Inhaltsverzeichnis
Normalerweise wird die Risikobewertung im Rahmen des Krisenmanagement-Prozesses nicht als eigenständige Phase betrachtet, sondern eher als Teil der Prävention. Dennoch ist die Risikobewertung als Grundlage für ein erfolgreiches Krisenmanagement wichtig, denn um eine Krise zu entschärfen oder gar verhindern zu können, muss man die Risiken zunächst einmal kennen. Auch in anderen Bereichen des Krisenmanagement-Zyklus, den wir bereits in Teil 2 unserer Blogserie kurz kennengelernt haben, spielt Risikobewertung eine entscheidende Rolle.
So ergibt es ebenso wenig Sinn, sich wahllos auf irgendwelche Risiken vorzubereiten, wie z.B. zu versuchen, Monitoring- und Frühwarnsysteme für alle existierenden Risiken aufzubauen. Selbst bei der Krisenbewältigung liefert die Risikobewertung nicht nur Informationen über ein eingetretenes Risiko, sondern weist auch auf damit verbundene Risiken hin. Diese können - wenn sie nicht in der Bewältigungsstrategie berücksichtigt werden - zu unerwünschten Kaskaden- oder Nebeneffekten führen. Später in der Erholungs- und Wiederaufbauphase liefert die Risikobewertung Informationen über die richtige Zuweisung von Mitteln. Das Lernen nach einer Krise, Katastrophe oder einem Notfall ist wiederum das Element, das in die zukünftige Risikobewertung einfließt. Insgesamt ist die Risikobewertung also für das Verständnis und den Umgang mit dem Krisenmanagement unerlässlich.
Kommen wir zu den Einzelheiten.
Risikobewertung (Risk Assessment)
Was versteht man unter Risikobewertung? Allein schon das damit verbundene Vokabular ist äußerst verwirrend. Ob Risikobewertung, Risikoanalyse, Risikobeurteilung oder Risikomanagement, es scheint keinen Konsens darüber zu geben, was mit den Begriffen genau gemeint ist. In der Tat werden sie oft mit unterschiedlichen Bedeutungen synonym verwendet.
Trotz dieser Ambivalenz ist der Bereich der Risikobewertung in den letzten Jahren zum Gegenstand autorisierter Normungsgremien, vor allem der ISO, geworden. Die sogenannte ISO 31000-Normenfamilie ist das Kernstück dieser Bemühungen zur Normung. Ein wichtiges Merkmal des ISO-Ansatzes ist, dass er darauf abzielt, einen multidisziplinären und generischen Prozess abzubilden, der nicht auf eine bestimmte Art von Organisation bezogen ist, sondern bereichsübergreifend verwendet werden kann.
Gemäß ISO 31000 ist Risikomanagement das übergeordnete Konzept, welches sich auf alle koordinierten Aktivitäten zur Steuerung und Kontrolle einer Organisation im Hinblick auf Risiken bezieht. Die Norm ist dynamisch konzipiert, sie wiederholt sich und reagiert auf Veränderungen. Erreicht wird dies durch die ISO-Praxis, wonach Normen immer nach einigen Jahren einer regelmäßigen Überprüfung unterzogen werden. Dennoch bietet die ISO 31000-Normenfamilie nur einen allgemeinen Rahmen für die Risikobewertung (und das Risikomanagement) und sollte immer auf die spezifischen und vielfältigen Bedürfnisse der jeweiligen Organisation zugeschnitten werden.
Kommen wir nun zu einer der grundlegendsten Fragen des Risikomanagements:
Was sind Risiken?
Als Risiko bezeichnet man den kumulativen Effekt der Wahrscheinlichkeit ungewisser positiver oder negativer Ereignisse. Was bei dieser Definition auffällt, ist, dass ein Risiko nicht ausschließlich negativ besetzt sein muss. Der ISO-Ansatz zum Risikomanagement stimmt mit diesem dualen Verständnis von Risiko als Bedrohung und Chance überein. So gilt Risiko auch im ISO-Sprachgebrauch als ”Auswirkung von Unsicherheit auf Ziele”, die entweder negativ, positiv oder beides sein können (ISO 31000:2018). Das Zitat des amerikanischen Wirtschaftswissenschaftlers Paul Romer “A crisis is a terrible thing to waste.” passt gut in diesen Kontext. Es kann also sinnvoll sein, bei der Definition von Risiken, auch die potenziell positiven Konsequenzen zu berücksichtigen.
Mathematisch wird Risiko als Kombination aus Wahrscheinlichkeit und Gefahr so ausgedrückt:
Wie werden Risiken festgestellt?
Die Bewertung von Risiken umfasst die Bereiche Risikoidentifikation, Risikoanalyse und Risikobeurteilung. Bevor eine Organisation mit der Risikoidentifizierung beginnt, muss zunächst der Kontext bzw. das Risikoumfeld definiert werden. Und zwar in Bezug auf die allgemeine Mission, auf Werte und Ziele sowie verschiedene externe und interne Einschränkungen, Wahrnehmungen usw. In dieser Phase sollten auch die Risikokriterien definiert werden.
- Risikoidentifikation: Risikoidentifikation beschreibt den Prozess zum Auffinden, Erkennen und Aufzeichnen von Risiken auf Grundlage historischer Daten. Es geht hier aber nicht um die reine Datensammlung, sondern auch darum, quantitative Daten mit qualitativen Daten zu kombinieren.
- Risikoanalyse: Bei der Risikoanalyse wird die Art der Risiken genauer erfasst und insbesondere das Risikoniveau bestimmt, indem die Wahrscheinlichkeiten und Konsequenzen für die identifizierten Risiken ermittelt werden.
- Risikobeurteilung: Hier werden die Ergebnisse der Risikoanalyse mit den Risikokriterien verglichen, um festzustellen, ob das Risiko akzeptabel oder tolerierbar ist. Außerdem werden die Risiken unter Berücksichtigung organisatorischer Ziele, regulatorischer Anforderungen, politischer, finanzieller und anderer Faktoren priorisiert, um eine ausgewogene Entscheidung über zukünftige Maßnahmen zu treffen.
Risikobewertung in der Praxis
Bis jetzt haben wir einen groben Überblick über die Hauptelemente des Risiko-Konzepts und der drei Phasen der Risikobewertung gewonnen. Aber wie wird die Risikobewertung in der Praxis durchgeführt? Dafür werfen wir einen kurzen Blick auf einige Techniken und Methoden.
Quantitative Techniken
Zu den quantitativen Techniken zählt die sogenannte Bow-Tie-Analyse. Diese kombiniert die Fehlerbaumanalyse (Fault Tree Analysis) und die Ereignisbaumanalyse (Event Tree Analysis) miteinander. Ersteres konzentriert sich auf die Analyse der Ursachen eines Risikofaktors und Letzteres auf die Folgen. Quantitative, retrospektive Daten und formelle Verfahrensprüfungen reichen jedoch nicht aus, um Risiken ausreichend zu identifizieren. Das liegt zum einen daran, weil zu erwartende Risiken ganz anders sein können als frühere Gefahren und man sie erst antizipieren muss. Zum anderen gibt es auch seltene Risiken, die zwar nie eintreten werden, jedoch schwerwiegender sein können. Außerdem ist es wichtig, neben einzelnen Risiken auch komplexe und mehrfach auftretende Risiken zu berücksichtigen, bei denen gleichzeitig nicht zusammenhängende Gefahren oder eine Kaskade von Krisen und Katastrophen auftreten. Komplexe Mehrfachrisiken sind jedoch auf der Grundlage von Statistiken und historischen Daten nur schwer abzuschätzen, da diese Daten nicht viele Belege dafür liefern, dass Tausende potenzieller und unerwarteter Zufälle, Abhängigkeiten und Interdependenzen auftreten können.
Qualitative Techniken
Um potenziell neue oder komplizierte Risiken zu identifizieren, ist es wichtig, neben den rein quantitativen Methoden auch qualitative Techniken zu verwenden. Dazu gehört ein sorgfältig strukturiertes Brainstorming, durchgeführt von einer kleinen Gruppe von Schlüsselpersonen, die über die erforderlichen Kenntnisse und Informationen auf Grundlage des gemeinsamen Risikobewertungskontexts verfügt. Experteninterviews und Selbsteinschätzung sind ebenfalls typische qualitative Techniken, die normalerweise auf halb strukturierten Vorlagen basieren. Risikofragebögen und Risikoerhebungen können von allen Arten von Zielgruppen verwendet werden, einschließlich externer und interner Stakeholder. Eine typische SWOT-Analyse (Stärken, Schwächen, Chancen und Bedrohungen) ist auch eine gute Technik, um Risiken zu identifizieren und auch die positive Seite der Risiken zu erkennen. Eine weitere nützliche Technik ist die sogenannte SWIFT-Analyse (“Strukturierte was-wäre-wenn-Technik”), die beispielsweise zur Veranschaulichung eines Brainstorming-Ansatzes untersucht werden kann.
