Die Risiken verstehen

In unserem Alltag fällen wir täglich unzählige Entscheidungen, sei es im Beruf oder im Privatleben. Einige erweisen sich als gut, andere als weniger gut, ja vielleicht sogar als schlecht. Warum ist dies so? Vielleicht hatte man ein anderes «Bauchgefühl», zu wenig Informationen oder war sich der Konsequenzen, sprich der Risiken, nicht bewusst. Um solche Fehlentscheidungen zu vermeiden, muss das damit verbundene Risiko verstanden werden. Das Risikomanagement basiert auf der Annahme, dass Risiken bis zu einem bestimmten Grad steuerbar sind. Nur wer ein Risiko kennt und richtig einschätzt, kann es auch beeinflussen. Wie man es lenken kann, ist ebenfalls Aufgabe des Risikomanagements, das Handlungsempfehlungen für den Umgang mit Risiken formuliert. Ein Risiko kann auch positiver Natur sein und eine Chance darstellen, was sich etwa in der Redensart «Kein Erfolg ohne Risiko» äussert.

Begriffserläuterung

Risiko bezeichnet eine mögliche positive oder negative Abweichung von den festgelegten Zielen, die aufgrund unsicherer Entwicklungen oder Ereignisse entsteht. Nach ISO Guide 73 resultiert das Risiko aus einer Kombination der Eintrittswahrscheinlichkeit (Häufigkeit) eines Ereignisses und seiner Folgen. Der Bereich Sicherheit fokussiert sich auf die negativen Folgen eines Risikos (Schadensausmass), weshalb die Risikosteuerung in diesem Zusammenhang mit Schadensvermeidung bzw. -eindämmung gleichzusetzen ist. Negativ besetzt ist Risiko bereits von der Wortherkunft her, indem es wahrscheinlich auf das altgriechische «rhiza», für «Klippe», zurückzuführen ist. Das Risiko ist somit ein Mass zur Bewertung einer Gefährdung.

Risikomanagement ist ein systematischer Prozess, der im Umgang mit Risiken notwendig ist. Unter diesen Begriff fallen Tätigkeiten wie die Risikobeurteilung, die Risikobewältigung, die Risikokommunikation und die Risikoüberwachung. Risikomanagement findet heute in vielen Bereichen statt: beim Umgang mit Maschinen, elektrischen Anlagen, Produkten und gefährlichen Stoffen, im Projektmanagement, bei unternehmerischen Entscheiden und in der Finanzwelt. Häufig wird Risikomanagement mit Fehlermanagement verwechselt. Bei dieser passiven Schadensbegrenzung – im Unterschied zum aktiven, präventiv agierenden Risikomanagement – wird abgewartet, bis das Problem sichtbar ist, um es als Fehler zu korrigieren. Dies bringt jedoch mehr Aufwand und nicht zuletzt mehr Risiken mit sich als das Risikomanagement. Das Fehlermanagement ist schliesslich als ein Teil des Risikomanagements zu verstehen, das auch Fehleranalyse betreibt.

Gesetz und Normierung

Von Gesetzes wegen müssen Unternehmen über kein Risikomanagement verfügen. Die Normierung hingegen beschäftigt sich schon seit Längerem mit diesem Thema. Die 2009 publizierte Norm ISO 31000 enthält allgemeine Richtlinien und eine Anleitung zur Implementierung eines Risikomanagements in Unternehmen. Die darin verwendete Risikoterminologie wird in der gleichzeitig erschienenen technischen Regel ISO Guide 73 näher erläutert. In der SN EN 31010 stehen die operativen Methoden des Risikomanagements im Vordergrund. Speziell für den Umgang mit Unsicherheiten in Projekten wurde zudem die SN EN 62198 eingeführt.

Zu beachten ist, dass es für die Umsetzung des Risikomanagements keine einheitlichen Vorgaben gibt. Da jedes Unternehmen einmalig ist in Bezug auf Branche, Mitarbeitende, Produkte, Prozesse etc., wird das Risikomanagement unterschiedlich betrieben.

