Sie sind auf Seite 1von 20

Karl- Franzens- Universitt Graz

Institut fr Innovations- und Umweltmanagement

Referat:

Risikoanalyse

PS TIM2 Qualittsmanagement DI Dr. Stefan Vorbach

WS 2005/06 Abgabe: 14.12.2005

Andrea Lakounig Bakk. USW-BWL / B 033 619 151 Matr.Nr.: 0316666 Mondscheingasse 3 Top3 8010 Graz

Risikoanalyse

-2-

Inhaltsverzeichnis:

1.

Was versteht man unter Risikoanalyse............................................................................... 3

2.

Arten von Risikoanalyse .................................................................................................... 3 2.1. 2.2. 2.3. Numerisch- quantitative Risikoanalyse...................................................................... 3 Numerisch- halb quantitative Risikoanalyse.............................................................. 3 Qualitative Risikoanalyse........................................................................................... 4

3.

Schritte einer qualitativen Risikoanalyse ........................................................................... 4

4.

Die kologische Risikoanalyse ......................................................................................... 6

5.

Resmee ............................................................................................................................. 8

6.

Literaturverzeichnis:........................................................................................................... 9

7.

Abbildungsverzeichnis:...................................................................................................... 9

8.

Anhang: .............................................................................................................................. 9

Risikoanalyse

-3-

1. Was versteht man unter Risikoanalyse


Unter Risikoanalyse versteht man ein Hilfsmittel, das bei unsicheren Entscheidungen verschiedene Alternativen aufzeigt, die unter bestimmten Bedingungen am ehesten erfolgsversprechend sind. Dazu werden verschiedene Szenarien fr die Zukunft erstellt und durchgespielt, um mgliche Folgen des Handelns abschtzen zu knnen. Als Grundlage der Szenarien dienen meist Informationen ber Kosten und erwartete Verkaufszahlen. Die Risikoanalyse bringt dabei nur mehr Transparenz in den Entscheidungsprozess, gibt aber keinen konkreten Weg vor. Ziel der Risikoanalyse ist es daher, sowohl die Innerbetrieblichen, als auch die den Betrieb betreffenden Gefahrenpotenziale wie beispielsweise Lieferanten aufzuzeigen. Wichtig ist es, dass Gefahren rechtzeitig erkannt und so vermieden werden, um die Kosten zu senken. Beginnt man mit der Risikoanalyse erst, wenn der Fehler schon entstanden ist, kann es sein, dass das Problem nicht mehr zu beheben ist. Bei einer Risikoanalyse mssen also vor allem versteckte Fehler, die nicht jedem ohnehin bekannt sind systematisch erfasst werden und aus allen Abteilungen und Auenposten gesammelt werden, um ein transparentes Gesamtbild zu schaffen.

2. Arten von Risikoanalyse1


Man unterscheidet grob drei Arten der Risikoanalyse. Dazu zhlen die numerischquantitative, die numerisch- halb quantitative und die qualitative Risikoanalyse. Die drei Arten der Analyse mchte ich hier kurz erlutern, spter werde ich aber nur noch auf die qualitative Risikoanalyse eingehen. 2.1. Numerisch- quantitative Risikoanalyse Die numerisch- quantitative Analyse beruht auf wissenschaftlichen Grundlagen, wie der Statistik, Entscheidungsbumen oder anderen Entscheidungshilfen. Als Grundlage werden erwartete Gewinne und Verluste, die Hhe der zu erwartenden Gesamtschden und andere quantitative Werte herangezogen, anhand derer sich die weiteren Entscheidungen eines Unternehmens ableiten lassen. Die groen Probleme dieser Art der Analyse liegen jedoch in der quantitativen Bewertung. Dabei mssen einerseits alle Parameter genau bekannt sein, andererseits mssen auch Werte fr die Zukunft festgelegt werden. Falsche Prognosen knnen dadurch entstehen, dass die Entwicklung in der Zukunft aus der Vergangenheit abgeleitet wird, was aber nicht zwingend richtig sein muss. 2.2. Numerisch- halb quantitative Risikoanalyse Bei der numerisch- halb quantitativen Analyse werden qualitative Fragen gestellt und die Antworten dann mit Punkten bewertet. Dadurch ergeben sich Zahlenwerte, die den Erfolg des Unternehmens mit dem anderer Unternehmen im Sinne des Benchmark vergleichbar machen, oder Vergleiche mit frheren Perioden
1

Inhalt angelehnt an Schaumann (Mai 2005)

Risikoanalyse ermglichen. Allerdings werden bei dieser Art der Analyse oft komplexe Zusammenhnge nicht erfasst und auch Beziehungen von Komponenten untereinander werden vor allem in einfachen Modellen hufig vernachlssigt, was Tatsachen verflschen kann. 2.3. Qualitative Risikoanalyse

-4-

Bei der qualitativen Analyse werden keine konkreten Vorraussagen gettigt, sondern die jetzige Situation des Unternehmens hinterfragt. Auf Basis dessen wird dann ein Manahmenkatalog erstellt, der Vorschlge beinhaltet, wie ein mgliches Risiko vom Unternehmen abgelenkt werden kann. Dabei wird darauf geachtet, dass die Manahmen mglichst kostengnstig sind und der Linie des Unternehmens entsprechen. So wird beispielsweise ein Unternehmen, dass sich auf technisch hochwertige Produkte spezialisiert hat nicht ein Billigprodukt auf den Markt bringen, das mglicherweise seinem Ruf schadet. Nachfolgend muss auch geprft werden, ob die bereits erfolgten Manahmen erfolgreich waren. Im folgenden mchte ich nun erlutern, wie eine qualitative Risikoanalyse durchgefhrt wird, auf was man dabei achten muss und welche Strfaktoren auftreten knnen.

3. Schritte einer qualitativen Risikoanalyse


Zu Beginn jeder Analyse muss festgelegt werden, ob das Gesamtrisiko des Unternehmens betrachtet werden soll, oder nur einzelne Teilbereiche, beispielsweise Abteilungen, untersucht werden. Im Folgenden werde ich nur auf das Gesamtrisiko des Unternehmens eingehen, da so ein weiterer Bogen gespannt werden kann. Bei der Analyse des Gesamtrisikos muss darauf geachtet werden, dass scheinbar unwichtigere Teilbereiche eines Unternehmens nicht vernachlssigt werden, da diese bei nherer Betrachtung ein hheres Risiko in sich bergen knnen als erwartet. Das heit, dass von der fehlerfreien Produktion, ber die termingerechten Auslieferung, bis hin zum Kundenservice allen Ebenen Beachtung geschenkt werden muss. Besonders wichtig ist die Betrachtung des Produktes an sich. Wo liegt dabei das grte Risikopotenzial? Nicht immer sind die Risiken nur in der Produktion des wichtigsten Produktes zu suchen. Ein Ausfall in der Produktion kann beispielsweise durch Lagerbestnde ber eine gewisse Zeit gedeckt werden. Das Kuferverhalten bei Komplementrprodukten und das Verhalten von Lieferanten birgt meist ein wesentlich hheres Risiko. Ein Hersteller von Kassetten fr Diktiergerte und Anrufbeantworter ist zum Beispiel stark vom Konsum dieser Gerte abhngig, denn werden keine Diktiergerte/ Anrufbeantworter gekauft, bentigt man auch keine Kassetten dafr. Das Risikopotenzial liegt also nicht beim Hersteller selbst sondern am Markt und muss vom Unternehmen aufgefangen werden. Dennoch drfen unerwartete Produktionsausflle nicht auer Acht gelassen werden. Dabei muss einerseits geklrt werden, wie lange die Lagerbestnde reichen, andererseits muss der Fehler an der Wurzel behoben werden. Zustzlich muss festgestellt werden welche Fixkosten bei Produktionsausfall entstehen, die nicht ber Deckungsbeitrge gedeckt werden knnen. Diese Werte, sowie die Qualifikation der Mitarbeiter, die Zahl der Patente, oder der gute Ruf zhlen zu den immateriellen Werten eines Unternehmens, denen in der Risikoanalyse eine besondere Bedeutung zugemessen wird, da sie in gewisser

Risikoanalyse

-5-

Weise materiell bewertet werden mssen. Das Risiko des Verlustes von materiellen Gtern, wie Lagerhallen, oder Produktionssttten, durch Feuer, berschwemmungen oder andere Naturkatastrophen muss zwar ebenfalls betrachtet werden, lsst sich aber wesentlich einfacher bewerten. Die folgende Abbildung1 soll veranschaulichen, aus welchen Komponenten sich das Unternehmensrisiko zusammensetzt.

