Risiko Management

Vorwort

Dieses Dokument stellt eine Synthese aus Informationen aus Fachliteratur, Wikipedia und aus eigenen Erfahrungen dar. Es soll einer allgemeinen Einführung in das Thema Risiko-Management dienen und erhebt keinen Anspruch auf Vollständigkeit und Fehlerfreiheit.


Allgemeines zum Risiko

Risiko ist kein Ergebniss der Neuzeit: Unternehmen, Organisationen und Individuen (dazu gehören natürlich auch alle Lebewesen) mussten von Beginn an Risiken aller Art bewältigen.

Ein Risiko (von arabisch rizq, der von Gottes Gnade oder Geschick abhängige Lebensunterhalt) ist die kalkulierte Prognose eines möglichen Schadens bzw. Verlustes im negativen Fall (Gefahr) oder eines möglichen Nutzens bzw. Gewinns im positiven Fall (Chance).

(Man kann Risiken aber auch aus dem Weg gehen. Das Antonym zu 'Risiko' ist 'Sicherheit')

In der Umgangssprache erscheint 'Risiko' oft gleich bedeutend mit Gefahr ('gefühlte Gefahr'). Häufig gibt es mehrere Risiken gleichzeitig, und ein Problem bei der Bewertung eines Risikos ist, dass es sich nicht nur um ein mögliches Ereignis handelt.

Oft auch besteht die Tendenz, wesentliche Risiken zu vernachlässigen und nur das nächstliegende zu betrachten. Ist das Risiko so klein, dass es als vernachlässigbar betrachtet wird, so wird es oft "Restrisiko" benannt.

Fehleinschätzungen von Risiken können jedoch immer auch zu sehr negativen Folgen (Katastrophen) führen. Zitat: "Wer wagt, gewinnt - ausser er verliert".

Was als Schaden oder Nutzen aufgefasst wird, hängt von den Wertvorstellungen ab. Deshalb kann Risiko auch als Bedrohung eines Wertes für jemanden durch einen Sachverhalt (wie z. B. Naturereignisse) oder eine Handlung definiert werden.

Ein Risiko ist die Wahrscheinlichkeit des Eintretens eines negativen Ereignisses (mathematisch) oder die Wahrscheinlichkeit des Eintretens eines negativen Ereignisses multipliziert mit dem finanziellen Ausmass (BWL).


Risikowahrnehmung

Risikowahrnehmung bezeichnet den Prozess der Beurteilung von Sachverhalten auf dem Hintergrund der Wahrscheinlichkeits- und Wirkungsdimensionen eines gegebenen Risikos und ist ein Gegenstand psychologischer Forschung.

Aus kognitiver Perspektive ist Risikowahrnehmung innerhalb des Problemfelds „Entscheidungen unter Unsicherheit“ als eine je nach dem mehr oder weniger nahe liegende und schliesslich auch handlungsorientierende Komponente zu verstehen.

Aufgrund der Ubiquität von Entscheidungssituationen unter Unsicherheit, insbesondere aber auch aufgrund der Marktfähigkeit diesbezüglich konkurrierender Zusagen, ist Risikowahrnehmung allerdings insofern auch ein soziologisches Problemfeld, als dass der kollektive Reflektionsprozess über die Zeit gesehen gesellschaftliche Interessen in Bezug auf entsprechende Wahrnehmungsinhalte oder -gegenstände formt.

Problemstellungen werden auch in Abhängigkeit von gesellschaftlich tradierte Mustern sowie deren Bedingungen und Konsequenzen bewertet.

Zudem sind die Voraussetzungen und Konsequenzen von Entscheidungen unter Unsicherheit, und damit auch die Bedeutungsstrukturen der Risikowahrnehmung in ihrer konkreten Form jeweils kulturell bedingt.