Zweck einer Risikobeurteilung

Warum werden Risikobeurteilungen gemacht, wenn die Normierung bereits für die Vermeidung von Gefahren sorgen soll? Wer sich in der Praxis mit den Normen befasst, weiss, dass eine Risikobeurteilung in diversen «elektrischen» Normen gefordert wird. Dies ist z. B. der Fall in der SN EN 60204-1 (Sicherheit von Maschinen), in der SN EN 62305-2 (Blitzschutz Teil 2: Risiko-Management), in der NIN 2015 (Niederspannungs-Installationsnorm) oder auch in der ESTI-Weisung 407.0909 (Tätigkeiten an elektrischen Anlagen). Letztere fordert für jedes Unternehmen eine eigene Risikoanalyse, welche die konkrete Umsetzung der Weisung definieren soll. Während die grundsätzlichen Risiken für Tätigkeiten an elektrischen Anlagen zwar bekannt sind (direktes Berühren, Kurzschluss), bestehen vielleicht noch weitere firmenspezifische Risiken, beispielsweise aufgrund örtlicher Gegebenheiten oder im Zusammenhang mit der Versorgungssicherheit.

Risikomanagement spielt im Schaden- bzw. Versicherungsfall eine wichtige Rolle. Nur wer nachvollziehbar ­darlegen kann, dass mit Risiken systematisch umgegangen wird, mittels Risikobeurteilung, Risikoabschwächung etc., kommt seinen unternehmerischen Pflichten in diesem Punkt nach.

Ablauf einer Risikobeurteilung

Kernelement des Risikomanagementprozesses nach SN EN 31010 ist die Risikobeurteilung, die sich aus den drei Teilen Risikoerkennung, Risikoanalyse und Risikobewertung zusammensetzt (Bild 1).

Mittels Risikoerkennung werden die Risikoquellen sichtbar gemacht und in einem Gefährdungskatalog dokumentiert (Bestandesaufnahme). Ziel der Risikoanalyse ist ein vertieftes Verständnis der zugrunde liegenden Risikomechanismen. Dazu werden die Risikoursache und die Risikoquelle ermittelt sowie die Wahrscheinlichkeit eines Schadenseintritts und das Schadensausmass. Bei der Risikobewertung geht es um eine Einordnung der Schadensszenarien hinsichtlich Wahrscheinlichkeit und Schadensausmass. Ebenso wird die Wirksamkeit gegebenenfalls vorhandener Schutzmassnahmen beurteilt.

Die Risikobewertung wird verwendet, um über das weitere Vorgehen im Zuge der Risikobewältigung zu entscheiden. Dabei sind auch ethische, rechtliche, finanzielle und andere Erwägungen, einschliesslich der Risikowahrnehmung, mitzuberücksichtigen. Falls das Risikoniveau als akzeptabel bzw. dessen Folgen als tragbar eingestuft werden, braucht es keine weiteren Massnahmen. Anders verhält es sich, wenn das Risiko als zu hoch eingeschätzt wird. In diesem Fall sind Massnahmen zu dessen Vorbeugung und Verringerung angezeigt, wie z. B. standardisierte Prozesse in Form von Vorlagen und einfachen schlanken Arbeitsflüssen. Denkbar wäre auch das Unterlassen von Handlungen, die zu einem Risiko führen könnten (Risikoverhinderung), oder Massnahmen zur Milderung der Risikoauswirkungen. Ebenso müssen die Verantwortlichkeiten beispielsweise mit einer einfachen Matrix definiert werden, damit klar ist, wer für welche Massnahme verantwortlich ist. Risikoverringernde Massnahmen verursachen immer auch Kosten, sodass der Aufwand für die Risikoabschwächung immer verglichen werden muss mit den Kosten eines mit dem Risiko verbundenen Schadens. Ziel ist es, mit einem Minimum an Kosten ein Maximum an Risikoreduktion zu erzielen.

Im Rahmen des Risiko-Monitorings sollten die definierten Massnahmen laufend überwacht und bei Bedarf ­korrigierende Schritte eingeleitet werden.

