Start » Risikoinventar und Risikomatrix (Teil 2/3) | #54
Risikoinventar und Risikomatrix

Kunden berichten immer wieder, dass ein Zertifizierungsauditor eine Risikomatrix sehen wolle und fragen, was er damit meine. Der Weg zur Risikomatrix und die anschließende Verwendung ist der Schwerpunkt dieses Artikels.

„Das war starker Tobak“, lautete eine Rückmeldung zum ersten Teil, „Strategie für Ihr Risikomanagement“. Ja, das waren ausführliche Gedanken, von denen so mancher Leser und auch Besucher des QM-Tutorials bezweifelte, sie in die Praxis umsetzen zu können. Früher oder später kommen Sie zu diesen Gedanken, denn es geht um die wörtlich zu nehmende Frage: „Was kann ich mir als Risiko leisten?“

Vielleicht wird es heute für Sie ein wenig praktischer, aber das Thema bleibt komplex.

Risiken identifizieren: Risikoinventar erstellen

Nachdem Sie in Ihrem Unternehmen festgelegt haben, ab wann etwas ein Risiko ist (und sonst „nur“ ein zu vermeidender Fehler), sammeln Sie Risiken. Egal, ob diese bedrohlich oder nur von geringer Bedeutung für Sie sind. Das Sammeln kann sowohl analytisch als auch kreativ (Brainstorming) erfolgen. An der Stelle kann ich Sie nur ermuntern: Sammeln Sie so viel wie möglich. Wenn Sie mit dem Sammeln fertig sind, fassen Sie zusammen, was zusammen gehört. Weiteres Reduzieren erfolgt erst im nächsten Schritt.

Legen Sie ein Inventar an, was sich mit einer Excel-Datei sehr gut umsetzen lässt:

Risikoinventar

Abb. 1: Risikoinventar

Dieses Risikoinventar wird zu Ihrer zentralen Datei und mit der Zeit ständig mit Informationen erweitert. Eröffnen Sie die Tabelle mit drei Spalten: Nummerierung (ID), (Kurz-)Name und einer Beschreibung. Wenn die Liste wächst, ist die Beschreibung eine gute Stütze, die Risiken zu differenzieren und nachvollziehbar darzustellen. ID und Name sind für Visualisierung in der Matrix und dem Sprachgebrauch wichtig.

Risikorelevanz bestimmen: Gewichtung der Risiken

Ob etwas sinnvoll ist und noch in der Liste bleibt, entscheidet nicht die Überlegung, die Liste könne zu lang werden. Sie haben eine Risikotragfähigkeit festgelegt, die als Maßstab gilt. Dementsprechend bauen Sie nun eine Skalierung auf, mit der Sie Relevanzklassen bestimmen.

Risiko

Abb. 2: Risikoinventar

Gängige Unterscheidungen in der Relevanzklasse sind Begriffe wie „katastrophal“, „kritisch“, „gering“, „unwesentlich“ usw.

Was wäre wenn: Risiken bewerten

Die Relevanzklasse ist ein Kriterium. Weiterhin interessant sind das Schadensausmaß und die Wahrscheinlichkeit des Eintretens.
Beim Schadensausmaß bzw. Schadenserwartungswert müssen auch Folgekosten bedacht werden. Im Beispiel des Datenverlustes (siehe Abbildung 2) ist der Verlust schätzbar, der durch nicht umsetzbare Aufträge entsteht. Hinzu kommen vielleicht noch Vertragsstrafen und potenziell verlorene Folgeaufträge.

Die Eintretenswahrscheinlichkeit lässt sich prozentual oder verbal ausdrücken. Gängige Einstufungen sind hier „häufig“, „wahrscheinlich“, „gelegentlich“ usw.

Alternative: Mit der Risikoprioritätszahl arbeiten

Eine sehr gute Alternative zu den beiden Schritten Gewichtung und Bewertung ist die Risikoprioritätszahl (RPZ). Sie wird im Rahmen der FMEA (Failure Mode and Effect Analysis) praktiziert und dürfte vielen von Ihnen bekannt sein. Die Skalierung wird durch die Skala 1 bis 10 von den Faktoren Auftretenswahrscheinlichkeit, Bedeutung (oder Schwere) und Entdeckungswahrscheinlichkeit errechnet.

Wenn Sie mit der RPZ arbeiten, haben Sie auch einen Maßstab, ab wann Maßnahmen ergriffen werden müssen. Es kann maximal der Wert 1.000 errechnet werden. Die Grenze zum Ergreifen von Maßnahmen liegt im Schnitt bei 100. Diese Grenze können Sie mit der Risikotragfähigkeit gleichsetzen. (Aber bitte nur in diesem Kontext und nicht im Rahmen der FMEA.)

Ich habe die Erfahrung gemacht, dass viele QM-Praktiker sehr gerne mit der RPZ arbeiten. Dagegen ist nichts einzuwenden. Eine Geschäftsführung, die mit der Methode vertraut ist, versteht das Vorgehen auch. Ist die Methode weniger bekannt, ist eine sprichwörtliche Übersetzung notwendig. Daher mein Hinweis, die Risikotragfähigkeit zu bedenken, die eher monetär ausgedrückt wird.

