caq4- Produkt-, Prozess-, Qualitätsmanagement


Guide Risikomanagement

Risiko- Von welchen Risiken sprechen wir?
Unternehmerisch/ kaufmännisches Risikomanagementsystem
Branchenbezogenen Risiko(managementsystem)normen
Strategisches Risikomanagement für anlagenintensive Industriebetriebe
Strategisches Risikomanagement (PDCA-Zyklus) bei der Produktentwicklung
Strategisches Risikomanagement (PDCA-Zyklus) im Zusammenhanh mit einem QM-System
Wie wird Risiko definiert?
Sicherheit versus Risiko und Gefahr
Praktische Abschätzung von Eintrittswahrscheinlichkeiten
Risikozahl oder häufig einfach Risiko
Maßnahmen zur Risikobewältigung
Risiko- Mathematische Kennzahlen

Risiko- Von welchen Risiken sprechen wir?
Risikoidentifikation

Was sind Risiken? Von welchen Risiken sprechen wir eigentlich? Risiken prägen unser tägliches Leben ("No risk, no fun!").
Im Bankenwesen und in der Versicherungsbranche ist der Umgang mit und die Bewertung von Risiken unter Zuhilfenahme finanzmathematisch/ statistischer Methoden seit langem üblich.

Ebenso seit langem üblich ist der Umgang mit technischen Risiken (Sicherheitstechnik) im Fahrzeugbau, Kraftwerksbau (Kerntechnik) usw.

Im täglichen Leben sowie auch in Unternehmen oder/ und in Gesellschaften können jede Menge mögliche Gefährdungen bzw. Risken identifiziert werden. Diese große Menge potenzieller Risiken muss sinnvoll strukturiert werden, weshalb man sie zu Risikogruppen oder Risikokategorien zusammenfasst. Die weitere Abhandlung wird zeigen, dass eine vernüftige Aufzählung, Gruppierung möglicher Risiken sowie auch die Behandlung möglicher Risiken (Risikomanagement) je nach Branche, Art der Risiken usw. sehr unterschiedlich sein kann.


Von welchen Risiken sprechen wir?

Eine systematische Identifizierung möglicher (denkbarer, potenzieller) Risiken kann mittels systematischer Auflistungen (Checklisten) potenzieller Risiken und Einteilung der Risiken nach Risikoarten/ -kategorien erfolgen.

Bei der Auflistung potenziell möglicher Risiken ist es vernünftig, sich auf bestehende, in der Literatur mehrfach vorgeschlagene Risiko-Kategorien zu beziehen. Beispiele hierfür sind HELTEN [4].

Risiken müssen differenziert betrachtet und in geeigneter Weise bewertet werden. Hierfür benötigt man eine Risikoeinteilung/ Risikobewertung/ Risikoklassifizierung. Unternehmen (insbesondere größere) haben heute meist eigene Abteilungen (Strategisches Management), welche sich mit den monetären Unternehemensrisiken beschäftigen.

Link zur Risikoidentifikation- Auflistung von Risiken

Einteilung eines Schadens (Risikos) nach dessen Höhe (Schadensausmaß)

Neben der Zusammenfassung möglicher Risiken zu Risikoarten/-gruppen-/kategorien ist auch eine Bewertung der Risiken nach deren Höhe wichtig. Gegen Risiken/ Schäden, welche existenzgefährdend sein können (wie z.B. Brand, Hochwasser usw.) wird man versuchen, das Risiko durch geeignete Versicherungen zu beherrschen. Bei der Bewertung eines Risikos muss man von einem möglichen Schaden (einer möglichen Schadensauswirkung) ausgehen. Man unterscheidet dabei nach praktischen Gesichtspunkten zwischen

Eine weitere Unterscheidungsmöglichkeiten im Bereich der existenzgefährdenden Risiken besteht in der Unterscheidung in

Diese Unterscheidung kommt einfach aus der Praxis und kennt jeder von seinem Haus: (Versicherung gegen Brand, Hochwasser, wobei zweiteres schwer versicherbar ist). Dabei geht es auch um Risikoteilung, Risikovermeidung oder Risikoabwälzung durch Versicherungen.

Bagatellschäden/ Bagatellrisiken wird man i.allg. nicht weiter unbtersuchen. Am anderen Ende der Skala stehen aber existenzbedrohende Großrisiken in Unternehmen, Kommunen Volkswirtschaften usw. mit möglichen katastrophalen Auswirkungen. Dies gilt beispielsweise für einen SuperGAU in Kernkraftwerken, Erdbeben, Bruch von Staumauern, Flugzeugabstürzen u.a.m. Weitere Beispiele gibt es aber auch in der Fahrzeugindustrie vor dem Hintergrund der Produkthaftungsgesetze. Immer wieder vorkommende sündteure Rückrufaktionen stellen ein hohes monetäres, betriebswirtschaftliches Risiko für die betroffenen Unternehmen dar.

Bei solchen elementaren Ereignissen stehen naturgemäß risikovermeidende, risikosenkende Strategien durch Risikoteilung oder Abwälzung des Risikos auf Versicherungen im Vordergrund. Bei solchen Risikobetrachtungen steht dann auch das zu erwartende Schadensausmaß in Euro

Für eine genauere Unterscheidung zwischen Schaden und Risiko benötigt man noch eine genauere Definition (Definition des Risikos siehe weiter unten). Um eine Bewertung des Risikos vornehmen zu können, benutzt man verschiedene Bewertungsverfahren. Immer aber wird Schadenshöhe und Eintrittswahrscheinlichkeit des Schadens für die Bewertung eines Risikos herangezogen.