Daraus ergibt sich, dass, um einen möglichst allgemeingültigen Prozess zur Risikoabschätzung und -bewertung definieren zu können, eine Einbindung von Mitwirkenden aus unterschiedlichen Kultur- und Gesellschaftskreisen mit unterschiedlichen sozialen Hintergründen erforderlich ist.


Risiko in der Soziologie

In der Soziologie wird der Begriff des Risikos benutzt, wenn eine Entscheidung unter der Unterscheidung Wissen/Nichtwissen beobachtet wird. Der soziologische Risikobegriff ist damit immer an Entscheidungen und deren Folgenerwartungen verschiedener Akteure gebunden.


Regenschirmrisiko

Berühmt ist Luhmanns Beispiel des Regenschirmrisikos:
"Wenn es Regenschirme gibt, kann man nicht mehr risikofrei leben: Die Gefahr, dass man durch Regen nass wird, wird zum Risiko, das man eingeht, wenn man den Regenschirm nicht mitnimmt. Aber wenn man ihn mitnimmt, läuft man das Risiko, ihn irgendwo liegenzulassen. “(aus: Niklas Luhmann, Die Moral des Risikos und das Risiko der Moral)


Risiko als Bedingung für Freiheit

Gemäss dem englischen Mathematiker und Philosophen John G. Bennett macht erst die Möglichkeit des Versagens die Dinge "wirklich". So ist echte Freiheit nach Bennett nur in nicht-determinierten Lebenssituationen denkbar, deren möglicher Ausgang also tatsächlich offen steht.

Diese Fälle, deren besondere Eigenart er mit dem Vorhandensein von "Hasard" beschreibt, ermöglichen aufgrund dieses vollständig undeterminierten Moments dem Individuum eine tatsächliche freie Willensentscheidung - beinhalten also ein wirkliches Risiko.


Risiko in der Statistik

In der Entscheidungstheorie bezeichnet Risikoaversion die Eigenschaft eines Entscheiders, dass dieser bei der Wahl zwischen mehreren Alternativen mit gleichem Erwartungswert, die Alternative mit dem geringstem Risiko bezüglich des Ergebnis bevorzugt.

Die Wahrscheinlichkeit ergibt sich aus dem Verhältnis der vermuteten Schadensfälle zu den insgesamt möglichen Fällen.

So ist das Risiko mit einem Würfel eine 4 zu werfen, 1 von 6 bzw. 1 zu 5. Falls mit der 4 ein Verlust verbunden ist, entspricht dies der Gefahr, wird hingegen mit der 4 ein Gewinn erzielt, so spricht man von Chance (Chance nur im positiven Sinn).

Gefahr und Chance sind hier also Komplementärbegriffe. Ersterer kalkuliert die Wahrscheinlichkeit eines Schadens bzw. Verlustes, letzterer die Wahrscheinlichkeit eines Nutzens bzw. Gewinns.

Die kartesianische Wahrscheinlichkeit setzt die vermuteten zu den möglichen Fällen ins Verhältnis und liegt somit zwischen Null und Eins. Für obiges Beispiel beträgt sie 1 / 6 = 0,1666. Oft besteht das Risiko in einem Schaden oder einem Verlust. Das negative Ereignis des einen kann durchaus von Nutzen für den anderen sein.


Risiko in der Entscheidungstheorie

Die Entscheidungstheorie differenziert das Verhalten eines Entscheiders im Angesicht einer Risiko-Situation.

  • Risikoaversion oder Risikoscheu bezeichnet die Eigenschaft eines Entscheiders, dass dieser bei der Wahl zwischen mehreren Alternativen mit gleichem Erwartungswert (= Eintrittswahrscheinlichkeit x Nutzenhöhe) die Alternative mit dem geringsten Risiko bezüglich des Ergebnisses bevorzugt. Der risikoscheue Entscheider bevorzugt also einen möglichst sicheren Gewinn, auch wenn dieser klein ausfällt.

  • Risikoneutralität bedeutet, dass ein Entscheider bezüglich des Risikos indifferent ist. Das heisst, dass er seine Entscheidung allein anhand des Erwartungswertes trifft und das blosse Risiko nicht in seine Entscheidung mit einbezieht.