Abb.1: Entstehung von Risiko Quelle: Philipp Schaumann, Informationssicherheit und das Eisbergprinzip

Aus der Grafik kann man erkennen, dass Gefahren erst zu Risiken werden, wenn sie auf Schwachstellen treffen. Diese mssen Unternehmensintern bekmpft werden, wodurch Risiken an der Wurzel angepackt und verhindert werden knnen. Die Gefahren an sich knnen hingegen nicht verhindert werden. Sie knnen durch Einwirkung hherer Gewalt, durch Naturkatastrophen, durch Unachtsamkeit von Mitarbeitern, oder durch Technologie- oder Infrastrukturausflle entstehen. Das groe Problem liegt im Erkennen dieser Gefahrenpotenziale. Dabei hat die Unternehmensleitung meist nicht den ntigen berblick. Daher muss die Kommunikation im Unternehmen gefrdert werden, damit die einzelnen Verantwortlichen die mglichen Probleme weiterleiten knnen und so ein mglichst groer berblick geschaffen wird. Speziell in groen Unternehmen bedarf das eines sehr groen organisatorischen Aufwandes. Wie ebenfalls in Abbildung1 veranschaulicht spielt die Statistik eine wichtige Rolle bei der Risikoanalyse. Mit ihrer Hilfe wird die Wahrscheinlichkeit des Eintretens eines gewissen Ereignisses, beispielsweise eines Produktionsausfalles , betrachtet. Bei Unternehmen, die schon lnger am Markt sind, kann dabei auf Erfahrungswerte zurckgegriffen werden. Auch ist es hier von Vorteil grere Zeithorizonte zu betrachten und sich nicht auf ein Jahr zu beschrnken. Sind keine Erfahrungswerte vorhanden, kann anhand von Versicherungsstatistiken beispielsweise, eine Analyse gestartet werden. Dabei ist zu beachten, dass diese Statistiken immer einigen Spielraum lassen und keineswegs der Realitt im Unternehmen entsprechen mssen. In jedem Fall sind Punkte in den Manahmenkatalog aufzunehmen, die diese Risiken einschrnken. Nachdem das Risiko erkannt ist, stellt sich die Frage wie man damit umgehen soll. Wie in Abbildung2 ersichtlich wird, gibt es fr die Geschftsleitung verschiedene Mglichkeiten zu agieren.

Risikoanalyse

-6-

Abb.2: Arten der Risikobehandlung Quelle: Philipp Schaumann, Informationssicherheit und das Eisbergprinzip

Wenn mglich sollte ein Risiko natrlich gnzlich vermieden werden. Das ist aber nur in den seltensten Fllen mglich, da ein Risiko meist nicht isoliert betrachtet werden kann. Was hilft es beispielsweise die EDV- Abteilung vom Keller in das Dachgeschoss zu verlegen, um sie vor Hochwasser zu schtzen, wenn dann durch einen Sturm das Dach abgedeckt wird und ebenfalls alles zerstrt wird. Eher mglich ist daher die Minimierung des Risikos. So kann durch ausreichende Sicherheitsmanahmen beispielsweise die Gefahr eines Einbruchs zwar nicht vllig ausgeschlossen, aber jedenfalls eingeschrnkt werden. Eine andere Mglichkeit ist das berwlzen von Problemen auf andere Stellen. Versicherungen bernehmen zum Beispiel Einbruch- oder Feuerschden. Das Risiko selbst zu tragen ist nur dann sinnvoll, wenn es bekannt ist. Daher soll durch die Risikoanalyse verstecktes Risiko aufgedeckt werden, damit entschieden werden kann, wie man ihm gegenber tritt. In jedem Fall kann kein Unternehmen jedes Risiko vermeiden, vermindern, oder berwlzen. Ein gewisses Restrisiko bleibt immer brig, dass in jedem Fall vom Unternehmen getragen werden muss. Als Ergebnis einer Risikoanalyse sollte der Geschftsfhrung ein Papier vorgelegt werden, das die Risiken nach Wahrscheinlichkeit ihres Eintretens ordnet. Zustzlich mssen Gefahren von auerhalb des Unternehmens angefhrt werden, damit entschieden werden kann, in wieweit man diese ignorieren kann. Auch die tatschlichen Verluste, nach einem Vergleich mit den Versicherungshhen, sollten aufgestellt werden. Abschlieend werden die bereits gettigten Manahmen angefhrt und ein Manahmenkatalog zur weiteren Risikoprvention festgelegt.

4. Die kologische Risikoanalyse2


Abschlieend mchte ich noch auf eine neuere Form der Risikoanalyse eingehen, die kologische Risikoanalyse. Sie wurde als Methode zur Betrachtung natrlicher Ressourcen in einem greren Planungsraum im Rahmen eines Gutachtens im Groraum Nrnberg-Frth-Erlangen-Schwabach entwickelt (vgl. Aulig et al. 1977; Bachfischer 1978).3 Die Methode wurde dann im Sinne der
2 3

Inhalt angelehnt an http://www.laum.uni-hannover.de/ilr/lehre/Ptm/Ptm_BewOera.htm http://www.laum.uni-hannover.de/ilr/lehre/Ptm/Ptm_BewOera.htm

Risikoanalyse

-7-

Umweltvertrglichkeitsprfung weiterentwickelt und zhlt heute zum Standard bei der Umweltplanung. Das Ziel dieser Analyse ist ganz klar die Nutzungsvertrglichkeit bei unvollstndiger Information sicher zu stellen. Sie versteht sich als "Versuch einer planerischen Operationalisierung des Verursacher-Auswirkung-BetroffenerZusammenhangs, d. h. als eine Form der Wirkungsanalyse im Mensch-UmweltSystem" (Bachfischer 1978, 72).4

Abb.3: Vorgehen der kologischen Risikoanalyse (nach Bachfischer 1978) Quelle: http://www.laum.uni-hannover.de/ilr/lehre/Ptm/Ptm_BewOera.htm

Wie in Abbildung3 ersichtlich, besteht die Risikoanalyse aus drei hauptschlichen Bestandteilen; der Beeintrchtigungsintensitt, Beeintrchtigungsempfindlichkeit und dem Risiko der Beeintrchtigung. Beeintrchtigungen in diesem Sinne sind nderungen in der Qualitt oder Quantitt von natrlichen Ressourcen. Die beiden Strnge der Abbildung 3 symbolisieren auf der linken Seite die Betroffenen und auf der rechten Seite die Verursacher. Das Risiko bei der kologischen Risikoanalyse kommt, wie bei der anderen Analyse auch, aus der Unsicherheit. Obwohl der kologischen Analyse eine naturwissenschaftliche Bestandsaufnahme zu Grunde liegt, werden darber hinaus Werturteile abgegeben, die wissenschaftlich nicht bis ins Detail belegbar sind. Weiters mssen auch hierbei Eintrittswahrscheinlichkeiten festgelegt werden, was in diesem Fall besonders schwierig sein kann, wenn selbst die Meinungen der Experten weit auseinander gehen. Dennoch gewinnt die kologische Risikoanalyse immer mehr an Bedeutung, da neue Normen und Gesetze eine umweltfreundliche Betriebsfhrung vorschreiben. Darauf
4

http://www.laum.uni-hannover.de/ilr/lehre/Ptm/Ptm_BewOera.htm - Stand 8.12.05

Risikoanalyse

-8-

nher einzugehen wrde allerdings ein weiteres Referat fllen und findet daher hier leider keinen Platz mehr.