Übersicht mit der Risikomatrix

Bringen Sie Farbe ins Spiel! Eingangs erwähnte ich die Risikomatrix, weil Auditoren vielleicht danach fragen. So sieht sie aus:

Risikomatrix

Abb. 3: Risikomatrix

Die einzelnen Risiken werden darin gemäß Ihrer tabellarischen Zuordnung eingetragen (ID reicht). Somit werden Anhäufungen von Risiken in den einzelnen Feldern deutlich.

Zur RPZ: Der übliche Einsatz der RPZ sieht nur die Linie vor, ab wann Maßnahmen ergriffen werden müssen. Das wäre hier die Linie zwischen grün und gelb. Die Linie zu rot (vermeiden) ist im RPZ-Konzept nicht bedacht.

Zusammenrechnen: Ermitteln Sie das Bruttorisiko

Manchmal wird ein Risiko fokussiert, weil es gerade einen gewissen Aktualitätswert hat. Es ist jedoch sehr gefährlich, andere Risiken dafür aus dem Auge zu verlieren. Hier sollten Sie eine schockierende Rechnung aufstellen: Was kostet es, wenn alle Risiken auf einen Schlag eintreten? – Addieren Sie alle Schadenserwartungswerte.

Das ist keine bloße Schwarzmalerei. Tatsächlich fördert das Eintreten des einen Risikos das Eintreten eines anderen, weil es kausale Zusammenhänge gibt.

Risiken steuern: Maßnahmen einleiten

Bei den grün markierten Risiken haben Sie entschieden, sie zu akzeptieren, weil die Chance größer ist. Die roten Risiken vermeiden Sie, d. h. hier ist die andere Seite der Medaille, die Chance, zu gering. Gegen die gelben Risiken leiten Sie Maßnahmen ein, damit Sie weiterhin Chancen nutzen können. An der Stelle greift übrigens das Normenkapitel 6.1 „Maßnahmen zum Umgang mit Risiken und Chancen“. In Zukunft müssen Sie trotzdem Übersicht behalten, wozu Sie diese Matrix brauchen.

Nachdem Sie Maßnahmen vorgesehen haben, können Sie schätzen, auf welche Summe Sie den Risikowert reduzieren können.

Risikoinventar

Abb. 4: Risikoinventar

Wenn Sie die Spalte H nun addieren, erhalten Sie den Nettorisikowert („Restrisiko“). Es ist unwahrscheinlich, solch ein Risiko auf null zu reduzieren, aber Sie können es erheblich mindern. Damit entsteht ein Wert, der im Vergleich zum Bruttowert akzeptabel ist. Hinzu kommt noch, dass die Wahrscheinlichkeit des Eintretens reduziert wird.

Zur RPZ: Die Regel der RPZ lautet: Nach Ergreifen von Maßnahmen sollte die erneute Berechnung der RPZ einen Wert ergeben, der mindestens 50 Prozent niedriger als die alte ist. Die Denkweise entspricht diesem Vorgehen.

Im Auge behalten: Risikocontrolling

Es sind hier zwei Dateien entstanden, die Sie nun regelmäßig nutzen sollten: Risikoinventar und Risikomatrix. Der Einfachheit halber habe ich beide Dateien in eine Excel-Datei gepackt, die Sie herunterladen können.

Zum Risikocontrolling muss festgelegt sein, wer diese Tabellen in Zukunft wie oft pflegt. Die oberste Leitung muss sie regelmäßig (Managementbewertung) einsehen, um auf Veränderungen zu reagieren oder aufgrund von neuen Erfahrungen Werte darin zu verändern.
„Regelmäßig“ ist ein dehnbarer Begriff. Legen Sie für Ihr Unternehmen ein sinnvolles Intervall fest. Zumindest anlässlich der Managementbewertung sollte nicht nur das Datum der Datei aktualisiert werden, sondern eine inhaltliche Auseinandersetzung folgen.

Zusammenfassung Teil 2

  • Nutzen Sie die Datei Risikoinventar, um einen detaillierten Überblick über sämtliche Risiken zu haben
  • Visualisieren Sie in der Risikomatrix die Ergebnisse
  • Ergreifen Sie planmäßige Maßnahmen in den Prozessen zu gelben Risiken
  • Überwachen Sie Risiken aller Farben hinsichtlich Veränderungen

Foto © Paolo Perantoni

QM-Tutorial zu Risikomanagement


Weitere Artikel zum Risikomanagement

2 Kommentare zu „Risikoinventar und Risikomatrix (Teil 2/3) | #54“

  1. Lässt sich denn die Risikorelevanz so leicht bestimmen? Vor einiger Zeit besuchte ich mit einer Freundin einen Managementkurs. Wir hatten unsere Schwierigkeiten als FMEA Moderatoren in unserem Unternehmen alle Risiken und vor allem alle Zahlen bewerten und benennen zu können. Die Relevanz wiederum ist ein ganz anderer Bereich. Vielleicht kommt das aber auch erst mit der Übung.

    1. Der Anspruch an FMEA-Moderatoren ist sicherlich hoch, es ist jedoch nicht seine Aufgabe Risiken und Kennzahlen zu bewerten, sondern zu moderieren (also die Methode zu kennen). Risikorelevanz kann nur die oberste Leitung letztlich „absegnen“.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen