verweist auf: Methoden von A bis Z
Bezeichnung der Methode / Technik	Risikoanalyse
Kategorie (Zweck)	Planen, Strukturieren, Entscheiden Analysieren, Priorisieren Bewerten, Evaluieren
Anwendungsbereiche	Alle Managementansätze insbesondere Risikomanagement sowie Prozessmanagement, Projektmanagement, Qualitätsmanagement
Kurzbeschreibung	Die Risikoanalyse umfasst das Identifizieren und Bewerten von Risiken.
Voraussetzungen / Rahmenbedingungen / Grundlagen	Voraussetzungen: operationalisiertes Konstrukt „Risiko“, messbare Zielgrößen, erarbeitetes methodisches Konzept, Grundlagen: empirische Daten, subjektive Schätzungen.
Grobe Einschätzung des Zeit- und Personalaufwandes	Abhängig von der Komplexität des gewählten Verfahrens etwa 1-5 Tage, mindestens eine Person mit fachlicher Expertise in der Risikoanalyse, erfahrene Beschäftigte des Anwendungsbereichs.
Vorteile/Stärken der Methode	Auf die Zukunft ausgerichtet, wichtiger Input zur Vorbereitung von Entscheidungen.
Stolperfallen, „Darauf sollten Sie achten“	Für die Risikoanalyse stehen ganz unterschiedlich komplexe Verfahren zur Verfügung. Sie reichen von praktikablen, aber teils unterkomplexen Verfahren bis hin zu stochastischen Simulationsmodellen, die spezifische Anwendungskenntnisse erfordern. Die Interpretation der Ergebnisse ist unabhängig von der Komplexität des gewählten Verfahrens stets differenziert vorzunehmen. Das Aufzeigen des „Erfolgs“ oder „Mehrwerts“ von Risikoanalysen ist nicht einfach.
Arbeitshilfen	Beispiel-Risikoliste im Excel-Format als Download
Weiterführende Medien und Quellen	Bundesrechnungshof: Modell eines Risikomanagements für die Bundesverwaltung, 2017, Bonn: https://www.bundesrechnungshof.de/...(Abruf: 07.07.2023) Scholz, Frank; Schuler, Andreas; Schwintowski, Hans-Peter (Hrsg.): Risikomanagement der Öffentlichen Hand, 2009, Springer-Verlag, Heidelberg.

Anwendung der Methode „Risikoanalyse“

Die Risikoanalyse umfasst die Identifikation und Bewertung von Risiken in einem bestimmten Anwendungskontext, z. B. in Projekten, in der Prozessanalyse oder innerhalb eines übergreifenden Risikomanagements. Im Folgenden wird die Anwendung der Methode in den drei Abschnitten „Vorbereitung“, „Durchführung“ und „Abschluss“ erklärt. Dabei werden verschiedene Anwendungskontexte exemplarisch angeschnitten, um die Vielfalt der Umsetzungsmöglichkeiten zu verdeutlichen. Zudem werden Vor- und Nachteile der vorgestellten Verfahren aus dem Portfolio der Risikoanalyseverfahren aufgezeigt, sowie eine weitere Variante zur Risikoanalyse angeschnitten. Dies ermöglicht den Anwenderinnen und Anwendern eine differenzierte Einordnung der Ergebnisse.

nach oben

Vorbereitung

Um Risiken zweck- und zielgerichtet identifizieren und bewerten zu können, sind zunächst folgende Voraussetzungen zu schaffen:

• Festlegen von Zielen und Kennzahlen

  Die Bedeutung von Risiken ist abhängig von Vergleichswerten. Die möglichen, zukünftigen Auswirkungen von Risiken werden gerade erst dadurch relevant, dass die Behörde bestimmte Ziele erreichen möchte. Ohne Ziele und Kennzahlen, anhand derer die Zielerreichung nachverfolgt werden kann, können auch keine Abweichungen festgestellt werden. Wird z. B. in einem Personalgewinnungsprozess kein Ziel festgelegt, z. B. eine bestimmte Mindestanzahl an Bewerbungen in einem Kalenderjahr, so können auch keine Auswirkungen von Risiken auf diese fehlende Zielgröße bewertet werden.

