Risikomatrix
Inhaltsverzeichnis: Definition – Gestaltung – Prozess – Vorteile und Nachteile – Fragen aus der Praxis – Download – Hinweise
Risikomatrix – die Visualisierung der Risikolage
In vielen Lebens- und Arbeitsbereichen stehen wir vor Herausforderungen, Risiken zu identifizieren und zu bewerten. Oft fehlt es uns an einem klaren Überblick über die Vielzahl an Risiken, ihre Eintrittswahrscheinlichkeit und den möglichen Schaden, den sie verursachen können. Hier kommt die Risikomatrix ins Spiel: ein effektives Werkzeug, das hilft, identifizierte Gefahren zu visualisieren und ihre Wahrscheinlichkeit sowie die möglichen Auswirkungen zu analysieren, um fundierte Entscheidungen treffen zu können.
Die Risikomatrix ist eine grafische Repräsentation der festgestellten Risikolage. Die Positionierung der Risiken ermöglicht einen Vergleich der Risiken, sie hilft bei der Kommunikation und ist Grundlage für die Definition von Maßnahmen zur Minimierung der wesentlichen Risiken. Synonyme sind Risikodiagramm, Risikograph, Risiko-Map, Risikoportfolio und Risikoprofil.
Die Gestaltung einer Risikomatrix
Aufgrund der Einfachheit der Darstellung mit den Farbbereichen grün für akzeptabel, gelb für tolerabel und rot für inakzpetabel, ist eine Risikomatrix auch ohne Vorkenntnisse zu verstehen. Die Farben der Felder symbolisieren die Priorität, mit der Gegenmaßnahmen für Risiken ergriffen werden sollten. Wie genau eine Risikomatrix aussieht, ist nicht standardisiert:
- Die Bezeichnungen der Achsen im Diagramm können variieren.
- Die Anzahl und Benennung der Abstufungen beim Schadensausmaß können variieren: bspw. mit drei Stufen “1, 2, 3” oder “niedrig, mittel, hoch” oder fünf Stufen von “niedrig bis kritisch” oder mit Prozentangaben von 0-20% bis 81-100%).
- Die Anzahl der Felder könnte variieren: 2 x 2, 3 x 3, 4 x 4 oder 5 x 5 Felder, also insgesamt 4, 9, 16 oder 25 mögliche Abstufungen.
- Und Anzahl und Benennung der Eintrittswahrscheinlichkeiten können ebenfalls variieren: bspw. mit drei Stufen “gering, mittel, hoch”, mit vier Stufen “sehr gering, gering, mittel, hoch” oder mit fünf Stufen “unmöglich, unwahrscheinlich, möglich, wahrscheinlich, sehr wahrscheinlich”.
- Auswirkungen wie bspw. die Höhe eines Imageverlusts, der Verlust von Marktanteilen oder der Grad der Zufriedenheit von Mitarbeitern lassen sich darstellen.
Der Prozess zur Erstellung der Risikomatrix
Der Prozess zur Erstellung der Risikomatrix ist relativ einfach:
- Risiken identifizieren.
- Risiken bewerten.
- Risiken visualisieren.
Bevor Sie ein Risiko bewerten und in der Risikomatrix visualisieren können, müssen Sie es zuerst identifizieren. Die Risikoidentifikation ist ein Prozess zur systematischen Ermittlung und Sammlung potenzieller Risiken, die auf ein Unternehmen, ein Vorhaben, ein Projekt oder eine Entwicklung einwirken können. Das Ziel der Risikoidentifikation ist es, die internen und externen Risikoquellen möglichst vollständig und kontinuierlich zu erfassen.
Bei der Identifikation von Risiken helfen
- Erfahrungen aus früheren Projekten,
- ein Austausch zwischen Management, Projektleitung und Projektteam,
- die Befragung von externen Experten oder fachkundigen Mitarbeitern,
- sowie ggf. die Orientierung an bestehenden Risikobewertungen¹.
Natürlich sollten niemals Risikodiagramme aus vorherigen Projekten ohne Prüfung und Überarbeitung eins zu eins genutzt werden, dennoch können auch sie eine gute Quelle für die Identifikation von Risiken darstellen.
Sind Risiken identifiziert, folgt die Einordnung der Eintrittswahrscheinlichkeit und die Einschätzung des potenziellen Schadensausmaßes. Folgende Kombinationen sind bspw. denkbar:
- hohe Risikoeintrittswahrscheinlichkeit, geringes Schadensausmaß
- geringe Risikoeintrittswahrscheinlichkeit, geringes Schadensausmaß
- geringe Risikoeintrittswahrscheinlichkeit, hohes Schadensausmaß
- hohe Risikoeintrittswahrscheinlichkeit, hohes Schadensausmaß
Nach der Bewertung von Eintrittswahrscheinlichkeit und Schadensausmaß folgt die einfachste Aufgabe: Die Zuordnung der einzelnen Risiken in die Matrix.
