Risikoanalyse durchführen – mit Muster / Vorlage und Beispiel

Durchführung einer Risikoanalyse nach ISO 31000

Die Risikoanalyse ist eine meiner besten Freundinnen im Geschäftsalltag. Auf die Frage: „Wo sehen Sie an dieser Stelle konkret ein Risiko?“ werden viele meiner Gesprächspartner, die gerade noch aufbrausend getobt haben, schnell etwas leiser oder schweigen gleich. Ein Risiko strukturiert zu bewerten erfordert doch etwas mehr, als nur seinem Bauchgefühl Luft zu machen.

Ein Risiko zu analysieren bedeutet, sich mit einem möglichen Vorfall schon im Voraus auseinander zu setzen. Realistisch (soweit uns das möglich ist) zu bewerten, was im schlimmsten Falle passieren kann und was das für uns oder für unser Unternehmen bedeuten würde.

Aber reden wir nicht um den heißen Brei, sondern werden wir konkret.

Definition Risiko

Nicht nur in der ISO 31000, dem ISO Standard für das Risikomanagement (Risk management – Principles and guidelines) oder der ISO/IEC 27001 – Managementsystem für Informationssicherheit, ist das Risiko folgendermaßen definiert:

Risiko = Schaden x Eintrittswahrscheinlichkeit

Kurz gesagt, das Risiko ist das Produkt aus dem potentiell möglichen Schaden und der damit verbunden Eintrittswahrscheinlichkeit. So ganz ohne Mathematik kommen wir an dieser Stelle also nicht aus. Aber keine Panik! Es sollte nicht so schwierig sein, diese beiden Werte miteinander zu multiplizieren.

Die größere Herausforderung steckt in der Vorarbeit. Um Schaden und Eintrittswahrscheinlichkeit miteinander multiplizieren zu können, müssen wir sie in Werte „umwandeln“ bzw. klassifizieren.

Definition Risikokriterien

Eine Risikoanalyse muss einem systematischen Aufbau folgen. Die Ergebnisse müssen reproduzierbar sein. Das heißt, würde eine andere Person mit gleichem Know How dasselbe Risiko bewerten, sollte es anhand der objektiven Kriterien zum selben Ergebnis kommen.

Daher ist es extrem wichtig, diese objektiven Kriterien vorab zu definieren. Sie sind von Unternehmen zu Unternehmen verschieden. Selbst innerhalb eines Unternehmens können sich die Risikokriterien unterscheiden.

Definition von Schadensklassen

Natürlich können Sie anstatt mit Schadensklassen zu arbeiten auch direkt mit finanziellen Werten arbeiten. Das heißt, Sie beziffern jeden potentiellen Schaden mit einer Summe X in Euro. Das macht es natürlich für unsere mathematische Formel einfach. In der Praxis ist dies aber schwierig. Denn wer kann schließlich beurteilen, welchen (relativ exakten) finanziellen Schaden zum Beispiel ein Reputationsschaden aufgrund fehlerhaft ausgelieferter Produkte nach sich zieht?

Falls Sie also nicht aufgrund interner oder externer Vorgaben dazu gezwungen sind, den Schaden tatsächlich in Euro zu bewerten, empfehle ich Ihnen, lieber Schadensklassen zu bilden. Vier Klassen sind aus meiner Erfahrung zum Starten sinnvoll:

  • gering, mittel, hoch, sehr hoch
  • sehr gering, gering, mittel, hoch

Beides führt letztendlich zum selben Ergebnis. Der Unterschied ist rein im Wording und in der Botschaft, die Sie damit vermitteln.

Das war’s? Was soll daran schon schwierig gewesen sein?
Jetzt haben wir zwar unsere Schadensklassen gebildet, jedoch können wir noch nicht die Anforderung erfüllen, dass unsere Bewertungen reproduzierbar sein sollen. Wir müssen sicherstellen, dass Projektleiter Müller die Projektrisiken nach denselben Kriterien bewertet wie sein Stellvertreter Herr Schmitt. Das klappt nur, wenn wir ihnen zu den Schadensklassen noch eine Hilfestellung geben, was darunter zu verstehen ist.