Unternehmerisch/ kaufmännisches Risikomanagement

Unternehmerische Risken, insbesondere solche mit unmittelbar existenzgefährdender Auswirkung auf das Unternehmen betreffen vorwiegend Marktrisiken, Finanzrisiken, Rechtlichen Risiken, Wetterrisiken usw. Auf die Behandlung dieser Risiken soll jedoch auf die einschlägige Literatur/Websiten verwiesen werden.

Kaufmännische Bewertung durch Ratingagenturen: Unternehmen, welche von Ratingagenturen bewertet werden, werden vorwiegend (unternehmerisch/ kaufmännischen) Risikotests unterzogen. Bewertet werden hierbei vorrangig die Existenz eines Unternehmens potenziell gefährdende oder die Aktien-/ Gewinnentwicklung beeinträchtigende unternehmerisch/ kaufmännische Risiken.

Link zu Unternehmerisch/ Kaufmännische Risiken

Branchenbezogene, unterschiedliche Risiko(management)normen

In Bereichen mit hohen Risiken (z.B. Luft- und Raumfahrt, Kernkrafttechnik, Kraftfahrzeugtechnik, Medizintechnik, IT-Technik usw.) existieren meist spezielle branchenspezifische Normen zum systematischen Umgang mit Risiken. Überhaupt kamen z.B. in der Kerntechnik schon sehr frühzeitig systematische Risikoabschätzungen zur Anwendung.

Man kann grundsätzlich sagen, dass Branchen mit großen potenziellen Risiken (Luft und Raumfahrttechnik, Kraftwerkstechnik insbesondere die Kernkraftwerkstechnik) schon sehr früh begonnen haben, Risiken, insbesondere Großrisiken zu quantifizieren und zu bewerten. Risiko- /Sicherheits- und Zuverlässigkeitstheorieen wurden daher maßgeblich von diesen Branchen weiterentwickelt.

Die Behandlung von Risiko, insbesondere als Großrisiko, hat in vielen Unternehmensbereichen und Gesellschaftsbereichen Eingang gefunden. Großrisiken müssen in irgend einer Form bewertbar gemacht werden. Abschätzung von Großrisiken wie Erdbeben, Atomkraftwerke, Leitungen usw. Darüberhinaus gibt es Unternehmen potenziell in ihrer Existenz gefährdende Großrisiken. Parallel mit dem Produkthaftungsgesetzen und den daraus für Unternehmen resultierende wirtschaftliche Bedrohungen stellt sich ebenfalls die Risikobetrachtung.

Je nach der Art der betrachteten Risiken werden (in der Literatur) auch unterschiedliche Strategien zur Risikovermeidung/ Risikosenkung bzw. dazugehörige Ansätze bzw. Risikomanagementmodelle empfohlen. Moderne (Risiko-) Managementsysteme sind alle auf einen PDAC-Zyklus nach Deming (Plan-Do-Check-Act) aufgebaut. Trautzdem gibt es je nach Autoren bzw. Risikonormen und Branchen voneinander abweichende Ansätze. Im Falle potenzieller, die Unternehmensexistenz gefährdende katastrohpale Risiken werden Strategien empfohlen, in denen abgestuft nach der Höhe des Risikos unterschiedliche Strategien empfohlen werden.

Diese Normen fordern eine entsprechende Risikoorganisation mit einem Risikomanagement und einem Risikobeauftragten.

Link zu Branchenbezogenen Risikonormen
Link zu www.risikomanagement-wissen.de/ ISO 31000.htm

Strategisches Risikomanagement für anlagenintensive Industriebetriebe
(z.B. auch Unternehmen der Energiebranche, Kraftwerke usw.)

Durchführung einer Risikoidentifikation in anlagenintensiven Industriebetrieben (Checklisten)

Am Beginn eines sinnvollen Risikomanagements steht daher immer zuerst eine Risikobeschreibung bzw. Risikoabgrenzung. Es gilt festzustellen, welche Art von Risiken überhaupt identifiziert, betrachtet bzw. bewertet werden und welche Risiken von der Betrachtung ausgeschlossen werden.

In der betrieblichen Praxis stellt sich die immer wieder gleiche Frage, wie man (möglichst vollständig) alle potenziellen Gefährdungen (Risiken) erfassen (identifizieren) kann. Hier sind Hilfestellungen gefragt wie z.B. Checklisten Normen usw.

Die Risikoidentifikation soll nicht nur die bereits bekannten Risiken erfassen (Schäden schon einmal aufgetreten oder gerade noch verhindert worden) sondern auch denkbare Schäden (Risiken) mit einschließen. Wie Hier bedarf es selbstverständnlich einer umfassenden Kenntnis der Anlagen, der betrieblichen Abläufe usw. Das gemeinsame Einbringen von Erfahrung mittels Kreativitätstechniken wie das Brainstorming ist hier sehr zu empfehlen (eine Gruppe kann bei solchen Fragestellungen in kürzester Zeit viel mehr Ergebnisse bringen als eine Einzelperson).

In der Praxis hat sich das Erstellen von Checklisten bewährt, mit deren Hilfe man vor Ort Anlagenbewertungen vornimmt. Eine vertiefende Risikoidentifikation in anlagenintensiven Industriebetriebe mit einer Checkliste von sicherheitsrelevanten Ereignissen findet sich unter folgendem Link Durchführung einer Risikoidentifikation in anlagenintensiven Industriebetrieben oder Unternehmen.