Beispiel einer Risikoanalyse

Eine Transformatorenstation ist mit zwei parallelen Transformatoren ausgestattet. Man kann davon ausgehen, dass nur einer benötigt wird, um die Versorgung sicherzustellen. Das System beinhaltet somit zwei voneinander unabhängige, funktional parallele Komponenten, was die Anwendung der Markow-Analyse ermöglicht. Dieses quantitative Verfahren betrachtet im Unterschied zur Fehlerbaumanalyse Systemzustände und keine Systemkomponenten. Hinter jedem Zustandssymbol steckt immer das ganze System, aber in einem spezifischen Zustand. Die Markow-Analyse kann «diskret» durch die Verwendung von Änderungswahrscheinlichkeiten für den Übergang zwischen den Zuständen oder «kontinuierlich» durch die Verwendung von Änderungsraten über die Zustände ausgeprägt sein.

Bild 2 zeigt das Beispiel eines Markow-Diagramms mit den spezifischen Systemzuständen S1, S2, S3 und den mittels Pfeilen eingezeichneten Zustandsänderungen mit ihren Wahrscheinlichkeiten. Die Grundidee liegt darin, alle möglichen Zustände sowie Veränderungen, die zu einem neuen Zustand führen, aufzuzeichnen. Diese Zustandsänderungen werden dann mittels Änderungswahrscheinlichkeiten beschrieben.

Selbstverständlich ist es nicht immer angebracht, eine so komplexe Analyse der Risiken durchzuführen. Es gibt auch einfachere Verfahren, um ein Risiko zu analysieren, beispielsweise mittels der Folgen-/Wahrscheinlichkeitsmatrix. Diese ist sehr beliebt, weil sie die Folgen und Wahrscheinlichkeiten in einer relativ einfachen Darstellung kombiniert (Bild 3). Bei dieser Art von Risikoanalyse müssen zuerst alle Situationen inkl. ihrer Folgen erarbeitet werden. Anschliessend werden die zugehörigen Risiken bestimmt. Daraus resultiert eine Einstufung jedes Risikos oder eine der Rangfolge nach geordnete Risikoliste mit definierten Signifikanzniveaus. Der grosse Vorteil dieses Verfahrens ist die vergleichsweise einfache Anwendung.

Fazit

Im Kontext der Energieversorgung ist Risiko ein Begriff, der meist negative Gefühle hervorruft und eine abschreckende Wirkung hat. Wurde das Risiko hingegen analysiert und somit verstanden, kann es auch sein, dass man bereit ist, es zu tragen. Jedoch ist dies schwer abzuschätzen, wenn man das Risiko nicht kennt. Deshalb ist die Risikobeurteilung und mit ihr die Risikoanalyse ein wichtiger Bestandteil der Gefahrenvermeidung und der Unfallverhütung, aber auch einer sicheren Energieversorgung. Zudem können Fragen wie «Kann ich diese Arbeit ausführen?», «Ist meine Versorgung sicher?» oder «Welche Faktoren beeinflussen unsere Sicherheit?» aufgezeigt und analysiert werden.

Literatur

• Integrales Risikomanagement. Bedeutung für den Schutz der Bevölkerung und ihrer Lebensgrundlagen, Bundesamt für Bevölkerungsschutz (BABS), 2014.
• Christof Ebert, Risikomanagement kompakt. Risiken und Unsicherheiten bewerten und beherrschen, Springer Vieweg, 2013.
• Wilfried Hoffmann, Risikomanagement, Kurzanleitung Heft 4, Springer Vieweg, 2017.
• Walter Jakoby, Projektmanagement für Ingenieure, Springer Vieweg, 2015.

Normen

• ISO 31000 Risikomanagement – Allgemeine Anleitung zu den Grundsätzen und zur Implementierung eines Risikomanagements
• ISO Guide 73 Risikomanagement – Vokabular
• SN EN 31010 Risikomanagement – Verfahren zur Risikobeurteilung
• SN EN 62198 Risikomanagement für Projekte – Anwendungsleitfaden