Risikoanalyse
20
Karl- Franzens- Universität Graz Institut für Innovations- und Umweltmanagement Referat: Risikoanalyse PS TIM2 Qualitätsmanagement DI Dr. Stefan Vorbach WS 2005/06 Abgabe: 14.12.2005 Andrea Lakounig Bakk. USW-BWL / B 033 619 151 Matr.Nr.: 0316666 Mondscheingasse 3 Top3 8010 Graz
description
Beschreibung Risikoanalyse. Analyse, wie man analysiert, Durchfuehrungsmethodik.
Transcript of Risikoanalyse
Karl- Franzens- Universität Graz
Institut für Innovations- und Umweltmanagement
Referat:
Risikoanalyse
PS TIM2 Qualitätsmanagement DI Dr. Stefan Vorbach
WS 2005/06 Abgabe: 14.12.2005
Andrea Lakounig Bakk. USW-BWL / B 033 619 151
Matr.Nr.: 0316666
Mondscheingasse 3 Top3 8010 Graz
Risikoanalyse -2-
Inhaltsverzeichnis: 1. Was versteht man unter Risikoanalyse............................................................................... 3
2. Arten von Risikoanalyse .................................................................................................... 3
2.1. Numerisch- quantitative Risikoanalyse...................................................................... 3
2.2. Numerisch- halb quantitative Risikoanalyse.............................................................. 3
2.3. Qualitative Risikoanalyse........................................................................................... 4
3. Schritte einer qualitativen Risikoanalyse ........................................................................... 4
4. Die Ökologische Risikoanalyse ......................................................................................... 6
5. Resümee ............................................................................................................................. 8
6. Literaturverzeichnis:........................................................................................................... 9
7. Abbildungsverzeichnis: ...................................................................................................... 9
8. Anhang: .............................................................................................................................. 9
Risikoanalyse -3-
1. Was versteht man unter Risikoanalyse Unter Risikoanalyse versteht man ein Hilfsmittel, das bei unsicheren Entscheidungen verschiedene Alternativen aufzeigt, die unter bestimmten Bedingungen am ehesten erfolgsversprechend sind. Dazu werden verschiedene Szenarien für die Zukunft erstellt und durchgespielt, um mögliche Folgen des Handelns abschätzen zu können. Als Grundlage der Szenarien dienen meist Informationen über Kosten und erwartete Verkaufszahlen. Die Risikoanalyse bringt dabei nur mehr Transparenz in den Entscheidungsprozess, gibt aber keinen konkreten Weg vor. Ziel der Risikoanalyse ist es daher, sowohl die Innerbetrieblichen, als auch die den Betrieb betreffenden Gefahrenpotenziale wie beispielsweise Lieferanten aufzuzeigen. Wichtig ist es, dass Gefahren rechtzeitig erkannt und so vermieden werden, um die Kosten zu senken. Beginnt man mit der Risikoanalyse erst, wenn der Fehler schon entstanden ist, kann es sein, dass das Problem nicht mehr zu beheben ist. Bei einer Risikoanalyse müssen also vor allem versteckte Fehler, die nicht jedem ohnehin bekannt sind systematisch erfasst werden und aus allen Abteilungen und Außenposten gesammelt werden, um ein transparentes Gesamtbild zu schaffen. 2. Arten von Risikoanalyse1 Man unterscheidet grob drei Arten der Risikoanalyse. Dazu zählen die numerisch- quantitative, die numerisch- halb quantitative und die qualitative Risikoanalyse. Die drei Arten der Analyse möchte ich hier kurz erläutern, später werde ich aber nur noch auf die qualitative Risikoanalyse eingehen.
2.1. Numerisch- quantitative Risikoanalyse Die numerisch- quantitative Analyse beruht auf wissenschaftlichen Grundlagen, wie der Statistik, Entscheidungsbäumen oder anderen Entscheidungshilfen. Als Grundlage werden erwartete Gewinne und Verluste, die Höhe der zu erwartenden Gesamtschäden und andere quantitative Werte herangezogen, anhand derer sich die weiteren Entscheidungen eines Unternehmens ableiten lassen. Die großen Probleme dieser Art der Analyse liegen jedoch in der quantitativen Bewertung. Dabei müssen einerseits alle Parameter genau bekannt sein, andererseits müssen auch Werte für die Zukunft festgelegt werden. Falsche Prognosen können dadurch entstehen, dass die Entwicklung in der Zukunft aus der Vergangenheit abgeleitet wird, was aber nicht zwingend richtig sein muss.
2.2. Numerisch- halb quantitative Risikoanalyse Bei der numerisch- halb quantitativen Analyse werden qualitative Fragen gestellt und die Antworten dann mit Punkten bewertet. Dadurch ergeben sich Zahlenwerte, die den Erfolg des Unternehmens mit dem anderer Unternehmen im Sinne des Benchmark vergleichbar machen, oder Vergleiche mit früheren Perioden 1 Inhalt angelehnt an Schaumann (Mai 2005)
Risikoanalyse -4-
ermöglichen. Allerdings werden bei dieser Art der Analyse oft komplexe Zusammenhänge nicht erfasst und auch Beziehungen von Komponenten untereinander werden vor allem in einfachen Modellen häufig vernachlässigt, was Tatsachen verfälschen kann.
2.3. Qualitative Risikoanalyse Bei der qualitativen Analyse werden keine konkreten Vorraussagen getätigt, sondern die jetzige Situation des Unternehmens hinterfragt. Auf Basis dessen wird dann ein Maßnahmenkatalog erstellt, der Vorschläge beinhaltet, wie ein mögliches Risiko vom Unternehmen abgelenkt werden kann. Dabei wird darauf geachtet, dass die Maßnahmen möglichst kostengünstig sind und der Linie des Unternehmens entsprechen. So wird beispielsweise ein Unternehmen, dass sich auf technisch hochwertige Produkte spezialisiert hat nicht ein Billigprodukt auf den Markt bringen, das möglicherweise seinem Ruf schadet. Nachfolgend muss auch geprüft werden, ob die bereits erfolgten Maßnahmen erfolgreich waren. Im folgenden möchte ich nun erläutern, wie eine qualitative Risikoanalyse durchgeführt wird, auf was man dabei achten muss und welche Störfaktoren auftreten können. 3. Schritte einer qualitativen Risikoanalyse Zu Beginn jeder Analyse muss festgelegt werden, ob das Gesamtrisiko des Unternehmens betrachtet werden soll, oder nur einzelne Teilbereiche, beispielsweise Abteilungen, untersucht werden. Im Folgenden werde ich nur auf das Gesamtrisiko des Unternehmens eingehen, da so ein weiterer Bogen gespannt werden kann. Bei der Analyse des Gesamtrisikos muss darauf geachtet werden, dass scheinbar unwichtigere Teilbereiche eines Unternehmens nicht vernachlässigt werden, da diese bei näherer Betrachtung ein höheres Risiko in sich bergen können als erwartet. Das heißt, dass von der fehlerfreien Produktion, über die termingerechten Auslieferung, bis hin zum Kundenservice allen Ebenen Beachtung geschenkt werden muss. Besonders wichtig ist die Betrachtung des Produktes an sich. Wo liegt dabei das größte Risikopotenzial? Nicht immer sind die Risiken nur in der Produktion des wichtigsten Produktes zu suchen. Ein Ausfall in der Produktion kann beispielsweise durch Lagerbestände über eine gewisse Zeit gedeckt werden. Das Käuferverhalten bei Komplementärprodukten und das Verhalten von Lieferanten birgt meist ein wesentlich höheres Risiko. Ein Hersteller von Kassetten für Diktiergeräte und Anrufbeantworter ist zum Beispiel stark vom Konsum dieser Geräte abhängig, denn werden keine Diktiergeräte/ Anrufbeantworter gekauft, benötigt man auch keine Kassetten dafür. Das Risikopotenzial liegt also nicht beim Hersteller selbst sondern am Markt und muss vom Unternehmen aufgefangen werden. Dennoch dürfen unerwartete Produktionsausfälle nicht außer Acht gelassen werden. Dabei muss einerseits geklärt werden, wie lange die Lagerbestände reichen, andererseits muss der Fehler an der Wurzel behoben werden. Zusätzlich muss festgestellt werden welche Fixkosten bei Produktionsausfall entstehen, die nicht über Deckungsbeiträge gedeckt werden können. Diese Werte, sowie die Qualifikation der Mitarbeiter, die Zahl der Patente, oder der gute Ruf zählen zu den immateriellen Werten eines Unternehmens, denen in der Risikoanalyse eine besondere Bedeutung zugemessen wird, da sie in gewisser
Risikoanalyse -5-
Weise materiell bewertet werden müssen. Das Risiko des Verlustes von materiellen Gütern, wie Lagerhallen, oder Produktionsstätten, durch Feuer, Überschwemmungen oder andere Naturkatastrophen muss zwar ebenfalls betrachtet werden, lässt sich aber wesentlich einfacher bewerten. Die folgende Abbildung1 soll veranschaulichen, aus welchen Komponenten sich das Unternehmensrisiko zusammensetzt.