Auch im Hinblick auf eine nachfolgende Bewertung ist es wichtig, die identifizierten technischen Risiken in sicherheitsrelevant (mögliche Personen- oder Umweltgefährdung) und betriebswirtschaftlich relevant zu unterscheiden.

Hinweis: Bei Produkten kann auch ein Funktionsausfall Sicherheitsrelevant sein.

Natürlich können diese erkannten Gefährdungspotenziale in einer später noch zu besprechenden Methode bewertet werden. Die mögliche Gefährdung kann von einem rein betriebswirtschaftlichen Schaden bis zu Umweltschäden und Personenschäden gehen.

Wirtschaftlich existenzbedrohende Risiken; Sicherheitsrisiken

Untersucht man in (anlagenintensiven) Unternehmen, Kommunen (Gemeinden), Volkswirtschaften usw. mögliche Großrisiken hinsichtlich Eintrittswahrscheinlichkeiten und möglicher Auswirkungen. So können die Auswirkungen in Extremfällen sogar existenzbedrohend katastrophal sein. Dies gilt beispielsweise für einen SuperGAU in Kernkraftwerken, Erdbeben, Bruch von Staumauern, Flugzeugabstürzen u.a.m. Die dabei auftretende Bedrohung ist elementar, katastrophal, häufig weder von der Eintrittswahrscheinlichkeit als auch von den katastrophalen Auswirken nur annähernd fassbar und beschreibbar. Trotzdem gibt es auch für diese Bereiche den Versuch, für solch elementare Ereignisse und deren Risiko Abschätzungen und Bewertungen vorzunehmen.

Von Unternehmen verursachte Umweltschäden können hinsichtlich der monetären Auswirkungen auch große Unternehmen existenziell bedrohen. In Erinnerung sind noch Tankerunfälle oder havarierte Ölplattformen mit gigantischen Umweltauswirkungen und den entsprechenden Schadensersatzforderungen an die betroffenen Firmen.

Allgemeine Ansätze und Vorgehensmodelle des Risikomanagements bei anlagenintensiven Industrien. (hohe Gefahren von Maschinenschäden, Produktionsausfällen, Umweltauswirkungen u.a.m.; in der Energiebranche z.B. Kraftwerke und Kraftwerksanlagen, Atomkraftwerke usw.) erfordern aufgrund eines möglichen (extrem) hohen Schadensausmaßes ein besonderes Vorgehen.

Für die Behandlung von unternehmensgefährdenden Großrisiken läßt sich der aus vier Phasen bestende RM- Managementprozess nach HOFFMANN ableiten [5].

In der ersten Phase der Risikoanalyse werden die bestehenden Risiken erfasst und bewertet. Es erfolgt die Einteilung der Risiken in existenzgefährdende Großrisiken, mittlere Riskken und Kleinrisiken. In der zweiten Phase der Prüfung der Handlungsalternativen wird geprüft, welche Strategie zur Anwendung kommen sollen. Es gilt zu entscheiden ob Risiken eher vermieden, begrenzt, aufgeteilt versichert oder aus dem Unternehmen getragen werden sollen. Aus diesen Entscheidungen leitet sich dann die Risikopolitik des Unternehmens (Phase 3) ab. In der vierten Phasen kommen die eingeleiteten Maßnahmen zur Durchführung und unterliegen einem Controling.

Für weitere Details benutze den Link zum Strategischen Risikomanagement in anlagenintensiven Industriebetrieben oder Unternehmen
(z.B. auch Unternehmen der Energiebranche, Kraftwerke usw.)

Strategisches Risikomanagement (PDCA- Zyklus) bei der Produktentwicklung
Marktrisiken, Produkt(entwicklungs)risiken

Obige Aufstellung möglicher Unternehmensrisiken beinhaltet auch die "Marktrisiken/ Absatzrisiko, Risiken im Zsammenhang mit der Positionierung am Markt usw." sowie das "Marktrisiko in spezifischen Tätigkeitsfeldern eines Unternehmens (Marktnischen)". Hier werden mögliche Marktrisiken weiter untersucht. PORTER [6] unterscheidet unterschiedliche Marktrisiken.

Unterscheidung der Marktsisiken nach PORTER [6]

Fünf Triebkräfte des Marktes nach PORTER [6]

Risiken im Zusammenhang mit Unternehmenskontakten am Markt

Durchführung einer Risikoidentifikation bei der Produktentwicklung:

Ein Vergleich der Risikoidentifikation in anlagenintensiven Industriebetrieben zeigt, dass es dort auf eine Erstellung möglichst vollständiger, umfassender Checklisten aller denkbaren Risiken hinausläuft. Die Risikoidentifikation bei der Entwicklung von Konzepten/ Produkten/ Prozessen usw. läuft grundsätzlich anders ab. Man kann hier kaum vorgefertigte Checklisten nutzen. Alle Produkte sind unterschiedlich (unterschiedliche Konzepte, Materialien usw.) Daher muss man sich Methoden bediene, um die Risiken unde deren Ursachen in einen Ideditfikationsprozess erst einmal zu finden.

GRUNDMANN [3] verweist auf folgende, Kretivitätstechniken und systematische Methoden zur systematischen Ermittlung/ Identifikation/ Auffindung von potenzieller Risiken in der Produktentwicklung

Eine Risikoidentifikation kann sowohl vergangenheitsgerichtet erfolgen (welche Fehler sind bisher aufgetreten?) als auch zukunftsgerichtet (mit welcher Wahrscheinlichkeit könnten (neue) Fehler bei einer Produktrealisierung auftreten?)

