Ziel der Risikobeurteilung ist die Identifikation und Quantifizierung (Bewertung) von Risiken, um Transparenz über Art und Umfang von bestehenden Risiken zu schaffen, z. B. um Risiken durch Präventionsmaßnahmen zu vermeiden oder zu reduzieren. Des Weiteren werden ihre Ergebnisse für die Risikokommunikation verwendet, um z. B. die Risikowahrnehmung zu fördern. Das Risiko kann auch durch ein Risikomaß ausgedrückt werden.
Zu beachten ist, dass der Prozess der Risikoanalyse ganz entscheidend von der individuellen Risikowahrnehmung geprägt ist. Dass Risiken überhaupt erkannt werden, hängt auch davon ab, dass verschiedene Risikoträger ein existierendes Risiko unterschiedlich oder gar nicht wahrnehmen.[2] Erfolgt die Risikowahrnehmung fehlerhaft als selektive Wahrnehmung, so werden nur bestimmte Risiken wahrgenommen, andere vorhandene dagegen ausgeblendet. Eine mangelhafte Risikowahrnehmung wirkt sich negativ auf die nachfolgenden Phasen des Risikomanagements aus.[3]
Die Risikoanalyse wird in drei Schritten durchgeführt:
Identifikation der Gefahren (Risikoidentifikation), die das System verletzen oder zerstören können.
Analyse der Ursachen der identifizierten Gefahrenereignisse (deduktive Ursachenanalyse / Fehlerbaumanalyse) und Ermittlung deren Häufigkeiten.
Analyse der Schadensauswirkungen der identifizierten Gefahrenereignisse, die von dem System ausgehen können (induktive Analyse / Ereignisbaumanalyse) und Ermittlung deren Wahrscheinlichkeiten.[4]
Das quantitative Risiko ergibt sich aus der Multiplikation der Schadenshöhe mit der Eintrittswahrscheinlichkeit bzw. der Gefährdungsrate, je nachdem, ob es sich um ein zeitlich begrenztes Wagnis oder um ein Risiko handelt, summiert über die verschiedenen Gefährdungen (Risikoquantifizierung).
Die Gefahrenidentifizierung sollte so weit wie möglich auf quantitativen (historisch, statistisch) Daten beruhen. Auch qualitative Methoden, wie z. B. Expertenmeinungen, Checklisten sollten zur Anwendung kommen. Ziel der Analyse ist es, alle wahrscheinlichen Gefahren zu finden und zu erfassen.
Bei der Risikoanalyse sind auch die mit der Analyse verbundenen Unsicherheiten zu berücksichtigen (Daten- als auch Modellunsicherheiten) und die Unsicherheitsquellen sind soweit möglich zu identifizieren (siehe auch Entscheidung unter Unsicherheit).[5]
Anwendungsgebiete
Risikoanalyse im Bevölkerungsschutz
Die deutsche Bundesregierung hat 2009 die Risikoanalyse im Zivilschutz- und Katastrophenhilfegesetz (ZSKG) gesetzlich verankert. Im Sinne des § 18 ZSKG vom 2. April 2009 führt der Bund im Zusammenwirken mit den Ländern eine bundesweite, ressortübergreifende Risikoanalyse im Bevölkerungsschutz durch und unterrichtet den Deutschen Bundestag über die Ergebnisse der Risikoanalyse ab 2010 jährlich.[6][7]
Die Risikoanalyse ist zentraler Bestandteil des Risikomanagements im Bevölkerungsschutz. Sie liefert belastbare Informationen über Gefahren, Risiken und über vorhandene Fähigkeiten im Umgang mit Risiken auf deren Grundlage angemessen entschieden werden kann. Die Methode orientiert sich am internationalen Standard des Risikomanagements ISO 31000 und 31010.
Seit 2012 wurden folgende Gefahren einer Risikoanalyse unterzogen und die Ergebnisse in den entsprechenden Bundestagsberichten veröffentlicht:
Extremes Schmelzhochwasser aus den Mittelgebirgen (2012),[8]
Ergebnisse der Analysen sind die Eintrittswahrscheinlichkeiten und Schadensauswirkungen der untersuchten Ereignisse sowie Erkenntnisse und Handlungsempfehlungen, die im Sinne eines ganzheitlichen Risiko- und Krisenmanagements von Bedeutung sind.