Abb.1: Entstehung von Risiko
Quelle: Philipp Schaumann, „Informationssicherheit und das Eisbergprinzip“ Aus der Grafik kann man erkennen, dass Gefahren erst zu Risiken werden, wenn sie auf Schwachstellen treffen. Diese müssen Unternehmensintern bekämpft werden, wodurch Risiken an der Wurzel angepackt und verhindert werden können. Die Gefahren an sich können hingegen nicht verhindert werden. Sie können durch Einwirkung höherer Gewalt, durch Naturkatastrophen, durch Unachtsamkeit von Mitarbeitern, oder durch Technologie- oder Infrastrukturausfälle entstehen. Das große Problem liegt im Erkennen dieser Gefahrenpotenziale. Dabei hat die Unternehmensleitung meist nicht den nötigen Überblick. Daher muss die Kommunikation im Unternehmen gefördert werden, damit die einzelnen Verantwortlichen die möglichen Probleme weiterleiten können und so ein möglichst großer Überblick geschaffen wird. Speziell in großen Unternehmen bedarf das eines sehr großen organisatorischen Aufwandes. Wie ebenfalls in Abbildung1 veranschaulicht spielt die Statistik eine wichtige Rolle bei der Risikoanalyse. Mit ihrer Hilfe wird die Wahrscheinlichkeit des Eintretens eines gewissen Ereignisses, beispielsweise eines Produktionsausfalles , betrachtet. Bei Unternehmen, die schon länger am Markt sind, kann dabei auf Erfahrungswerte zurückgegriffen werden. Auch ist es hier von Vorteil größere Zeithorizonte zu betrachten und sich nicht auf ein Jahr zu beschränken. Sind keine Erfahrungswerte vorhanden, kann anhand von Versicherungsstatistiken beispielsweise, eine Analyse gestartet werden. Dabei ist zu beachten, dass diese Statistiken immer einigen Spielraum lassen und keineswegs der Realität im Unternehmen entsprechen müssen. In jedem Fall sind Punkte in den Maßnahmenkatalog aufzunehmen, die diese Risiken einschränken. Nachdem das Risiko erkannt ist, stellt sich die Frage wie man damit umgehen soll. Wie in Abbildung2 ersichtlich wird, gibt es für die Geschäftsleitung verschiedene Möglichkeiten zu agieren.
Risikoanalyse -6-
Abb.2: Arten der Risikobehandlung
Quelle: Philipp Schaumann, „Informationssicherheit und das Eisbergprinzip“ Wenn möglich sollte ein Risiko natürlich gänzlich vermieden werden. Das ist aber nur in den seltensten Fällen möglich, da ein Risiko meist nicht isoliert betrachtet werden kann. Was hilft es beispielsweise die EDV- Abteilung vom Keller in das Dachgeschoss zu verlegen, um sie vor Hochwasser zu schützen, wenn dann durch einen Sturm das Dach abgedeckt wird und ebenfalls alles zerstört wird. Eher möglich ist daher die Minimierung des Risikos. So kann durch ausreichende Sicherheitsmaßnahmen beispielsweise die Gefahr eines Einbruchs zwar nicht völlig ausgeschlossen, aber jedenfalls eingeschränkt werden. Eine andere Möglichkeit ist das Überwälzen von Problemen auf andere Stellen. Versicherungen übernehmen zum Beispiel Einbruch- oder Feuerschäden. Das Risiko selbst zu tragen ist nur dann sinnvoll, wenn es bekannt ist. Daher soll durch die Risikoanalyse verstecktes Risiko aufgedeckt werden, damit entschieden werden kann, wie man ihm gegenüber tritt. In jedem Fall kann kein Unternehmen jedes Risiko vermeiden, vermindern, oder überwälzen. Ein gewisses Restrisiko bleibt immer übrig, dass in jedem Fall vom Unternehmen getragen werden muss. Als Ergebnis einer Risikoanalyse sollte der Geschäftsführung ein Papier vorgelegt werden, das die Risiken nach Wahrscheinlichkeit ihres Eintretens ordnet. Zusätzlich müssen Gefahren von außerhalb des Unternehmens angeführt werden, damit entschieden werden kann, in wieweit man diese ignorieren kann. Auch die tatsächlichen Verluste, nach einem Vergleich mit den Versicherungshöhen, sollten aufgestellt werden. Abschließend werden die bereits getätigten Maßnahmen angeführt und ein Maßnahmenkatalog zur weiteren Risikoprävention festgelegt. 4. Die Ökologische Risikoanalyse2 Abschließend möchte ich noch auf eine neuere Form der Risikoanalyse eingehen, die ökologische Risikoanalyse. Sie „wurde als Methode zur Betrachtung natürlicher Ressourcen in einem größeren Planungsraum im Rahmen eines Gutachtens im Großraum Nürnberg-Fürth-Erlangen-Schwabach entwickelt (vgl. Aulig et al. 1977; Bachfischer 1978).“3 Die Methode wurde dann im Sinne der 2 Inhalt angelehnt an http://www.laum.uni-hannover.de/ilr/lehre/Ptm/Ptm_BewOera.htm 3 http://www.laum.uni-hannover.de/ilr/lehre/Ptm/Ptm_BewOera.htm
Risikoanalyse -7-
Umweltverträglichkeitsprüfung weiterentwickelt und zählt heute zum Standard bei der Umweltplanung. Das Ziel dieser Analyse ist ganz klar die Nutzungsverträglichkeit bei unvollständiger Information sicher zu stellen. „Sie versteht sich als "Versuch einer planerischen Operationalisierung des Verursacher-Auswirkung-Betroffener-Zusammenhangs, d. h. als eine Form der Wirkungsanalyse im Mensch-Umwelt-System" (Bachfischer 1978, 72).“4
Abb.3: Vorgehen der Ökologischen Risikoanalyse (nach Bachfischer 1978)
Quelle: http://www.laum.uni-hannover.de/ilr/lehre/Ptm/Ptm_BewOera.htm
Wie in Abbildung3 ersichtlich, besteht die Risikoanalyse aus drei hauptsächlichen Bestandteilen; der Beeinträchtigungsintensität, Beeinträchtigungsempfindlichkeit und dem Risiko der Beeinträchtigung. Beeinträchtigungen in diesem Sinne sind Änderungen in der Qualität oder Quantität von natürlichen Ressourcen. Die beiden Stränge der Abbildung 3 symbolisieren auf der linken Seite die Betroffenen und auf der rechten Seite die Verursacher. Das Risiko bei der ökologischen Risikoanalyse kommt, wie bei der anderen Analyse auch, aus der Unsicherheit. Obwohl der ökologischen Analyse eine naturwissenschaftliche Bestandsaufnahme zu Grunde liegt, werden darüber hinaus Werturteile abgegeben, die wissenschaftlich nicht bis ins Detail belegbar sind. Weiters müssen auch hierbei Eintrittswahrscheinlichkeiten festgelegt werden, was in diesem Fall besonders schwierig sein kann, wenn selbst die Meinungen der Experten weit auseinander gehen. Dennoch gewinnt die ökologische Risikoanalyse immer mehr an Bedeutung, da neue Normen und Gesetze eine umweltfreundliche Betriebsführung vorschreiben. Darauf 4 http://www.laum.uni-hannover.de/ilr/lehre/Ptm/Ptm_BewOera.htm - Stand 8.12.05
Risikoanalyse -8-
näher einzugehen würde allerdings ein weiteres Referat füllen und findet daher hier leider keinen Platz mehr. 5. Resümee Zusammenfassend lässt sich sagen, dass die Risikoanalyse ein wesentlicher Bestandteil im Unternehmen sein sollte. Werden Risiken früh genug erkannt können sie im Keim erstickt werden und bringen dem Unternehmen keine großen Verluste. Übersieht man jedoch ein Detail können die Auswirkungen verheerend sein und sich mitunter nicht mehr ändern lassen. Wichtig ist es daher sich nicht nur auf die scheinbar wesentlichen Punkte zu konzentrieren, sondern alle Aspekte aufzugreifen. Eine Zusammenarbeit mit den Bereichsleitern ist in diesem Zusammenhang unumgänglich, da diese die größte Erfahrung an den einzelnen Stellen aufweisen und daher mögliche Fehler als erste Erkennen. In letzter Zeit ist zu der unternehmensinternen Risikoanalyse noch die ökologische Risikoanalyse hinzugekommen, die im Rahmen der Umweltverträglichkeitsprüfung (UVP) für gewisse Branchen verpflichtend geworden ist. Auch können durch umweltfreundliche Produktion, die durch Umweltaudits bestätigt wird, Wettbewerbsvorteile erzielt werden, die dem Unternehmen und der Umwelt nachhaltig dienen.