  • Risikosympathie oder Risikofreude bezeichnet die Eigenschaft eines Entscheiders, dass dieser bei der Wahl zwischen mehreren Alternativen mit gleichem Erwartungswert die Alternative mit dem höchsten Risiko bezüglich des Ergebnisses - und damit auch dem höchsten Gewinn - bevorzugt. Der risikofreudige Entscheider bevorzugt einen möglichst hohen Gewinn, auch wenn unsicher ist, ob er ihn bekommt.


Risiko in der Ingenieurwissenschaft (z.B. Funktionale Sicherheit)

Sicherheitsingenieure bezeichnen mit "Risiko" das Produkt von "Eintrittshäufigkeit" und "Ereignisschwere" bzw. "Schadensausmass"; hier treten schwierige Ermittlungs- und Quantifizierungsprobleme auf und erfordern ein qualitatives Verfahren zur Risikoabschätzung.

Risiko = Eintrittshäufigkeit * Schadensausmass

Die Eintrittshäufigkeit bezeichnet dabei die Häufigkeit, mit der ein Ereignis innerhalb eines bestimmten Zeitintervalls eintritt. So bedeutet z.B. 0.01 Ereignisse pro Jahr, dass im Mittel mit einem Schadensereignis in 100 Jahren zu rechnen ist.

Die Einheit des Schadensausmasses hängt vom jeweiligen Sachgebiet ab. Es können finanzielle Werte sein (€), aber auch Tote oder der Totalverlust eines Flugzeuges. Nicht jedes Schadensmass lässt sich mit Geld quantifizieren. Eine Bewertung ist immer subjektiv und in der Regel domänenspezifisch.


Risikomanagement

Unter Risikomanagement versteht man den planvollen Umgang mit Risiken. Bevor jedoch ein planvoller Umgang mit Risiken stattfinden kann ist es für ein Unternehmen von existenzieller Bedeutung, den Gesamtumfang aller Risiken, also das Gesamtrisiko, zu ermitteln. Zu diesem Zweck ist eine Risikoaggregation unerlässlich.

Das Risiko lässt sich minimieren, wenn man bestimmte Bedingungen einhält, beispielsweise den Arbeitsschutz, vorgeschriebene Sicherheitsmassnahmen, Materialeigenschaften, Höchstgeschwindigkeiten, etc. Ausserdem kann man durch geeignete Ressourcenverteilung das Risiko eines Verlustes minimieren.


Einführung Risiko-Management

Im Risiko-Management werden geplant Risiken analysiert, bewertet, die Entscheidung bezüglich Massnahmen und Strategien zur Behandlung und Abwehr bzw. Minimierung von Risiken getroffen und die Performace der Massnahmen hierzu überwacht. Dabei kann es sich um allgemeine unternehmerische Risiken handeln oder um spezielle finanzielle Risiken.

Auch technische Risiken können, b.z.w. werden in einem Managementsystem behandelt. Dies ist z. B. Bestandteil des Arbeitsschutzes bzw. Arbeitsschutzmanagement. Im geringen Masse spielen sie auch beim finanzbezogenen Risikomanagement eine Rolle.

So beziehen sich einige Fragen des Fragenkatalogs von Basel II auch auf technische Risiken, wie z. B. Risiken des Herstellungsprozesses und der Arbeitssicherheit!

Das Risikomanagement spielt im Versicherungsmarkt und als Vorstufe zur Versicherung eine zentrale Rolle.

Risikomanagement umfasst:

  • Festlegungen von Zielen auf Basis der Vision und Strategie der Organisation
  • Definition von Werttreibern oder kritischen Erfolgsfaktoren zur Erreichung von Zielen
  • Festlegung einer Risikomanagement-Strategie
  • Identifikation von Risiken (im Finanzrisikomanagement mit „Exposure-Ermittlung” bezeichnet)
  • Bewertung/Messung von Risiken
  • Bewältigung von Risiken
  • Steuerung
  • Monitoring, also Früherkennung.

