Risikoanalyse: Methoden, Matrix und Software

Der größte Fehler einer Risikoanalyse ist das Risiko, das niemand aufgeschrieben hat. Verlässt man sich auf die Einschätzung einer einzelnen Fachperson, bleiben genau die Risiken unentdeckt, die außerhalb ihres Blickfelds liegen. Dieser Leitfaden zeigt die wichtigsten Methoden der Risikoanalyse, erklärt die Risikomatrix aus Eintrittswahrscheinlichkeit und Auswirkung Schritt für Schritt und geht auf das Vorgehen im Projektmanagement ein. Ein besonderer Fokus liegt darauf, warum eine Risikoanalyse im Team deutlich vollständiger wird und worauf es bei einer Risikoanalyse-Software ankommt, die genau das ermöglicht.

Was ist eine Risikoanalyse?

Die Risikoanalyse ist der Prozess, mit dem Sie mögliche Risiken systematisch erfassen, bewerten und priorisieren. Sie beantwortet zwei Kernfragen: Wie wahrscheinlich tritt ein Risiko ein? Und wie stark wären die Auswirkungen, wenn es eintritt? Aus der Kombination dieser beiden Größen ergibt sich, welche Risiken vorrangig behandelt werden müssen.

Die Risikoanalyse ist ein Teilschritt des übergeordneten Risikomanagements. Auf die Identifikation der Risiken folgt die Analyse und Bewertung, anschließend die Steuerung (Vermeiden, Vermindern, Übertragen oder Akzeptieren) und die laufende Überwachung.[1] Ohne saubere Analyse fehlt jeder weiteren Entscheidung die Grundlage.

Wann ist eine Risikoanalyse sinnvoll?

Eine Risikoanalyse lohnt sich immer dann, wenn Entscheidungen unter Unsicherheit getroffen werden und ein Fehlschlag spürbare Folgen hätte. Typische Anlässe sind:

  • Projektstart: Vor der Freigabe eines Projekts, um Termin-, Budget- und Qualitätsrisiken früh zu erkennen.
  • Neue Produkte oder Prozesse: Wenn technische, rechtliche oder organisatorische Risiken bewertet werden müssen.
  • Compliance und Normen: Wenn Normen wie ISO 31000, ISO 27001 oder branchenspezifische Vorgaben eine dokumentierte Risikobewertung verlangen.
  • Größere Investitionen: Wenn erhebliche Mittel gebunden werden und das Management eine belastbare Entscheidungsgrundlage braucht.

Je mehr Beteiligte unterschiedliche Perspektiven einbringen, desto vollständiger wird das Risikobild. Umso wichtiger wird dann eine Methode, die alle Stimmen einbezieht statt nur die lautesten.

Warum eine Risikoanalyse im Team gründlicher ist

Die Qualität einer Risikoanalyse steht und fällt mit ihrer Vollständigkeit. Ein Risiko, das gar nicht erst erkannt wird, lässt sich weder bewerten noch steuern. Und genau hier liegt die Schwäche der Einzelanalyse: Jede Fachperson hat blinde Flecken. Was der eine für selbstverständlich hält, übersieht die andere, und umgekehrt.

Eine gemeinsame Risikoanalyse gleicht diese blinden Flecken aus. Wenn mehrere Personen aus verschiedenen Bereichen Risiken zusammentragen, werden Gefahren sichtbar, die eine einzelne Person nie auf dem Schirm gehabt hätte. Drei Punkte machen den Unterschied:

  • Mehr Perspektiven, weniger vergessene Risiken: Technik, Recht, Vertrieb und Projektleitung sehen jeweils andere Risiken. Erst zusammen ergibt sich ein vollständiges Bild.
  • Anonymität deckt unbequeme Risiken auf: Wird anonym gesammelt, nennen auch jüngere oder zurückhaltende Teammitglieder Risiken, die sie in der offenen Runde aus Rücksicht oder Hierarchie-Scheu verschweigen würden.[3]
  • Gemeinsame Bewertung ist genauer: Wenn mehrere Personen ein Risiko unabhängig bewerten und die Werte zusammengeführt werden, ist das Ergebnis statistisch belastbarer als die Einschätzung einer einzelnen Fachperson.[2] Zugleich trägt das ganze Team die Prioritäten mit. Dafür braucht es keine große Menge: Schon bei einem Team von etwa 3 bis 20 Fachleuten kommt es nicht auf die Zahl der Beteiligten an, sondern darauf, dass ihre Perspektiven sich unterscheiden und unabhängig voneinander erfasst werden. Genau deshalb ist die anonyme, parallele Bewertung so wirksam.