Risikoanalyse -9-
6. Literaturverzeichnis:
o Philipp Schaumann, Informationssicherheit und das Eisbergprinzip
o Überarbeitete und erweiterte Version des Kapitels Risikoanalyse: o.A., http://sicherheitskultur.at/Eisberg_risk.htm (Mai 2005)
o ohne Autor: http://www.projektmagazin.de/glossar/gl-0107.html - Stand 8.12.2005
o ohne Autor: http://www.laum.uni-hannover.de/ilr/lehre/Ptm/Ptm_BewOera.htm -
Stand 8.12.2005 7. Abbildungsverzeichnis:
Abbildung 1: Entstehung von Risiko Quelle: Philipp Schaumann, „Informationssicherheit und das Eisbergprinzip“
Abbildung 2: Arten der Risikobehandlung Quelle: Philipp Schaumann, „Informationssicherheit und das Eisbergprinzip“
Abbildung 3: Vorgehen der Ökologischen Risikoanalyse (nach Bachfischer 1978) Quelle: http://www.laum.uni-hannover.de/ilr/lehre/Ptm/Ptm_BewOera.htm
8. Anhang: Internetquellen in Kopie
Risikoanalyse -10-
Informationssicherheit und Risikomanagement Hier befindet sich eine stark überarbeitete und stark erweiterte Version des Kapitels "Risikoanalyse" aus dem Buch "Informationssicherheit und das Eisbergprinzip". Hier das Gesamtinhaltsverzeichnis. Autor: Philipp Schaumann - Stand Mai 2005 (wegen der Größe der Bilder ist ein Ausdruck nur im Querformat sinnvoll.)
Risikoanalyse
• Was bedeutet Risiko? • Verschiedene Arten von Risikoanalyse
Durchführung einer qualitativen Risikostudie
• Wie verdient Ihr Unternehmen sein Geld? • Was kann alles schief gehen? • Risikofaktor Mensch • Risikofaktor Technik • Risikofaktor Höhere Gewalt • Wie wahrscheinlich sind solche Bedrohungen? • Eine etwas andere Vorgehensweise • Was kann ich bei jedem der Risiken zur Erhöhung des Schutzes unternehmen? • Was kostet mich der Schutz? • Was kann ich als Ergebnis erwarten? • Methodische Vorgehensweise nach NIST 800-13 • Beispiel einer kompakten Ergebnisdarstellung
Risikoanalyse Wenn wir uns ernsthaft und systematisch mit dem Schutz des Unternehmens beschäftigen wollen, so kommen wir nicht darum herum, das Thema Risiko zu betrachten. Worum geht es dabei?
Was bedeutet Risiko? Risiko wird im Wörterbuch als „die Möglichkeit eines negativen Resultats, d.h. von Schäden oder Verlusten“ definiert. Was dies für das einzelne Unternehmen bedeutet, kann sehr unterschiedlich sein. Dies bedeutet, dass ich bei jeder Risikobetrachtung erst mal möglichst genau definieren muss, was ein erwünschter und was ein unerwünschter Ausgang ist. "Maximierung des Gewinns" könnte z.B. ein erwünschter Ausgang sein, unerwünscht wäre dann z.B. Gewinneinbruch. Aber andererseits würde eine ständige Optimierung in diese Richtung verhindern, dass notwendige Investitionen für die Zukunft getätigt werden, was mit einem großen Risiko verbunden wäre. Was im Einzelfall als erwünscht betrachtet wird, hängt vor allen Dingen vom jeweiligen Geschäftsmodell ab, nämlich davon, wie ein bestimmtes Unternehmen sein Geld verdient. Jegliches Risiko zu vermeiden kann auch das Ende eines Unternehmens bedeuten. Denn: "no risk, no fun" und "wer nichts wagt, der nichts gewinnt". Das Eingehen von Risiken kann neue Chancen für ein Unternehmen eröffnen. Risikomanagement soll dazu dienen, die Risiken "in den Griff zu bekommen", d.h. zu erkennen, welche Risiken ich mit einer bestimmten Entscheidung (oder auch Nicht-Entscheidung) eingehe und welche Möglichkeiten ich habe, diesen Risiken zu begegnen. Bei einem Unternehmen das etwas produziert, kann ein zeitlich begrenzter Ausfall der Produktion oft ein sehr kostspieliges Problem darstellen. In diesem Fall muss ich die Produktion gegen solche Risiken geeignet absichern. Andererseits ist für ein Beratungsunternehmen der Verlust von Know-how durch Abwanderung der erfahrensten Berater oft tödlich. Oder für eine Bank wäre der Verlust der Reputation das Ende. Für eine Firma, die mit Adressenhandel ihr Geld verdient, könnte der Verlust der Adressdatei, oder wenn diese Datei in die Hände der Konkurrenz fällt, das Ende der Firma darstellen. Und für eine Firma, die nur über das Internet verkauft, ist der Verlust der Website das Hauptrisiko. Und das Jahr 2002 hat gezeigt, dass für eine ganze Reihe von Firmen in den USA, Deutschland und Österreich Fehlentscheidungen der Geschäftsleitung das Hauptrisiko waren und zum Zusammenbruch des Unternehmens geführt haben.
Risikoanalyse -11-
Letztendlich geht es bei der Risikoanalyse um etwas, was jeder Mensch täglich tut. Bevor wir uns entscheiden, vielleicht doch bei roter Ampel über die Straße zu gehen, schätzen wir ganz schnell das Risiko ab, das damit verbunden ist. Wie viel Verkehr ist gerade? Ist irgendwo ein Polizist, der mich erwischen könnte? Schauen gerade Kinder zu, für die ich ein schlechtes Vorbild wäre? Es geht bei allen Risikoentscheidungen darum, dass ich Annahmen über die Zukunft machen muss, die ich jedoch nicht kennen kann. Worauf kann ich diese Entscheidungen gründen? Da wären z.B. als ganz wichtiger Punkt die Erfahrungen aus der Vergangenheit. War diese Unternehmung früher eher mit Gefahr oder mit Erfolg verbunden? Andererseits gibt es zahllose Beispiele, wo ein Beharren auf der Idee, dass alles auch in Zukunft so bleiben wird, zum Untergang von Unternehmen und ganzen Unternehmensbranchen geführt hat. Die Eisenbahngesellschaften, die vor 1900 ein Monopol für den Transport über größere Strecken hatten, konnten sich nicht vorstellen, einmal von Autos und Bussen abgelöst und in den USA zu einer absoluten Randposition gedrängt zu werden. Und die Busgesellschaften (und in Europa die Eisenbahnen) konnten sich noch vor 50 Jahren nicht vorstellen, dass Flugzeuge mal zu einer Konkurrenz im Massen-Fernverkehr werden könnten. D.h., wenn ich darauf vertrauen will, dass die Zukunft genauso wie die Vergangenheit abläuft, so sollte ich dafür schon sehr gute Gründe haben. Ein weiterer Punkt sind die Ratschläge von außen, z.B. Freunde, aber auch die Presse, Bücher, usw. Raten mir alle davon ab, eine geplante Bergtour bei diesem Wetter durchzuführen, so haben sie evtl. recht. Und sogar die "Mode" spielt eine Rolle: früher sind wir alle ohne Kopfschutz mit dem Fahrrad gefahren, jetzt gilt das als riskantes Unterfangen. Ganz wichtig ist der gesunde Menschenverstand und das Bauchgefühl. Wenn mir ein Plan Unbehagen bereitet, so will mir mein Unterbewusstsein etwas sagen, was mir mein Verstand evtl. nicht sagen kann. Aber natürlich irrt auch oft der Bauch. So schätzen die Menschen ganz oft die Risiken falsch ein, wenn sie z.B. glauben, dass es viel weniger gefährlich ist, mit dem Auto nach Hamburg zu fahren, als das Flugzeug zu nehmen. D.h. kritisches Hinterfragen ist bei solchen Bauchgefühlen auch wichtig. Und verschiedene Persönlichkeiten haben verschiedene Wege, mit Ungewissheiten in der Zukunft und möglichen Gefährdungen umzugehen. Es gibt die ganz vorsichtigen, die Pessimisten, die immer ein "worst case scenario" annehmen und es gibt die Optimisten, die immer ein "best case scenario" annehmen. Wenn es um Geschäftsrisiken geht, so ist es ähnlich. Wer aber immer vom worst case ausgeht, der kann vor Angst gelähmt sein und unternimmt evtl. gar nichts. Dies kann aber für ein Unternehmen am Markt auch wiederum ein erhebliches Risiko darstellen. Wenn ein Unternehmen einen neuen Markt verschläft, ist es auch gefährdet. Die Subjektivität der Risikoeinschätzungen sieht man übrigens sehr schön, wenn man sich die Statistiken der tödlichen Krankheiten anschaut.