Methoden zur Risikobewertung und Prioritätenreihung bei der Produktentwicklung (Risikomanagementhaus):

Beim strategischen Risikomanagement im Zusammenhang mit Qualitätsmanagement & Risikomanagement bei der Produktentwicklung ist der Fokus weniger auf Großrisiken gerichtet. Der Schwerpunkt liegt vielmehr in der Bewertung jener Risiken, welche aus einer Fehleinschätzung des Marktes, Fehlpositionierung eines Produktes, fehlerhafte Produktentwicklungen, Risiko eines Informationsdefizites über Kundenwünsche usw. resultieren. Schwerpunkt des Umganges mit den hier zu behandelnden Risiken (mit Ausnahme von Sicherheitsrisiken, Umweltrisiken, Produkthaftung usw. oder gravierden, existenzbedroheneden Fehlentwicklungen) liegt eher im Erhalt einer Handlungsanweisung für die Bewertung (im Sinne einer Prioritätenreihung) und den Umgang mit diesen Risiken. Diese hier ermittelten Risiken sind also in aller Regel für das Unternehmen nicht existenzgefährdend, sondern sollen - vor dem Hintergrund betrieblicher Effizienz und Kostensenkung- nach einer sinnvollen Prioritätsreihung gesenkt werden.

Vor diesem Hintergrund, dass es nicht vorrangig um Fragen zur Risikostragie für Großrisiken geht (-Vermeidung oder -Senkung), sondern der immer wiederkehrende PDCA (Plan-Do-Check-Act) - Zyklus im Vordergrund steht, ergibt sich ein etwas anderer Aufbau für das Risikomanagementsystem.

Für den Umgang mit solchen (produkttechnischen) Risiken ist eher nachfolgendes Vorgehen nach SCHNORRENBERG [] aber auch z.B. nach DIN ISO 31000 "Norm für Risikomanagement" [] geeignet. Die Risikolenkung (Risikomanagement) ist in diesem Falle vierstufig. Man unterscheidet folgende vier Schritte:

Kommen übergeordnet noch Risikopolitik und die Risikostrategie, flankierend die Risikomanagementorganisation sowie eine geeignete Risikokommunikation und Risikodokumentation dazu, kann man auch von einem "Risikomanagementhaus" sprechen (vergl. GRUNDMANN [3]).

Diese Methoden zielen darauf ab, das Risiko für mögliche Fehler bereits im Planungs- oder Entwurfsstadium abzuklären, zu identifizieren und zu bewerten. Es geht dabei um die Bewertung von möglichen Risiken auf neuen Märkten, mit neuem Mitbewerb und eventuell von potenziellen Fehlern in neuen Produkten, so sind diese zukunftsgerichtete Risiken erst haypothetisch zu bewerten. Hierfür findet man kaum vergangenheitsgerichtete Ansätze. Technisches Risikomanagement von Produktneuentwicklungen liegen stets in diesem in die Zukunft gerichteten Bewertungshorizont.

Hinweis : Dieses zukunftsgerichtete Vorgehen im Zusammenhang mit Produktneuentwicklungen unterscheidet sich doch gravierend vom Vorgehen bei anlagenintensiven Industrien. Dort erfolgt eine Bewertung der meist sehr gravierenden Risiken vorwiegend vergangenheitsgerichtet aufgrund von in der Vergangenheiten bereits eingetreten Ereignissen und Schäden, deren Eintrittswahrscheinlichkeit meist recht gut abgeschätzt werden kann.

Ein wichtiges Analyseziel im Zusammenhang mit der Risikoidentifikation ist folgende Fragestellung:
Sind für ein Ereignis alle Auswirker (Ursachen) und alle Auswirkungen bekannt bzw. identifizierbar?

Folgende Verfahren sind besonders gut geeignet zur Erkundung der Ursachen-Wirkungsabläufe in technischen Systemen. Mögliche Fehlerrisiken können dadurch systematisch identifiziert werden.

Risikobewertung bei der Produktentwicklung:

Die Standardmethode zur systematischen Behandlung und zur Bewertung von identifizierten technischen Poruktrisiken ist die Fehlermöglichkeits- und Einflußanalyse (FMEA). Zu jedem erkannten potenziellen technischen Risiko eines Produktkonzeptes, Produktsystems, Produktes, Prozesses werden systematisiert alle möglichen Ursachen und Wirkungen aufgelistet, bewertet und nach Verbesserungsmaßnahmen neuerlich bewertet. Je nach der Phase, in welcher sich die Produktentwicklung gerade befindet, unterscheidet man daher zwischen

Strategisches Risikomanagement (PDCA- Zyklus) potenzieller Risiken im Zusammenhang mit einem (unzureichenden) QM-System

Risikoidentifizierung mit Hilfe der QME-FMEA- Methode:

Ein Vergleich der Risikoidentifikation im Qualitätsmanagement mit jener in anlagenintensiven Industriebetrieben zeigt, dass es dort auf eine Erstellung möglichst vollständiger, umfassender Checklisten aller denkbaren Risiken hinausläuft. Die Risikoidentifikation bei der Entwicklung von Konzepten/ Produkten/ Prozessen usw. läuft grundsätzlich anders ab. Man kann hier kaum vorgefertigte Checklisten nutzen. Alle Produkte sind unterschiedlich (unterschiedliche Konzepte, Materialien usw.) Daher muss man sich Methoden bediene, um die Risiken unde deren Ursachen in einen Ideditfikationsprozess erst einmal zu finden.