Die nachfolgende Tabelle zeigt eine mögliche Interpretation der Schadensklassen.

SchadensklasseFinanzieller SchadenAusfall KernprozesseReputationsschadenAuswirkungen auf natürliche Personen
gering< 5.000 €Minimale Verzögerungen in den nachfolgenden Prozessen (bis zu 2 Stunden)Vorfall ist nur internen Mitarbeitern bekannt. Keine medialen AuswirkungenNachteile (wirtschaftlich, gesellschaftlich) im geringen Umfang für die Person
mittelZwischen 5.000 € und 20.000 €Führt zu einer Verzögerung von ca. einen Tag bei den nachfolgenden internen ProzessenRegionale mediale AuswirkungenFinanzieller Schaden (nicht existenzgefährdend)
hochZwischen 20.000 € und 50.000 €Führt zu einer Verzögerung von mehr als einen Tag bei den nachfolgenden internen ProzessenVorfall hat nationale Mediale Auswirkungen, negatives Images auch bei StellenausschreibungenIdentitätsdiebstahl, Diskriminierung
sehr hoch> 50.000 €Führt zu einer Verzögerung bei den geplanten Lieferzeiten; Kundentermine können nicht eingehalten werden Vorfall hat internationale mediale Auswirkungen, Verlust von KundenLebensgefahr, Existenzgefährdend

Über die Ausprägung kann man natürlich diskutieren. Hier geht es mir primär darum, an einem Beispiel zu zeigen, wie Schadensklassen definiert sein können. Die inhaltliche Ausprägung, sowie die Anzahl der Kriterien, die man definiert, sind natürlich auf das eigene Unternehmen zu beziehen.

Definition der Eintrittswahrscheinlichkeit

Gleiches Spiel, nur dieses Mal für die Eintrittswahrscheinlichkeit. Ob Sie die Klassen wieder gering, mittel, hoch, sehr hoch oder anders taufen, liegt ganz bei Ihnen.

EintrittswahrscheinlichkeitSchätzung für die ZukunftBlick in die Vergangenheit
geringVorfall tritt frühestens in 6 Jahren oder später einVorfall bisher noch nie eingetreten bzw. vor über 6 Jahren eingetreten
mittelVorfall tritt in den nächsten 4-6 Jahren einVorfall ist in den letzten 4-6 Jahren eingetreten
hochVorfall tritt in den nächsten 1-3 Jahren einVorfall ist in den letzten 1-3 Jahren eingetreten
sehr hochVorfall tritt im nächsten Jahr einVorfall ist im letzten Jahr eingetreten

Wie bei den Schadensklassen liegt die Ausprägung der Inhalte in Ihrem Unternehmen und richtet sich nicht nach meinem Beispiel!

Risikomatrix

Wir kennen jetzt unsere Schadensklassen und Eintrittswahrscheinlichkeiten, die wir bei der Bewertung zur Verfügung stellen. Daraus ergibt sich das mögliche Risiko. Da wir den größten Schaden mit „sehr hoch“ und die größte Eintrittswahrscheinlichkeit mit „sehr hoch“ beziffert haben, ist unser maximales Risiko:

maximales Risiko = Sehr hoher Schaden x sehr hohe Eintrittswahrscheinlichkeit

Genauso ermitteln sich alle anderen möglichen Risiken, die in unserer Matrix möglich sind.

Risikomatrix bei vier Schadensklassen und vier Klassen für die Eintrittswahrscheinlichkeit.
Risikomatrix bei vier Schadensklassen und vier Klassen für die Eintrittswahrscheinlichkeit.

Da wir ja das Risiko auch rechnerisch ermitteln möchten, ist es sinnvoll, den Klassen Werte zu hinterlegen. Je nach Anzahl der Klassen und der Ergebniswerte, kann es sinnvoll sein, die Werte nicht mit 1-x zu vergeben, sondern vielleicht mit 10, 20, 30….

