Risikobewertungs-Flussdiagramm: Geschäftsrisiken identifizieren und mindern
Lernen Sie, wie Sie ein Risikobewertungs-Flussdiagramm erstellen, das Geschäftsrisiken identifiziert, analysiert und mindert. Enthält Vorlagen für IT-, Finanz- und Projektrisiken.
Jedes Unternehmen steht vor Risiken — betriebliche Ausfälle, finanzielle Verluste, Compliance-Verstöße, Cyberangriffe. Die Organisationen, die mit Risiken gut umgehen, sind nicht diejenigen, die Unsicherheit vermeiden; es sind diejenigen, die über einen systematischen Prozess zur Identifizierung und Reaktion verfügen. Ein Risikobewertungs-Flussdiagramm macht diesen Prozess wiederholbar, prüfbar und trainierbar.
Dieser Leitfaden führt Sie durch den Aufbau eines vollständigen Risikobewertungs-Flussdiagramms, von der ersten Identifizierung über Überwachung und Überprüfung. Er umfasst die wichtigsten Risikokategorien, Entscheidungskriterien in jeder Phase und branchenspezifische Beispiele, die Sie sofort anpassen können.
Was ein Risikobewertungs-Flussdiagramm leistet
Ein Risikobewertungs-Flussdiagramm dokumentiert den Prozess Ihrer Organisation zur Bewertung potenzieller Bedrohungen und zur Entscheidung, was dagegen zu tun ist. Im Gegensatz zu einem statischen Risikoregister oder einer Tabelle macht ein Flussdiagramm die Entscheidungslogik explizit — wer was tut, unter welchen Bedingungen und was als nächstes passiert.
Der Wert liegt im Prozess, nicht nur im Ergebnis:
- Neue Teammitglieder befolgen dieselben Schritte wie erfahrene Mitarbeiter
- Prüfer können sehen, dass ein definierter Prozess existiert und befolgt wird
- Lücken in der Abdeckung werden sichtbar, wenn kein Schritt ein bestimmtes Szenario behandelt
- Konsistente Behandlung über Abteilungen und Risikoarten hinweg
Das grundlegende Risikobewertungs-Framework
Die meisten Risiko-Frameworks folgen unabhängig von Branche oder Risikoart derselben allgemeinen Struktur:
┌──────────────┐
│ Identifi- │
│ zieren │
└──────┬───────┘
│
▼
┌──────────────┐
│ Analysieren │
│ Wahrscheinl.│
│ und Auswirk.│
└──────┬───────┘
│
▼
┌──────────────┐
│ Bewerten │
│ Risikoniveau│
└──────┬───────┘
│
▼
┌──────────────────────────────────────────────────────┐
│ Behandeln: Akzeptieren / Mindern / Übertragen / Vermeiden│
└──────┬───────────────────────────────────────────────┘
│
▼
┌──────────────┐
│ Maßnahmen │
│ umsetzen │
└──────┬───────┘
│
▼
┌──────────────┐
│ Überwachen │
│ und prüfen │
└──────────────┘
Jede Phase hat ihre eigene Entscheidungslogik, und der Prozess geht in einer Schleife zurück — die Überwachung speist neue Informationen in den nächsten Identifizierungszyklus ein.
Phase 1: Risikoidentifizierung
Der erste Schritt ist das Aufdecken potenzieller Risiken, bevor sie eintreten. Diese Phase beantwortet: Was könnte schiefgehen?
Häufige Quellen für die Risikoidentifizierung:
- Historische Vorfälle — Was ist in der Vergangenheit schiefgelaufen, intern oder bei vergleichbaren Organisationen?
- Prozess-Mapping — Gehen Sie jeden Geschäftsprozess durch und fragen Sie, wo Ausfälle auftreten könnten
- Experteninterviews — Abteilungsleiter und Mitarbeiter an der Front kennen oft die Risiken, die in Berichten nicht auftauchen
- Externe Quellen — Branchenberichte, regulatorische Leitlinien, Bedrohungsintelligenzdaten
- Änderungsereignisse — Neue Systeme, Akquisitionen, Marktveränderungen, regulatorische Änderungen
Das Ergebnis dieser Phase ist eine rohe Risikoliste. Zu diesem Zeitpunkt findet keine Filterung statt — erfassen Sie alles, bevor Sie evaluieren.
┌─────────────────────┐
│ Auslöser: Neues │
│ Risiko identif. │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ Ist dies eine │
│ bekannte Risiko- │
│ variante? │
└──────────┬──────────┘
│
┌──────┴──────┐
Ja Nein
│ │
▼ ▼
┌───────────┐ ┌───────────────┐
│ Bestehen- │ │ Neuen Risiko- │
│ den Eintrag│ │ datensatz anl.│
│ aktualisier│ └───────┬───────┘
└───────────┘ │
▼
┌────────────────┐
│ Risikoeigen- │
│ tümer zuweisen │
└────────┬───────┘
│
▼
┌────────────────┐
│ Zur Analyse │
│ fortfahren │
└────────────────┘
Jedes identifizierte Risiko sollte einen Eigentümer haben — eine namentlich genannte Person, die für die Verfolgung und Reaktion verantwortlich ist.