Grundsätzlich beginnt Risikomanagement in dem Moment, in dem eine Vision, ein Wunschbild der zukünftigen Realität entsteht. Denn die Chancen, die man dazu wahrnehmen muss, werden durch Unwägbarkeiten gefährdet. Ohne konkrete Ziele lassen sich keine Abweichungen messen.

Die Wahl der Strategie ist im Wesentlichen abhängig von der Einstellung (risikoavers, risikoneutral oder risikofreudig) gegenüber einem Vorhaben.


Erfassung

Die Identifikation von Risiken kann z. B mittels Szenario-Technik, Post-mortem-Analyse, Expertenbefragungen, Checklisten, Kreativitätstechniken oder einfach durch offene und ehrliche Kommunikation erfolgen.

Eine Möglichkeit für die Messung von Risiken sind Risikokennzahlen wie z.B. VaR (Value at Risk). Eine Bewertung kann auch durch Expertenurteil erfolgen. Zur Darstellung kann eine Risikomatrix verwendet werden, die die Eintrittswahrscheinlichkeit eines Risikos seinen Folgen bzw. Schäden gegenüberstellt.

Um die Auswirkung der einzelnen Risiken auf das Unternehmen darzustellen, ist eine Risikoaggregation erforderlich, die mittels Simulation den Gesamtrisikoumfang und damit z.B. den Eigenkapitalbedarf zur Risikodeckung berechnet.

Bei der internen Erfassung sind Kreditinstitute grundsätzlich frei. Bei der Erfassung für den externen Adressaten sind die Kreditinstitute allerdings an die Vorgaben der Bankenaufsicht/BaFin im Grundsatz 1 gebunden.


Steuerung

Grundsätzlich gibt es fünf unterschiedliche Risikosteuerungsstrategien:

  • Risikovermeidung, z. B. durch Verzicht auf ein Geschäft oder Aufgabe eines Geschäftsfelds
  • Risikoübertragung und -überwälzung z. B. auf Marktpartner (Outsourcing) oder Versicherungen
  • Risikoverminderung, z.B. Risikodiversifikation
  • Risikoakzeptierung, z.B. Kompensation durch Dotierung er Risikovorsorge
  • Risikobeseitigung, z.B. durch Abstellen eines organisatorischen Mangels

Ziel des Risiko-Monitoring ist es, die erkannten Risiken zu beobachten und zu verfolgen.


Typische Probleme im Risikomanagement

Risikomanagement wurde nicht erst seit BASEL-II, dem KonTraG oder dem Sarbanes-Oxley Act erfunden.

Allerdings führten Börsencrash und die unzähligen Skandale zu einem 'neu' erfundenen Risikomanagement mit negative Konsequenzen: Die überbordende Bürokratie, eine Flut streckenweise überflüssiger, pseudowissenschaftlicher Literatur und die Stärkung einer dem kooperativen Führungsstil zuwiderlaufende Unternehmenskultur der lückenlosen Kontrolle und

Die grössten Risiken in den Organisationen sind immer die Handelnden selbst, weil sie die Änderungen der Umwelt (Marktrisiken, Umweltrisiken, technologische Risiken) nicht rechtzeitig sehen können oder sehen wollen. Je grösser ihr Handlungsspielraum ist, desto höher ist auch das Risiko.

Da die Stabsstellen, die in heutigen Unternehmen für Risikomanagement, aber auch „Interne Revision“ und „Corporate Governance“ zuständig sind, können, sondern eben diesen Handelnden dienen, ist ihre Einflussmöglichkeit, zumindest in entscheidenden Fragen, eher als gering zu bewerten.

Dies gilt insbesondere dann, wenn die Verantwortlichen die 'Bodenhaftung' verloren haben oder in die eigene Tasche wirtschaften.