Wir wissen jetzt jedenfalls, dass in unserem Beispiel das maximale Risiko einem Wert von 16 entspricht und das minimale Risiko den Wert 1 hat. Ich finde es einfacher, mit diesen Werten nun das Risikoakzeptanzniveau festzulegen.

Definition Risikoakzeptanzniveau

Was für ein schöner Begriff: „Risikoakzeptanzniveau“ 🙂 Das heißt?

Wir haben jetzt unsere Risikomatrix konstruiert. Daraus erschließt sich aber noch nicht, was nun für das Unternehmen ein tragbares Risiko ist. Auch dies muss vor der Durchführung der Risikoanalyse festgelegt werden.

Anhand der oben dargestellten Risikomatrix kann das Unternehmen nun zum Beispiel festlegen, dass alle Risiken mit einem Ergebniswert von < 4 automatisch akzeptiert werden. Damit würde für das Unternehmen das Risikoakzeptanzniveau folgendermaßen aussehen:

In dieser Risikomatrix werden alle Risiken akzeptiert, deren Risikowert < 4 ist.
In dieser Risikomatrix werden alle Risiken akzeptiert, deren Risikowert < 4 ist.

Für die spätere Risikoanalyse bedeutet das dann, dass alle Risiken mit einem Ergebnis < 4 keine weiteren Maßnahmen fordern.

Risikoklassen

Sie können die Anzahl der Risikoergebnisklassen natürlich auch wieder selbst wählen. Mindestens zwei sollten es schon sein – akzeptierte Risiken und nicht akzeptierte Risiken.

Sinnvollerweise hat man mindestens drei Risikoklassen. Diese können Sie gerne wieder in geringe Risiken, mittlere Risiken und hohe Risiken einteilen.

Geringe Risiken (in unserem Beispiel die mit einem Wert < 4) akzeptieren Sie automatisch. Mittlere Risiken (mit Werten zwischen 4 und 8 im Beispiel) werden individuell akzeptiert. Wer das Recht hat, diese Risiken zu akzeptieren, müssen Sie ebenfalls festlegen. Ist das der zuständige Abteilungs- oder Projektleiter oder muss so etwas immer über die Geschäftsleitung laufen? Hohe Risiken (mit Werten größer als 8 im Beispiel) bedürfen grundsätzlich immer einer Risikobehandlung und können nur mit Begründung durch die Geschäftsleitung akzeptiert werden. Wie das bei Ihnen aussehen soll, entscheiden Sie!

Soweit zu den Vorarbeiten. Jetzt geht es zur eigentlichen Durchführung der Risikoanalyse.

Prozess Risikoanalyse

Eine sinnvolle Risikoanalyse ist normalerweise in ein Risikomanagementsystem eingebunden. Dem Risikomanagementsystem widme ich einen separaten Beitrag im Blog. Daher möchte ich an dieser Stelle nicht weiter darauf eingehen. Hier wollen wir den Schwerpunkt auf die Durchführung einer Risikoanalyse setzen, also auf den eigentlichen Risikomanagement-Prozess.

Genau genommen ist die eigentliche Risikoanalyse nur ein Teilbereich aus dem kompletten Risikomanagement-Prozess, wie der Prozessablauf nach ISO 31000 zeigt.

Risikoidentifikation

Im ersten Schritt geht es darum festzustellen, was denn überhaupt passieren kann. Wer könnte das besser als die Person(en) im Unternehmen, die auch tatsächlich mit dem Risiko direkt konfrontiert sind. Der Risk Owner oder auf deutsch, der Risikoeigner. Der Risikoeigner sollte die Risiken für seinen Bereich kennen. Das kann der Abteilungsleiter sein, aber auch der Projektleiter. Je nach Größe der Abteilung oder des Projektteams können auch entsprechend Mitglieder aus dem Team bei der Erfassung der Risiken unterstützen. Der Risikoeigner (=Verantwortliche) ist aber wie immer im Job der „Hutträger“, also der Abteilungs- oder Projektleiter.