Semiqualitative Techniken
Neben quantitativen und qualitativen Techniken gibt es auch sogenannte semiquantitative Techniken, die dafür werden verwendet, um die relative Risikoskala zu beschreiben. So kann Risiko z.B. in Kategorien wie “niedrig”, “mittel”, “hoch” oder “sehr hoch” eingeteilt werden. Die Anzahl der einzelnen Risikolevels kann zwischen 3 und 10 oder mehr variieren. In einem semiquantitativen Ansatz werden verschiedene Skalen verwendet, um die Wahrscheinlichkeit unerwünschter Ereignisse und ihrer Folgen zu charakterisieren. Weit verbreitete semiquantitative Methoden der Risikoanalyse sind z.B. Risikomatrix, Risikograph oder Risikoprioritätszahlen (DIN V VDE V 0831-101:2011). Da keins der drei Modelle in der Lage ist, alle Risiken zu erfassen, empfiehlt es sich, eine gute Mischung der genannten Techniken zu verwenden.
Risiko-Szenarien
Die Verwendung von Szenarien ermöglicht eine Konkretisierung der ermittelten Risiken und kann in allen Phasen der Risikobewertung verwendet werden. Im Grunde veranschaulichen Szenarien, wie ein ermitteltes Risiko in der Realität aussehen könnte. So kennen wir zwar die Zahl der Industrieunfälle in einem bestimmten Gebiet oder die Engpässe in einem Unternehmen, aber erst detailliertere Szenarien machen diese Informationen für eine umfassende Risikobewertung in der Praxis nutzbar. Die Szenario-Bildung dient auch als strategische Planungsmethode, bei der bekannte Fakten wie z.B. Zeit, Ort oder sozioökonomische Merkmale mit den wichtigsten Risikofaktoren kombiniert werden. Kriterien für Szenarien können beispielsweise der “beste Fall”, der “schlimmste Fall” und der “erwartete Fall” in Bezug auf eine Gefahr sein. Alternativ variiert man die Bedingungen eines Basisszenarios, um eine größere Anzahl von möglichen Entwicklungen abzudecken.
Risiko-Matrix
Wie oben definiert, ist das Risiko eine Kombination aus Folge und Eintrittswahrscheinlichkeit. Diese Funktion wird häufig in Form einer Risikomatrix dargestellt. Die im Bereich der Arbeitssicherheit bekannteste Risikomatrix ist die nach Nohl. Sie stellt das Risiko in tabellarischer Form dar, indem einzelne Gefährdungen unter Berücksichtigung der Wahrscheinlichkeit des Wirksamwerdens der Gefährdung und der möglichen Schadensschwere in eine von drei Risikostufen eingeteilt werden:
Kritiker dieser Risikomatrix bemängeln, dass die Einzelrisiken nur punktuell dargestellt würden, während Wechselwirkungen zwischen den einzelnen Risiken unbeachtet blieben. Denn die auftretenden Gefahren und Sicherheitsrisiken in Unternehmen seien meist weitaus komplexer als es sich in einer binomialen Matrix darstellen ließe. Zudem impliziere die Darstellung, dass es primär darum gehe, die Eintrittswahrscheinlichkeit für einen bestimmten Schaden auf ein erträgliches Minimum zu begrenzen. Tatsächlich geht es aber darum, das Ereignis, was den Schaden überhaupt erst hervorruft, zu vermeiden, nicht den Schaden selbst. Trotz der Probleme, die die Risikomatrix mit sich bringt, bleibt sie ein leistungsfähiges Instrument zur Visualisierung oder zur Entscheidungsfindung, wenn sie von sorgfältigen Erläuterungen zu den darin enthaltenen Beurteilungen begleitet wird.
Risiken erkannt. Was nun?
Fassen wir kurz zusammen, was wir bisher erfahren haben: Die Risikobeurteilung trägt unter anderem zur Sensibilisierung für Risiken bei. Ohne angemessene Risikobewertung kann kein Unternehmen die Risiken seiner betrieblichen Tätigkeiten bewältigen. Erst wenn diese identifiziert und quantifiziert werden, ist es möglich, korrekte Entscheidungen zu treffen und Schutzmaßnahmen zu planen. Zahlreiche Methoden und Techniken erleichtern die Erkennung von Risiken. Wurden die Risiken identifiziert und daraus Schlussfolgerungen abgeleitet, können die für die vorliegende Situation passenden Maßnahmen geplant werden. Welche das sind, erfahren Sie in der nächsten Folge unserer Blogserie “Was ist Krisenmanagement”, Teil 4. Krisenprävention.
Meistern Sie Krisen mit einem einfachen Tool!
Bildquellen: GroupAlarm