Der Effekt geht über die reine Liste hinaus: Die gemeinsame Bewertung zeigt auch, wo Einigkeit herrscht und wo die Meinungen auseinandergehen. Bewerten mehrere Personen ein Risiko, verbirgt der Mittelwert manchmal einen tiefen Dissens. Ein Risiko mit dem Durchschnittswert „mittel“ kann bedeuten, dass alle es für mittelschwer halten, oder dass die eine Hälfte es für harmlos und die andere für kritisch hält. Genau diese geteilten Einschätzungen sind die, über die im Team gesprochen werden sollte, bevor Maßnahmen festgelegt werden.

Methoden der Risikoanalyse

Für die Risikoanalyse haben sich mehrere Methoden etabliert. Sie unterscheiden sich vor allem darin, ob Risiken qualitativ (mit Kategorien wie „hoch/mittel/niedrig“) oder quantitativ (mit Zahlen und Wahrscheinlichkeiten) bewertet werden. In der Praxis werden sie oft kombiniert.

Qualitative Risikoanalyse

Bei der qualitativen Risikoanalyse werden Eintrittswahrscheinlichkeit und Auswirkung in Stufen geschätzt, etwa auf einer Skala von 1 bis 5. Sie ist schnell, verständlich und eignet sich für die meisten Projekte. Das Ergebnis wird typischerweise in einer Risikomatrix dargestellt.

Quantitative Risikoanalyse

Die quantitative Risikoanalyse arbeitet mit konkreten Zahlen: Schadenshöhen in Euro, prozentuale Wahrscheinlichkeiten und daraus berechnete Erwartungswerte. Sie ist aufwendiger, liefert aber eine belastbare Grundlage für finanzielle Entscheidungen.

FMEA (Fehlermöglichkeits- und Einflussanalyse)

Die FMEA bewertet jedes Risiko anhand von drei Faktoren: Auftretenswahrscheinlichkeit, Bedeutung und Entdeckungswahrscheinlichkeit. Diese drei Werte werden zur Risikoprioritätszahl (RPZ) multipliziert. Die Methode ist in Technik und Produktion weit verbreitet.

Szenarioanalyse

Bei der Szenarioanalyse werden mögliche Zukunftsverläufe (best case, worst case, realistischer Fall) durchgespielt. So werden auch Risiken sichtbar, die aus dem Zusammenspiel mehrerer Faktoren entstehen.

Die Risikomatrix: Eintrittswahrscheinlichkeit und Auswirkung

Die Risikomatrix (auch Risk Matrix oder Impact-Probability-Matrix) ist das zentrale Werkzeug der qualitativen Risikoanalyse. Sie stellt zwei Dimensionen gegeneinander: die Eintrittswahrscheinlichkeit auf der einen Achse und die Auswirkung (Schadensausmaß) auf der anderen. Jedes Risiko wird als Punkt in diese Matrix eingetragen.

So bewerten Sie Risiken mit der Matrix in vier Schritten:

  1. Skalen festlegen: Definieren Sie die Stufen für Wahrscheinlichkeit und Auswirkung, meist 0 bis 4 (von „sehr gering“ bis „sehr hoch“).
  2. Risiken einordnen: Bewerten Sie jedes identifizierte Risiko auf beiden Achsen.
  3. Risikowert berechnen: Multiplizieren Sie Wahrscheinlichkeit mal Auswirkung. Ein Risiko mit Wahrscheinlichkeit 4 und Auswirkung 5 erhält den Wert 20.
  4. Priorisieren: Risiken im roten Bereich (hoher Wert) werden zuerst behandelt, Risiken im grünen Bereich nur beobachtet.

Der große Vorteil: Die Matrix macht Prioritäten auf einen Blick sichtbar und schafft eine gemeinsame Sprache im Team.

Risikomatrix mit Eintrittswahrscheinlichkeit und Auswirkung auf einer Skala von 0 bis 4, mit grünen, orangen und roten Prioritätsbereichen

Risikoanalyse im Projektmanagement

Im Projektmanagement ist die Risikoanalyse fester Bestandteil der Projektplanung. Sie verhindert, dass Projekte an vorhersehbaren Problemen scheitern, etwa an knappen Ressourcen, Abhängigkeiten von Zulieferern oder unklaren Anforderungen.

Ein bewährtes Vorgehen im Projekt:

  • Risiken sammeln: Das Projektteam trägt gemeinsam mögliche Risiken zusammen, idealerweise anonym, damit auch unbequeme Punkte genannt werden.
  • Bewerten und priorisieren: Jedes Risiko wird über die Risikomatrix nach Wahrscheinlichkeit und Auswirkung eingeordnet.
  • Maßnahmen festlegen: Für die wichtigsten Risiken werden konkrete Gegenmaßnahmen und Verantwortliche definiert.
  • Im Risikoregister dokumentieren: Alle Risiken, Bewertungen und Maßnahmen werden festgehalten und regelmäßig aktualisiert.

Gerade in der Sammelphase gilt: Wer Risiken nur in der Runde abfragt, verliert die Perspektiven der Zurückhaltenden. Anonyme, parallele Erfassung bringt deutlich mehr Risiken ans Licht.