Im Rahmen der Risikoanalyse geht es bei der Risikoidentifikation darum, potentielle Vorfälle zu benennen. Hier wird noch nichts bewertet. Stellen Sie sich einfach die Frage: „Was könnte passieren?“

Und bleiben Sie dabei realistisch! Bei manchen Risiko-Workshops habe ich den Eindruck, es geht darum, die Risikoliste mit Zeilen zu füllen. Das sollte eigentlich nicht das primäre Ziel sein. Bringen Sie die nur die Vorfälle auf den Tisch, bzw. in die Excel-Mustervorlage oder ihr Risikoanalyse-Programm, die auch tatsächlich in Ihrem Bereich existieren.

Spielen wir das ganze mal an einem Beispiel durch. Sie sind kaufmännischer Leiter eines kleinen mittelständischen Unternehmens und haben damit auch die Personalleitung über.

Szenario: Der Mitarbeiter, der für die Lohnabrechnung zuständig ist, fällt für mehrere Wochen (bis zu 6 Wochen), aus.

Gut, das ist nun unser Szenario. Aber ist das tatsächlich auch ein Risiko? Nein! Und das ist ein entscheidender Punkt, dem ich in der Praxis bei Risikoworkshops oft begegne. Selbst manche Bücher definieren so ein Risikoszenario. Dabei haben wir hier lediglich einen Vorfall beschrieben. Zum Risiko wird dieser aus meiner Sicht erst, wenn sich daraus eine Konsequenz ergibt, die für das Unternehmen zu einem Schaden führt. Dies liest man aus obigen Szenario nicht heraus. Aus diesem Grund habe ich in der Excel-Mustervorlage im Anhang ein separates Feld mit „…führt zu“ ergänzt. Damit werden Sie daran erinnert, diese wichtige Information nicht zu vergessen.

Beschreibung des Schadens („…führt zu“): Lohnabrechnung für das gesamte Unternehmen kann nicht mehr erstellt werden. Löhne können nicht mehr bezahlt werden.

Erst jetzt wird es eine „runde Sache“ und der Vorfall wird mit einem potentiellen Schadensszenario verknüpft. Wir haben uns an dieser Stelle aber noch keine Gedanken über das „Warum“ gemacht. Was ist denn nun die Ursache dafür, dass der Ausfall des Mitarbeiters zum Ausfall der Lohnabrechnung führt? Weil auch dies eine wichtige Information ist, finden Sie ebenfalls ein separates Feld dazu in meiner Risikoanalyse-Excel Vorlage.

Ursache / Grund für das Eintreten des Szenarios (=Schwachstelle): Da es sich beim zuständigen Mitarbeiter um eine Single-Source handelt, also um nur eine einzige Person, die das entsprechende Know How hat, kommt es beim Ausfall dieses Mitarbeiters über mehrere Wochen zum Schaden.

Ein Vorfall mit einem bestimmten Schaden kann in der Praxis mehrere Ursachen haben. Ist das der Fall, dann empfehle ich Ihnen in der Excel-Vorlage dieses Szenario so oft zu kopieren, wie Sie unterschiedliche Ursachen haben. Jede Ursache kann nämlich später in der Bewertung eine unterschiedliche Eintrittswahrscheinlichkeit haben. Auch wenn der Schaden gleich ist, können mit unterschiedlichen Ursachen bei einem Risikoszenario verschiedene Risikowerte herauskommen.

Beispiel Risikoidentifikation für den Ausfall eines Mitarbeiters im Rahmen einer Risikoanalyse.
Beispiel Risikoidentifikation für den Ausfall eines Mitarbeiters.

Risikoanalyse

Jetzt kommen wir erst zur eigentlichen Risikoanalyse. Wir analysieren, wie groß der Schaden für das Unternehmen ist und wie groß die Eintrittswahrscheinlichkeit für dieses Risikoszenario ist.

Bevor wir in die Durchführung des Risiko-Prozesses gegangen sind, haben wir unsere Hausaufgaben gemacht und definiert, welche Schadensklassen und Eintrittswahrscheinlichkeiten wir zur Auswahl stellen möchten.

Schadensklasse: Wenn wir uns nun auf unsere Schadensklassen-Definition beziehen, können wir von einem Reputationsschaden ausgehen. Dieser Vorfall wird es wahrscheinlich in die regionale Presse schaffen. Zudem hätte es finanzielle Auswirkungen bei den betroffenen Personen. Mit diesen Kriterien wären wir bei der Schadensklasse „mittel“.

Eintrittswahrscheinlichkeit: Dass es in der jetzigen Konstellation zu einem mehrwöchigen Ausfall kommen kann, ist aus Schätzung des Unternehmens in den nächsten 1-3 Jahren durchaus möglich. Damit wäre die Eintrittswahrscheinlichkeit bei „hoch“.

Bewertung von Schadensklasse und Eintrittswahrscheinlichkeit zu einem Szenario in der Risikoanalyse.
Bewertung von Schadensklasse und Eintrittswahrscheinlichkeit zu einem Szenario.

Risikobewertung

Mit den getroffenen Klassifizierungen für Schaden und Eintrittswahrscheinlichkeit ergibt sich nun ein Risikowert. Zu unserer Freude geht dieser Schritt nun automatisch (siehe Bild oben). Wir haben vorher ja unsere Hausaufgaben gemacht und die Risikoklassen definiert.

Ein mittlerer Schaden multipliziert mit einer hohen Eintrittswahrscheinlichkeit ergibt ein mittleres Risiko mit einem Risikowert von 8. Damit haben wir ein Risiko, das einer weiteren Entscheidung bedarf. Es wird nämlich als mittleres Risiko nicht automatisch akzeptiert.

Der kaufmännische Leiter möchte dieses Risiko nicht tragen. Das heißt, es ist per Definition nicht akzeptiert. Auch der Risikoeigner entscheidet sich nicht dafür, das Risiko zu akzeptieren. Damit muss das Risiko in irgendeiner Weise verringert werden.

Risikobehandlung

Dieser Schritt ist nur nötig, wenn das Risiko nicht akzeptiert wird. Eine Risikobehandlung kann unterschiedlich ausfallen.

  • Minimieren des Risikos, indem Maßnahmen umgesetzt werden, die entweder den Schaden oder die Eintrittswahrscheinlichkeit verringern.
  • Eliminieren des Risikos, indem man das Eintreten des Vorfalls komplett vermeidet.
  • Übertragen des Risikos an einen Dritten, zum Beispiel eine Versicherung.
  • Akzeptieren und regelmäßige Überwachung des Risikos.

In der angehängten Excel-Vorlage finden Sie ein Feld „geplante Zusatzmaßnahme“. Hier können Sie angeben, mit welcher Maßnahme Sie die Eintrittswahrscheinlichkeit oder den Schaden minimieren möchten.

Auch andere Maßnahmen wie das Übertragen oder Eliminieren des Risikos sollten hier dokumentiert werden. Beachten Sie, dass der Risikoeigner nur bedingt Maßnahmen selber freigeben kann. Je nach Aufwand von Zeit, Ressourcen und Kosten muss für eine Maßnahme die Geschäftsleitung hinzugezogen werden.

Geplante Zusatzmaßnahme in unserem Beispiel: Der kaufmännische Leiter schlägt als Maßnahme vor, eine weitere Person mit der Lohnbuchhaltung vertraut zu machen. Damit minimiert sich der Schaden nach Umsetzung der Maßnahme und fällt nun in die Klasse „gering“. Der Ausfall eines Mitarbeiters führt somit nicht zu einer Unterbrechung in der Lohnbuchhaltung. Die Eintrittswahrscheinlichkeit, dass ein Mitarbeiter mehrere Wochen ausfällt, bleibt allerdings gleich.
Damit haben wir mit geringem Schaden und hoher Wahrscheinlichkeit ein akzeptiertes Risiko.

Weitere Informationen zur geplanten Zusatzmaßnahme: Sie können in der Risikobehandlung auch gleich die Details zum Status der Maßnahme, den Kosten, Verantwortlichkeiten und Umsetzungszeiten angeben, wenn Sie möchten.

Dokumentation der Zusatzmaßnahmen zu einer konkreten Ursache in einer Risikoanalyse.
Dokumentation der Zusatzmaßnahmen zu einer konkreten Ursache in einem Risikoszenario.

Risikobericht / Risikopräsentation einer Risikoanalyse

Häufig liest man von einem Risikobericht. Es gibt dazu aber keine verpflichtende Form und Darstellung. Wenn Sie die Excel-Vorlage aus diesem Beitrag verwenden, haben Sie damit natürlich auch gleich einen Risikobericht Ihrer Risikoanalyse. Sie haben eine übersichtliche Darstellung aller identifizierten Risiken. Sie können nach verschiedenen Risikoklassen filtern und sich die Maßnahmen anzeigen lassen. Es ist also alles da.

Damit der Risikobericht allerdings auch seine Gültigkeit hat, ist es wichtig, ihn der Geschäftsleitung zu präsentieren.

Präsentation der Risiken bei der Geschäftsleitung

Hier sind wir jetzt zwar schon wieder im Risikomanagementsystem, trotzdem möchte ich an dieser Stelle auf diesen Aspekt kurz eingehen. Selbst wenn die geringen Risiken automatisch akzeptiert werden – per Definition, sollten die übergeordneten Verantwortlichen davon Kenntnis haben. Es ist klar, dass die „kleinen Risiken“ nicht die Zeit der Geschäftsleitung fressen sollen. Trotzdem sollten Sie der Geschäftsleitung entweder im Quartalsmeeting oder bei aktuellem Risiko ein Update in Sachen Risiko-Status liefern.

Bei „roten“, also hohen Risiken, benötigen Sie in der Regel sowieso ein Statement der Geschäftsleitung. Ganz wichtig! Vergessen Sie nicht, diese Entscheidung der Leitung zu hohen Risiken dann auch zu dokumentieren. Entweder direkt in der Risikoanalyse oder in einem separaten Protokoll.

Grafische Übersicht der Risiken

Mir persönlich gefällt es gut, vor allem die hohen Risiken grafisch in der Risikomatrix darzustellen. In dieser Darstellungsform bekommen die hohen und mittleren Risiken einen Punkt in der Risikomatrix entsprechend ihrer Einstufung in Schaden und Eintrittswahrscheinlichkeit.

Das ist zwar eine kleine Fleißarbeit, aber toll für ein Managementmeeting.

Vorlage Risikoanalyse

Wie versprochen, gibt es hier nun eine kostenlose Vorlage in Excel, die den Anforderungen der ISO 31000 entspricht.

Ihre Erfahrungen mit der Risikoanalyse

Ich bin gespannt, welche Erfahrungen Sie mit der Durchführung einer Risikoanalyse bisher gemacht haben. Wo sehen Sie die Stolpersteine? Was geht Ihnen im Risikoprozess einfach von der Hand? Lassen Sie uns in einem Kommentar an Ihren Erfahrungen teilhaben.

Unterstützung in Sachen Risikomanagement

Gerne unterstützen wir Sie natürlich mit Workshops vor Ort oder Onlinemeetings bei der Erstellung eines Risikomanagement-Prozesses oder auch in der Durchführung einer Risikoanalyse. Egal ob ISO 31000, ISO 9001 oder ISO 27001…. – kontaktieren Sie uns: info@datenbeschuetzerin.de

Wie hilfreich war der Artikel?
Danke!
Regina Stoiber

Seit über 10 Jahren bin ich nun im Bereich Informationssicherheit und Datenschutz tätig. Mit Begeisterung für das Thema bin ich seit einigen Jahren nun selbständig. Ich unterstütze Sie, beim Schützen Ihrer Daten. Praxisorientiert, strukturiert und persönlich.

3 Comments on “Risikoanalyse durchführen – mit Muster / Vorlage und Beispiel

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

f