Qualitative Risikoanalyse: Methoden, Beispiele

Risikomanagement ist ein wesentliches Element für jedes Unternehmen und eine Voraussetzung für Organisationen, die eine Managementsystemzertifizierung nach Standards wie ISO 9001 (Qualität), ISO/IEC 27001 (Informationssicherheit) oder ISO 45001 (Arbeitsschutz) anstreben. 

Für die Identifikation und Bewertung von Risiken kommen unterschiedliche Methoden der Risikoanalyse zum Einsatz. Da jede Methode eigene Stärken und Schwächen hat, nutzen Unternehmen in der Praxis häufig mehrere Risikoanalyse-Methoden parallel. Zu den gängigen Ansätzen zählen qualitative, quantitative und semi-quantitative Verfahren sowie asset-, schwachstellen- oder bedrohungsbasierte Ansätze. 

Innerhalb dieser Vielfalt spielt die qualitative Risikoanalyse eine zentrale Rolle, da sie eine strategische, übergeordnete Perspektive auf Risiken ermöglicht. Sie ist häufig der erste Schritt innerhalb der Risikobewertung im Projektmanagement. 

Was ist eine qualitative Risikoanalyse? 

Die qualitative Risikoanalyse bewertet Risiken anhand ihrer Eintrittswahrscheinlichkeit und ihrer potenziellen Auswirkungen mithilfe relativer Skalen. 

Typische Skalen sind: 

• Wahrscheinlichkeit: selten, unwahrscheinlich, möglich, wahrscheinlich, nahezu sicher 

• Auswirkungen: geringfügig, niedrig, mittel, hoch, kritisch 

Die Einordnung erfolgt auf Basis von Experteneinschätzungen und Erfahrungswerten. Dieser Ansatz ermöglicht es, sowohl interne als auch externe Stakeholder einzubeziehen. 

Eine qualitative Risikobewertung eignet sich insbesondere in frühen Projektphasen, etwa im Rahmen einer Risikoanalyse im Projektmanagement (Beispiel: Projektstart), bevor detailliertere Analyseverfahren eingesetzt werden.

Methoden der qualitativen Risikoanalyse 

Die qualitative Risikoanalyse-Methode basiert auf subjektiven Einschätzungen und benötigt keine umfangreichen numerischen Daten. 

Ein zentrales Werkzeug ist die Risikomatrix, in der Risiken nach Wahrscheinlichkeit und Auswirkung dargestellt werden. Diese Visualisierung unterstützt die Priorisierung und ist eine der wichtigsten Risikobewertungsmethoden. 

Wichtige Methoden der Risikoanalyse: 

• KISS-Ansatz (Keep It Super Simple):  
  Einfaches Modell zur Bewertung von Risiken (sehr hoch bis sehr niedrig), ideal für kleine Projekte oder Teams mit wenig Erfahrung. 

• Probability-Impact-Ansatz:  
  Zweidimensionale Bewertung von Eintrittswahrscheinlichkeit und Auswirkung – ein Standard in der Risikobewertung im Projektmanagement. 

Weitere bewährte Verfahren der qualitativen Risikoanalyse: 

• Bow-Tie-Analyse: Darstellung von Ursachen und Auswirkungen eines Risikos in einem übersichtlichen Diagramm. 

• Delphi-Methode: Mehrstufige Expertenbefragung zur Bewertung von Risiken und Erreichung eines Konsenses. 

• Risikoworkshops: Gemeinsame Bewertung durch interne und externe Stakeholder. 

• SWIFT-Analyse (Structured What-If Technique): Systematische Analyse möglicher Szenarien durch „Was-wäre-wenn“-Fragen. 

Diese Methoden der Risikoanalyse helfen Unternehmen, Risiken strukturiert zu identifizieren und zu priorisieren. 

Wie führt man eine qualitative Risikoanalyse durch? 

Die Durchführung einer qualitativen Risikoanalyse erfolgt typischerweise in mehreren Schritten: 