Im praktischen, betrieblichen Risikomanagement sind die Hauptprobleme

  1. Die realistische Bewertung von Risiken, die fast immer auf subjektiven Annahmen beruht
  2. Die Festlegung von sinnvollen Frühwarnindikatoren zur Überwachung von identifizierten Risikopotentialen


Aufzählung mathematischer Grössen im Risikomanagement

  • Rendite
  • Performance (Risikomanagement)
  • Gewinn
  • Arithmetische Rendite
  • Geometrische Rendite
  • Annualisierte Rendite
  • Stetige, logarithmierte Rendite
  • Volatilität
  • Mittelwert, Erwartungswert
  • Varianz
  • Standardabweichung
  • Korrelationskoeffizient
  • Value at Risk.


Rechtliche Aspekte

Nach KonTraG sind AGs in Deutschland gesetzlich zur Risikofrüherkennung, einem Teilbereich des Risikomanagements, verpflichtet, um den Erhalt des eigenen Unternehmens sicherzustellen.

Dies gilt heute anerkanntermassen auch für andere Unternehmensformen und -grössen und insbesondere für GmbHs ( § 43 I und II GmbHG - wobei § 43 II in Bezug auf das Risikomanagement so ausgelegt wird, dass der GmbH-Geschäftsführer die ausgewiesenen Pflichten des § 91 II AktG erfüllen muss).

Die Prüfung des Risikofrüherkennungssystems nach §317 Abs. 4 HGB durch die Abschlussprüfer richtet sich dabei vornehmlich an dem IDW Prüfungsstandard 340 (IDW PS 340) aus.

Bei der Früherkennung von Risiken ist zu unterscheiden nach „bestandsgefährdenden Risiken“ - mit einer 12 Monatssichtweise - und - mit einer 24 Monatssicht - den „Risiken, die Auswirkungen auf die Ertrags-, Finanz- und Vermögenslage“ des Unternehmens haben. Damit fallen auch Risiko-Betrachtungen und -Management in Projekten eindeutig in diese Kategorie.


Basel II

Hier werden zur Risikoanalyse für die Kreditvergabe durch Banken neben finanziellen Aspekten auch technische Risiken eines Unternehmens im Fragenkatalog berücksichtigt.


Sarbanes-Oxley Act

International finden sich ähnliche rechtliche Anforderungen beispielsweise im Sarbanes-Oxley Act, einer Rechnungslegungsvorschrift für Unternehmen, die an US-Börsen gelistet sind. Risikomanagement ist eine Komponente des im Sarbanes-Oxley Act geforderten IKS.


ISO 31000

Seit 2009 gilt die ISO 31000-2009 weltweit als Norm für Risikomanagement und dieses ist eine Führungsaufgabe des leitenden Managements. Damit entfallen die immer wieder aufkommenden Diskussion über Verantwortlichkeiten in den unteren Leitungs-Ebenen, da hier, wie auch in der Norm für das QM, die ISO 9000, die Verantwortung des leitenden Managements betont wird. Dazu gehört auch die Bekanntmachung und die Überwachung der Anwendung und Einhaltung geltender Verfahren, Normen und Gesetze.

Das Delegieren der Aufgaben an z.B. einem Risiko- und/oder QM-Manager enthebt die Geschäftsführung nicht von dieser Verantwortung, zumindest nicht, wenn sie nicht schlüssig nachweisen kann, dass sie Ihrer Verantwortung in Form von Bereitstellung erforderlicher Ressourcen (und dazu gehört auch die erforderliche Arbeits-Zeit), die Gewährleistung der Einführung von wirkungsvollen Prozessen und deren Anwendung sowie einer regelmässigen und nachhaltigen Überwachung/Kontrolle einschliesslich sich evtl. daraus ergebenden notwendiger Aktionen nachgekommen ist. Eine Überwachung erschöpft sich nicht darin, dass lediglich regelmässig erstellte Reports gelesen und abgezeichnet werden.