Eine Risikoidentifikation im Zusammenhang mit einem (unzureichenden) QM-System ist weniger mit den immer neuen Risiken bei der Produktentwicklung zu vergleichen sondern eher mit den vorgefertigten Checklisten in anlagenintensiven Industriebetrieben, wobei es dort auf eine Erstellung möglichst vollständiger, umfassender Checklisten aller denkbaren Risiken hinausläuft. Nur ergeben sich hier Checklisten, welche sich unmittelbar aus dem Aufbau der Norm ISO 9001:2008 oder aus dem Qualitätskreis nach Masing (engl. Product- Lifecycle) ableiten lassen.

Alle im Zusammenhang mit einem (unzureichenden) QM-System auftretenden potenziellen Risiken dafür, dass es bei den für die Auftragsabwicklung notwendigen Abläufen und Prozessschritten (Tätigkeiten) zu einem anderen als dem vom Kunden (alle fünf Interessenspartner) erwarteten Ergebnis kommt, werden hier einzeln betrachtet. Dafür müssen sämtliche qualitätsrelevanten Tätigkeiten erfasst und einzeln betrachtet werden. VIERTLER [9] hat diese in seiner Dissertation auf Basis der ISO 9001:2008 oder des Qualitätskreises nach Masing (Produktlebenszyklus) systematisch erfasst und aufgelistet.

Link zur Risikoidentifikation in der QME-FMEA-Methode

Risikobewertung mit Hilfe der QME-FMEA- Methode:

Alle im Zusammenhang mit einem (unzureichenden) QM-System auftretenden potenziellen Risiken dafür, dass es bei den für die Auftragsabwicklung notwendigen Abläufen und Prozessschritten (Tätigkeiten) zu einem anderen als dem vom Kunden (alle fünf Interessenspartner) erwarteten Ergebnis kommt, werden hier einzeln erfasst. Dafür müssen sämtliche qualitätsrelevanten Tätigkeiten mit Hilfe der QME-FMEA Methode und der Risikoprioritätszahlen (RPZ) einzeln bewertet werden.

Link zur Risikobewertung mit Hilfe der QME-FMEA-Methode

Bei der Identifikation und Bewertung unternehmerischer Risiken, welche Bagatellrisiken aber auch existentielle, die Existenz deines Unternehmens potenziell gefährdende vRisieken, sein können, können sowohl vergangeneheitsgerichtet wie auch bei neuen Märkten usw. zukunftsgerichtet sein. Vergangenheitsgerichtet werden Risiken aus Ereignissen betrachtet, welche mit einer betimmten Häufigkeit (in der Vergangenheit) bereits aufgetreten sind.

Wie wird Risiko definiert?

Link zur Definition Risiko im Wikipedia

Im normalen Sprachgebrauch versteht man unter einem Risiko eine Unwägbarkeit oder eine Gefahr oder Unsicherheit, welche entsprechend erkannt (identifiziert) und quantifiziert (bewertet) werden soll. Risiken sind daher im nächsten Schritt näher zu identifizieren, zu analysieren und hinsichtlich deren Größe (Bagatellrisiko oder existenzgefährdendes Großrisiko) zu bewerten. Weiters überlegt man sich Maßnahmen zur Risikoeingrenzung, Risikostreuung oder Risikovermeidung (Risikopolitik). Ein systematischer Ablauf der beschriebenen Vorgehensweise nennt man Risikomanagement.

Ein Risiko ist ein (negatives) Ereignis, welches nicht mit Sicherheit eintreten wird. Man kann daher üblicherweise dafür nur eine Eintrittswahrscheinlichkeit angeben. Auch die Höhe eines möglichen Schadens ist meist nicht so genau bekannt. (vergl. auch SCHNORRENBERG [8] zitiert bei SCHMITT [7]).

("Mathematische") Risikodefinition

Die übliche mathematische Definition definiert ein Risiko als das Produkt aus Eintrittswahrscheinlichkeit eines Schadensereignisses mal der (monetär bewerteten) Auswirkung eines Schadens/ Schadenshöhe.

Ein in der Praxis sehr großer Vorteil dieser einfachen multiplikativen Verknüfung liegt auch darin, dass diese eine einfache, aber aussagekräftige Risikodarstellung mittels eines 2x2- Risikoportfolios zulässt.

R=H*A

Zusammengesetzte, gesamte Risikozahl bei mehreren Einzelrisiken

Eine weitere sinnvolle Unterscheidung ist zwischen Einzelrisiken und Gesamtrisiko. Die Einzelrisiken werden genauer analysiert und bewertet und letzlich zu einer Gesamtrisikobewertung aggregiert.

Rges = Σ (Hi*Ai)

oder

Rges = ∫A*H dA

Stetige Verteilung mit einer wahrscheinlichkeitsdichte

Diese Risikodefinition hat sehr viele Vorteile, ist gut verständlich und wird zunehmen nicht nur im technischen Bereich zur Risikobeschreibung verwendet. Diese Definition bietet gleichzeitig auch die Möglichkeit einer Risikobewertung. Diese Definition/ Bewertung des Risikos ist weniger nach streng mathematischem Gesichtpunkt zu verstehen sondern ermöglicht nebenbei auch ein leicht vertändliches Erklärungsmodell und Darstellungsmodell (Risikokataster). Das Risiko (eine Risikozahl) definiert über die Multiplikation der beiden Einflußgrößen ergibt automataisch als adäquate Darstellung den Risikokataster oder das Risikoportfolio.