Ohne Zielgrößen ist keine Risikoauswirkung bewertbar.

• Überlegungen zum Begriff „Risiko“
  Ein Risiko ist ein zukünftiges Ereignis, das möglicherweise eintritt und bei Eintritt eine negative Auswirkung auf eine Zielgröße hat.[1] Ein Beispiel für ein solches Ereignis wäre: X Prozent altersbedingte Personalabgänge in den nächsten 5 Jahren.

Ein Risiko ist ein zukünftiges Ereignis, das möglicherweise eintritt und bei Eintritt eine negative Auswirkung auf eine Zielgröße hat.

• Auswahl passender Verfahren
  Der Methodenbaukasten zur Identifikation und Bewertung von Risiken ist so variantenreich wie die möglichen Anwendungsbereiche für eine Risikoanalyse. Deshalb gilt es, ein passendes Verfahren auszuwählen, das sowohl die Anforderungen an die Risikoanalyse erfüllt als auch die verfügbaren Personal- und Zeitressourcen berücksichtigt. Im Folgenden wird eine Variante für die Durchführung einer Risikoanalyse vorgestellt, die in Behörden bereits erfolgreich angewendet wird.

Nicht jedes Vorgehen der Risikoanalyse passt zu jedem Anwendungsbereich!

nach oben

Durchführung

Das Verfahren zur Risikoanalyse gliedert sich in zwei aufeinanderfolgende Phasen. In der ersten Phase, der Risikoidentifikation, werden mit verschiedenen Instrumenten und Methoden Risiken erfasst. Es werden also Ereignisse identifiziert, deren Eintreten eine negative Auswirkung auf eine Zielgröße des Anwendungsbereichs hätte. In der zweiten Phase, der Risikobewertung, werden zwei Aspekte der erkannten Risiken beurteilt. Zum einen wird das Ausmaß der negativen Auswirkung bewertet. Zum anderen wird die Wahrscheinlichkeit des Eintretens oder die Häufigkeit des Ereignisses abgeschätzt. Diese Ergebnisse können in der Praxis die Grundlage für Projektentscheidungen, die Auswahl von Maßnahmen zur Risikosteuerung im Risikomanagement oder auch die Basis zur Optimierung von Prozessen darstellen.

Risikoidentifikation
Für die Wirksamkeit des Risikomanagements ist es entscheidend, dass möglichst alle relevanten Risiken auch tatsächlich erkannt werden, denn: Jedes nicht identifizierte, aber relevante Risiko, wird gleichsam in Auswirkung oder Eintrittswahrscheinlichkeit mit 0 bewertet und auch mit der Maßnahme der „Akzeptanz“ gesteuert. [2]

Die Ergebnisse der Risikoidentifikation hängen von der Fach- und Methodenkompetenz, der Kreativität sowie der Erfahrung der Mitarbeitenden ab. [3]

Zur Erfassung möglichst aller relevanten Risiken sollten verschiedene Methoden zur Identifikation kombiniert werden.

Bei der erstmaligen Betrachtung eines Anwendungsbereichs mittels Risikoanalyse sollte auf komplexe Analyseverfahren verzichtet werden. Für den Einstieg besser geeignet sind Kreativitätsmethoden wie z. B. Brainstorming, Brainwriting und die Delphi-Methode (link). Diese Methoden bauen im Wesentlichen auf den subjektiven Erfahrungen und fachlichen Einschätzungen von Mitarbeitenden aus dem jeweiligen Anwendungsbereich auf. Im Folgenden werden die Methoden 6-3-5 als eine Variante des Brainwritings sowie die Kopfstandtechnik (Variante des Brainstormings) und die KJ-Methode vorgestellt.[4]

• Methode 6-3-5
  Bei der Methode 6-3-5 erarbeiten sechs Teilnehmende zunächst jeweils drei Ideen/Risiken, die wiederum durch eine rundenweise Weitergabe an die anderen Teilnehmenden bis zum Abschluss jeweils fünf Mal fortgeschrieben bzw. spezifiziert werden. Die einzelnen Schritte sind:

  Schritt 1: Jede teilnehmende Person erhält ein vorbereitetes Arbeitsblatt mit einer Tabelle aus drei Spalten und sechs Zeilen.
  