Spezielle Ausprägungen

Allgemein kann unterschieden werden zwischen

  • Quantitatives Risikomanagement:

    • Quantitative Risikomanagementmethoden nutzen überwiegend Finanz- und Versicherungsmathematische Methoden und Modelle zur Ermittlung der Höhe der Risiken.
    • Risiko wird in „Geld“ bewertet

  • Qualitatives Risikomanagement:

    • Qualitative Risikomanagementmethoden zeichnen sich dabei dadurch aus, dass sie eine weniger aufwändige Mathematik voraussetzen.
    • Risiken werden mit einer Risikomasszahl belegt, die nur die relative Risikohöhe der Risiken zueinander innerhalb eines abgeschlossenen Risikomanagementsystems beschreibt.

  • Erweitertes Risikomanagement (XRM) ist der Versuch, die verschiedenen Ansätze des Risikomanagements zu vereinen.


Risiko-Management-Methoden

Welche Risikomanagementmethode zum Einsatz kommt, hängt vor allem von den im Folgenden dargestellten Einsatzbereichen ab:

  • Im Finanzwesen (hier liegen auch die Ursprünge des Risikomanagements = RM)
  • In der Versicherungswirtschaft
  • In der Unternehmungsführung.
    Implementierung einer Risikomanagement-Organisation zur Steuerung von operationellen Risiken, welche die Kernprozesse gefährden. Dabei gilt der Grundsatz Prozess-Eigner = Risiko-Eigner. Unterstützt wird die RM Organisation durch eine unternehmensweite Risikoberichterstattung (Risk Reporting), welches, richtig eingesetzt, eine Frühwarnung ermöglicht.
  • Im Projektmanagement zur Minimierung von Prozess-Risiken.
    Typische Kern-Risiken (Prozessrisiken) im Projektmanagement sind z.B.:

    • Fehlerhafte Zeitpläne
    • Inflation von Anforderungen
    • Mitarbeiterfluktuation
    • Spezifikationskollaps
    • Ressourcen-“Overloading“
    • Geringe Produktivität
    • Gruppendruck / „group think“.

  • In der Informationstechnologie (z. B. im Rahmen von Disaster Recovery Planning und Business Continuity Management)
  • In der Entwicklung sicherheitskritischer Systeme und Produkte, um Produktrisiken zu minimieren (vgl. beispielsweise ISO-EN 61508 für elektrische und elektronische Geräte und Systeme)

Im Finanzwesen und in der Versicherungswirtschaft kommen hauptsächlich quantitative Risiko-Managementmethoden zum Einsatz.

In der Unternehmensführung erzwingt das KonTraG inzwischen seit 1998 von grossen Unternehmen und AGs ein quantitatives Risikomanagement (mit Risikostrukturdarstellung in der Bilanz).

Im Projektmanagement und weiten Bereichen der Informationstechnologie reicht normalerweise ein qualitatives Risikomanagementsystem aus


Ingenieurwissenschaften

Das Risikomanagement hat sich auch in den Ingenieurwissenschaften, z. B. bei der Entwicklung von sicherheitskritischen Systemen etabliert. Im Gegensatz zum klassischen Risikomanagement, welches primär auf die Minimierung von Prozessrisiken ausgelegt ist, versucht man bei der Entwicklung von sicherheitskritischen Systemen die Produktrisiken zu minimieren.

Unter Produktrisiken versteht man Gefährdungen, die zu Lasten des Kunden (Ausfall, Versagen, Tod, Zerstörung) und damit auch zu Lasten des Herstellers (Produkt-Haftung, Imageverlust, Wartungsaufwand) fallen können.

Mithilfe eines systematischen Risikomanagementprozesses soll sichergestellt werden, dass Produktrisiken bereits bei der Entwicklung identifiziert, bewertet, kontrolliert und überwacht werden.