Vertiefung und Link zum Thema Mathematisches Risiko

Weitere Vertiefungen für mathematisch interessierte Leser finden sich unter folgendem Link

Für eine Beurteilung neben Eintrittswahrscheinlichkeit und Schadenshöhe ist auch noch der Zeithorizont zu berücksichtigen. Der Zeithorizont, während dem das Risiko besteht, kann kurzfristig/ mittelfristig/ langfristig sein; Es gibt auch ein Portfolio aus Beeinflußbarkeit (niedrig, mittel, hoch) vers. Fristigkeit (kurz-mittel-lang) [].

Alternative Risiko- Definitionen/
Technische Risikopotenziale durch Informationsdefizite

Neben der allgemein üblichen Risikodefinition als eine multiplikative Verknüpfung von Eintrittswahrscheinlichkeit eines Schadens mal Schadenshöhe gibt es in der Literatur auch noch andere Zugänge zu möglichen Risikodefinitionen.

Alternative Risiko-Ansätze ergeben sich aus der Sichtweise unzureichender Informationsbeschaffung bei Produktentwicklungen. Näheres dazu unter dem Link Technische Risikopotenziale durch Informationsdefizite.

Sicherheit versus Risiko und Gefahr
Definition von Grenzrisiko und Restrisiko; Schutz

Sicherheit und Risiko liegen an den jeweiligen Enden einer Zahlenstrecke. Der Bereich, wo die Sicherheit aufhört und das Risiko beginnt wird als Grenzrisiko bezeichnet. Das Grenzrisiko dient mehr Anschauungszwecken als dass man es in der Praxis quantitativ bewerten könnte. Es gibt im allgemeinen keine 100% Sicherheit oder diese Forderung wäre unbezahlbar. In der Praxis gibt es auch kein Null-Risiko. Die betriebliche Praxis besteht aus einem Kompromiss aus nicht bezahlbarer Sicherheit und einem annahmbaren, bewertbaren Risiko.

Sicherheitsanalyse und Risikoanalyse decken auch unterschiedliche Bereiche ab. Die Bereiche werden durch eine Unschärfebereich getrennt.
Link zur Sicherheitsanalyse

Grenzrisiko: ist definiert als größtes noch vertretbares Risiko eines technischen Vorganges oder Zustands. Im allgemeinen lässt sich ein Grenzrisiko nicht quantitativ festlegen, sondern dient eher einer darstellenden Beschreibung der praktischen Risikobeurteilung, derufolge es Null Risiko nicht gibt sondern ein gewisses Mindesrisiko (Grenzrisiko) toleriert wird.

Restrisiko: ist das in einem konkreten Fall verbleibende tatsächliche Risiko im Risikobereich von Sicherheit. Das Restrisiko ist im allg. Fall kleiner als das Grenzrisiko.

Schutz (im sicherheitstechnischen Sinne) Die inhärente Sicherheit ist jene Sicherheit, welche ein technisches System auch ohne sicherheitstechnische Festlegungen besitzt.

Schutz (im sicherheitstechnischen Sinne): Schutz (im sicherheitstechnischen Sinne) ist das Ergebnis einer Verkleinerung des Risikos durch maßnahmen, welche entweder die Wahrscheinlichkeit des Scxhadenseintritts oder die Schadenshöhe (Schadensausmaß) beschränken.

Risikosenkung: Im nicht sicherheitstechnischen Sinne bedeutet Risikosenkung - ganz analog zum Schutz- ebenfalls eine Verkleinerung des Risikos durch geeignete Maßnahmen, welche entweder die Wahrscheinlichkeit des Schadenseintritts oder die Schadenshöhe (Schadensausmaß) beschränken.

Ganz allgemein sind Risiken schwer zu fassende Unwägbarkeiten. Ereignisse müssen nicht eintreten, können aber mit einer bestimmten Wahrscheinlichkeit eintreten (z.B. ein 10- Jähriges Hochwasser. Dabei gibt es unterschiedliche Schäden oder Auswirkungen. Am Beispiel des Hochwassers ist ein Schaden meist davon abhängig, ob im Überflutungsbereich menschliche Siedlungen stehen oder nicht.

Im Falle von Großschäden ist zur Bewertung des unternehmerisch/ kaufmännischen Risikos, auch im Sinne einer Risikostreuung oder Weiterversicherung des Risikos, eine monetäre Abschätzung eines möglichen Schadens sinnvoll.

Die Schadensbewertung (Schadensausmaß) kann entweder monetär in der Währungseinheit geschätzt werden oder aber verbal beschrieben werden. Für Risikobetrachtungen ist das Schadensausmaß in EURO- Beträgen häufig nicht genau angebbar. Es geht bei Risikobetrachtungen meist auch weniger um die absolute Schadenshöhe, sondern um eine relative Gewichtung unterschiedlicher Schäden oder Auswirkungen. Hierfür kommt dann eine drei- oder vierstufige Beschreibung zur Anwendung. Dabei unterscheidet man zwischen geringem Schaden (Bagatellfehler) einerseits und katastrophalen Auswirkungen im Produktfalle oder Großereignisse im Umweltbereich oder im Katastrophenfalle.