Verschiedene Arten von Risikoanalysen Ich unterscheide drei verschiedene Arten von Risikoanalysen. Der erste Typ ist eine numerische, quantitative Risikoanalyse, wie sie z.B. von Versicherungen und Banken durchgeführt wird. Sie beruht auf wissenschaftlichen Grundlagen, z.B. Entscheidungstheorie und Statistik. Sie arbeitet mit Entscheidungsbäumen und liefert Entscheidungshilfen, z.B. zu welchem Preis etwas gekauft werden sollte, erwartete Gewinne oder Verluste (und die Höhe nötiger Rückstellungen), oder die Summe der erwarteten Gesamtschäden (für eine Versicherung) ebenso wie die erwartete Bandbreite der möglichen Ausgänge (die sog. Volatilität) sein wird. Dies setzt aber voraus, dass ich die Eingangsparameter ziemlich gut beziffern kann. Dies ist nur in Ausnahmefällen wirklich möglich. Die zweite Herausforderung ist, dass ich Annahmen über die Zukunft machen muss und zwar in quantitativer Form. Die Annahme, dass die Zukunft wie die Vergangenheit weitergeht, hat schon zu erheblichen Fehlprognosen geführt. Ein sehr empfehlenswertes, verständliches Buch zu dieser Form von Risikoanalyse ist von Dan Borge, "Wenn sich der Löwe mit dem Lamm zum Schlafen legt". Eine wissenschaftlichere Beschreibung befindet sich in Wikipedia unter dem Stichwort Value at Risk (VaR). Eine zweite Art von numerischer, halb-quantitativer Risikoanalyse beginnt oft damit, dass zwar nicht-numerische Daten erhoben werden (Fragen wie, "Hat ihr Unternehmen eine unterbrechungsfreie Stromversorgung", dass die Antworten dann bewertet werden und über eine Punktevergabe ein Zahlenwert entsteht, der für einen Vergleich mit anderen Unternehmen (Benchmark) oder für einen zeitlichen Vergleich mit den Ergebnissen früherer Bewertungen herangezogen werden kann. Solche Risikoanalysen sind oft bei Revisoren beliebt, weil sie einfache Vergleichswerte liefern, sie kranken jedoch oft in mehrfacher Hinsicht. Einmal sind die Fragen oft zu einfach, um komplexe Zusammenhänge genau genug abbilden zu können. So müsste die obige Frage nicht für das Gesamtunternehmen, sondern für einzelne Komponenten gestellt werden (Absicherung der Stromversorgung der EDV, Absicherung der Stromversorgung der Produktion, ....) und dann die Abhängigkeiten der Komponenten berücksichtigt werden. Zum anderen ignorieren viele dieser
Risikoanalyse -12-
Modelle die Bedrohungen und betrachten diese als konstant. Das heißt z.B., dass ein JA auf die Frage "verwenden sie einen Proxy für den Internetzugang ihrer Mitarbeiter" eine bestimmte Punktzahl ergibt, ohne zu berücksichtigen, dass die Bedrohungen die sich daraus ergeben, heute, in 2005 erheblich größer sind als noch in 2004 (Zunahme der kriminellen Aktivitäten im Internet). Es ist natürlich möglich, alle diese Zusammenhänge zu berücksichtigen, viele der einfacheren Modelle tun dies jedoch nicht in ausreichendem Maße und kommen daher zu Ergebnissen, die die wirkliche Situation nicht ausreichend wiedergeben. Ein Beispiel für ein Tool, das nur schematisch Ja oder Nein erlaubt ist das kostenlose Microsoft Security Risk Self-Assessment, ein Beispiel für ein komplexeres Tool ist CRISAM von calpana (früher techcom), auf das ich später noch eingehen werde. Glücklicherweise liefern manche dieser Modelle (und die dafür verwendeten Tools) auch noch qualitative Ergebnisse in der Form von Maßnahmenlisten. Solche Maßnahmenlisten sind das Hauptergebnis der qualitativen Risikostudien, mit denen sich der Rest des Textes beschäftigen wird. Bei den beiden letzten Arten von Risikobetrachtungen geht es eigentlich weniger um eine konkrete Voraussage für die Zukunft, sondern mehr darum, wie ich die gegenwärtigen Risiken des Unternehmens besser in den Griff bekomme, nämlich welche Maßnahmen erlauben es mir auf kostengünstige Weise auf die Risiken so zu reagieren, wie dies den Unternehmenszielen am besten entspricht.
Durchführung einer qualitativen Risikostudie Ziel ist
• die Bedrohungen und die sich daraus ergebenden Risiken des Unternehmens besser in den Griff zu bekommen
• zu prüfen, ob die bisher zum Schutz gesetzten Maßnahmen angemessen sind • welche Maßnahmen erlauben es dem Unternehmen auf kostengünstige Weise auf die
Risiken so zu reagieren, wie dies den Unternehmenszielen am besten entspricht.
Der erste Schritt zu einer Risikoanalyse ist, dass wir uns klare Rahmenbedingungen setzen. Wollen wir das Gesamtrisiko des Unternehmens betrachten, oder vielleicht nur Teilaspekte wie die EDV oder die Produktion herausziehen? Oder engen wir die Themenstellung noch weiter ein: wollen wir durch die Risikobetrachtung nur eine einzelne Entscheidung untermauern, z.B. ob eine bestimmte Technologie, z.B. wireless network (WLAN) im Lager eingesetzt werden soll, ja oder nein? Eine Methode zur Betrachtung einer einzelnen Technologie wird am Ende dieses Kapitels dargestellt. Im folgenden Text gehen wir erst mal davon aus, dass wir das Gesamtrisiko für die Firma betrachten wollen.
Was sind die Kern-Geschäftsbereiche Ihres Unternehmens? Wie verdient Ihr Unternehmen sein Geld?