5. Resmee
Zusammenfassend lsst sich sagen, dass die Risikoanalyse ein wesentlicher Bestandteil im Unternehmen sein sollte. Werden Risiken frh genug erkannt knnen sie im Keim erstickt werden und bringen dem Unternehmen keine groen Verluste. bersieht man jedoch ein Detail knnen die Auswirkungen verheerend sein und sich mitunter nicht mehr ndern lassen. Wichtig ist es daher sich nicht nur auf die scheinbar wesentlichen Punkte zu konzentrieren, sondern alle Aspekte aufzugreifen. Eine Zusammenarbeit mit den Bereichsleitern ist in diesem Zusammenhang unumgnglich, da diese die grte Erfahrung an den einzelnen Stellen aufweisen und daher mgliche Fehler als erste Erkennen. In letzter Zeit ist zu der unternehmensinternen Risikoanalyse noch die kologische Risikoanalyse hinzugekommen, die im Rahmen der Umweltvertrglichkeitsprfung (UVP) fr gewisse Branchen verpflichtend geworden ist. Auch knnen durch umweltfreundliche Produktion, die durch Umweltaudits besttigt wird, Wettbewerbsvorteile erzielt werden, die dem Unternehmen und der Umwelt nachhaltig dienen.

Risikoanalyse

-9-

6. Literaturverzeichnis:
o Philipp Schaumann, Informationssicherheit und das Eisbergprinzip o berarbeitete und erweiterte Version des Kapitels Risikoanalyse: o.A., http://sicherheitskultur.at/Eisberg_risk.htm (Mai 2005) o ohne Autor: http://www.projektmagazin.de/glossar/gl-0107.html - Stand 8.12.2005 o ohne Autor: http://www.laum.uni-hannover.de/ilr/lehre/Ptm/Ptm_BewOera.htm Stand 8.12.2005

7. Abbildungsverzeichnis:
Abbildung 1: Entstehung von Risiko Quelle: Philipp Schaumann, Informationssicherheit und das Eisbergprinzip Abbildung 2: Arten der Risikobehandlung Quelle: Philipp Schaumann, Informationssicherheit und das Eisbergprinzip Abbildung 3: Vorgehen der kologischen Risikoanalyse (nach Bachfischer 1978) Quelle: http://www.laum.uni-hannover.de/ilr/lehre/Ptm/Ptm_BewOera.htm

8. Anhang:
Internetquellen in Kopie

Risikoanalyse

-10-

Informationssicherheit und Risikomanagement


Hier befindet sich eine stark berarbeitete und stark erweiterte Version des Kapitels "Risikoanalyse" aus dem Buch "Informationssicherheit und das Eisbergprinzip". Hier das Gesamtinhaltsverzeichnis. Autor: Philipp Schaumann - Stand Mai 2005 (wegen der Gre der Bilder ist ein Ausdruck nur im Querformat sinnvoll.)

Risikoanalyse

Was bedeutet Risiko? Verschiedene Arten von Risikoanalyse

Durchfhrung einer qualitativen Risikostudie


Wie verdient Ihr Unternehmen sein Geld? Was kann alles schief gehen? Risikofaktor Mensch Risikofaktor Technik Risikofaktor Hhere Gewalt Wie wahrscheinlich sind solche Bedrohungen? Eine etwas andere Vorgehensweise Was kann ich bei jedem der Risiken zur Erhhung des Schutzes unternehmen? Was kostet mich der Schutz? Was kann ich als Ergebnis erwarten? Methodische Vorgehensweise nach NIST 800-13 Beispiel einer kompakten Ergebnisdarstellung

Risikoanalyse
Wenn wir uns ernsthaft und systematisch mit dem Schutz des Unternehmens beschftigen wollen, so kommen wir nicht darum herum, das Thema Risiko zu betrachten. Worum geht es dabei?

Was bedeutet Risiko?


Risiko wird im Wrterbuch als die Mglichkeit eines negativen Resultats, d.h. von Schden oder Verlusten definiert. Was dies fr das einzelne Unternehmen bedeutet, kann sehr unterschiedlich sein. Dies bedeutet, dass ich bei jeder Risikobetrachtung erst mal mglichst genau definieren muss, was ein erwnschter und was ein unerwnschter Ausgang ist. "Maximierung des Gewinns" knnte z.B. ein erwnschter Ausgang sein, unerwnscht wre dann z.B. Gewinneinbruch. Aber andererseits wrde eine stndige Optimierung in diese Richtung verhindern, dass notwendige Investitionen fr die Zukunft gettigt werden, was mit einem groen Risiko verbunden wre. Was im Einzelfall als erwnscht betrachtet wird, hngt vor allen Dingen vom jeweiligen Geschftsmodell ab, nmlich davon, wie ein bestimmtes Unternehmen sein Geld verdient. Jegliches Risiko zu vermeiden kann auch das Ende eines Unternehmens bedeuten. Denn: "no risk, no fun" und "wer nichts wagt, der nichts gewinnt". Das Eingehen von Risiken kann neue Chancen fr ein Unternehmen erffnen. Risikomanagement soll dazu dienen, die Risiken "in den Griff zu bekommen", d.h. zu erkennen, welche Risiken ich mit einer bestimmten Entscheidung (oder auch NichtEntscheidung) eingehe und welche Mglichkeiten ich habe, diesen Risiken zu begegnen. Bei einem Unternehmen das etwas produziert, kann ein zeitlich begrenzter Ausfall der Produktion oft ein sehr kostspieliges Problem darstellen. In diesem Fall muss ich die Produktion gegen solche Risiken geeignet absichern. Andererseits ist fr ein Beratungsunternehmen der Verlust von Know-how durch Abwanderung der erfahrensten Berater oft tdlich. Oder fr eine Bank wre der Verlust der Reputation das Ende. Fr eine Firma, die mit Adressenhandel ihr Geld verdient, knnte der Verlust der Adressdatei, oder wenn diese Datei in die Hnde der Konkurrenz fllt, das Ende der Firma darstellen. Und fr eine Firma, die nur ber das Internet verkauft, ist der Verlust der Website das Hauptrisiko. Und das Jahr 2002 hat gezeigt, dass fr eine ganze Reihe von Firmen in den USA, Deutschland und sterreich Fehlentscheidungen der Geschftsleitung das Hauptrisiko waren und zum Zusammenbruch des Unternehmens gefhrt haben.

Risikoanalyse

-11-

Letztendlich geht es bei der Risikoanalyse um etwas, was jeder Mensch tglich tut. Bevor wir uns entscheiden, vielleicht doch bei roter Ampel ber die Strae zu gehen, schtzen wir ganz schnell das Risiko ab, das damit verbunden ist. Wie viel Verkehr ist gerade? Ist irgendwo ein Polizist, der mich erwischen knnte? Schauen gerade Kinder zu, fr die ich ein schlechtes Vorbild wre? Es geht bei allen Risikoentscheidungen darum, dass ich Annahmen ber die Zukunft machen muss, die ich jedoch nicht kennen kann. Worauf kann ich diese Entscheidungen grnden? Da wren z.B. als ganz wichtiger Punkt die Erfahrungen aus der Vergangenheit. War diese Unternehmung frher eher mit Gefahr oder mit Erfolg verbunden? Andererseits gibt es zahllose Beispiele, wo ein Beharren auf der Idee, dass alles auch in Zukunft so bleiben wird, zum Untergang von Unternehmen und ganzen Unternehmensbranchen gefhrt hat. Die Eisenbahngesellschaften, die vor 1900 ein Monopol fr den Transport ber grere Strecken hatten, konnten sich nicht vorstellen, einmal von Autos und Bussen abgelst und in den USA zu einer absoluten Randposition gedrngt zu werden. Und die Busgesellschaften (und in Europa die Eisenbahnen) konnten sich noch vor 50 Jahren nicht vorstellen, dass Flugzeuge mal zu einer Konkurrenz im Massen-Fernverkehr werden knnten. D.h., wenn ich darauf vertrauen will, dass die Zukunft genauso wie die Vergangenheit abluft, so sollte ich dafr schon sehr gute Grnde haben. Ein weiterer Punkt sind die Ratschlge von auen, z.B. Freunde, aber auch die Presse, Bcher, usw. Raten mir alle davon ab, eine geplante Bergtour bei diesem Wetter durchzufhren, so haben sie evtl. recht. Und sogar die "Mode" spielt eine Rolle: frher sind wir alle ohne Kopfschutz mit dem Fahrrad gefahren, jetzt gilt das als riskantes Unterfangen. Ganz wichtig ist der gesunde Menschenverstand und das Bauchgefhl. Wenn mir ein Plan Unbehagen bereitet, so will mir mein Unterbewusstsein etwas sagen, was mir mein Verstand evtl. nicht sagen kann. Aber natrlich irrt auch oft der Bauch. So schtzen die Menschen ganz oft die Risiken falsch ein, wenn sie z.B. glauben, dass es viel weniger gefhrlich ist, mit dem Auto nach Hamburg zu fahren, als das Flugzeug zu nehmen. D.h. kritisches Hinterfragen ist bei solchen Bauchgefhlen auch wichtig. Und verschiedene Persnlichkeiten haben verschiedene Wege, mit Ungewissheiten in der Zukunft und mglichen Gefhrdungen umzugehen. Es gibt die ganz vorsichtigen, die Pessimisten, die immer ein "worst case scenario" annehmen und es gibt die Optimisten, die immer ein "best case scenario" annehmen. Wenn es um Geschftsrisiken geht, so ist es hnlich. Wer aber immer vom worst case ausgeht, der kann vor Angst gelhmt sein und unternimmt evtl. gar nichts. Dies kann aber fr ein Unternehmen am Markt auch wiederum ein erhebliches Risiko darstellen. Wenn ein Unternehmen einen neuen Markt verschlft, ist es auch gefhrdet.

