Risikomatrix ist ein zentrales Instrument zur Visualisierung und Bewertung von Risiken. Sie kombiniert die beiden Achsen Eintrittswahrscheinlichkeit und Schadensausmaß, um daraus eine Risikoabschätzung abzuleiten. Jede Risiko-Kombination wird dabei in eine Matrix eingetragen, um Dringlichkeit und Handlungsbedarf sofort sichtbar zu machen.

Exemplarisch kann eine Risikomatrix folgendermaßen skizziert werden:

Grafik Risikomatrix

Farbliche Markierungen (zum Beispiel in Ampelfarben) erleichtern die Einordnung in akzeptable (grün), beobachtungspflichtige (gelb) oder nicht tragbare Risiken (orange bis rot) (siehe nächster Abschnitt).

Beispiel: Risiken, deren Eintrittswahrscheinlichkeit und Schaden als gering eingestuft werden, lassen sich unten links einordnen. Sie haben somit keine Priorität. Ein Risiko mit sehr hoher Eintrittswahrscheinlichkeit und sehr hohem Schadensausmaß landet hingegen im roten Bereich oben rechts. Das Unternehmen sollte sich umgehend darum kümmern.

Risikoakzeptanzniveau

Nicht jedes Risiko muss zwingend behandelt werden. Entscheidend ist, ob es innerhalb des sogenannten Risikoakzeptanzniveaus liegt – also dem Rahmen, in dem ein Unternehmen bereit ist, Risiken zu tragen. Beispielsweise ist folgende Abstufung möglich:

Akzeptabel: Risiko wird hingenommen, keine Maßnahmen erforderlich
Beobachtungspflichtig: Risiko bleibt bestehen, wird jedoch aktiv überwacht
Nicht akzeptabel: Risiko überschreitet definierte Schwellen, Maßnahmen zwingend nötig

Die Festlegung dieses Schwellenwerts erfolgt in Abstimmung mit dem Management und richtet sich u. a. nach Risikobereitschaft, Unternehmensgröße und finanziellen Rücklagen.

Risikoklassen

Gibt es viele potenzielle Fallstricke in einem Projekt, so bietet es sich an, diese zusätzlich in Risikoklassen einzuteilen. Risikoklassen ordnen ein Risiko nach Relevanz ein, meist auf Basis der Bewertung aus Risikomatrix und Akzeptanzniveau.

Beispiel für eine Einteilung:

Risikoklasse I: hohe Priorität – sofortige Maßnahmen erforderlich
Risikoklasse II: mittlere Priorität – Maßnahmen kurzfristig einplanen
Risikoklasse III: niedrige Priorität – Beobachtung ausreichend
Risikoklasse IV: akzeptabel – keine Maßnahmen erforderlich (automatisch akzeptieren)

Wie läuft eine Risikoanalyse ab?

Im Allgemeinen erfolgen Risikoanalysen in mehreren Schritten, die sich wie folgt skizzieren lassen:

Grafische Darstellung des Ablaufs der Risikoanalyse

Risikoidentifikation: Zunächst werden potenzielle Risiken erfasst. Dies geschieht durch Methoden wie Brainstorming, Checklisten oder SWOT-Analysen. Ziel ist es, mögliche Gefahrenquellen frühzeitig zu erkennen.
Risikoanalyse: Die erfassten Risiken werden hinsichtlich Eintrittswahrscheinlichkeit und Schadensausmaß bewertet. Eine Risikomatrix (siehe vorheriger Abschnitt) hilft, die Dringlichkeit sichtbar zu machen.
Risikobewertung: Nun wird festgelegt, welche Risiken akzeptabel sind, welche beobachtet werden sollten und welche Maßnahmen erfordern.
Risikobehandlung: In diesem letzten Schritt werden bestimmte Maßnahmen zum Umgang mit dem jeweiligen Risiko umgesetzt (siehe nächster Abschnitt).

Hinweis: Je nach Ansatz schließt sich dann noch eine fünfte Phase an, welche die regelmäßige Kontrolle von Risiken und die kontinuierliche Anpassung von Maßnahmen umfasst

Welche Möglichkeiten der Risikobehandlung gibt es?