Sie lässt sich in vier Teilschritte untergliedern:
Risikoidentifikation: Mit welchen Risiken ist mein Unternehmen konfrontiert?
Risikoanalyse und -evaluation: Wie wahrscheinlich ist ihr Eintritt und welche Risikohöhe weisen sie auf?
Risikobearbeitung und -dämpfung: Mit welchen Maßnahmen kann ich vorbeugen bzw. den Schaden im Falle des Eintritts des Risikos begrenzen?
Risiko-Monitoring und -Review: Wie verändert sich die Risikosituation und mit welchen Mitteln kann ich ihre Entwicklung beobachten?
Mit dem letzten Schritt schließt sich der Kreis, falls neue Risiken ausgemacht werden?[16]
Soweit möglich basiert eine Risikoanalyse auf einer statistischen Datenanalyse: Es werden die in den verschiedenen Jahren (sogenannte Produktionsjahre) neu abgeschlossenen Verträge (sogenannte Produktion) in Segmente unterteilt. Innerhalb jedes Segments und pro Produktionsjahr werden die in Zahlungsschwierigkeiten geratenen Verträge ermittelt. Die Segmente, bei denen für viele Produktionsjahre der jeweilige Anteil an in Zahlungsschwierigkeiten geratenen Verträgen in Prozent höher ist als der Anteil in den Produktionsjahren, werden als riskant betrachtet. Es sei darauf aufmerksam gemacht, dass zum einen die Anzahl Verträge ein hinreichend großes Volumen erreichen muss und zum anderen, dass das Ergebnis der Analyse stets nach inhaltlicher Stichhaltigkeit überprüft werden muss, um eine sachlich begründete Aussage zu liefern. Insbesondere ist die Frage zu beantworten, ob die erkannten Zusammenhänge auch in der Zukunft stabil bleiben.
Bei anstehenden strategischen Entscheidungen und Planungen hinsichtlich der Unternehmensentwicklung kommen die deterministische Szenarioanalyse zur Anwendung, bei der ausgewählte Szenarien untersucht werden, sofern die Wahrscheinlichkeit des Auftretens der Risiken und ihrer Einflussrichtung hinlänglich bekannt sind.[18] Ist dies nicht der Fall, sind also die Bestimmungsfaktoren des Risikos zufallsverteilt, kann die stochastische Szenarioanalyse herangezogen werden, etwa in Form der Monte-Carlo-Simulation oder einer PERT-Analyse mit stochastischen Knoten.[19]
Ein Problem der klassischen betriebswirtschaftlichen Risikoanalyse besteht darin, dass in internationalen Kontexten und Lieferketten schwer quantifizierbare und auch stochastisch schwer beschreibbare länderspezifische makroökonomische und politische Risiken durch Terror, Kriminalität, Korruption, Staatsbankrotte, Währungskrisen, Embargos, Handelssanktionen, rechtliche Änderungen sowie infolge von Risiken des Geldtransfers eine zunehmende Rolle spielen.[20]
Bei Feuerwehren wird ein Brandschutzbedarfsplan in einigen Bundesländern vorgeschrieben, um mit diesem Instrument der Risiko- und Gefahrenanalyse zur Erreichung der Schutzziele innerhalb der Hilfsfrist zu gewährleisten.
In der Medizinwirtschaft und bei der Entwicklung von Medizinprodukten muss gemäß den Vorgaben der EN ISO 14971 und den Regelungen des Medizinproduktegesetzes ein Risikomanagementprozess fortlaufend geführt und dokumentiert werden.
Im Bereich Elektrotechnik führt die europäische NormEN 62305-2 (siehe Blitzschutz) zur Notwendigkeit einer Risikoanalyse (betreffend Gefährdung durch Blitzschlag und Überspannung) bei der Errichtung elektrischer Anlagen.
Zur Evaluierung von Bahnübergängen können Risikoanalysen eingesetzt werden, um die benötigte Sicherheitsanforderungsstufe zu bestimmen, sodass eine angemessene Sicherung z. B. durch ein Warnsystem vorgesehen wird.
Für Risiken rund um Informationen, IT-Systeme und IT-Dienstleistungen werden Risikomanagementprozesse aufgesetzt.