Und was folgt im Anschluss an die Zuordnung in die Risikomatrix? Es beginnt die inhaltliche Arbeit: Welche Risiken verdienen besondere Aufmerksamkeit, für welche Risiken werden welche Maßnahmen definiert, wie werden mögliche Maßnahmen gestaltet, wer überwacht die Risiken, wer setzt die Maßnahmen zur Risikovermeidung, Risikodiversifikation oder Risikoüberwälzung um, etc?
Vorteile und Nachteile der Risikomatrix
Die Verwendung einer Risikomatrix bietet eine Reihe von Vorteilen:
- Sie eignen sich hervorragend zur Visualisierung und Kommunikation von Risikobewertungen.
- Sie vermitteln einen guten Eindruck über die Anzahl und die Kritikalität von Risiken.
- Sie fördern ein gemeinsames Risikoverständnis in der Organisation und steigern sowohl die Transparenz im Umgang mit Risiken als auch die Risikosensibilität.
- Sie sind flexibel anpassbar, so dass sich verschiedene Zusammenhänge bei der Bewertung von Risiken – bspw. Eintrittswahrscheinlichkeit und potenzieller Imageschaden – darstellen lassen.
- Sie eignen sich sowohl für quantitative Aussagen (z.B. durch monetäre Stufen eines potenziellen Schadens) als auch für qualitative Aussagen (z.B “schwerwiegend” und “existenzbedrohend”).
Es gibt allerdings auch eine Reihen von Nachteilen:
- Aus der Darstellung lässt sich kein Gesamtrisiko ableiten, das jedoch für die Durchführung eines Projekts wesentlich sein kann.
- Qualitative und quantitative Aussagen sind limitiert, denn viele Risiken mit niedrigen Wahrscheinlichkeiten und geringen Auswirkungen können denselben Effekt wie ein Risiko mit hoher Wahrscheinlichkeit und großer Auswirkung haben.
- In der Praxis eignet sich eine Risiko-Map nur zur Visualisierung einer begrenzten Anzahl von Risiken, denn sonst ginge die Übersichtlichkeit verloren. Hier empfiehlt es sich entweder nur ausgewählte Risiken zu visualisieren (bspw. Top-Ten-Risiken) oder mit mehreren Risikodiagrammen zu arbeiten.
- Veränderungen in der Beurteilung von Risiken lassen sich nicht nachvollziehen, da es sich bei der Visualisierung um eine Momentaufnahme handelt.
Fragen aus der Praxis
Hier finden Sie einige Fragen und Antworten aus der Praxis:
Ist die Risikomatrix das Ergebnis der Risikoanalyse?
Die Risikomatrix wird oft als Ergebnis der Risikoanalyse beschrieben. Dies ist jedoch nicht vollständig korrekt, denn eine Risikoanalyse ist keine einmalige sondern eine fortlaufende Aktivität in einem Projekt. Über die Projektlaufzeit ändern sich häufig Schadensausmaße und Eintrittswahrscheinlichkeiten. Zusätzlich tauchen neue Risiken auf, die zu Projektbeginn noch nicht vorhanden waren oder übersehen wurden. Somit ist die Risikomatrix ein Arbeitsmittel, das den Stand der Risikoanalyse dokumentiert und als Basis für die Definition von risikominimierenden Maßnahmen dient.
Welche Fragen gibt es bei der Gestaltung der Risikomatrix?
Zur Gestaltung einer Risikomatrix müssen Sie verschiedene Fragen beantworten:
- Nutzen Sie eine quantitative oder qualitative Einteilung? Stehen Ihnen genügend Daten für eine quantitative Beurteilung der Eintrittswahrscheinlichkeit zur Verfügung, dann sollten Sie eine quantitative Einteilung wählen. Verfügen Sie nur über ungenaue, quantitative Angaben, sollten Sie eine qualitative Beurteilung vorziehen.
- Wie viele Stufen verwenden Sie pro Kriterium und wie benennen Sie diese Stufen?
- Nutzen Sie Einheiten als Bezugsgröße (z.B. Eintrittswahrscheinlichkeit pro Zeiteinheit, Anwendungsfall, Patient)?
Natürlich können Sie Ihre Entscheidungen aufgrund neuer Überlegungen auch im Laufe eines Vorhabens korrigieren, evtl. führt dies aber auch zu einer Neubewertung der Risiken.
Was ist das ALARP-Prinzip?
ALARP ist ein englisches Akronym und bedeutet “As Low As Reasonably Practicable”, also so niedrig, wie vernünftigerweise praktikabel. Frei übersetzt ist ALARP ein Prinzip der Risikoreduzierung.
Dem Prinzip folgend, sollen das Schadensausmaß und die Eintrittswahrscheinlichkeit eines Risiko unter Berücksichtung eines vertretbaren finanziellen und technischen Aufwands so reduziert werden, dass der maximale Grad an Sicherheit gewährleistet wird.
Risiken, die im inakzeptablen Bereich der Risikomatrix liegen, müssen durch risikoverringernde Maßnahmen in den ALARP Bereich gebracht werden. Risiken, die im ALARP Bereich liegen, gelten häufig als tolerabel. Und Risiken, die im akzeptablen Bereich liegen, werden meist nur beobachtet.
Was ist die PEST-Analyse?