Bei der Risikobehandlung gibt es grundsätzlich folgende Möglichkeiten:

Vermeidung: Risiko ausschließen (zum Beispiel alternative Prozesse nutzen)
Minderung: Eintrittswahrscheinlichkeit oder Auswirkungen reduzieren
Transfer: Risiko auf Dritte verlagern (zum Beispiel Versicherungen abschließen)
Duldung: Risiko bewusst in Kauf nehmen

Zudem lassen sich präventive und korrektive Maßnahmen unterscheiden. Die Unterschiede stellen sich folgendermaßen dar:

Ansatz	Beschreibung	Zeitpunkt
Präventiv	Maßnahmen zur Risikovermeidung oder -reduzierung	bevor ein Risiko eintritt
Korrektiv	Maßnahmen zur Schadensbegrenzung oder Vermeidung künftiger Wiederholungen	nach Eintritt eines Risikos

Welche Methoden der Risikoanalyse gibt es?

Zur Risikoanalyse stehen verschiedene Methoden zur Verfügung, die je nach Komplexität und Datenlage angewendet werden. Grundsätzlich unterscheidet man zwischen qualitativen und quantitativen Methoden.

Qualitative Risikoanalyse: Sie bewertet Risiken auf Basis von Eintrittswahrscheinlichkeit und Auswirkungen, ohne konkrete Zahlenwerte zu nutzen.
Quantitative Risikoanalyse: Sie geht einen Schritt weiter und ermittelt zusätzlich, wie groß der finanzielle oder operative Schaden eines Risikos ist.

Besonders gängig sind die folgenden Methoden der Risikoanalyse:

Grafische Darstellung der Methoden zur Risikoanalyse

ISO 31000

Die ISO 31000 ist ein internationaler Standard für das Risikomanagement. Sie bietet einen strukturierten Rahmen für die Identifikation, Bewertung und Behandlung von Risiken in Unternehmen und Projekten.

Entscheidungsmatrix

Eine Entscheidungsmatrix bewertet Risiken anhand vordefinierter Kriterien (zum Beispiel Schadenshöhe, Eintrittswahrscheinlichkeit). Sie ermöglicht eine objektive Priorisierung von Risiken und wird oft in Verbindung mit einer Risikomatrix genutzt.

ABC-Analyse

Diese Methode klassifiziert Risikofaktoren nach ihrer Bedeutung:

A-Risiken: höchste Priorität, sofortige Maßnahmen erforderlich
B-Risiken: mittlere Bedeutung, regelmäßige Kontrolle nötig
C-Risiken: geringe Bedeutung, akzeptierbar ohne große Maßnahmen

FMEA (Fehlermöglichkeits- und Einflussanalyse)

Die FMEA ist eine präventive Methode zur Risikoanalyse, die häufig in der Produktion oder im Qualitätsmanagement eingesetzt wird. Risiken werden nach Auftretenswahrscheinlichkeit, Bedeutung und Entdeckbarkeit bewertet, um gezielt Maßnahmen zur Fehlervermeidung abzuleiten.

SWIFT-Analyse

Die SWIFT-Analyse (Structured What-If Technique) ist eine qualitative Methode zur Risikoidentifikation. Sie basiert auf „Was-wäre-wenn-Fragen“, um potenzielle Gefahren und deren Auswirkungen systematisch zu erfassen. Dabei diskutiert ein Expertenteam Szenarien und bewertet mögliche Risiken ohne komplexe Berechnungen.

Entscheidungsbaumanalyse

Die Entscheidungsbaumanalyse visualisiert verschiedene Handlungsoptionen in Form eines Baumes. Für jede Entscheidung werden mögliche Folgen mit Eintrittswahrscheinlichkeiten verbunden. Auf Basis dieser Informationen lässt sich die beste Option systematisch auswählen.

Autor dieses Artikels ist Ertan Özdil, CEO, Gründer und Gesellschafter des Cloud ERP-Anbieters weclapp.