So führen Sie eine Risikobewertung

Eine Risikobewertung ist ein strukturierter Prozess, um Risiken zu identifizieren, die Ihre Ziele beeinträchtigen können, deren Schweregrad zu beurteilen und zu entscheiden, wie damit umzugehen ist. Der Kernprozess ist derselbe, ob Sie Informationssicherheit, Arbeitsschutz, Projektrisiken oder Geschäftsrisiken bewerten.

Der globale Standard für Risikomanagement ist ISO 31000:2018. Er beschreibt einen generischen Prozess (identifizieren, analysieren, bewerten, behandeln, überwachen), der für jede Organisation und jede Art von Risiko funktioniert. Er ist nicht zertifizierbar, bildet aber die Referenz, auf der andere Standards (ISO 27001, NIS2, DORA) aufbauen.

In Schweden ist das systematische Arbeitsumgebungsmanagement (SAM) durch die Vorschrift AFS 2001:1 der schwedischen Arbeitsschutzbehörde geregelt. Der Arbeitgeber ist verpflichtet, die Arbeitsumgebung kontinuierlich zu untersuchen, zu bewerten, zu behandeln und nachzuverfolgen – nicht als einmaliges Projekt, sondern als fortlaufender Zyklus.

Die Risikobewertung muss schriftlich erfolgen (sobald das Unternehmen mehr als zehn Beschäftigte hat), mindestens jährlich überprüft werden und stets vor wesentlichen Änderungen: neue Ausrüstung, neue Organisation, neue Aufgaben, Standortwechsel oder Anschaffungen, die die Arbeit betreffen.

• Untersuchen

  Arbeitsbedingungen erfassen. Begehungen, Mitarbeiterbefragungen, Krankheitsstatistiken und Vorfallmeldungen sind typische Quellen.

• Bewerten

  Jedes identifizierte Risiko nach Eintrittswahrscheinlichkeit und Schwere beurteilen. Physische, ergonomische, chemische, biologische, psychosoziale und organisatorische Risiken sollten alle abgedeckt sein.

• Behandeln

  Schriftlicher Maßnahmenplan mit Maßnahme, Verantwortlichem, Frist und Nachverfolgung. Alles, was nicht sofort behoben wird, kommt in den Plan.

• Nachverfolgen

  Prüfen, ob die Maßnahmen umgesetzt wurden und die beabsichtigte Wirkung hatten. Die Bewertung bei Änderungen oder mindestens jährlich überarbeiten.

Die Einbindung der Sicherheitsbeauftragten ist verpflichtend. Wenn das Unternehmen einen Sicherheitsbeauftragten hat, muss dieser in die Bewertung einbezogen werden (schwedisches Arbeitsumgebungsgesetz, Kap. 6 § 4). Die Dokumentation muss für Inspektionen der Arbeitsschutzbehörde verfügbar sein.

Arbeitsplatzrisiken und Informationssicherheitsrisiken überschneiden sich häufig (z. B. Stress bei Vorfällen, DSGVO-Anforderungen an die Arbeitsplatzüberwachung). Eine integrierte Bewertung spart Zeit – erfordert aber funktionsübergreifende Expertise.

• Rückhalt durch die Geschäftsleitung

  Eine Risikobewertung ohne Rückendeckung der Geschäftsleitung wird zu einem Dokument, das nie gelesen wird. Sorgen Sie dafür, dass jemand aus der Geschäftsleitung den Prozess verantwortet. Eine einseitige, vom CEO unterzeichnete Risikomanagement-Richtlinie reicht aus.

• Geltungsbereich festlegen

  Was soll bewertet werden? Das gesamte Unternehmen, ein bestimmter Bereich, ein Projekt, ein spezifischer Prozess (z. B. Verarbeitung personenbezogener Daten)?

• Risikotoleranz definieren

  Welche Risiken sind Sie bereit zu akzeptieren? Welche erfordern Maßnahmen? Definieren Sie drei oder vier Stufen (z. B. Score 1–3 = akzeptieren, 4–7 = beobachten, 8–14 = Maßnahmenplan, 15–25 = sofortige Maßnahme).

• Die richtigen Personen einbeziehen

  Eine Risikobewertung durch eine einzige Person ist die Meinung einer einzigen Person. Laden Sie 3–6 Schlüsselpersonen mit unterschiedlichen Perspektiven ein: Betrieb, Finanzen, IT, Kundenverantwortung.

Dies ist der wichtigste Schritt. Ein übersehenes Risiko ist gefährlicher als ein falsch bewertetes.

Einige Techniken zur Risikoidentifikation:

• Strukturiertes Brainstorming

  Versammeln Sie die Gruppe und gehen Sie Geschäftsbereich für Geschäftsbereich durch. Fragen Sie: „Was kann hier schiefgehen?“

• KI-Vorschläge als Ausgangspunkt

  Tools wie RiskNote nutzen KI, um pro Analyse 5 branchenrelevante Risiken vorzuschlagen. Gut, um Risiken zu erfassen, die Sie noch nie gesehen haben.

• Frühere Vorfälle prüfen

  Was ist zuvor schiefgegangen? Bei Ihnen, bei Wettbewerbern, in der Branche?

• Standardlisten prüfen

  ISO 27005 enthält Kataloge typischer Informationssicherheitsrisiken. Arbeitsschutzvorschriften bieten Beispiele für Arbeitsplatzrisiken. Als Checklisten verwenden.

• Prozessdurchlauf

  Gehen Sie einen kritischen Prozess (z. B. Rechnungsstellung, Einstellung, Systembetrieb) Schritt für Schritt durch und fragen Sie: „Was kann hier schiefgehen?“

Beurteilen Sie für jedes identifizierte Risiko Eintrittswahrscheinlichkeit und Konsequenz. Üblich ist eine 5x5-Matrix (Wahrscheinlichkeit 1–5 × Konsequenz 1–5 = Score 1–25).

Entscheidend ist die konsistente Anwendung der Skala. Definieren Sie jede Stufe im Vorfeld, damit alle Beteiligten das gleiche Verständnis nutzen.

• Wahrscheinlichkeit 1–5

  1 = selten (einmal in 10 Jahren), 3 = möglich (einmal alle 2–3 Jahre), 5 = nahezu sicher (mehrmals pro Jahr).

• Konsequenz 1–5

  1 = vernachlässigbar (im Normalbetrieb handhabbar), 3 = moderat (erfordert Eingreifen der Geschäftsleitung), 5 = katastrophal (existenzbedrohend).

• Bewertung in der Gruppe

  Die Beurteilung einer einzelnen Person ist subjektiv. In der Gruppe erhalten Sie Nuancen und Konsens.

• Begründung dokumentieren

  Schreiben Sie eine Zeile dazu, warum Sie eine bestimmte W und K gewählt haben. Hilft bei der späteren Überprüfung.

Sobald jedes Risiko einen Score hat, vergleichen Sie ihn mit Ihrer Risikotoleranz. Kritische Risiken (z. B. Score 15–25) erfordern einen sofortigen Maßnahmenplan. Hohe Risiken (8–14) benötigen eine strukturierte Reaktion. Mittlere und niedrige können überwacht werden.

Achten Sie auf schwarze Schwäne – Risiken mit geringer Wahrscheinlichkeit, aber katastrophalen Folgen (W=1, K=5 ergibt Score 5, der niedrig wirkt, aber existenzbedrohend sein kann). Nutzen Sie qualitatives Urteilsvermögen, nicht nur den Score.

• Akzeptieren

  Das Risiko liegt innerhalb der Toleranz. Dokumentieren und weitermachen.

• Reduzieren (mitigieren)

  Maßnahmen ergreifen, um Wahrscheinlichkeit oder Konsequenz zu verringern. Die häufigste Wahl. Maßnahme, Verantwortlichen und Frist dokumentieren.

• Übertragen

  Versicherung, Outsourcing oder vertragliche Klauseln, die das Risiko verlagern. Hinweis: Manche Risiken (z. B. Reputation) lassen sich nicht übertragen.

• Vermeiden

  Auf die Aktivität verzichten, die das Risiko erzeugt. Manchmal die einzige vernünftige Wahl.

Risiken verändern sich. Neue entstehen, alte werden irrelevant, Maßnahmen verändern das Bild. Eine Risikobewertung hat ein Verfallsdatum.

Praxis: vierteljährliche Überprüfung für operative Risiken, jährlich für strategische. Projektrisiken werden pro Sprint oder Steuerungsgruppensitzung aktualisiert. Bei wesentlichen Änderungen (neuer Lieferant, regulatorische Änderung, Systemwechsel) stets eine neue Runde.