Die PEST-Analyse ist ein strategisches Werkzeug, das Unternehmen hilft, das makroökonomische Umfeld zu analysieren, in dem sie tätig sind. PEST steht für Political, Economic, Social, and Technological – die vier Hauptkategorien, die in der Analyse betrachtet werden. Durch die systematische Untersuchung politischer, wirtschaftlicher, sozialer und technologischer Faktoren kann die PEST-Analyse potenzielle Risiken identifizieren, die das Geschäftsumfeld beeinflussen könnten.
Wo liegen die Grenzen der Risikomatrix?
Eine Risikomatrix ist ein Hilfsmittel, das die Kommunikation von Risikobewertungen erleichtert. Es beinhaltet weder Aussagen zur Risikobereitschaft einer Organisation, noch visualisiert es ein Gesamtrisiko oder unterstützt die Nachverfolgung von Risiken.
Häufig fordert das operative Risikomanagement die Berechnung von Risikokennzahlen, die Kategorisierung von Risikoursachen und das strukturierte Arbeiten mit sortierten Risikolisten. Da jedoch Risikodiagramme nicht standardisiert sind, können sie auch flexibel angepasst werden.
Visualisieren Sie einfach mit einer roten Linie im Diagramm, wo die Risikobereitschaft Ihrer Organisation verläuft. Ergänzen Sie Risiken um zusätzliche Kennzahlen oder notieren Sie Maßnahmen zur Minimierung der Eintrittswahrscheinlichkeit. Sie haben die Freiheit dazu. Verwenden Sie Ihre Risikomatrix so, dass Sie Ihnen den bestmöglichen Nutzen liefert.
Wo kommt die Risikomatrix zum Einsatz?
Die breite und einfache Anwendbarkeit macht die Risikomatrix zu einem wichtigen Werkzeug in vielen Branchen und Bereichen.
- Im Projektmanagement bei der Identifikation, Bewertung und Priorisierung von Projektrisiken, um rechtzeitig Gegenmaßnahmen zu planen.
- Im Unternehmensmanagement zur strategischen Planung und Entscheidungsfindung durch Bewertung von Markt- und Geschäftsrisiken.
- Im Gesundheitswesen zur Bewertung von Patientensicherheitsrisiken und zur Implementierung von Maßnahmen zur Risikominimierung.
- Im Bau- und Ingenieurwesen zur Identifizierung von Sicherheitsrisiken sowie zur Planung von Maßnahmen zur Unfallvermeidung.
- In IT und Cybersicherheit bei der Bewertung von Cyber-Bedrohungen und Implementierung von Sicherheitsmaßnahmen.
- In der Produktion und Fertigung zur Identifikation von Produktionsrisiken und Sicherstellung von Qualität und Sicherheit.
Kurzum: In vielen Bereichen, in denen die Visualisierung nützlich ist, kommt die Matrix zum Einsatz.
Wie sinnvoll ist es, für alle identifizierten Risiken Maßnahmen zu definieren?
Es ist nicht immer sinnvoll, für alle identifizierten Risiken Maßnahmen zu ergreifen. Die Ressourcen eines Projekts sind oft begrenzt, und nicht alle Risiken sind gleich bedeutend. Daher sollten Sie Maßnahmen vor allem für Risiken definieren, die eine hohe Wahrscheinlichkeit und/oder ein hohes Schadenspotenzial aufweisen. Hier sind einige Gründe, warum eine selektive Herangehensweise sinnvoller ist:
- Wenn Sie sich auf die bedeutendsten Risiken konzentrieren, können Sie Ressourcen effizienter einsetzen, um die größten potenziellen Schäden zu verhindern oder zu mindern.
- Nicht jedes Risiko rechtfertigt den Aufwand für Gegenmaßnahmen. Sie sollten also sorgfältig abwägen, ob die Kosten der Maßnahmen den möglichen Nutzen übersteigen.
- Das Definieren und Verfolgen von Maßnahmen für alle identifizierten Risiken kann zu einem enormen administrativen Aufwand führen, der von den Kernaktivitäten des Projekts ablenkt.
- Da sich Risiken und ihre Relevanz im Laufe des Projekts ändern können, ist es sinnvoller, regelmäßig zu überprüfen und anzupassen, welche Risiken Maßnahmen erfordern, anstatt von Anfang an für alle Risiken Maßnahmen festzulegen.
Insgesamt ist es effektiver, eine Risikomatrix zu verwenden, um die Risiken zu bewerten und dann Maßnahmen für diejenigen zu definieren, die das größte Risiko für das Projekt darstellen.
Impuls zum Diskutieren:
Lässt sie aus der Darstellung die Risikobereitschaft des Unternehmens ablesen?
Hinweise:
Haben Sie Lust auf einen neuen Lieblings-Newsletter?
Die Inhalte auf dieser Seite dürfen Sie gerne teilen oder verlinken.
[1] Hier finden Sie eine Auflistung mit 130 potenziellen Projektrisiken.
Hier finden Sie ein Video-Tutorial wie Sie eine Risikomatrix mit Excel erstellen.
Und hier finden Sie ergänzende Informationen aus dem t2informatik Blog: