Die Bewertung erfolgt im Rahmen sog. Risikobewertungs-Workshops, die zunächst vorbereitet werden müssen. Im Workshop selbst werden vor der Bewertung die Grundlagen des Risikomanagements und die Bewertungsmethoden kurz erläutert.
Anhand der vorgegebenen Skalierungen für die Eintrittswahrscheinlichkeit und die Auswirkung (Schadenshöhe) wird die Bewertung mittels einer vierstufigen Skala durchgeführt. Das heißt, die Ausprägungen der Merkmale sind in vier Stufen unterteilt, rein subjektiv aus Sicht des jeweiligen Teilnehmers mittels eines vorbereiteten Fragebogens. Eintrittswahrscheinlichkeit (EW) und Auswirkung (Schadenshöhe; SH) auf das Unternehmen sollen immer aus Gesamtunternehmenssicht beurteilt werden.
Aufnahme zusätzlicher Angaben
Es ist festzulegen, ob es zulässig sein soll, dass die Teilnehmer im Rahmen der Fragebogenaktion zusätzliche Angaben (z. B. weitere Problembereiche oder zusätzliche Maßnahmen) in ein zusätzlich in den Fragebogen aufzunehmendes Feld eintragen.
Mehrstufiger Bewertungsprozess
Bei der Risikobewertung werden drei Bewertungskategorien unterschieden, deren Ergebnisse im Risikofragebogen (siehe Risikoidentifizierung) dokumentiert werden:
Schritt 4.1: Bewertung vor Maßnahmen (Bruttorisiko)
Bruttobewertung
Bei der ersten Bewertung ist darauf zu achten, dass die genannten Angaben zu den Bewertungskriterien vor Berücksichtigung von Maßnahmen zur Risikosteuerung festgehalten werden. Der Grund liegt – wie schon bei der Risikoidentifizierung beschrieben – in der Sicherstellung der Vollständigkeit.
Die Markteinführung eines Nachfolgeprodukts, das die Anforderungen und Erwartungen des Marktes verfehlt, kann beispielsweise zu bedrohlichen Verlusten des Marktanteils führen:
- Finanzielle Auswirkungen: sehr hoch
- Häufigkeit des Auftretens: niedrig (Produktwechsel seltener als einmal im Jahr)
- Wirkung auf die Reputation des Unternehmens: sehr hoch
Täglich anfallender Ausschuss bei der Fertigung eines Massenprodukts
- Finanzielle Auswirkungen: niedrig
- Häufigkeit des Auftretens: hoch
- Wirkung auf die Reputation des Unternehmens: niedrig
Diese Informationen sollten als Ausgangsinformation – neben der Risikonummer, der Risikobezeichnung, der Risikobeschreibung und dem Risikoverantwortlichen – ebenfalls in den Risikokatalog aufgenommen werden. Zudem kann die Risikoursache dokumentiert werden, um nach internen und externen Ursachen unterscheiden zu können.
Schritt 4.2: Plausibilisierung der Bruttobewertungen
Vereinbarte Bruttobewertung als Durchschnittsbewertung
In der Praxis der Risikobewertung kommt es immer wieder vor, dass trotz vorgegebener Beschreibung des Risikos und gemeinsamer Erarbeitung von Maßnahmen der Risikosteuerung Risiken missverstanden werden. Dies äußert sich meist in voneinander stark abweichenden Risikobeurteilungen der Bruttobewertung durch die einzelnen Workshop-Teilnehmer.
Aus diesem Grund sollten – bevor mit den beiden weiteren Bewertungsschritten fortgefahren wird – die Bruttobewertungen plausibilisiert und aus den ggf. unterschiedlichen Bruttobewertungen eine gemeinsam vereinbarte Bruttobewertung festgelegt werden, die für alle Teilnehmer als Ausgangspunkt für die weiteren Bewertungen dient (s. Abb. 9). Ziel ist, ein einheitliches Risikoverständnis zu schaffen.
Abb. 9: Bildung eines vereinbarten Bruttorisikos
Schritt 4.3: Bewertung nach Berücksichtigung bestehender Maßnahmen (A-Netto-Risiko)
Nettobewertung A
In einem weiteren Schritt werden die bereits bestehenden Maßnahmen (A-Maßnahmen) der Risikosteuerung mit in die Bewertung einbezogen. Hierzu müssen die ergriffenen Maßnahmen festgestellt, dokumentiert und deren Wirksamkeit beurteilt werden. Anschließend erfolgt erneut eine Beurteilung gemäß der genannten Beurteilungskriterien – also eine Beurteilung nach Berücksichtigung bestehender Maßnahmen.
Den Risikoinformationen im Risikokatalog müssen nun weitere Daten hinzugefügt werden:
- Maßnahmen zur Risikosteuerung vorhanden (ja/nein),
- Beschreibung der bestehenden Maßnahmen,
- Beurteilung der Wirksamkeit der bestehenden Maßnahmen,
- Ausprägung der Bewertungskriterien nach Berücksichtigung bestehender Maßnahmen,
- ggf. Bemerkungen.
Schritt 4.4: Bewertung nach Berücksichtigung geplanter Maßnahmen (B-Netto-Risiko)
Nettobewertung B
Anschließend müssen – sofern das Risiko aufgrund der Berücksichtigung der bereits bestehenden Maßnahmen zur Risikosteuerung bei der Bewertung noch nicht unter die Schwelllinie der Bestandsgefährdung gesenkt werden konnte – weitere geplante Maßnahmen (B-Maßnahmen) definiert werden, die – gemäß den Anforderungen im vorhergehenden Schritt – dokumentiert werden müssen. Daraus folgt, dass eine dritte Bewertung erforderlich ist: eine Bewertung nach Berücksichtigung geplanter Maßnahmen zur Risikosteuerung. Der Schritt 4.4 ist bereits eng mit der Risikosteuerung verknüpft.
Schritt 4.5: Zusammenführung der Risikobewertungen
Zur Verwaltung der Bewertung der einzelnen Risiken z. B. in einer Risikomanagement-Software müssen die Bewertungen aller Workshop-Teilnehm...