Die Subjektivitt der Risikoeinschtzungen sieht man brigens sehr schn, wenn man sich die Statistiken der tdlichen Krankheiten anschaut.

Verschiedene Arten von Risikoanalysen


Ich unterscheide drei verschiedene Arten von Risikoanalysen. Der erste Typ ist eine numerische, quantitative Risikoanalyse, wie sie z.B. von Versicherungen und Banken durchgefhrt wird. Sie beruht auf wissenschaftlichen Grundlagen, z.B. Entscheidungstheorie und Statistik. Sie arbeitet mit Entscheidungsbumen und liefert Entscheidungshilfen, z.B. zu welchem Preis etwas gekauft werden sollte, erwartete Gewinne oder Verluste (und die Hhe ntiger Rckstellungen), oder die Summe der erwarteten Gesamtschden (fr eine Versicherung) ebenso wie die erwartete Bandbreite der mglichen Ausgnge (die sog. Volatilitt) sein wird. Dies setzt aber voraus, dass ich die Eingangsparameter ziemlich gut beziffern kann. Dies ist nur in Ausnahmefllen wirklich mglich. Die zweite Herausforderung ist, dass ich Annahmen ber die Zukunft machen muss und zwar in quantitativer Form. Die Annahme, dass die Zukunft wie die Vergangenheit weitergeht, hat schon zu erheblichen Fehlprognosen gefhrt. Ein sehr empfehlenswertes, verstndliches Buch zu dieser Form von Risikoanalyse ist von Dan Borge, "Wenn sich der Lwe mit dem Lamm zum Schlafen legt". Eine wissenschaftlichere Beschreibung befindet sich in Wikipedia unter dem Stichwort Value at Risk (VaR). Eine zweite Art von numerischer, halb-quantitativer Risikoanalyse beginnt oft damit, dass zwar nicht-numerische Daten erhoben werden (Fragen wie, "Hat ihr Unternehmen eine unterbrechungsfreie Stromversorgung", dass die Antworten dann bewertet werden und ber eine Punktevergabe ein Zahlenwert entsteht, der fr einen Vergleich mit anderen Unternehmen (Benchmark) oder fr einen zeitlichen Vergleich mit den Ergebnissen frherer Bewertungen herangezogen werden kann. Solche Risikoanalysen sind oft bei Revisoren beliebt, weil sie einfache Vergleichswerte liefern, sie kranken jedoch oft in mehrfacher Hinsicht. Einmal sind die Fragen oft zu einfach, um komplexe Zusammenhnge genau genug abbilden zu knnen. So msste die obige Frage nicht fr das Gesamtunternehmen, sondern fr einzelne Komponenten gestellt werden (Absicherung der Stromversorgung der EDV, Absicherung der Stromversorgung der Produktion, ....) und dann die Abhngigkeiten der Komponenten bercksichtigt werden. Zum anderen ignorieren viele dieser

Risikoanalyse

-12-

Modelle die Bedrohungen und betrachten diese als konstant. Das heit z.B., dass ein JA auf die Frage "verwenden sie einen Proxy fr den Internetzugang ihrer Mitarbeiter" eine bestimmte Punktzahl ergibt, ohne zu bercksichtigen, dass die Bedrohungen die sich daraus ergeben, heute, in 2005 erheblich grer sind als noch in 2004 (Zunahme der kriminellen Aktivitten im Internet). Es ist natrlich mglich, alle diese Zusammenhnge zu bercksichtigen, viele der einfacheren Modelle tun dies jedoch nicht in ausreichendem Mae und kommen daher zu Ergebnissen, die die wirkliche Situation nicht ausreichend wiedergeben. Ein Beispiel fr ein Tool, das nur schematisch Ja oder Nein erlaubt ist das kostenlose Microsoft Security Risk Self-Assessment, ein Beispiel fr ein komplexeres Tool ist CRISAM von calpana (frher techcom), auf das ich spter noch eingehen werde.

Glcklicherweise liefern manche dieser Modelle (und die dafr verwendeten Tools) auch noch qualitative Ergebnisse in der Form von Manahmenlisten. Solche Manahmenlisten sind das Hauptergebnis der qualitativen Risikostudien, mit denen sich der Rest des Textes beschftigen wird. Bei den beiden letzten Arten von Risikobetrachtungen geht es eigentlich weniger um eine konkrete Voraussage fr die Zukunft, sondern mehr darum, wie ich die gegenwrtigen Risiken des Unternehmens besser in den Griff bekomme, nmlich welche Manahmen erlauben es mir auf kostengnstige Weise auf die Risiken so zu reagieren, wie dies den Unternehmenszielen am besten entspricht.

Durchfhrung einer qualitativen Risikostudie


Ziel ist die Bedrohungen und die sich daraus ergebenden Risiken des Unternehmens besser in den Griff zu bekommen zu prfen, ob die bisher zum Schutz gesetzten Manahmen angemessen sind welche Manahmen erlauben es dem Unternehmen auf kostengnstige Weise auf die Risiken so zu reagieren, wie dies den Unternehmenszielen am besten entspricht.

Der erste Schritt zu einer Risikoanalyse ist, dass wir uns klare Rahmenbedingungen setzen. Wollen wir das Gesamtrisiko des Unternehmens betrachten, oder vielleicht nur Teilaspekte wie die EDV oder die Produktion herausziehen? Oder engen wir die Themenstellung noch weiter ein: wollen wir durch die Risikobetrachtung nur eine einzelne Entscheidung untermauern, z.B. ob eine bestimmte Technologie, z.B. wireless network (WLAN) im Lager eingesetzt werden soll, ja oder nein? Eine Methode zur Betrachtung einer einzelnen Technologie wird am Ende dieses Kapitels dargestellt. Im folgenden Text gehen wir erst mal davon aus, dass wir das Gesamtrisiko fr die Firma betrachten wollen.

Was sind die Kern-Geschftsbereiche Ihres Unternehmens? Wie verdient Ihr Unternehmen sein Geld?
Oft ist es offensichtlich, was die wichtigsten Geschftsbereiche eines Unternehmens sind, manchmal aber ist ein Bereich, der nicht im Rampenlicht steht, kritischer als die ffentlich bekannten. So kann es wichtiger sein, eine kontinuierliche Versorgung der bereits bestehenden Kunden mit Ersatzteilen oder Verbrauchsmaterial fr die Reputation bei den Kunden wichtiger sein kann, als die Auslieferung der Neu-Gerte zum versprochenen Zeitpunkt. Zur Abschtzung von direkten finanziellen Bedrohungen, z.B. durch den Ausfall der Produktion muss ich die Geschftsprozesse betrachten. Dabei ist zu bedenken, dass der Geschftszweig, fr den eine Firma bekannt ist, nicht zwingend auch der sein muss, der das grte Risikopotential hat. Der Verkauf von Druckerpatronen kann fr den Umsatz wichtiger sein als der Verkauf der Drucker selbst (speziell wenn die Drucker nicht selbst hergestellt werden und bei einem Wegfall des Druckerverkaufs eben auch keine Drucker vom Lieferanten eingekauft wrden). Die Einnahmen aus dem Verkauf von Verbrauchsmaterial oder aus Wartungsvertrgen knnen finanziell fr das berleben wichtiger sein, als Neuverkufe, die evt. aus den Lagerbestnden der Vertriebsorganisationen noch eine ganze Weile weiterfunktionieren knnen. Und wenn Sie nicht produzieren knnen (aus welchen Grnden auch immer), laufen Ihre Kosten dann weiter? Der Ausfall von Einnahmen ist viel weniger dramatisch, wenn den ausgefallenen Einnahmen keine Fixkosten gegenberstehen, sondern die Kosten auch wegfallen wrden. Ist das, wofr Ihr Unternehmen bekannt ist, wirklich das, was die Butter aufs Brot bringt?