Praktische Abschätzung von Eintrittswahrscheinlichkeit und Auswirkung

In der Praxis sind im allg. weder die Eintrittswahrscheinlichkeit noch die Auswirkungen exakt bekannt oder angebbar. Risiken werden daher in der Praxis selten quantitativ mathematisch korrekt ermittelt. Sehr häufig werden sowohl Eintrittswahrscheinlichkeit als auch Auswirkungen semiquantitativ mit "niedrig/ mittel/ hoch" angegeben. Daneben sind noch die Glaubwürdigkeit der Abschätzung von Ereignishäufigkeit und Schadensausmaß zu bewerten.

Datenquelle/ Datenbeschaffung zur Abschätzung der Schadenshäufigkeit und der Schadenshöhe

  1. Abschätzung der Schadenshäufigkeit (in der Literatur häufig auch Schadensfrequenz) aus der Vergangenheit.
    • interne Quellen: Fehleraufzeichnungen, Reklamationsdatenbank, Fehlerrückläufe aus dem Service; geeignet bei häufigeren Ereignissen mit einer genügend großen Datenbasis
    • externe Quellen: (Publikationen, Vorschriften,..) internes/ externes Expertenwissen; Erfahrung
  2. Ermittlung (Abschätzung) von Schadenspotenzialen (Schadenshöhe/ Schadensausmas)
  3. monetäre Bewertung eines Schadenshöhe, Schadensausmaß: Bei Anlagenbezogenen Schadensfällen richten sich die monetären Betrachtungen am Wiederbeschaffungswert der Anlage, Koten aufgrund von Anlagenausfall sowie Kosten für extern verursachte Schäden/ katastrophen. (an extremen Umweltereignissen (havarierte Tankschiffe, Unfälle in Atomkraftwerken usw.) sieht man, dass solche Risiken in ihrer Auswirkung auf Unternehmen und Gesellschaft auch durch entsprechende Versicherungen kaum awälzbar sind.)

Risikozahl (oder häufig einfach Risiko)
Risikobewertung und Risikoreihung durch die Risiko-(Prioritäts-) Zahl (RPZ)

Risiko, Risikozahl (R) oder Risikoprioritätszahl (RPZ) werden in der Praxis häufig synonym verwendet (als wäre alles das Gleiche).

Link zum Zweifaktorenrisiko/ Dreifaktorenrisiko

Ein Zwei-Faktoren-Risiko entspricht in der mathematischen Darstellung einer Zweikoordinatendarstellung. Es läßt sich idealerweise in einer xy-Darstellung (2 Koordinaten) im Risikokataster/ Risikoportfolio als Punkt eintragen. Zweiparameter-Risiken lassen sich zweidimensional in einem Risikokataster optimal darstellen. Auch Risikoveränderungen - bewirkt durch Risdikosenkende Maßnahmen- lassen sich im Risikokataster gut darstellen.

Ein Drei-Faktoren-Risiko erlaubt im Gegensatz dazu keine 2x2 Darstellung in einer Riiskomatrix. Die Faktoren können vielmehr nur in einem Histogramm eingetragen werden.

Dreiparameter-Risiken lassen sich zweidimensional in einem Risikokataster nicht darstellen. Hierfür sind z.B. Histogrammdarstellungen der RPZ erforderlich. Risikoveränderungen - bewirkt durch Risdikosenkende Maßnahmen- lassen sich durch Neuberechnung der RPZ in Histogrammen (vorher/ nachher) darstellen..

Die Risikoprioritätszahl (RPZ) mit Hilfe der QME-FMEA-Methode

Bewertungsfaktoren
Faktor A Versagensrisiko
Faktor B Kundenrisiko
Faktor C Durchschlupfrisiko

Risikoprioritätszahl (RPZ)

A * B * C

Möglicher Bereich der Risikoprioritätszahlen
A = 1...10
B = 1...10
C = 1...10
Mögliches Ergebnis
RPZ (A*B*C) = (min) 1 ..... (max) 1.000
RPZ (A*B) = (min) 1 ..... (max) 100

Risikobewertung

Link zur Risikobewertung

Risikokataster

Link zur Risikokataster für Zweiparameter-Risiken

Risikoprofil

Link zur ABC-Analyse und Risikoprofil

Veränderungen vorher/nachher durch geänderte Risikomatrix

Der dritte Faktor berücksichtigt die Möglichkeit, durch Maßnahmen wie z.B. Selektionsprüfungen Risiken zu senken oder gar zu vermeiden. Risikovermeidung durch persönliche Schutzmaßnahmen z.B. bei Arbeitsplatzgefährdungen (z.B. durch Augenschutz wird z.B. das Risiko für Augenverletzungen zu Null gemacht) kann mathematisch durch einen dritten Faktor C=0 ausgedrückt werden).

Hinweis: Eine der FMEA zugrundeliegende Schwäche, welche in der multiplikativen Verknüpfung der drei Bewertungsfaktoren liegt, wird auch bei der QME-FMEA wirksam.

Aufgrund der multiplikativen Verknüpfung der drei Faktoren ist für den Fall eines hohen Versagensrisikos (Bewertungsfaktor A = 10) und eines hohen Kundenrisikos (Bewertungsfaktor B = 10) ergibt selbt für den Fall eines optimal eingeführten QM-Systems (Risikofaktor C = 1) eine RPZ von 100 und kann nicht mehr kleiner als 100 werden.

RPZ = 10 * 10 * 1 = 100

Nachdem häufig die RPZ = 125 als eine Eingriffsgrenze angesehen wird, bis zu welcher keine Maßnahmen zu setzen sind, wäre ein Faktor 100 somit kein Problem. Allerdings könnte in Ausnahmefällen, und zwar dann, wenn bereits alle RPZ < 125 sind, der Wunsch entstehen, auch in diesem Bereich noch weitere Verbesserungen zu erreichen und diese durch eine verringerte RPZ darzustellen. Daraus folgt, dass für den Bereich niedriger RPZ möglicherweise eine nicht ausreichende Differenzierungsmöglichkeit besteht (wobei sich die Frage stellt, ob eine solche tatsächlich erforderlich ist). Will man jedoch- aus welchen Gründen immer- eine eine weitere prioritätsbezogene Risikosenkung vornehmen, könnte man den Faktor C unterhalb von 1 noch "zoomen", indem man zusätzlich den Bereich C=0,1 bis C=0,9 einführt. Maßnahmen in diesem "Lupenbereich" würden über die standardmäßig und branchenmäßig üblichen Maßnahmen des QM hinausgehende Abhilfemaßnahmen darstellen, welche ein bestehendes Risiko soweit reduzieren, dass es praktisch als nocht mehr vorhanden anzusehen ist oder umgekehrt die Tätigkeit als absolut sicher einzustufen ist.

Die QME-FMEA gestattet eine Risikobewertung aller Bereiche (QM-Elemente) und geht über die rein produktbezogene Produkt-, System-,Konstruktions- oder Entwicklungs-FMEA (nur Design-Risiko) und Prozess- oder Verfahrens-FMEA (nur Prozess-Risiko) hinaus. Hier wird das Risiko für das Versagen einzelner QM-Elemente bewertet. Die für die einzelnen QME- Elemente zu ermittelnen Risikoprioritätszahlen ergeben sich aus der Multiplikation der drei Bewertungsfaktoren.

Mit Hilfe der QME-FMEA werden die Risiken für die einzelnen QM- Elemente bestimmt und damit gleichzeitig Prioritäten und indirekt Bedeutung und Verbesserungspotenzial festgelegt. Die QME-FMEA Methode ist somit wie die normale FMEA-Methode auch eine wirkungsvolle, vorbeugende Maßnahme. Früher wurde Risikominimierung fast ausschließlich durch verstärktes Prüfen betrieben.

Das Risiko-Prioritätsprofil

Dreiparameter-Risiken lassen sich nicht in einem zweidimensionalen Risikokataster darstellen. Hierfür sind z.B. Histogrammdarstellungen der RPZ erforderlich (Prioritätsprofile). Die ermittelte Risikoprioritätszahl eines jeden QM-Elementes ist ein Maß für die Wichtigkeit und Dringlichkeit des betreffenden QM- Elementes (bzw. QME- Unterpunktes).

Risikoveränderungen - bewirkt durch Risdikosenkende Maßnahmen- lassen sich durch Neuberechnung der RPZ in Histogrammen (vorher/ nachher) darstellen.

Link zum Risiko-Prioritätsprofil

ABC Analyse der Risikoprioritätszahlen

Reiht man die einzelnen Risikoprioritätszahlen nach ihrer relativen Größe, beginnend mit den größten Zahlen, so erhält man automatisch eine Reihung nach der Dringlichkeit, mit der die einzelnen Elemente zu realisieren sind. Man hat also nichts anderes als eine ABC Analyse der Dringlichkeiten vorgenommen.

Link zur ABC Analyse der Risikoprioritätszahl

Risikobewältigung/ Maßnahmen zur Risikobewältigung/ Risikosenkung/ Risikovermeidungsstrategien

Managementinformationssystem

Zu den wichtigsten Tätigkeiten der obersten Leitung gehört die systematische Beurteilung des Status (Realisierungsgrad) und der Angemessenheit (Ausprägung der QM-Elemente) des QM-Systems in Bezug auf die Erwartung des Interessenpartners. Ein Kunde, welcher mit dem gelieferten Produkt Probleme hat, word wahrscheinlich mit einem Audit "reagieren". Und gerade dafür stellt nun die QME-FMEA ein wertvolles Hilsmittel dar.

Link zum Managementinformationssystem

RPZ (2)- Risikoprioritätszahl- Bewertung NEU durch Differenzierung

Link zur differenzierten Bewertung   Faktor A- Neue differenzierte Bewertung des Versagensrisiko am Beispiel eines Transportrisikos

Risiko- Mathematische Kennzahlen

Mathematische Weiterführengen, tieferes Eindringen in das Thema; Zuverlässigkeit, Sicherheit, Ausfallstheorie usw.

Gegenüberstellung der Begriffe Zuverlässigkeit, Sicherheit und Risiko Zahlenstral: Risiko, Restsicherheit, zulässiges Grenzrisiko, Sicherheit. Sicherheit und Risiko stehen sich auf einer Zahlengeraden gegenüber.

Abgrenzung zwischen Sicherheitsanalyse und Risikoanalyse (S.98) Unschärfebereich Ausfallsdichte, Ausfallswahrscheinlichkeit, Verteilungsdichte mittlerer Erwartungswert Vertrauensbereich Ausfallsrate Überlebenswahrscheinlichkeit Stochastische Prozesse

Risikotheorie
Sicherheitstheorie
Zuverlässigkeitstheorie

Alle drei Theorien sind unterschiedliche Seiten eines gemeinsamen Themas und hängen daher zusammen.