Risiken lassen sich in 4 Hauptgruppen einteilen:
- natürliche: Erdbeben, Vulkanausbrüche, Überschwemmungen;
- technische: Reaktorunfall, Brand, Explosionen, Unfälle in Industrie und chemischer Industrie;
- gesundheitliche: Krebs, Herz-Kreislauf-Erkrankungen, Epidemien;
- soziale: Arbeitslosigkeit, Armut, Suchtmittelabhängigkeit.
Die Übergänge zwischen den einzelnen Risikogruppen sind z. T. fließend, für Unternehmen können sie – in unterschiedlich starker Ausprägung – alle relevant sein.
Besonders kleine und mittlere Unternehmen (KMU) müssen Chancen und Risiken sorgfältig abwägen. Sie sind eher verwundbar als große Unternehmen: Tritt nur ein Problem auf, kann dies bereits das Aus bedeuten. So müssen Unternehmen, in denen sich ein Großschaden wie z. B. ein Brand ereignet hat, häufig innerhalb von 2 Jahren Insolvenz anmelden.
In einem ersten Schritt müssen Unternehmen deshalb vorhandene Risiken erkennen. In allen Unternehmensbereichen bestehen Risiken. Es ergeben sich v. a. folgende Risikofelder:
- Organisation,
- Mitarbeiter,
- Störungen und Schäden,
- wirtschaftliche Gegebenheiten,
- Verträge und Verpflichtungen,
- Produkt,
- Umweltschutz,
- Arbeitsschutz,
- Information,
- Sicherheit,
- Projekt.
Es empfiehlt sich, in folgenden 4 Schritten vorzugehen:
- Risiko erkennen und analysieren: Welche Risiken gibt es im Unternehmen? Was sind deren Ursachen und Folgen?
- Risiko einschätzen und bewerten: Wie hoch ist die Eintrittswahrscheinlichkeit? Wie groß ist der mögliche Schaden?
- Maßnahmen ergreifen: vermeiden, verringern, akzeptieren, übertragen (z. B. Risiko versichern oder Externe beauftragen).
- Überprüfen, kontrollieren, beobachten: Wird das tolerierte Risiko eingehalten?
Wichtige Elemente zum Ermitteln und Beurteilen des Risikos sind z. B.:
Zum Bewerten von Risiken werden verschiedene Verfahren genutzt, z. B.:
- Risikoprioritätszahl (RPZ) ist die Wahrscheinlichkeit, dass ein Schaden eintritt, multipliziert mit dem Schadensausmaß (Auswirkung beim Eintreten) und Bewertungsskala, z. B. von 1 = unwahrscheinlich bis 10 = sehr wahrscheinlich. Ermittelte Risiken lassen sich dann anschaulich darstellen, z. B. als Risikomatrix, Risikoportfolio, F-N-Diagramm (mit F= Auftrittswahrscheinlichkeit/Häufigkeit pro Jahr und N=Konsequenz bei Eintritt des Schadens);
- Risiken bewerten analog DIN EN ISO 13849-1;
- Risikomatrix nach Nohl.
Eine systematische Vorgehensweise ist am besten mithilfe von Managementsystemen möglich, für Risiken ein sog. Risikomanagement z. B. nach DIN ISO 31000. Es sollte in bestehende Qualitäts-, Umwelt- bzw. Arbeitsschutz-Managementsysteme eingebunden werden (integriertes Managementsystem). Handbuch und Dokumente müssen dann nicht neu erstellt, sondern lediglich ergänzt bzw. erweitert werden.
Integriertes Managementsystem spart Zeit und Geld
Die Normen ISO 9001, ISO 14001 und ISO 45001 machen mit ihrer einheitlichen Struktur ein integriertes Managementsystem für Unternehmen sehr attraktiv. Geforderte Maßnahmen zum Umgang mit Risiken und Chancen bez. Arbeits- und Gesundheitsschutz können mit geringem Aufwand in bereits bestehende Qualitäts- bzw. Umweltmanagementsysteme integriert werden, denn auch sie fordern Maßnahmen zum Umgang mit Risiken und Chancen. Für den Arbeits- und Gesundheitsschutz bedeutet dies konkret, dass Gefährdungen ermittelt, neben Chancen auch Risiken bewertet und geeignete Maßnahmen geplant werden müssen.