Risikoanalyse

-13-

Wie wichtig z.B. ihre Buchhaltung ist sehen Sie, wenn Sie berlegen, was passieren wrde, wenn Sie mal eine Woche keine Rechnungen schreiben knnten? Ist das ein Problem fr Sie?

Was sind die Werte des Unternehmens?


Wir mssen bei der Analyse des Risikos eines Unternehmens immer von den (materiellen oder immateriellen) Werten des Unternehmens ausgehen. Die materiellen Werte knnten bedroht sein, wenn ein Feuer oder eine berschwemmung die Produktionsrume bedroht. Immaterielle Werte knnen bedroht sein, wenn ein Skandal den guten Ruf des Unternehmens in Mitleidenschaft zieht. Auch darauf muss ich mich einstellen. Ein anderer sehr wichtiger immaterieller Wert fr ein Unternehmen ist die Qualitt und die Leistungsbereitschaft der Mitarbeiter. Ein weiterer wichtiger Wert sind z.B. vertrauliche Konstruktionsdaten. Dabei gibt es 2 Werte zu betrachten: Zum ersten - welche Kosten wrden entstehen, wenn ich diese Daten verliere und wie lange wrde es dauern, diese wiederherzustellen? Weiters wre aber auch zu fragen, wie viel wren der Konkurrenz diese Daten wert? Welche Marktvorteile knnte die Konkurrenz aus diesen Daten ziehen? Welche Zeit wrde die Konkurrenz gewinnen, wenn sie diese Informationen nicht selbst erarbeiten muss?

Das heit, wer eine Risikoanalyse durchfhren will, muss sich z.B. die wirklichen Werte des Unternehmens sowie die Umsatz- und Gewinnzahlen sehr grndlich anschauen.

Was kann alles schief gehen? Welchen Bedrohungen und Risiken ist mein Unternehmen ausgesetzt?
Jetzt wird es richtig schwierig und hier knnen die grten Fehler gemacht werden. Bedrohungen und Risiken, die ich in diesem Stadium nicht erkenne, werde ich bei meinen Betrachtungen nicht bercksichtigen knnen. D.h. ich werde mich auch nicht vor ihnen schtzen knnen.

Wie die Grafik zeigt, entstehen Risiken, wenn Gefahren und Schwachstellen zusammentreffen. Gefahren gibt es berall, das ist eine Tatsache die wir akzeptieren mssen. So gibt es berall kriminelle Elemente, die nur auf eine Gelegenheit warten, ohne viel Arbeit an das groe Geld zu kommen. Und Naturkatastrophen wie Strme und berschwemmungen passieren immer wieder. Zu einer Bedrohung werden diese Gefahren, wenn sie fr dieses Unternehmen relevant sind und gleichzeitig im Unternehmen auf eine Schwachstelle treffen, z.B. entstanden durch unzureichende Sicherheitsmanahmen.

Risikoanalyse

-14-

Gefahren knnen das Unternehmen aus verschiedenen Richtungen bedrohen: Hhere Gewalt und andere Naturkatastrophen, Ausflle der Technik und Infrastruktur und die Gefahren, die von Menschen ausgehen, sei es durch Vorsatz oder Nachlssigkeit, durch die eigenen Mitarbeiter oder von auen. Um das spezifische Bedrohungspotential eines Unternehmens zu bestimmen, muss ich von diesen allgemeinen Bedrohungen die auswhlen, die fr den spezifischen gewnschten Erfolg des Unternehmens abtrglich sein knnten. D.h. aus der groen Liste mglicher Gefahren whle ich die fr mich relevanten aus. Diesen muss ich dann die getroffenen Gegenmanahmen gegenberstellen und damit gewinne ich das Bedrohungspotential. Wie finde ich nun eine mglichst vollstndige Liste der mglichen Bedrohungen? Ich gehe davon aus, dass speziell in greren Unternehmen alle Bedrohungen und Schwachstellen bereits irgendwo im Unternehmen bekannt sind. Das Problem liegt oft darin, dass die Geschftsfhrung, die Manahmen zur Behandlung der Risiken setzen knnte, i.d.R. diese Risiken nicht im Detail kennt. Der Vorarbeiter am Flieband jedoch, der vielleicht schon seit 30 Jahren diese und hnliche Ttigkeiten ausfhrt, wei genau, was schief gehen kann. Er hat das alles schon mal erlebt. Aber er kann keine Manahmen setzen. Evtl. hat das Unternehmen ein Vorschlagswesen oder einen KVP (kontinuierlichen Verbesserungsprozess), aber evtl. auch nicht. Derjenige, der die Risikostudie durchfhrt wird in vielen Fllen "einfach nur" die Informationen ber die Bedrohungen von der Stelle im Unternehmen, wo sie bekannt sind, dorthin transportieren, wo ber Manahmen entschieden werden kann. (Das ist der steinalte Witz ber den Berater, der einem Unternehmen das Know-how, das das Unternehmen selbst hat, abzieht und wieder zurck verkauft. Aber wenn das Unternehmen selbst niemanden hat, der auf das vorhandene Know-how systematisch zugreifen kann, so ist das genauso gut, als htte das Unternehmen das Know-how gar nicht.) Daher kann eine solche Risikoanalyse auch als eine groe Kommunikationsherausforderung betrachtet werden. Wie finde ich als Berater die fr dieses Unternehmen relevanten Risiken? Dazu muss ich zuerst mit der Geschftsleitung und den Verantwortlichen fr die einzelnen Teilbereiche des Unternehmens reden um zu erfahren, was sie als Hauptbedrohung sehen. Hat das Unternehmen Feinde? Wer sind diese? Wie viel Geld wrden diese wohl ausgeben, um z.B. an Geschftsdaten zu kommen oder die Produktion zu stren? Wie gro ist die Abhngigkeit der Geschftsprozesse vom Funktionieren der EDV? Wie oft fllt die Infrastruktur aus? Was kann sonst noch alles schief gehen? Dies bedeutet, dass derjenige, der die Risikostudie erstellen will, viele Interviews im Unternehmen durchfhren muss. Es empfiehlt sich, mit vorbereiteten Fragebgen, bzw. Checklisten zu kommen, damit sichergestellt ist, dass alle relevanten Themen und Fragestellungen behandelt werden. Diese Fragen sollten so weit wie mglich sog. "offene Fragen" sein, d.h. keine ja/nein Fragen. Das sind z.B. Fragen wie "wie wird in diesem Unternehmen dies oder das eigentlich praktiziert? Gibt es dabei manchmal Probleme? Wenn sie nachts nicht schlafen knnen, was beunruhigt sie dann, wenn sie an die Firma denken?" Gute Hinweise auf mgliche Bedrohungen ergeben sich z.B. auch immer dort, wo ein Unfall gerade noch mal gutgegangen ist. Hier ein Artikel im Standard dazu. Diese Vorgehensweise steht im Gegensatz zu den tool-untersttzten Risikoanalyse-Anstzen, deren Ziel eine numerische Bewertung des Risikos in Form eines Benchmarks ist. Weiter oben habe ich das als "numerisch halb-quantitativen Ansatz" bezeichnet. Um zu einer eindeutigen Zahl als Endergebnis zu kommen, drfen bei diesen Tools keine Freitext-Eingaben erlaubt sein (weil dann eine maschinelle Auswertung kaum mglich wre). Diese Tools geben Multiple Choice-Antworten vor und sie sind daher kaum geeignet, Risiken aufzuspren, die nicht bereits im Tool abgedeckt sind.