Projektmanagement

Risikomanagement in Projekten beschäftigt sich mit allen Tätigkeiten, welche zur Verhinderung von oder zum Umgang mit ungeplanten Ereignissen beschäftigt, welche den Projektverlauf gefährden.

Es findet immer ein Abwägen der notwendigen Aufwände zur Risikominimierung oder des (mit der Eintrittswahrscheinlichkeit gewichteten) Schadens bei Risikoeintritt statt. Teilweise werden im Risikomanagement auch Themen des sog. Issuemanagement - also der Behandlung eingetretener und vorher nicht identifizierter Risiken behandelt.

Das PM Guide sieht hierfür sechs Hauptprozesse vor:

  • Risikomanagementplanung
    Hier werden die Verfahren festgelegt, mit denen die folgenden Risikoprozesse arbeiten. Hierzu gehören Identifikationsmethoden, Dokumentationsstrategien, Bewertungsstrategien und Verantwortlichkeiten.

  • Risikoidentifikation
    Während der Risikoidentifikation werden Risiken (potentielle Behinderungen) mit verschiedenen Methoden identifiziert und dokumentiert.

  • Qualitative Risikoanalyse
    Die identifizierten Risiken werden qualifiziert, hierzu gehört die Priorisierung auf Basis von Wahrscheinlichkeit des Eintretens und Auswirkungen auf den Projekterfolg.

  • Quantitative Risikoanalyse
    Danach erfolgt die quantitative Bewertung (in geldwerten Grössen) von Risikowirkung, Gegenmassnahmen und/oder erforderlichen Rückstellungen.

  • Planung zur Risikobewältigung
    Die Planung der Risikobewältigung ermittelt Gegenmassnahmen, um das Eintreten von Risiken zu minimieren oder die Auswirkungen der Risiken zu reduzieren.

  • Risikoüberwachung und - verfolgung
    Der Status der Risiken (meist in einer Risikoliste dokumentiert) und der Status der Gegenmassnahmen wird kontinuierlich überwacht.


Funktionale Sicherheit

Funktionale Sicherheit bezeichnet den Teil der Sicherheit eines Systems, der von der korrekten Funktion der sicherheitsbezogenen (Sub-)Systeme und externer Einrichtungen zur Risikominderung abhängt.

Die Aspekte der Funktionalen Sicherheit für elektrische oder elektronische (programmierbare) Systeme sind in der international gültigen Normenreihe IEC 61508 Funktionale Sicherheit beschrieben. Sie wird von der International Electrotechnical Commission (IEC) herausgegeben.

Anwendungsspezifischen Normen, die sich von der ISO EN 61508 ableiten, sind u.a die IEC 62061 für die Sicherheit von Maschinen, die IEC 61513 für den Nuklearbereich, die IEC 61511 für die Prozess-Industrie, die IEC 60601 + ISO 14971 für Medizinprodukte, die EN 50128/29 für die Eisenbahntechnik und die ISO 26262 für die Automobilindustrie.


Risiko-Management-Prozess

Die wesentlichen Schritte eines Risikomanagementprozesses bestehen aus den Phasen

  • Risikoanalyse
  • Risikobewertung
  • Risikominimierung
  • Risikokontrolle
  • Risikoverfolgung

Vor der Risikoanalyse wird ein Risikograph festgelegt, der die elementaren Parameter Eintrittswahrscheinlichkeit und Schadensausmass einem Akzeptanzbereich zuordnet. Während der Risikobewertung wird jede in der Phase Risikoanalyse identifizierte Gefährdung unter dem Aspekt Eintrittswahrscheinlichkeit und Schadensausmass bewertet. Damit landet jedes Risiko in einem Bereich des Risikographen.




Risikoanalyse

Die Risikoanalyse oder Gefahrenanalyse findet in allen Lebensbereichen Anwendung und stellt damit ein wichtiges Mittel zur Bewertung bestimmter Situationen, Vorhaben oder ähnlichem dar.