  

  Tabelle 1: Arbeitsblatt der Methode 6-3-5

  
  
  

  Schritt 2: Eine moderierende Person gibt die Zeitspanne für das Ausfüllen bis zum anschließenden Weitergeben der Arbeitsblätter vor (beispielsweise drei bis fünf Minuten).

  Schritt 3: Jeder und jede verfasst drei Risiken in der ersten Zeile des Arbeitsblattes.

  Schritt 4: Nach Ablauf der definierten Zeitspanne werden die Arbeitsblätter weitergegeben.

  Schritt 5: Jede und jeder greift die bereits genannten Risiken der vorangegangenen Zeile(n) auf, ergänzt diese oder entwickelt sie in der aktuellen Zeile weiter.

  Schritt 6: Die Arbeitsblätter werden so lange (beispielsweise im Uhrzeigersinn) weitergegeben, bis die letzte Zeile des Arbeitsblattes ausgefüllt ist.[5]

Vorteile

Nachteile

Geringer personeller Aufwand, niedriger zeitlicher Erfassungsaufwand, hohe Anzahl an Ideen/Risiken, die schrittweise fortgeschrieben werden, kein Methodenwissen bzw. Schulungen notwendig, empirische Daten werden nicht benötigt, kurzfristiger Einsatz möglich, mittels Anonymisierung der Weitergabe-Reihenfolge werden auch „kritische“ Themen erfasst, Vermeidung von Anpassung individueller Meinungen an Gruppenmeinung („Groupthink“).

Ergebnisse durch Fokus der Fragestellung beeinflussbar, hoher Zeitaufwand zur Ergebnisanalyse, je homogener die Zusammensetzung der Gruppe, desto wahrscheinlicher sind inhaltliche Redundanzen, kein kreativer Austausch untereinander.

• Kopfstandtechnik
  Bei der Kopfstandtechnik wird die eigentliche Kernfrage der Risikoidentifikation „umgekehrt“. Mit der daraus resultierenden ungewöhnlichen Aufgabenstellung sollen die Teilnehmenden kreativ animiert werden, um auch unerwartete und unkonventionelle Überlegungen als Ergebnis zu erhalten. Die einzelnen Schritte sind

  Schritt 1: Die ursprüngliche Aufgabenstellung, z. B.: „Welche zukünftigen Ereignisse können unseren Erfolg gefährden?“ wird umgekehrt und somit unerwartet auf den Kopf gestellt, z. B.: „Was müssen wir tun, um unseren Erfolg am wirksamsten zu verhindern?“:

  Schritt 2: Die Teilnehmenden entwickeln Lösungen für die umgekehrte Fragestellung.

  Schritt 3: Die zur umgekehrten Fragestellung entwickelten Lösungsansätze werden wiederrum umgekehrt, um sie für die ursprüngliche Aufgabenstellung als Lösungsansatz zu verwenden.[6]
  

Vorteile	Nachteile
Fördern alternativen Denkens, hohe Akzeptanz in der Praxis durch „spielerischen“ Ansatz, empirische Daten nicht erforderlich, niedriger zeitlicher Aufwand, unkonventionelle Ergebnisse.	Für zu komplexe Fragestellung ist Umkehrung nicht trivial, gegenseitige Beeinflussung der Teilnehmenden („Groupthink“), hohe Anforderungen an die Moderation, hohe Anforderung an Abstraktions- und Transferfähigkeit der Teilnehmenden.

• KJ-Methode
  Bei der KJ-Methode erfolgt die Risikoerfassung in zwei Phasen. Während die erste Phase in Einzelarbeit verläuft, wird in der zweiten im Team gearbeitet. Das Ergebnis dieses Vorgehens wird als „Risiko-Landkarte“ (vgl. Abbildung 2) bezeichnet, bei der es insbesondere auf die inhaltlichen Beziehungen zwischen den Ideen der Teilnehmenden ankommt. Idealerweise wird die KJ-Methode an einer Pinnwand o. ä. umgesetzt. Die einzelnen Schritte sind:

  Schritt 1: Die Teilnehmenden notieren im Sinne eines Brainwritings alle Ideen und Überlegungen zu einer vorgegebenen Fragestellung, z. B.: „Was kann zu Verzögerungen im Personalgewinnungsprozess führen?“ oder „Was sind denkbare Worst-Case-Szenarien?“ Jeder und jede schreibt für sich Stichworte auf Moderationskarten oder Post-Its.

  Schritt 2: Die Karten aller Teilnehmenden werden eingesammelt und gemischt. Das gesamte Team versucht nun, die Karten nach Gruppen zu sortieren. Passen bestimmte Stichworte nicht zu identifizierten Gruppen, bilden diese eine eigene Gruppe als „Unbestimmte“. Die so zusammengeführten Kartengruppen werden betitelt und mit passenden Charakterisierungen ergänzt.

  Schritt 3: Die Kartengruppen werden an der Pinnwand so angeordnet, dass mögliche Beziehungen zueinander, wie beispielsweise Ursache-/Wirkungs-Zusammenhänge zwischen Karten verschiedener Gruppen, mit Verbindungspfeilen dargestellt werden können.
  
  

  

  
  
  _{Abbildung 1: Beispiel einer Risiko-Landkarte[7]}
  
  

  Schritt 4: Abschließend wird die „Landkarte“ beschrieben, ohne sie zu interpretieren.[8]

Vorteile	Nachteile
Basiert auf Visualisierung, Dokumentation der Ergebnisse wird direkt umgesetzt, einfach umzusetzen, keine empirischen Daten erforderlich, neben Risiken, auch Ursachen und Auswirkungen mit erfassbar.	In zweiter Phase Gefahr des „Groupthink“, Material notwendig.

Zum Ausgleich von Nachteilen verschiedener Methoden können vor allem Kreativitätsmethoden gut miteinander kombiniert werden. So ist es möglich das Problem des „Groupthink“ in der Kopfstandtechnik dadurch zu lösen, dass die Umsetzung über die Methode 6-3-5 erfolgt.

Die Ergebnisse aller bisher vorgestellten Methoden zur Risikoidentifikation können für eine spätere Anwendung von Kollektionsmethoden verwendet werden. Eine gängige Kollektionsmethode ist z. B. die nachfolgend vorgestellte Checkliste.

• Checkliste
  In Verfahren, in denen Risikoanalysen bereits regelmäßig Anwendung finden, sind Checklisten als gängige Kollektionsmethode oft der erste Ansatz zur Erfassung von Risiken. Hiermit werden bereits bekannte Risiken bzw. deren Relevanz für einen Anwendungsbereich identifiziert. Die in der Checkliste geführten Risiken sind beispielsweise mithilfe von Kreativitätsmethoden erfasst worden oder in der Vergangenheit tatsächlich bereits eingetreten. Checklisten sind für einen Anwendungsbereich standardisiert, werden aber kontinuierlich fortgeschrieben. [9]

  In der Praxis fokussieren Checklisten aufgrund ihres hohen Abstraktionsgrades jedoch gerade nicht auf konkrete Ereignisse, sondern stellen eher zusammenfassende Quellen für bestimmte Gruppen von Risiken dar. Das hohe Abstraktionsniveau ermöglicht einerseits den Einsatz in ganz unterschiedlichen Anwendungsbereichen. Andererseits können Checklisten aufgrund der Abstraktion der Einzigartigkeit bestimmter Bereiche nicht gerecht werden. Diese Methode eignet sich gut, um am Ende der Phase „Risikoidentifikation“ die Vollständigkeit zu überprüfen.[10]

Vorteile	Nachteile
Durch Abstraktionshöhe in mehreren Anwendungsbereichen nutzbar, einfache Umsetzung, sowohl am Anfang („initiierend“) als auch am Ende der Risikoidentifikation („kontrollierend“) anwendbar.	Aufgrund der Einzigartigkeit der Anwendungsbereiche nicht immer gleich passend für jeden Bereich; Entwicklung aufwendig, da Checkliste erst auf Ergebnissen anderer Methoden aufbaut, Gefahr des Glaubens, allein mit einer Checkliste alle möglichen Risiken berücksichtigt zu haben.

Risikobewertung
In der Phase der Risikobewertung werden die erfassten und inhaltlich beschriebenen Risiken mithilfe einer Risikomatrix quantifiziert. Die Risikomatrix dient als Entscheidungsgrundlage etwa in Projekten, bei der Prozessoptimierung oder in der Maßnahmenplanung des Risikomanagements, um unerwünschte Auswirkungen von erkannten Risiken zu reduzieren oder einzudämmen. Aufgrund der intuitiven grafischen Aufbereitung eignet sich die Matrix auch als Instrument zur Risikokommunikation.

_{Abbildung 2: Beispiel eines Bewertungsschemas für die Risikobewertung [11]}

Risiken werden in der Risikomatrix mithilfe einer Kombination aus Eintrittswahrscheinlichkeit und Schadensausmaß bewertet. Die Anzahl der Kategorien sowie der dazugehörigen Schwellenwerte für Eintrittswahrscheinlichkeit und Schadensausmaß variieren dabei je nach Anwendungsfall. Im Beispiel wird der Aspekt „Schadensausmaß“ in die drei Kategorien „gering“, „mittel“ und „schwer“ unterteilt. Entscheidend ist, dass die Grenzen der jeweiligen Kategorien mit Bezug zur betreffenden Zielgröße festgelegt sind.

Mit Tabelle 1 (s.u.) soll exemplarisch eine solche Einordnung vorgestellt werden. Die Skala für die Wahrscheinlichkeit eines einmaligen Ereigniseintritts reicht von >0% bis <100%. Der Wert 0% wird für Ereignisse eingetragen, die nicht eintreten können und damit für die Risikoanalyse keine Relevanz haben. Der Wert 100% beschreibt Ereignisse, deren Eintritt nicht mehr nur möglich, sondern sicher bzw. bereits erfolgt ist, wodurch es sich nicht (mehr) um Risiken handelt.

Die Skala für das Schadensausmaß beginnt bei >0. Bei Ereignissen mit einer erwarteten Auswirkung von (noch) 0 auf die entsprechende Zielgröße eines Anwendungsbereichs, handelt es sich nicht um Risiken, da kein „Schaden“ bei Ereigniseintritt resultiert.

Ein Ereignis wird in einem Anwendungsbereich zu einem Risiko, wenn der Eintritt möglich ist und eine negative Auswirkung auf die Zielgröße hat.

_{Tabelle 2: Abschnittsgrenzen in der Risikomatrix}

Aus der Bewertung beider Aspekte resultiert eine farbliche Einordnung, beispielsweise in „rot“, „gelb“ und „grün“. Die rote Färbung eines Risikos in der Matrix zeigt einen dringenden Bedarf zur Risikosteuerung im Risikomanagementkreislauf an.

Vorteile

Nachteile

Geringer Aufwand, Gesamtsituation aller Risiken „auf einen Blick“, methodisch einfach

Rote Risiken“ mit hoher Eintrittswahrscheinlichkeit und hohen, organisationsgefährdenden Auswirkungen existieren in der Praxis nicht („Pseudorisiken“), „verbale“ Einteilung der Ordinalskalen ist in der Praxis regelmäßig nicht mit numerischen Grenzen hinterlegt, wodurch die subjektiven Einschätzungen bei der Risikobewertung variieren können, Annahme der Verteilungsfunktionen, die abgebildet werden können, sind in der Realität nicht für alle Risiken gegeben, Bewertung des Schadensausmaßes in der Praxis ist oft nicht eindeutig definiert (maximaler Schaden? durchschnittlicher Schaden?), Interdependenzen zwischen Risiken sind nicht abbildbar, tatsächlich gefährdende Risiken mit niedriger Eintrittswahrscheinlichkeit oder Auswirkung nicht im hoch-steuerungswürdigen „roten“ Bereich, Verdichtung der Skalen-Level führt zu ungenauer Risikobewertung, Zeitdimension (Wann tritt das Risiko ein?) wird nicht abgebildet.