Auf der Basis dieses Gesamtbildes der Werte und der Geschftsprozesse muss eine systematische Aufstellung und anschlieende Bewertung der Bedrohungen durchgefhrt werden. Wie oben bereits ausgefhrt, werden diese oft unterschiedlich sein, jedoch ist es hilfreich, von einer umfangreicheren Gesamtliste auszugehen und dann solche zu ignorieren, die fr dieses Unternehmen keine Rolle spielen. Um systematisch vorgehen zu knnen, erscheint eine Gliederung in drei groe Risikogruppen sinnvoll: Risikofaktor Mensch, Risikofaktor Technik und Risikofaktor Hhere Gewalt.

Wie wahrscheinlich sind diese Bedrohungen?


Die nchste Aufgabe ist es festzustellen, wie hoch die Wahrscheinlichkeit des Eintretens dieser Schden ist. Dabei ist es hilfreich, diese allgemeinen Gefahrengruppen weiter aufzuteilen. So ist die Abschtzung einfacher, wenn ich nicht Feuer als Gesamtgruppe betrachte, sondern die Wahrscheinlichkeiten fr die verschiedenen Feuerursachen einzeln aufgliedere. Zustzlich bietet sich an, eine weitere Unterscheidung nach der Gre des Schadens vorzunehmen. So ist z.B. ein lokaler Brand in einer Halle erheblich hufiger, als ein Abbrennen einer gesamten Halle oder gar des

Risikoanalyse

-15-

gesamten Unternehmens. Fr eine Gesamtbetrachtung sollten detaillierte Einzelrisiken betrachtet werden. Ein Programm fr Tabellenkalkulation bietet sich als Hilfe bei der Erfassung und Bewertung an. Oft kann es mental hilfreich sein, sich nicht auf die Zahl der Schden pro Jahr zu konzentrieren, sondern sich vielmehr zu fragen, wie oft wird dieses Ereignis vermutlich in 100 Jahren eintreffen. Wie kann ich vorgehen, um zu solchen Wahrscheinlichkeiten zu kommen. Wenn das Unternehmen schon eine Weile besteht und Erfahrungswerte aus der Vergangenheit vorliegen, so habe ich gute Voraussetzungen. Ich muss in die Fachabteilungen gehen und geeignete Fragen stellen. Z.B. frage ich die Werksfeuerwehr nach Brandstatistiken, aufgegliedert nach Brandgren und -ursachen. Ich frage den Werkschutz nach Diebsthlen und unbefugtem Betreten des Werksgelndes. Ich frage den Produktionsleiter nach der Statistik zu Maschinenausfllen und nach der Ersatzteilbevorratung. Und die Logistikabteilung sollte Statistiken ber Lieferverzge oder Qualittsprobleme der Zulieferer haben. Die EDV-Abteilung sollte Statistiken ber Rechner- und Netzwerkausflle haben. Wenn dies nicht der Fall ist, so helfen oft Nachfragen bei Versicherungen, fr die solche Statistiken unabdingbar sind oder Studien in einschlgiger Literatur oder im Internet. Natrlich werden diese Zahlen letztendlich mit einer ziemlich hohen Fehlerbreite versehen sein, das kann in diesem Fall gar nicht vermieden werden. Trotzdem liefern diese berlegungen wichtige Anhaltspunkte fr eine Gewichtung und Systematisierung der Schutzmanahmen. Natrlich muss ich bei diesen Abschtzungen den jeweiligen Stand des Schutzes bercksichtigen. Die Wahrscheinlichkeit, ob ein lokaler Brand zur Vernichtung der ganzen Halle fhrt hngt z.B. davon ab, ob es Brandmelder, Sprinkleranlagen und Brandschutzwnde gibt und wie schnell die Feuerwehr garantieren kann, vor Ort zu sein. Ein mglicher Versicherungsschutz sollte hierbei noch nicht bercksichtigt werden. Eines der Ziele dieser Betrachtungen ist ja auch, die Angemessenheit des Versicherungsschutzes zu bewerten.

Wie hoch sind die erwarteten Schden in jedem einzelnen Fall?


Diese Feinunterteilung der Bedrohungen hilft mir auch, wenn es darum geht, die Schden finanziell zu bewerten. Schden knnen in vielfltiger Form auftreten. Die sind einmal die direkten Materialschden, aber oft sind die Schden durch Produktionsausfall noch erheblich grer (und durch die Versicherung gar nicht abgedeckt). Daneben mssen auch Schden durch Image- oder Kundenverlust bercksichtigt werden, wobei das oft nur schwer einzuschtzen ist. Fr die Werte der Maschinen sollte ich nicht den Anschaffungswert, sondern eher den Wiederbeschaffungswert bercksichtigen. Dies kann, speziell bei lteren Modellen, ein ganz anderer Wert sein, oder die Wiederbeschaffung kann bei Modellen die nicht mehr auf dem Markt sind, ein besonderes Problem darstellen, das auch bercksichtigt werden muss. Auf jeden Fall muss die Zeit mitbercksichtigt werden, die es dauert, bis die Maschinen wieder einsatzbereit sind. Ein Ansatz fr die Bewertung von Imageschden ist, sich zu Fragen, was eine Werbekampagne kosten wrde, mit der das Unternehmen das Vertrauen der Kunden in das Unternehmen wieder auf den alten Wert heben kann.

In unserer Tabellenkalkulation ergnzen wir zu jeder dieser Gefahren die abgeschtzte oder ermittelte Eintrittswahrscheinlichkeit und den erwarteten Schaden pro Schadensfall. Das Produkt aus diesen beiden Werten ergibt den zu erwartenden Schaden pro Jahr (oder pro 100 Jahre, wenn ich entsprechend abgeschtzt habe). Und ein Vergleich dieser Werte zeigt wo das Unternehmen seine grte Risikoexponierung hat.

Was kann ich bei jedem der Risiken zur Verbesserung des Schutzes unternehmen?
Wenn ich als Unternehmen einem Risiko ausgesetzt bin, so habe ich mehrere mgliche Strategien, um auf dieses Risiko zu reagieren. Erst mal kann ich versuchen, dieses Risiko zu beseitigen. Ein Beispiel wre, wenn ich auf das Risiko der berschwemmung des Rechenzentrums darauf reagiere, in dem ich dieses vom Keller in das Dachgeschoss bersiedle (dabei muss ich natrlich bedenken, ob dadurch nicht neue Gefahren entstehen).

Risikoanalyse

-16-

Oder ich kann mich bemhen, ein Risiko zu minimieren. Dazu wre ein Beispiel der Einsatz eines Virenscanners und einer Firewall um der Gefahr von Angriffen und Schden aus dem Internet zu begegnen. Dies wird nicht zu einer vlligen Beseitigung des Risikos fhren, aber doch eine erhebliche Minimierung bewirken. Oder ich kann Risiken abwlzen. Methoden dazu sind z.B. Versicherungen und auch OutsourcingPartner, die ber entsprechende Vertrge zur bernahme der Risiken verpflichtet werden. Dabei ist jedoch entscheidend, dass das Kleingedruckte in den Vertrgen keine Lcken enthlt, z.B. Ausschlussklauseln bei Hherer Gewalt. Und die letzte Option ist natrlich immer, das Risiko einfach zu akzeptieren. Dies ist durchaus in Ordnung, so lange dieses Risiko bekannt ist. Unbekannte Risiken gilt es aufzudecken. Um den Punkt der Akzeptanz des Restrisikos kommt letztendlich niemand herum, denn alle Schutzmanahmen mssen natrlich im fr das Unternehmen erschwinglichen Rahmen liegen und dadurch entstehen Grenzen bei den Schutzmglichkeiten.

Oft ist es auch sinnvoll, die Gefahren nach abwendbar bzw. nicht abwendbar einzuteilen, und die nicht abwendbaren in versicherbare und nicht versicherbare. Diese Aufteilung muss gemeinsam mit der Eintrittswahrscheinlichkeit unter konomischen Aspekten (z. B. mit vertretbarem Aufwand abwendbar) getroffen werden.

Was kann ich als Ergebnis erwarten?


Das Ergebnis der Risikoanalyse, das dem Vorstand prsentiert wird, sollte natrlich nicht diese umfassendeTabellenkalkulation sein. Dafr hat kaum eine Geschftsfhrung Zeit. Folgende Informationen kann die Geschftsleitung erwarten: Eine Auflistung der Bedrohungen des Unternehmens, nach Prioritten in Hinblick auf ihre Gefhrlichkeit geordnet Eine Darstellung, welche der mglichen Bedrohungen als auerhalb der Betrachtungen gesehen wurden (z.B. Krieg, Terrorismus, Erdbeben, Verlust des Gebudes, Ausfall beider Rechenzentren, ...). Hier ist die Geschftsfhrung gefordert, zu entscheiden, ob diese Risiken wirklich ignoriert werden sollen. Eine Darstellung der zu erwartenden Schden im Fall, dass eine Bedrohung eintritt (Vergleich mit den Versicherungshhen) Eine Darstellung der bereits getroffenen Schutzmanahmen

Eine Darstellung der zustzlich empfohlenen Manamen um den Schutz zu erhhen, wieder nach Dringlichkeit und Prioritten geordnet (hoch, mittel, niedrig). Diese Liste wird optimalerweise eine Aufstellung der ungefhren Kosten beinhalten. Oft finden sich dabei Manahmen mittlerer Prioritt, die zwar oft nicht absolut dringend sind, jedoch ohne groen Aufwand und Kosten implementiert werden knnen. Diese sollten dann sinnvoller weise vorgezogen werden. Jede kleine Verbesserung kann helfen, die Sicherheit zu erhhen

Risikoanalyse http://www.laum.uni-hannover.de/ilr/lehre/Ptm/Ptm_BewOera.htm

-17-

Ziel und Herkunft der Methode


Die kologische Risikoanalyse wurde als Methode zur Betrachtung natrlicher Ressourcen in einem greren Planungsraum im Rahmen eines Gutachtens im Groraum NrnbergFrth-Erlangen-Schwabach entwickelt (vgl. Aulig et al. 1977; Bachfischer 1978). In der Folgezeit wurde sie im Hinblick auf die Durchfhrung von Umweltvertrglichkeitsprfungen fortentwickelt, v. a. von Scharpf (1982) sowie Kiemstedt et al. (1982). Inzwischen gehrt die Methode in den verschiedensten Abwandlungen zum Standardrepertoire der Umweltplanung. Die letzten wesentlichen Entwicklungen gingen von der Planungsgruppe kologie und Umwelt (vgl. Hoppenstedt u. Riedl 1992) sowie der Anpassung an neue rechtliche Grundlagen (Scholles 1997) aus. Ziel der kologische Risikoanalyse ist die Beurteilung der kologischen Nutzungsvertrglichkeit bei unvollstndiger Information. Sie versteht sich als "Versuch einer planerischen Operationalisierung des Verursacher-Auswirkung-BetroffenerZusammenhangs, d. h. als eine Form der Wirkungsanalyse im Mensch-Umwelt-System" (Bachfischer 1978, 72).

Ablauf der Methode Vorgehen

Abb. 7.7.1: Vorgehen der kologischen Risikoanalyse (nach Bachfischer 1978) Die Beurteilung erfolgt formal durch die Bildung der drei Aggregatgren

Intensitt potenzieller Beeintrchtigung (kurz Beeintrchtigungsintensitt), Empfindlichkeit gegenber Beeintrchtigungen (Beeintrchtigungsempfindlichkeit) und Risiko der Beeintrchtigung (s. Abb. 7.7.1).

Dabei werden unter Beeintrchtigungen natrlicher Ressourcen nderungen von Quantitten oder Qualitten natrlicher Ressourcen verstanden, die nach Art und Ausma

Risikoanalyse

-18-

die Befriedigung der Ansprche an natrliche Ressourcen erheblich erschweren oder unmglich machen. Um den Zusammenhang Verursacher-Auswirkung-Betroffener zu untersuchen, teilt sich das Verfahren auf in die Untersuchung der Betroffenen (natrliche Faktoren, linke Seite in Abb. 7.7.1) und der Verursacher (Nutzungsansprche, rechte Seite in Abb. 7.7.1).

Beeintrchtigungsempfindlichkeit
Auf der Betroffenenseite werden zunchst die Leistungen der Naturgter fr Nutzungsansprche, d. h. die Eignung, ermittelt. Dazu werden Indikatoren gebildet und herangezogen. Diese werden durch Untersuchungen (Datenbernahme, Berechnung oder Messung) fr den Untersuchungsraum konkretisiert. Durch Abgleich der Untersuchungsergebnisse mit fachlichen Zielvorstellungen entsteht die Beeintrchtigungsempfindlichkeit. Diese fasst die Nutzungseignung natrlicher Ressourcen und die "bertragungseigenschaften" der Geofaktoren fr Wirkungen zusammen und ordnet sie in einer ordinalen Skala.

Beeintrchtigungsintensitt
Auf der Verursacherseite werden die Auswirkungen von Nutzungen auf die Schutzgter untersucht, indem auch hier Indikatoren gebildet werden. Die rumliche Konkretisierung erfolgt durch Prognose, da es um zuknftige Zustnde geht. Daraus wird die Beeintrchtigungsintensitt ermittelt. Diese fasst Beeintrchtigungsfaktoren fr jedes Teilsystem (in der ursprnglichen Fassung Klima/Luft, Boden, Wasser, Biotope, Landund Forstwirtschaft, Erholung, Wohnen; nach dem UVPG wren es Mensch, Tiere, Pflanzen, Boden, Wasser, Luft, Klima, Landschaft, Sachgter, Kulturgter) entsprechend den von ihnen ausgehenden Wirkungen zusammen und ordnet sie wiederum in einer ordinalen Skala.

Kritik an der Methode Risikobegriff: Anspruch und Wirklichkeit


Bereits bei Bachfischer besteht eine Diskrepanz zwischen der theoretischen Fundierung des Risikobegriffs und seiner Verwendung in der kologischen Risikoanalyse. Eintrittswahrscheinlichkeiten werden nicht ermittelt, sodass das Risiko der Beeintrchtigung mit dem Ausma der Beeintrchtigung gleichgesetzt wird, ohne dass eine nhere Begrndung erfolgt. Die bersichtlichkeit und leichte Anwendbarkeit der Methode hat in der Planungspraxis zu bisweilen formal-mechanistischer und wenig reflektierter Abarbeitung gefhrt. Einige Anwender reduzieren die Methode sogar auf die Prferenzmatrix und verzichten vllig auf die Relevanzbume, sodass die Eingangsgren kaum nachvollziehbar sind. Als Ergebnis mehr oder weniger ausfhrlicher Argumentationen und verbaler Darstellungen wird eine hohe, mittlere oder geringe Beeintrchtigung bzw. Empfindlichkeit konstatiert. So bleibt meist auer acht, gegen welche Auswirkungen die Schutzgter wie empfindlich reagieren. Um zu einem "Gesamtrisiko" zu kommen, werden die Einzelrisiken dann teilweise noch ungehemmt saldiert, was bereits formal unzulssig ist. Die Einfachheit der Methode verleitet offensichtlich Gutachter mit geringen methodischen und inhaltlichen Kenntnissen, Umweltauswirkungen pauschal zu beurteilen (vgl. Eberle 1984; Scholles 1997, 155ff.).

Indikatorprobleme
Indikation ist bei der Ermittlung der Umweltauswirkungen unumgnglich, weil umfassende Kausalketten viel zu aufwndig und daher nicht mit vertretbarem Aufwand erforschbar sind. Die Praxis steht vor dem Problem, Indikatoren suchen zu mssen. Diese werden oft vom Gutachter frei ausgewhlt und unterscheiden sich damit von Untersuchung zu Untersuchung. Dadurch wird jedoch die Vergleichbarkeit hnlich gelagerter Flle und damit die Nachvollziehbarkeit der Aussage erschwert, wenn nicht derselbe Gutachter ttig war.

Probleme bei der Klassenbildung


Die ordinale Einstufung von Beeintrchtigungsintensitt und Beeintrchtigungsempfindlichkeit ist nur mglich, wenn Klassen gebildet werden. Dabei werden zwischen drei und neun Klassen gebildet und i.d.R. mit Prdikaten (z. B.