1. Risikoidentifikation: Zuerst werden potenzielle Risiken identifiziert, die ein Projekt oder einen Prozess beeinträchtigen können. Dies geschieht oft in Teamarbeit, z. B. durch Workshops, Interviews oder Brainstorming. 
2. Risikoanalyse: Die identifizierten Risiken werden analysiert, um sie zu verstehen und zu bewerten. Das Ergebnis dieses Prozesses ist ein definiertes Risikoniveau, das die Priorisierung von Risiken unterstützt und als Grundlage für Entscheidungen dient. Diese Phase umfasst typischerweise: 
   • Analyse der Ursachen: Identifikation zugrunde liegender Faktoren und Risikotreiber (z. B. mithilfe der 5-Why-Methode oder Ursache-Wirkungs-Analysen). 
   • Überprüfung bestehender Maßnahmen: Bewertung der Wirksamkeit und Zuverlässigkeit vorhandener Risikominderungsmaßnahmen sowie Identifikation von Lücken. 
   • Einschätzung der Eintrittswahrscheinlichkeit: Bewertung der Wahrscheinlichkeit, mit der ein Risiko eintritt (z. B. von selten bis nahezu sicher). 
   • Bewertung der Auswirkungen bzw. Schadensausmaßes: Bestimmung potenzieller Konsequenzen, beispielsweise in finanzieller, operativer, rechtlicher oder reputationsbezogener Hinsicht. 
   • Festlegung des Risikoniveaus: Kombination von Eintrittswahrscheinlichkeit und Auswirkung mithilfe strukturierter Methoden (z. B. 5×5-Risikomatrix, Scoring-Modelle, Bow-Tie, FMEA, SWOT oder SWIFT). 
3. Risikobewertung: In diesem Schritt wird das ermittelte Risikoniveau mit vordefinierten Kriterien verglichen, um die Priorisierung festzulegen. Ziel ist es zu entscheiden, ob ein Risiko
   
   • akzeptabel ist, 
   • unter bestimmten Bedingungen toleriert werden kann oder 
   • nicht akzeptabel ist und entsprechende Maßnahmen erfordert
     
     Die qualitative Risikobewertung basiert somit auf dem Vergleich zwischen dem ermittelten Risikoniveau und den Risikokriterien des Unternehmens (z. B. Governance-Vorgaben, regulatorische Anforderungen, interne Richtlinien, Risikobereitschaft und definierte Schwellenwerte). 
     Im Gegensatz zur Analysephase handelt es sich hierbei stärker um einen Management- als um einen technischen Prozess 
     
4. Risikobehandlung: Für Risiken mit hoher Priorität müssen geeignete Maßnahmen entwickelt werden. Die Risikobehandlung kann beispielsweise folgende Strategien umfassen: 
   1. Übertragung von Risiken (z. B. durch Versicherungen oder Outsourcing), 
   2. Reduzierung der Eintrittswahrscheinlichkeit, 
   3. Minimierung der Auswirkungen 
   4. Die gewählte Strategie sollte stets im Einklang mit dem übergeordneten Risikomanagementsystem des Unternehmens stehen. 
5. Risikoüberwachung und -überprüfung: Die qualitative Risikoanalyse ist kein einmaliger Prozess. Da sich Risiken verändern und neue Risiken entstehen können, sind regelmäßige Überprüfungen erforderlich, um die Wirksamkeit des Risikomanagements sicherzustellen. Es ist zudem wichtig, aus den Ergebnissen der Analyse zu lernen und die gewonnenen Erkenntnisse zu nutzen, um aus Fehlern zu lernen und das gesamte System fortlaufend an neue Rahmenbedingungen anzupassen. 

Beispiele für qualitative Risikoanalyse im Projektmanagement 

Die qualitative Risikoanalyse wird in Managementsystemen nach ISO-Standards eingesetzt, da sie eine praxisnahe und strukturierte Methode zur Bewertung von Risiken bietet – auch dann, wenn keine exakten Daten verfügbar sind. 

Gleichzeitig unterstützt sie Unternehmen bei der Erfüllung von Anforderungen für ISO-Zertifizierungen. Durch ihre Flexibilität ist sie besonders geeignet für frühe Projektphasen, die laufende Überwachung sowie bereichsübergreifende Bewertungen im Rahmen der Risikobewertung im Projektmanagement. 

Typische Anwendungsbeispiele sind: 

• Umweltmanagement (ISO 14001): Bewertung ökologischer Auswirkungen von Geschäftstätigkeiten – wie etwa das Risiko von Chemieunfällen unter Berücksichtigung von Toxizität und der Nähe zu lokalen Gewässern.

• Arbeitssicherheit (ISO 45001): Beurteilung von Gefahren am Arbeitsplatz (z. B. Stolperrisiken oder Umgang mit Gefahrstoffen) nach der potenziellen Schwere von Verletzungen, um Sicherheitsmaßnahmen effektiv zu priorisieren.

• Informationssicherheit (ISO/IEC 27001): Einstufung von Cyberrisiken wie Phishing-Angriffen oder Datenlecks basierend auf ihren Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.

• Qualitätsmanagement (ISO 9001): Bewertung von Risiken in der Lieferkette oder potenziellen Produktionsfehlern, um frühzeitig präventive Korrekturmaßnahmen einzuleiten.