Oft ist es offensichtlich, was die wichtigsten Geschäftsbereiche eines Unternehmens sind, manchmal aber ist ein Bereich, der nicht im Rampenlicht steht, kritischer als die öffentlich bekannten. So kann es wichtiger sein, eine kontinuierliche Versorgung der bereits bestehenden Kunden mit Ersatzteilen oder Verbrauchsmaterial für die Reputation bei den Kunden wichtiger sein kann, als die Auslieferung der Neu-Geräte zum versprochenen Zeitpunkt. Zur Abschätzung von direkten finanziellen Bedrohungen, z.B. durch den Ausfall der Produktion muss ich die Geschäftsprozesse betrachten. Dabei ist zu bedenken, dass der Geschäftszweig, für den eine Firma bekannt ist, nicht zwingend auch der sein muss, der das größte Risikopotential hat. Der Verkauf von Druckerpatronen kann für den Umsatz wichtiger sein als der Verkauf der Drucker selbst (speziell wenn die Drucker nicht selbst hergestellt werden und bei einem Wegfall des Druckerverkaufs eben auch keine Drucker vom Lieferanten eingekauft würden). Die Einnahmen aus dem Verkauf von Verbrauchsmaterial oder aus Wartungsverträgen können finanziell für das Überleben wichtiger sein, als Neuverkäufe, die evt. aus den Lagerbeständen der Vertriebsorganisationen noch eine ganze Weile weiterfunktionieren können. Und wenn Sie nicht produzieren können (aus welchen Gründen auch immer), laufen Ihre Kosten dann weiter? Der Ausfall von Einnahmen ist viel weniger dramatisch, wenn den ausgefallenen Einnahmen keine Fixkosten gegenüberstehen, sondern die Kosten auch wegfallen würden. Ist das, wofür Ihr Unternehmen bekannt ist, wirklich das, was „die Butter aufs Brot bringt“?
Risikoanalyse -13-
Wie wichtig z.B. ihre Buchhaltung ist sehen Sie, wenn Sie überlegen, was passieren würde, wenn Sie mal eine Woche keine Rechnungen schreiben könnten? Ist das ein Problem für Sie?
Was sind die Werte des Unternehmens? Wir müssen bei der Analyse des Risikos eines Unternehmens immer von den (materiellen oder immateriellen) Werten des Unternehmens ausgehen. Die materiellen Werte könnten bedroht sein, wenn ein Feuer oder eine Überschwemmung die Produktionsräume bedroht. Immaterielle Werte können bedroht sein, wenn ein Skandal den guten Ruf des Unternehmens in Mitleidenschaft zieht. Auch darauf muss ich mich einstellen. Ein anderer sehr wichtiger immaterieller Wert für ein Unternehmen ist die Qualität und die Leistungsbereitschaft der Mitarbeiter. Ein weiterer wichtiger Wert sind z.B. vertrauliche Konstruktionsdaten. Dabei gibt es 2 Werte zu betrachten: Zum ersten - welche Kosten würden entstehen, wenn ich diese Daten verliere und wie lange würde es dauern, diese wiederherzustellen? Weiters wäre aber auch zu fragen, wie viel wären der Konkurrenz diese Daten wert? Welche Marktvorteile könnte die Konkurrenz aus diesen Daten ziehen? Welche Zeit würde die Konkurrenz gewinnen, wenn sie diese Informationen nicht selbst erarbeiten muss? Das heißt, wer eine Risikoanalyse durchführen will, muss sich z.B. die wirklichen Werte des Unternehmens sowie die Umsatz- und Gewinnzahlen sehr gründlich anschauen. Was kann alles schief gehen? Welchen Bedrohungen und
Risiken ist mein Unternehmen ausgesetzt? Jetzt wird es richtig schwierig und hier können die größten Fehler gemacht werden. Bedrohungen und Risiken, die ich in diesem Stadium nicht erkenne, werde ich bei meinen Betrachtungen nicht berücksichtigen können. D.h. ich werde mich auch nicht vor ihnen schützen können.
Wie die Grafik zeigt, entstehen Risiken, wenn Gefahren und Schwachstellen zusammentreffen. Gefahren gibt es überall, das ist eine Tatsache die wir akzeptieren müssen. So gibt es überall kriminelle Elemente, die nur auf eine Gelegenheit warten, ohne viel Arbeit an das große Geld zu kommen. Und Naturkatastrophen wie Stürme und Überschwemmungen passieren immer wieder. Zu einer Bedrohung werden diese Gefahren, wenn sie für dieses Unternehmen relevant sind und gleichzeitig im Unternehmen auf eine Schwachstelle treffen, z.B. entstanden durch unzureichende Sicherheitsmaßnahmen.
Risikoanalyse -14-
Gefahren können das Unternehmen aus verschiedenen Richtungen bedrohen: Höhere Gewalt und andere Naturkatastrophen, Ausfälle der Technik und Infrastruktur und die Gefahren, die von Menschen ausgehen, sei es durch Vorsatz oder Nachlässigkeit, durch die eigenen Mitarbeiter oder von außen. Um das spezifische Bedrohungspotential eines Unternehmens zu bestimmen, muss ich von diesen allgemeinen Bedrohungen die auswählen, die für den spezifischen gewünschten Erfolg des Unternehmens abträglich sein könnten. D.h. aus der großen Liste möglicher Gefahren wähle ich die für mich relevanten aus. Diesen muss ich dann die getroffenen Gegenmaßnahmen gegenüberstellen und damit gewinne ich das Bedrohungspotential. Wie finde ich nun eine möglichst vollständige Liste der möglichen Bedrohungen? Ich gehe davon aus, dass speziell in größeren Unternehmen alle Bedrohungen und Schwachstellen bereits irgendwo im Unternehmen bekannt sind. Das Problem liegt oft darin, dass die Geschäftsführung, die Maßnahmen zur Behandlung der Risiken setzen könnte, i.d.R. diese Risiken nicht im Detail kennt. Der Vorarbeiter am Fließband jedoch, der vielleicht schon seit 30 Jahren diese und ähnliche Tätigkeiten ausführt, weiß genau, was schief gehen kann. Er hat das alles schon mal erlebt. Aber er kann keine Maßnahmen setzen. Evtl. hat das Unternehmen ein Vorschlagswesen oder einen KVP (kontinuierlichen Verbesserungsprozess), aber evtl. auch nicht. Derjenige, der die Risikostudie durchführt wird in vielen Fällen "einfach nur" die Informationen über die Bedrohungen von der Stelle im Unternehmen, wo sie bekannt sind, dorthin transportieren, wo über Maßnahmen entschieden werden kann. (Das ist der steinalte Witz über den Berater, der einem Unternehmen das Know-how, das das Unternehmen selbst hat, abzieht und wieder zurück verkauft. Aber wenn das Unternehmen selbst niemanden hat, der auf das vorhandene Know-how systematisch zugreifen kann, so ist das genauso gut, als hätte das Unternehmen das Know-how gar nicht.) Daher kann eine solche Risikoanalyse auch als eine große Kommunikationsherausforderung betrachtet werden. Wie finde ich als Berater die für dieses Unternehmen relevanten Risiken? Dazu muss ich zuerst mit der Geschäftsleitung und den Verantwortlichen für die einzelnen Teilbereiche des Unternehmens reden um zu erfahren, was sie als Hauptbedrohung sehen. Hat das Unternehmen Feinde? Wer sind diese? Wie viel Geld würden diese wohl ausgeben, um z.B. an Geschäftsdaten zu kommen oder die Produktion zu stören? Wie groß ist die Abhängigkeit der Geschäftsprozesse vom Funktionieren der EDV? Wie oft fällt die Infrastruktur aus? Was kann sonst noch alles schief gehen? Dies bedeutet, dass derjenige, der die Risikostudie erstellen will, viele Interviews im Unternehmen durchführen muss. Es empfiehlt sich, mit vorbereiteten Fragebögen, bzw. Checklisten zu kommen, damit sichergestellt ist, dass alle relevanten Themen und Fragestellungen behandelt werden. Diese Fragen sollten so weit wie möglich sog. "offene Fragen" sein, d.h. keine ja/nein Fragen. Das sind z.B. Fragen wie "wie wird in diesem Unternehmen dies oder das eigentlich praktiziert? Gibt es dabei manchmal Probleme? Wenn sie nachts nicht schlafen können, was beunruhigt sie dann, wenn sie an die Firma denken?" Gute Hinweise auf mögliche Bedrohungen ergeben sich z.B. auch immer dort, wo ein Unfall gerade noch mal gutgegangen ist. Hier ein Artikel im Standard dazu. Diese Vorgehensweise steht im Gegensatz zu den tool-unterstützten Risikoanalyse-Ansätzen, deren Ziel eine numerische Bewertung des Risikos in Form eines Benchmarks ist. Weiter oben habe ich das als "numerisch halb-quantitativen Ansatz" bezeichnet. Um zu einer eindeutigen Zahl als Endergebnis zu kommen, dürfen bei diesen Tools keine Freitext-Eingaben erlaubt sein (weil dann eine maschinelle Auswertung kaum möglich wäre). Diese Tools geben Multiple Choice-Antworten vor und sie sind daher kaum geeignet, Risiken aufzuspüren, die nicht bereits im Tool abgedeckt sind. Auf der Basis dieses Gesamtbildes der Werte und der Geschäftsprozesse muss eine systematische Aufstellung und anschließende Bewertung der Bedrohungen durchgeführt werden. Wie oben bereits ausgeführt, werden diese oft unterschiedlich sein, jedoch ist es hilfreich, von einer umfangreicheren Gesamtliste auszugehen und dann solche zu ignorieren, die für dieses Unternehmen keine Rolle spielen. Um systematisch vorgehen zu können, erscheint eine Gliederung in drei große Risikogruppen sinnvoll: Risikofaktor Mensch, Risikofaktor Technik und Risikofaktor Höhere Gewalt.
Wie wahrscheinlich sind diese Bedrohungen? Die nächste Aufgabe ist es festzustellen, wie hoch die Wahrscheinlichkeit des Eintretens dieser Schäden ist. Dabei ist es hilfreich, diese allgemeinen Gefahrengruppen weiter aufzuteilen. So ist die Abschätzung einfacher, wenn ich nicht Feuer als Gesamtgruppe betrachte, sondern die Wahrscheinlichkeiten für die verschiedenen Feuerursachen einzeln aufgliedere. Zusätzlich bietet sich an, eine weitere Unterscheidung nach der Größe des Schadens vorzunehmen. So ist z.B. ein lokaler Brand in einer Halle erheblich häufiger, als ein Abbrennen einer gesamten Halle oder gar des
Risikoanalyse -15-
gesamten Unternehmens. Für eine Gesamtbetrachtung sollten detaillierte Einzelrisiken betrachtet werden. Ein Programm für Tabellenkalkulation bietet sich als Hilfe bei der Erfassung und Bewertung an. Oft kann es mental hilfreich sein, sich nicht auf die Zahl der Schäden pro Jahr zu konzentrieren, sondern sich vielmehr zu fragen, wie oft wird dieses Ereignis vermutlich in 100 Jahren eintreffen. Wie kann ich vorgehen, um zu solchen Wahrscheinlichkeiten zu kommen. Wenn das Unternehmen schon eine Weile besteht und Erfahrungswerte aus der Vergangenheit vorliegen, so habe ich gute Voraussetzungen. Ich muss in die Fachabteilungen gehen und geeignete Fragen stellen. Z.B. frage ich die Werksfeuerwehr nach Brandstatistiken, aufgegliedert nach Brandgrößen und -ursachen. Ich frage den Werkschutz nach Diebstählen und unbefugtem Betreten des Werksgeländes. Ich frage den Produktionsleiter nach der Statistik zu Maschinenausfällen und nach der Ersatzteilbevorratung. Und die Logistikabteilung sollte Statistiken über Lieferverzüge oder Qualitätsprobleme der Zulieferer haben. Die EDV-Abteilung sollte Statistiken über Rechner- und Netzwerkausfälle haben. Wenn dies nicht der Fall ist, so helfen oft Nachfragen bei Versicherungen, für die solche Statistiken unabdingbar sind oder Studien in einschlägiger Literatur oder im Internet. Natürlich werden diese Zahlen letztendlich mit einer ziemlich hohen Fehlerbreite versehen sein, das kann in diesem Fall gar nicht vermieden werden. Trotzdem liefern diese Überlegungen wichtige Anhaltspunkte für eine Gewichtung und Systematisierung der Schutzmaßnahmen. Natürlich muss ich bei diesen Abschätzungen den jeweiligen Stand des Schutzes berücksichtigen. Die Wahrscheinlichkeit, ob ein lokaler Brand zur Vernichtung der ganzen Halle führt hängt z.B. davon ab, ob es Brandmelder, Sprinkleranlagen und Brandschutzwände gibt und wie schnell die Feuerwehr garantieren kann, vor Ort zu sein. Ein möglicher Versicherungsschutz sollte hierbei noch nicht berücksichtigt werden. Eines der Ziele dieser Betrachtungen ist ja auch, die Angemessenheit des Versicherungsschutzes zu bewerten.
Wie hoch sind die erwarteten Schäden in jedem einzelnen Fall?
Diese Feinunterteilung der Bedrohungen hilft mir auch, wenn es darum geht, die Schäden finanziell zu bewerten. Schäden können in vielfältiger Form auftreten. Die sind einmal die direkten Materialschäden, aber oft sind die Schäden durch Produktionsausfall noch erheblich größer (und durch die Versicherung gar nicht abgedeckt). Daneben müssen auch Schäden durch Image- oder Kundenverlust berücksichtigt werden, wobei das oft nur schwer einzuschätzen ist. Für die Werte der Maschinen sollte ich nicht den Anschaffungswert, sondern eher den Wiederbeschaffungswert berücksichtigen. Dies kann, speziell bei älteren Modellen, ein ganz anderer Wert sein, oder die Wiederbeschaffung kann bei Modellen die nicht mehr auf dem Markt sind, ein besonderes Problem darstellen, das auch berücksichtigt werden muss. Auf jeden Fall muss die Zeit mitberücksichtigt werden, die es dauert, bis die Maschinen wieder einsatzbereit sind. Ein Ansatz für die Bewertung von Imageschäden ist, sich zu Fragen, was eine Werbekampagne kosten würde, mit der das Unternehmen das Vertrauen der Kunden in das Unternehmen wieder auf den alten Wert heben kann. In unserer Tabellenkalkulation ergänzen wir zu jeder dieser Gefahren die abgeschätzte oder ermittelte Eintrittswahrscheinlichkeit und den erwarteten Schaden pro Schadensfall. Das Produkt aus diesen beiden Werten ergibt den zu erwartenden Schaden pro Jahr (oder pro 100 Jahre, wenn ich entsprechend abgeschätzt habe). Und ein Vergleich dieser Werte zeigt wo das Unternehmen seine größte Risikoexponierung hat. Was kann ich bei jedem der Risiken zur Verbesserung des
Schutzes unternehmen? Wenn ich als Unternehmen einem Risiko ausgesetzt bin, so habe ich mehrere mögliche Strategien, um auf dieses Risiko zu reagieren. Erst mal kann ich versuchen, dieses Risiko zu beseitigen. Ein Beispiel wäre, wenn ich auf das Risiko der Überschwemmung des Rechenzentrums darauf reagiere, in dem ich dieses vom Keller in das Dachgeschoss übersiedle (dabei muss ich natürlich bedenken, ob dadurch nicht neue Gefahren entstehen).
Risikoanalyse -16-
Oder ich kann mich bemühen, ein Risiko zu minimieren. Dazu wäre ein Beispiel der Einsatz eines Virenscanners und einer Firewall um der Gefahr von Angriffen und Schäden aus dem Internet zu begegnen. Dies wird nicht zu einer völligen Beseitigung des Risikos führen, aber doch eine erhebliche Minimierung bewirken. Oder ich kann Risiken abwälzen. Methoden dazu sind z.B. Versicherungen und auch Outsourcing-Partner, die über entsprechende Verträge zur Übernahme der Risiken verpflichtet werden. Dabei ist jedoch entscheidend, dass das Kleingedruckte in den Verträgen keine Lücken enthält, z.B. Ausschlussklauseln bei Höherer Gewalt. Und die letzte Option ist natürlich immer, das Risiko einfach zu akzeptieren. Dies ist durchaus in Ordnung, so lange dieses Risiko bekannt ist. Unbekannte Risiken gilt es aufzudecken. Um den Punkt der Akzeptanz des Restrisikos kommt letztendlich niemand herum, denn alle Schutzmaßnahmen müssen natürlich im für das Unternehmen erschwinglichen Rahmen liegen und dadurch entstehen Grenzen bei den Schutzmöglichkeiten. Oft ist es auch sinnvoll, die Gefahren nach abwendbar bzw. nicht abwendbar einzuteilen, und die nicht abwendbaren in versicherbare und nicht versicherbare. Diese Aufteilung muss gemeinsam mit der Eintrittswahrscheinlichkeit unter ökonomischen Aspekten (z. B. „mit vertretbarem Aufwand abwendbar“) getroffen werden.
Was kann ich als Ergebnis erwarten? Das Ergebnis der Risikoanalyse, das dem Vorstand präsentiert wird, sollte natürlich nicht diese umfassendeTabellenkalkulation sein. Dafür hat kaum eine Geschäftsführung Zeit. Folgende Informationen kann die Geschäftsleitung erwarten:
• Eine Auflistung der Bedrohungen des Unternehmens, nach Prioritäten in Hinblick auf ihre Gefährlichkeit geordnet
• Eine Darstellung, welche der möglichen Bedrohungen als außerhalb der Betrachtungen gesehen wurden (z.B. Krieg, Terrorismus, Erdbeben, Verlust des Gebäudes, Ausfall beider Rechenzentren, ...). Hier ist die Geschäftsführung gefordert, zu entscheiden, ob diese Risiken wirklich ignoriert werden sollen.
• Eine Darstellung der zu erwartenden Schäden im Fall, dass eine Bedrohung eintritt (Vergleich mit den Versicherungshöhen)
• Eine Darstellung der bereits getroffenen Schutzmaßnahmen
Eine Darstellung der zusätzlich empfohlenen Maßnamen um den Schutz zu erhöhen, wieder nach Dringlichkeit und Prioritäten geordnet (hoch, mittel, niedrig). Diese Liste wird optimalerweise eine Aufstellung der ungefähren Kosten beinhalten. Oft finden sich dabei Maßnahmen mittlerer Priorität, die zwar oft nicht absolut dringend sind, jedoch ohne großen Aufwand und Kosten implementiert werden können. Diese sollten dann sinnvoller weise vorgezogen werden. Jede kleine Verbesserung kann helfen, die Sicherheit zu erhöhen
Risikoanalyse -17-
http://www.laum.uni-hannover.de/ilr/lehre/Ptm/Ptm_BewOera.htm
Ziel und Herkunft der Methode Die Ökologische Risikoanalyse wurde als Methode zur Betrachtung natürlicher Ressourcen in einem größeren Planungsraum im Rahmen eines Gutachtens im Großraum Nürnberg-Fürth-Erlangen-Schwabach entwickelt (vgl. Aulig et al. 1977; Bachfischer 1978). In der Folgezeit wurde sie im Hinblick auf die Durchführung von Umweltverträglichkeitsprüfungen fortentwickelt, v. a. von Scharpf (1982) sowie Kiemstedt et al. (1982). Inzwischen gehört die Methode in den verschiedensten Abwandlungen zum Standardrepertoire der Umweltplanung. Die letzten wesentlichen Entwicklungen gingen von der Planungsgruppe Ökologie und Umwelt (vgl. Hoppenstedt u. Riedl 1992) sowie der Anpassung an neue rechtliche Grundlagen (Scholles 1997) aus. Ziel der Ökologische Risikoanalyse ist die Beurteilung der ökologischen Nutzungsverträglichkeit bei unvollständiger Information. Sie versteht sich als "Versuch einer planerischen Operationalisierung des Verursacher-Auswirkung-Betroffener-Zusammenhangs, d. h. als eine Form der Wirkungsanalyse im Mensch-Umwelt-System" (Bachfischer 1978, 72).
Ablauf der Methode Vorgehen
Abb. 7.7.1: Vorgehen der Ökologischen Risikoanalyse (nach Bachfischer 1978)
Die Beurteilung erfolgt formal durch die Bildung der drei Aggregatgrößen
• Intensität potenzieller Beeinträchtigung (kurz Beeinträchtigungsintensität), • Empfindlichkeit gegenüber Beeinträchtigungen (Beeinträchtigungsempfindlichkeit)
und • Risiko der Beeinträchtigung (s. Abb. 7.7.1).
Dabei werden unter Beeinträchtigungen natürlicher Ressourcen Änderungen von Quantitäten oder Qualitäten natürlicher Ressourcen verstanden, die nach Art und Ausmaß
Risikoanalyse -18-
die Befriedigung der Ansprüche an natürliche Ressourcen erheblich erschweren oder unmöglich machen. Um den Zusammenhang Verursacher-Auswirkung-Betroffener zu untersuchen, teilt sich das Verfahren auf in die Untersuchung der Betroffenen (natürliche Faktoren, linke Seite in Abb. 7.7.1) und der Verursacher (Nutzungsansprüche, rechte Seite in Abb. 7.7.1).
Beeinträchtigungsempfindlichkeit Auf der Betroffenenseite werden zunächst die Leistungen der Naturgüter für Nutzungsansprüche, d. h. die Eignung, ermittelt. Dazu werden Indikatoren gebildet und herangezogen. Diese werden durch Untersuchungen (Datenübernahme, Berechnung oder Messung) für den Untersuchungsraum konkretisiert. Durch Abgleich der Untersuchungsergebnisse mit fachlichen Zielvorstellungen entsteht die Beeinträchtigungsempfindlichkeit. Diese fasst die Nutzungseignung natürlicher Ressourcen und die "Übertragungseigenschaften" der Geofaktoren für Wirkungen zusammen und ordnet sie in einer ordinalen Skala.
Beeinträchtigungsintensität Auf der Verursacherseite werden die Auswirkungen von Nutzungen auf die Schutzgüter untersucht, indem auch hier Indikatoren gebildet werden. Die räumliche Konkretisierung erfolgt durch Prognose, da es um zukünftige Zustände geht. Daraus wird die Beeinträchtigungsintensität ermittelt. Diese fasst Beeinträchtigungsfaktoren für jedes Teilsystem (in der ursprünglichen Fassung Klima/Luft, Boden, Wasser, Biotope, Land- und Forstwirtschaft, Erholung, Wohnen; nach dem UVPG wären es Mensch, Tiere, Pflanzen, Boden, Wasser, Luft, Klima, Landschaft, Sachgüter, Kulturgüter) entsprechend den von ihnen ausgehenden Wirkungen zusammen und ordnet sie wiederum in einer ordinalen Skala.
Kritik an der Methode Risikobegriff: Anspruch und Wirklichkeit
Bereits bei Bachfischer besteht eine Diskrepanz zwischen der theoretischen Fundierung des Risikobegriffs und seiner Verwendung in der Ökologischen Risikoanalyse. Eintrittswahrscheinlichkeiten werden nicht ermittelt, sodass das Risiko der Beeinträchtigung mit dem Ausmaß der Beeinträchtigung gleichgesetzt wird, ohne dass eine nähere Begründung erfolgt. Die Übersichtlichkeit und leichte Anwendbarkeit der Methode hat in der Planungspraxis zu bisweilen formal-mechanistischer und wenig reflektierter Abarbeitung geführt. Einige Anwender reduzieren die Methode sogar auf die Präferenzmatrix und verzichten völlig auf die Relevanzbäume, sodass die Eingangsgrößen kaum nachvollziehbar sind. Als Ergebnis mehr oder weniger ausführlicher Argumentationen und verbaler Darstellungen wird eine hohe, mittlere oder geringe Beeinträchtigung bzw. Empfindlichkeit konstatiert. So bleibt meist außer acht, gegen welche Auswirkungen die Schutzgüter wie empfindlich reagieren. Um zu einem "Gesamtrisiko" zu kommen, werden die Einzelrisiken dann teilweise noch ungehemmt saldiert, was bereits formal unzulässig ist. Die Einfachheit der Methode verleitet offensichtlich Gutachter mit geringen methodischen und inhaltlichen Kenntnissen, Umweltauswirkungen pauschal zu beurteilen (vgl. Eberle 1984; Scholles 1997, 155ff.).
Indikatorprobleme Indikation ist bei der Ermittlung der Umweltauswirkungen unumgänglich, weil umfassende Kausalketten viel zu aufwändig und daher nicht mit vertretbarem Aufwand erforschbar sind. Die Praxis steht vor dem Problem, Indikatoren suchen zu müssen. Diese werden oft vom Gutachter frei ausgewählt und unterscheiden sich damit von Untersuchung zu Untersuchung. Dadurch wird jedoch die Vergleichbarkeit ähnlich gelagerter Fälle und damit die Nachvollziehbarkeit der Aussage erschwert, wenn nicht derselbe Gutachter tätig war.
Probleme bei der Klassenbildung Die ordinale Einstufung von Beeinträchtigungsintensität und Beeinträchtigungsempfindlichkeit ist nur möglich, wenn Klassen gebildet werden. Dabei werden zwischen drei und neun Klassen gebildet und i.d.R. mit Prädikaten (z. B.