Risikoanalyse

-19-

"sehr hoch-hoch-mittel-gering-sehr gering") belegt. Die Klassenbildung setzt erhebliches Fachwissen aus den entsprechenden Disziplinen voraus. Die in der Praxis blichen Klasseneinteilungen sind selten sachlich begrndet und entscheidungsorientiert. Ziel muss aber sein, vergleichbare und reproduzierbare und gleichzeitig sachgerechte fachliche Einschtzungen zu produzieren, um dem Vorwurf nicht nachvollziehbarer Gutachten und Stellungnahmen entgegenzuwirken. Die Forderung nach Vergleichbarkeit und Reproduzierbarkeit bedingt mindestens eine klare Strukturierung, darber hinaus aber auch eine gewisse Formalisierung der Klassenbildung. Diese knnte in vorgegebenen Bezeichnungen, vorgegebenen Textbausteinen zur Begrndung oder vorgegebenen Skalierungen, sog. Mantelskalen, liegen. Damit ist sicherlich immer auch ein Informationsverlust gegeben, was der Forderung nach Sachgerechtigkeit entgegenlaufen kann. Denn diese zielt auf die hinreichende Bercksichtigung des Einzelfalls und seiner Besonderheiten ab, was z. B. eine Differenzierung nach Schutzwrdigkeiten innerhalb eines zu betrachtenden Raums bedeutet. Dazu bedarf es landschaftlicher Leitbilder und daraus entwickelter regionalisierter Umweltqualittsziele, mit deren Hilfe die Klassengrenzen begrndet bestimmt werden knnen (vgl. Scholles 1997, 160 ff.).

Aggregation
Die Aggregation der diversen Wirkungsaussagen zu einer Gesamtaussage wie "umweltvertrglich" ist die umstrittenste Problematik aller Methoden. Zumindest bis auf Schutzgutebene muss aggregiert werden, soll der Entscheider noch den berblick behalten. Irgendwann muss aber eine Gesamtaggregation stattfinden, damit eine Entscheidung fr eine Alternative fallen kann - und sei es die Null-Alternative. Die kologische Risikoanalyse behandelt in ihrer klassischen Form unterschiedlichste Schutzgter nach demselben Schema. Dass dies nicht immer sachgerecht sein kann, muss bereits Aulig et al. (1977) aufgefallen sein, als sie im Mittelfranken-Gutachten bei Biotopen und bei Erholung vom Schema abwichen. Schematische Vorgehensweisen sind immer angreifbar, dienen andererseits jedoch der bersicht. Soll diese Aggregation mit planerischen Methoden bewltigt werden? Dann wird die Aggregation fr den Entscheider/Politiker i.d.R. intransparent; gleichzeitig bernimmt der Gutachter indirekt politische Funktionen, weil jede Aggregation normative Elemente enthlt, die das Ergebnis massiv beeinflussen knnen. Oder soll die Aggregation durch freihndige Einschtzung (abgewogenes Expertenurteil) erfolgen? Dann bernimmt der Experte politische Funktionen, ohne dafr legitimiert zu sein. Auerdem tendieren solche Urteile bei ungenauer Dokumentation dazu, noch weniger nachvollziehbar zu sein. Oder soll die Aggregation bewusst als politische Aufgabe, die vom Entscheider/Politiker auszufllen ist, offengelassen werden? Damit kann ein Politiker aber heillos berfordert werden, denn die vom Gutachten aufbereiteten Informationen ber zahlreiche Wirkungen mit unterschiedlich hohem Risiko knnen die totale Unbersichtlichkeit auslsen. Resultat ist eine Entscheidung in "politischer Instinkthaftigkeit" - und die aufwndige Analyse war umsonst.

7.7.7 Weiterentwicklung fr die Umweltvertrglichkeitsprfung


Scholles (1997) hat die Methodik fr die Anwendung im Rahmen der Umweltvertrglichkeitsprfung weiterentwickelt, um mit ihrer Hilfe Umweltauswirkungen abschtzen, einschtzen und bewerten zu knnen. Das UVPG unterscheidet zwischen einer fachlichen Beschreibung, zu der bei Unsicherheit Abschtzung und im Falle des Einflieens fachlicher Werturteile Einschtzung gehrt, und der rechtlichen Bewertung. Die hier wesentlichen Vorschlge sind:

Bezugnahme auf Umweltqualittsziele Strukturierung und Formalisierung von Aggregationsschritten.

Bezugnahme auf Umweltqualittsziele


Umweltqualittsziele haben sowohl bei der (fachlichen) Einschtzung als auch bei der (rechtlichen) Bewertung eine Bedeutung (vgl. Scholles 1997, 212f.).

Risikoanalyse

-20-

Bei der Einschtzung werden naturraumspezifische Referenzen, die aus regionalen oder kommunalen Umweltqualittszielen abzuleiten sind, zur fachlichen Klassenbildung bentigt, insbesondere bei der Einschtzung des Zustands der Schutzgter. Dies gilt sowohl fr die Einschtzung des aktuellen Zustands (der Vorbelastung) als auch fr die Einschtzung prognostizierter Zustnde (Belastungen durch das Vorhaben bzw. die verschiedenen Varianten). Durch die Orientierung an Umweltqualittszielen, die nicht durch den Gutachter gesetzt werden, wird die geforderte Entscheidungserheblichkeit der Untersuchungen erreicht. Damit knnen die Relevanzbume zumindest teilweise auf sicherere und legitimierte Fe gestellt werden. Bei der Bewertung der Umweltauswirkungen nach 12 UVPG ist die Zulssigkeit der Auswirkungen unter Umweltvorsorgegesichtspunkten zu untersuchen. Dabei drfen nur Umweltgesichtspunkte der Zulssigkeitsvoraussetzungen bercksichtigt werden, die auerdem noch vorsorgeorientiert ausgelegt werden mssen. Dazu eignen sich Umweltqualittsziele, wenn sie den o. g. inhaltlichen Anforderungen entsprechen. Alternativen und Varianten sind keine Umweltqualittsziele, weil jede von ihnen und auch die Nullvariante unzulssig sein kann. Statt an relativen Mastben muss sich die Bewertung an regionalen Charakteristika der Schutzgter orientieren. Dies ist i.d.R. nicht der heutige, mehr oder weniger stark vorbelastete Zustand. Bei mehreren Varianten, die das Umweltqualittsziel erfllen, ist die Bestimmung der relativen Vorzglichkeit aus Umweltsicht sinnvoll. Ob mehrere Klassen bentigt werden, hngt im wesentlichen von der jeweiligen Zulssigkeitsvoraussetzung ab. Andererseits soll bei diesem Verfahrensschritt auch eine Gewichtung vorgenommen werden. Wenn aber gewichtet werden soll, sind Wertstufen ntig, auch wenn es nur wenige, ordinal skalierte sind. "Eine Gewichtung oder Wertung anhand nur einer Aussage (z. B. ein Immissionswert der TALuft oder ein kologisch begrndeter Schwellenwert) als JA/NEIN-Aussage mu als bewertungsmethodisch unvernnftig bezeichnet werden und ist rechtlich nicht zulssig" (Khling u. Peters 1994, 36). Das bedeutet:

Bei der Einschtzung sind die im Scoping-Prozess ausgewhlten Bewertungsmastbe anzuwenden und ggf. durch Referenzwerte fachlich zu konkretisieren. Bei der Bewertung ist der Vergleich der Ergebnisse der Einschtzung mit den Zulssigkeitsvoraussetzungen unter Weglassung der Nicht-Umweltbelange herzustellen. Hier ist eine umweltinterne Abwgung unter Einbeziehung ggf. vorhandener Etappenziele vorzunehmen. Aufgrund des Vorsorgegebots sind Umweltqualittsziele zur Konkretisierung der umweltbezogenen Zulssigkeitsvoraussetzungen heranzuziehen. Bei der auf die UVP folgenden Entscheidung haben schlielich alle Belange einzuflieen, sodass die Umweltqualittsziele mit anderen Belangen abgewogen werden.

Bei allen Schritten haben Einstufungen ihre Berechtigung. Zwecks nachvollziehbarer Einstufung braucht man Umweltqualittsstandards. Grundlage fr Einstufungen und Wertungen sind Umweltqualittsziele als vorsorgeorientierte und regionalisierte Mastbe aus Umweltsicht.