Warum Excel, Whiteboards und Meetings an ihre Grenzen stoßen

Eine gemeinsame, anonyme Risikobewertung klingt einfach, ist mit den üblichen Werkzeugen aber kaum umsetzbar. Wer 15 Beteiligte 30 Risiken bewerten lässt, muss 450 einzelne Einschätzungen erfassen und zusammenführen. Von Hand ist das während eines Workshops praktisch unmöglich. Die Folge: Teams verzichten auf die gemeinsame Bewertung, ziehen den Workshop über mehrere Sitzungen oder reduzieren auf wenige Risiken. Genau die Vollständigkeit, auf die es ankommt, geht dabei verloren.

  • Excel während einer Besprechung: Nur eine Person tippt, alle anderen schauen zu. Keine anonyme Eingabe, jede Einschätzung ist offen sichtbar, und die Werte müssen mühsam von Hand zusammengerechnet werden.
  • Allgemeine Online-Whiteboards: Risiken sind schon beim Sammeln für alle sichtbar, was heikle Punkte unterdrückt. Bewertungen sind öffentlich, die Hierarchie-Scheu bleibt. Die Moderation schiebt Risiken manuell in die Matrix, während das Team dazwischenruft.
  • Klassisches Meeting: Risiken werden nacheinander diskutiert. Das ist zeitaufwendig, wird von den lautesten Stimmen dominiert (englisch) und kommt ohne systematische Bewertung aus. Prioritäten richten sich danach, wer am überzeugendsten argumentiert.

Eine spezialisierte Risikoanalyse-Software macht die gemeinsame Bewertung nicht nur schneller, sondern überhaupt erst praktikabel.

Risikoanalyse-Software: Worauf es ankommt

Eine Risikoanalyse-Software sollte genau das leisten, woran Excel und Whiteboards scheitern: die gemeinsame, anonyme Bewertung durch das ganze Team praktikabel machen. Worauf Sie bei der Auswahl achten sollten:

  • Gemeinsame und anonyme Bewertung: Kann das Team Risiken parallel und anonym sammeln und bewerten, sodass auch unbequeme Risiken und zurückhaltende Stimmen einbezogen werden?
  • Automatische Zusammenführung: Werden die Einzelbewertungen automatisch aggregiert, statt von Hand zusammengerechnet?
  • Visualisierung: Entsteht die Risikomatrix automatisch aus den tatsächlichen Bewertungsdaten?
  • Konsens sichtbar machen: Zeigt das Tool, wie einig sich das Team bei einem Risiko ist, oder ob sich hinter dem Mittelwert gegensätzliche Meinungen verbergen?
  • Nachvollziehbarkeit: Bleiben Bewertungen, Begründungen und Maßnahmen dokumentiert und exportierbar (z. B. nach Excel)?
  • Einfache Einführung: Ist das Tool ohne lange Schulung nutzbar, auch für Beteiligte außerhalb des Kernteams?

IdeaClouds ist genau auf diese gemeinsame Bewertung ausgelegt: Teams sammeln Risiken anonym, bewerten sie parallel nach Eintrittswahrscheinlichkeit und Auswirkung, und die Einzelbewertungen werden automatisch zur Risikomatrix zusammengeführt. Niemand muss die Eingaben von Hand zusammentragen.

Ein Punkt, an dem klassische Werkzeuge scheitern: IdeaClouds macht sichtbar, wie belastbar eine Bewertung ist. Ein Agreement Score zeigt für jedes Risiko, wie einig sich das Team ist, und die Konflikterkennung markiert automatisch die Risiken, bei denen die Bewertungen in zwei gegensätzliche Lager auseinanderfallen. So erkennen Sie sofort, welche Risiken echten Konsens haben und über welche vor der Maßnahmenplanung noch gesprochen werden muss. Wie das im Detail funktioniert, zeigt der Leitfaden zu Agreement Score und Konflikterkennung (englisch). So werden mehr Risiken erkannt, die Bewertung wird belastbarer, und die Ergebnisse lassen sich für das weitere Risikomanagement exportieren.

Ihre Risikoanalyse mühelos im Team durchführen

Sammeln, bewerten und priorisieren Sie Risiken gemeinsam mit Ihrem Team: strukturiert, anonym und in Echtzeit als Risikomatrix. So wird aus einer Einzelaufgabe eine belastbare Teamentscheidung.

Quellen

  1. International Organization for Standardization. ISO 31000:2018, Risk management, Guidelines. https://www.iso.org/standard/65694.html
  2. Davis-Stober, C. P., Budescu, D. V., Dana, J., & Broomell, S. B. When is a crowd wise? Decision, 1(2), 79–101, 2014. https://doi.org/10.1037/dec0000004
  3. Exposure to Ideas, Evaluation Apprehension, and Incubation Intervals in Collaborative Idea Generation. Frontiers in Psychology, 2019. https://www.frontiersin.org/journals/psychology/articles/10.3389/fpsyg.2019.01459/full