Risikoanalyse

Die Risikoanalyse wird wie folgt definiert:

  • In den Ingenieurwissenschaften als Aussage über Eintrittswahrscheinlichkeit und Schadenshöhe möglicher Risiken, zum Beispiel auch in der Computersicherheit
  • In der Betriebswirtschaft als eine Methode der Betriebswirtschaftslehre


Phasen der Risikoanalyse

  • Risikoidentifizierung
    Die Risikoanalyse wird wie folgt definiert: In dieser Phase geht es um die Lokalisierung von möglichen Risiken.
  • Risikobewertung
    • Die Risikobewertung umfasst die Ermittlung von Eintrittswahrscheinlichkeiten und der möglichen Schadenshöhe. Die Risikobewertung folgt einem strukturiertem Ansatz, das Risiko einzuordnen und einen Einblick in die das Risiko positiv oder negativ beeinflussenden Faktoren zu bekommen
    • Je höher die Wahrscheinlichkeit und die mögliche Schadenshöhe ist umso stärker ist das Projekt gefährdet und muss radikal umgeplant werden. Für die Bewertung können verschiedene Beurteilungsmethoden verwendet werden.
  • Risikominimierung

    Ziel der Risikominimierung ist es, für alle Risiken, die im inakzeptablen Bereich, bzw. im ALARP-Bereich des Risikographen liegen, Massnahmen festzulegen, die die Eintrittswahrscheinlichkeit und/oder Schadensausmass verringern.

    Am Ende dieser Phase sollte kein Risiko mehr im inakzeptablen Bereich liegen. In der Praxis lässt sich in der Regel das Schadensausmass kaum verringern, meistens wird eine Risikominimierung durch Verringerung der Eintrittswahrscheinlichkeit erreicht (z.B. durch zweihändige Bedienung von Industriepressen wird die Eintrittswahrscheinlichkeit für einen Unfall verringert).

    Während der Phase der Risikokontrolle erfolgt schliesslich eine Neubewertung aller Risiken zur Überprüfung der eingeführten Massnahmen, und um festzustellen, ob eingeführte Massnahmen neuen Risiken mit sich bringen.

    Risiken im ALARP-Bereich sollen auf ein vernünftiges und durchführbares Mass minimiert werden. Dies bedeutet zum Beispiel, dass ein Risiko als tolerierbar eingestuft werden kann, wenn die Kosten für seine Minimierung höher liegen als die Kosten, die bei Eintritt des Risikos zu erwarten sind. In diesem Fall sind weitere Massnahmen zur Risikokontrolle nicht praktikabel.

    Eine Risiko-Nutzen-Analyse kann in diesem Fall verwendet werden, um abzuschätzen, ob der Nutzen des Produkts das Restrisiko überwiegt.

  • Risikomanagement

    Diese Phase wird von so genannten Risikomanagern durchgeführt. Diese Funktion kann ein externes Beraterunternehmen übernehmen bzw. ein Projektteam aus dem Unternehmen selbst. Sie entscheiden, ob eine Risikobewertung nötig ist, um ein Problem zu lösen, und unterstützen die Gutachter bei ihrer Arbeit.

    Wenn die Risikobewertung abgeschlossen ist, nutzen die Risikomanager die Ergebnisse, um über den Umgang mit dem Risiko zu entscheiden. In weiterer Folge ist es auch deren Aufgabe die Ursachen des Risikos zu identifizieren, um darauf optimal reagieren zu können.

    Wenn das Risiko reduziert werden muss, hat das Risikomanagement die geeignetesten Massnahmen dafür zu wählen, dies können entweder Präventiv-Massnahmen sein oder Korrektiv-Massnahmen.

    Die Präventiv-Massnahmen haben das Ziel das Risiko schon im Vorfeld auszuschalten. Korrektive Massnahmen befassen sich mehr mit der Schadensbegrenzung um ein realisiertes Risiko so gering wie möglich zu halten.


Die HW- & SW-Projekte finden Sie auf der Webseite von heslab Heinrich E. Seifert