Risikoanalyse -19-
"sehr hoch-hoch-mittel-gering-sehr gering") belegt. Die Klassenbildung setzt erhebliches Fachwissen aus den entsprechenden Disziplinen voraus. Die in der Praxis üblichen Klasseneinteilungen sind selten sachlich begründet und entscheidungsorientiert. Ziel muss aber sein, vergleichbare und reproduzierbare und gleichzeitig sachgerechte fachliche Einschätzungen zu produzieren, um dem Vorwurf nicht nachvollziehbarer Gutachten und Stellungnahmen entgegenzuwirken. Die Forderung nach Vergleichbarkeit und Reproduzierbarkeit bedingt mindestens eine klare Strukturierung, darüber hinaus aber auch eine gewisse Formalisierung der Klassenbildung. Diese könnte in vorgegebenen Bezeichnungen, vorgegebenen Textbausteinen zur Begründung oder vorgegebenen Skalierungen, sog. Mantelskalen, liegen. Damit ist sicherlich immer auch ein Informationsverlust gegeben, was der Forderung nach Sachgerechtigkeit entgegenlaufen kann. Denn diese zielt auf die hinreichende Berücksichtigung des Einzelfalls und seiner Besonderheiten ab, was z. B. eine Differenzierung nach Schutzwürdigkeiten innerhalb eines zu betrachtenden Raums bedeutet. Dazu bedarf es landschaftlicher Leitbilder und daraus entwickelter regionalisierter Umweltqualitätsziele, mit deren Hilfe die Klassengrenzen begründet bestimmt werden können (vgl. Scholles 1997, 160 ff.).
Aggregation Die Aggregation der diversen Wirkungsaussagen zu einer Gesamtaussage wie "umweltverträglich" ist die umstrittenste Problematik aller Methoden. Zumindest bis auf Schutzgutebene muss aggregiert werden, soll der Entscheider noch den Überblick behalten. Irgendwann muss aber eine Gesamtaggregation stattfinden, damit eine Entscheidung für eine Alternative fallen kann - und sei es die Null-Alternative. Die Ökologische Risikoanalyse behandelt in ihrer klassischen Form unterschiedlichste Schutzgüter nach demselben Schema. Dass dies nicht immer sachgerecht sein kann, muss bereits Aulig et al. (1977) aufgefallen sein, als sie im Mittelfranken-Gutachten bei Biotopen und bei Erholung vom Schema abwichen. Schematische Vorgehensweisen sind immer angreifbar, dienen andererseits jedoch der Übersicht. Soll diese Aggregation mit planerischen Methoden bewältigt werden? Dann wird die Aggregation für den Entscheider/Politiker i.d.R. intransparent; gleichzeitig übernimmt der Gutachter indirekt politische Funktionen, weil jede Aggregation normative Elemente enthält, die das Ergebnis massiv beeinflussen können. Oder soll die Aggregation durch freihändige Einschätzung (abgewogenes Expertenurteil) erfolgen? Dann übernimmt der Experte politische Funktionen, ohne dafür legitimiert zu sein. Außerdem tendieren solche Urteile bei ungenauer Dokumentation dazu, noch weniger nachvollziehbar zu sein. Oder soll die Aggregation bewusst als politische Aufgabe, die vom Entscheider/Politiker auszufüllen ist, offengelassen werden? Damit kann ein Politiker aber heillos überfordert werden, denn die vom Gutachten aufbereiteten Informationen über zahlreiche Wirkungen mit unterschiedlich hohem Risiko können die totale Unübersichtlichkeit auslösen. Resultat ist eine Entscheidung in "politischer Instinkthaftigkeit" - und die aufwändige Analyse war umsonst.
7.7.7 Weiterentwicklung für die Umweltverträglichkeitsprüfung
Scholles (1997) hat die Methodik für die Anwendung im Rahmen der Umweltverträglichkeitsprüfung weiterentwickelt, um mit ihrer Hilfe Umweltauswirkungen abschätzen, einschätzen und bewerten zu können. Das UVPG unterscheidet zwischen einer fachlichen Beschreibung, zu der bei Unsicherheit Abschätzung und im Falle des Einfließens fachlicher Werturteile Einschätzung gehört, und der rechtlichen Bewertung. Die hier wesentlichen Vorschläge sind:
• Bezugnahme auf Umweltqualitätsziele • Strukturierung und Formalisierung von Aggregationsschritten.
Bezugnahme auf Umweltqualitätsziele Umweltqualitätsziele haben sowohl bei der (fachlichen) Einschätzung als auch bei der (rechtlichen) Bewertung eine Bedeutung (vgl. Scholles 1997, 212f.).
Risikoanalyse -20-
Bei der Einschätzung werden naturraumspezifische Referenzen, die aus regionalen oder kommunalen Umweltqualitätszielen abzuleiten sind, zur fachlichen Klassenbildung benötigt, insbesondere bei der Einschätzung des Zustands der Schutzgüter. Dies gilt sowohl für die Einschätzung des aktuellen Zustands (der Vorbelastung) als auch für die Einschätzung prognostizierter Zustände (Belastungen durch das Vorhaben bzw. die verschiedenen Varianten). Durch die Orientierung an Umweltqualitätszielen, die nicht durch den Gutachter gesetzt werden, wird die geforderte Entscheidungserheblichkeit der Untersuchungen erreicht. Damit können die Relevanzbäume zumindest teilweise auf sicherere und legitimierte Füße gestellt werden. Bei der Bewertung der Umweltauswirkungen nach § 12 UVPG ist die Zulässigkeit der Auswirkungen unter Umweltvorsorgegesichtspunkten zu untersuchen. Dabei dürfen nur Umweltgesichtspunkte der Zulässigkeitsvoraussetzungen berücksichtigt werden, die außerdem noch vorsorgeorientiert ausgelegt werden müssen. Dazu eignen sich Umweltqualitätsziele, wenn sie den o. g. inhaltlichen Anforderungen entsprechen. Alternativen und Varianten sind keine Umweltqualitätsziele, weil jede von ihnen und auch die Nullvariante unzulässig sein kann. Statt an relativen Maßstäben muss sich die Bewertung an regionalen Charakteristika der Schutzgüter orientieren. Dies ist i.d.R. nicht der heutige, mehr oder weniger stark vorbelastete Zustand. Bei mehreren Varianten, die das Umweltqualitätsziel erfüllen, ist die Bestimmung der relativen Vorzüglichkeit aus Umweltsicht sinnvoll. Ob mehrere Klassen benötigt werden, hängt im wesentlichen von der jeweiligen Zulässigkeitsvoraussetzung ab. Andererseits soll bei diesem Verfahrensschritt auch eine Gewichtung vorgenommen werden. Wenn aber gewichtet werden soll, sind Wertstufen nötig, auch wenn es nur wenige, ordinal skalierte sind. "Eine Gewichtung oder Wertung anhand nur einer Aussage (z. B. ein Immissionswert der TA-Luft oder ein ökologisch begründeter Schwellenwert) als JA/NEIN-Aussage muß als bewertungsmethodisch unvernünftig bezeichnet werden und ist rechtlich nicht zulässig" (Kühling u. Peters 1994, 36). Das bedeutet:
• Bei der Einschätzung sind die im Scoping-Prozess ausgewählten Bewertungsmaßstäbe anzuwenden und ggf. durch Referenzwerte fachlich zu konkretisieren.
• Bei der Bewertung ist der Vergleich der Ergebnisse der Einschätzung mit den Zulässigkeitsvoraussetzungen unter Weglassung der Nicht-Umweltbelange herzustellen. Hier ist eine umweltinterne Abwägung unter Einbeziehung ggf. vorhandener Etappenziele vorzunehmen. Aufgrund des Vorsorgegebots sind Umweltqualitätsziele zur Konkretisierung der umweltbezogenen Zulässigkeitsvoraussetzungen heranzuziehen.
• Bei der auf die UVP folgenden Entscheidung haben schließlich alle Belange einzufließen, sodass die Umweltqualitätsziele mit anderen Belangen abgewogen werden.
Bei allen Schritten haben Einstufungen ihre Berechtigung. Zwecks nachvollziehbarer Einstufung braucht man Umweltqualitätsstandards. Grundlage für Einstufungen und Wertungen sind Umweltqualitätsziele als vorsorgeorientierte und regionalisierte Maßstäbe aus Umweltsicht.