Die klassische Methode der Risikoanalyse erlaubt nur den Blick, ob ein Risiko eintritt oder nicht, mit welcher Wahrscheinlichkeit es eintritt und mit welchem Schaden das Eintreten verbunden ist. Die komplexen Wirkungen zwischen einzelnen Faktoren werden damit nicht erfasst. Wahrscheinlichkeitsrechnungs- (Stochastik) Methoden versuchen dagegen größere Szenarien zu erfassen und kommen mit ihrer Simulation realen Risikolagen näher und können aussagekräftigere Entscheidungsgrundlagen bieten. Diese Analyse-Methode erfordert allerdings spezifische fachliche Kenntnisse aus betriebswirtschaftlichen Studien.

Dass auch behördliche Fragestellungen einen Anwendungsbereich für stochastische Simulationen liefern können, zeigen risikoanalytische Überlegungen zur Prognose in der Finanz- und Haushaltsplanung. .[12]

_{Abbildung 3: Grafisches, risikoanalytisches Ergebnis eines stochastisch simulierten Ressort-Finanzplans[13]}

nach oben

Abschluss

Die sachgerechte Dokumentation der Ergebnisse von Risikoidentifikation und -analyse bildet den Abschluss der Methodenumsetzung zur Risikoanalyse. Dazu eignet sich eine standardisierte Risikoliste, die für jedes erfasste Risiko eine entsprechende Bezeichnung, Beschreibung und die Ergebnisse der Risikobewertung abbildet. Innerhalb des Risikomanagements kann es zweckmäßig sein, den jeweiligen Risiken auch die ergriffenen Maßnahmen zur Eindämmung unerwünschter Auswirkungen zuzuordnen und die Einschätzungen zum Trend der Risiko-Entwicklung darzustellen. Auch zusätzliche Informationen wie das Erfassungsdatum oder die Nennung einer verantwortlichen Person für die Maßnahmenumsetzung zu einem Risiko sind sinnvoll.

Download Arbeitshilfe „Risikoliste“

Fußnoten

[1] Vgl. Romeike (2018), S. 8 ff.
[2] Vgl. Becker u.a, 2015, S. 31.
[3] Vgl. Romeike (2018), S. 36.
[4] Vgl. Romeike (2018), S. 58.
[5] Vgl. Romeike (2018), S. 144 ff.
[6] Vgl. Romeike (2018), S. 141 ff.
[7] Entnommen aus: Romeike 2018, S. 139.
[8] Vgl. Romeike (2018), S. 137 ff.
[8] Vgl. Becker u.a., 2015, S. 26.
[9] Vgl. Becker u.a., 2015, S. 26.
[10] Vgl. Romeike 2018, S. 61 f.
[11]Eigene Darstellung auf Grundlage: Bundesministerium des Innern (Hrsg.): Praxisleitfaden „Projektmanagement in der öffentlichen Verwaltung“, 2012, S. 36.
[12] Vgl. Eckner 2018, S. 131 ff.
[13] Entnommen aus Eckner 2018, S. 136.

nach oben

Literaturverzeichnis

Becker, Wolfgang; Ebner, Robert; Fischer-Petersohn, Daniela; Ruhnau, Marcus: Projektrisikomanagement im Mittelstand, 2015, Springer-Verlag, Wiesbaden.

Bundesministerium des Innern (Hrsg.) : Praxisleitfaden - Projektmanagement für die öffentliche Verwaltung, 2012, Berlin.

Eckner, Patrick: Die Eckwerte des Regierungsentwurfs des Bundeshaushaltes für 2019 und der Finanzplan bis 2022 – Ansatz zur stochastischen Schätzung und Risikoanalyse am Beispiel des Verteidigungsressorts, in: Verwaltung & Management – Zeitschrift für moderne Verwaltung, 24. Jahrgang 2018, Heft Nr. 3, S. 131 – 138, Nomos Verlag, Baden-Baden.

Romeike, Frank: Risikomanagement, 2018, Springer-Verlag, Wiesbaden.

nach oben