Phase 2: Risikoanalyse
Die Analyse quantifiziert das Risiko anhand von zwei Dimensionen: Wahrscheinlichkeit (wie wahrscheinlich ist das Eintreten?) und Auswirkung (wie schlimm wäre es, wenn es eintritt?).
Wahrscheinlichkeit x Auswirkung-Matrix
| Auswirkung \ Wahrscheinlichkeit | Selten (1) | Unwahrscheinlich (2) | Möglich (3) | Wahrscheinlich (4) | Fast sicher (5) |
|---|---|---|---|---|---|
| Katastrophal (5) | 5 | 10 | 15 | 20 | 25 |
| Schwerwiegend (4) | 4 | 8 | 12 | 16 | 20 |
| Moderat (3) | 3 | 6 | 9 | 12 | 15 |
| Geringfügig (2) | 2 | 4 | 6 | 8 | 10 |
| Vernachlässigbar (1) | 1 | 2 | 3 | 4 | 5 |
Bewertung = Wahrscheinlichkeit x Auswirkung. Diese Bewertung bestimmt die Evaluierung in Phase 3.
┌─────────────────────┐
│ Wahrscheinlichkeit │
│ bewerten (1-5) │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ Auswirkung │
│ bewerten (1-5) │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ Risikobewertung │
│ berechnen = W x A │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ Inhärentes Risiko │
│ dokumentieren │
│ (vor Kontrollen) │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ Sind bereits │
│ Kontrollen │
│ vorhanden? │
└──────────┬──────────┘
│
┌──────┴──────┐
Ja Nein
│ │
▼ ▼
┌─────────────┐ ┌────────────────┐
│ Restrisiko- │ │ Unkontrolliertes│
│ bewertung │ │ Risiko dokum. │
│ dokumentier.│ └───────┬────────┘
└─────┬───────┘ │
└──────────────────┘
│
▼
┌─────────────────────┐
│ Zur Bewertung │
│ fortfahren │
└─────────────────────┘
Die Bewertung sowohl des inhärenten Risikos (vor Kontrollen) als auch des Restrisikos (nach Kontrollen) zeigt, ob Ihre bestehenden Kontrollen tatsächlich funktionieren.
Phase 3: Risikobewertung
Die Bewertung wandelt die Punktzahl in eine Entscheidung um: Ist dieses Risiko so akzeptabel, oder erfordert es Maßnahmen?
Die meisten Frameworks verwenden drei Risikobänder:
| Risikopunktzahl | Band | Standardmaßnahme |
|---|---|---|
| 15–25 | Hoch | Sofortmaßnahmen erforderlich |
| 8–14 | Mittel | Maßnahmen innerhalb eines definierten Zeitrahmens |
| 1–7 | Niedrig | Überwachen; akzeptieren, wenn keine kosteneffektive Kontrolle existiert |
┌─────────────────┐
│ Risikopunktzahl│
└────────┬────────┘
│
┌───────────────┼───────────────┐
│ │ │
Punkte 1-7 Punkte 8-14 Punkte 15-25
│ │ │
▼ ▼ ▼
┌────────────┐ ┌─────────────┐ ┌────────────┐
│ NIEDRIG │ │ MITTEL │ │ HOCH │
│ Akzeptier.│ │ Maßnahmen │ │ Sofortmaßn.│
│ oder überw│ │ innerhalb │ │ erforderl.│
│ │ │ 90 Tagen │ │ │
└────────────┘ └─────────────┘ └────────────┘
│ │ │
└───────────────┴───────────────┘
│
▼
┌─────────────────────┐
│ Behandlungs- │
│ strategie wählen │
└─────────────────────┘
Phase 4: Risikobehandlung
Sobald ein Risiko bewertet wurde, wählen Sie, wie Sie damit umgehen. Es gibt vier Standardbehandlungsoptionen:
| Behandlung | Definition | Wann anzuwenden |
|---|---|---|
| Akzeptieren | Risiko anerkennen, keine Maßnahmen ergreifen | Niedrig bewertete Risiken, bei denen Kontrollkosten potenziellen Verlust übersteigen |
| Mindern | Kontrollen implementieren, um Wahrscheinlichkeit oder Auswirkung zu reduzieren | Die meisten mittleren und hohen Risiken |
| Übertragen | Risiko auf eine andere Partei verlagern (Versicherung, Verträge) | Risiken mit quantifizierbaren finanziellen Auswirkungen |
| Vermeiden | Die risikoerzeugende Aktivität stoppen | Hohe Risiken, bei denen keine kosteneffektive Minderung existiert |
┌─────────────────────┐
│ Sind Behandlungs- │
│ kosten geringer │
│ als erwarteter │
│ Verlust? │
└──────────┬──────────┘
│
┌──────┴──────┐
Ja Nein
│ │
▼ ▼
┌──────────┐ ┌──────────────────────┐
│ Mindern │ │ Akzeptieren, │
│ │ │ Übertragen oder │
│ │ │ Vermeiden │
└────┬─────┘ └──────────┬───────────┘
│ │
└─────────┬─────────┘
│
▼
┌────────────────────────┐
│ Kann das Risiko über- │
│ tragen werden (versich.,│
│ ausgelagert)? │
└───────────┬────────────┘
│
┌──────┴──────┐
Ja Nein
│ │
▼ ▼
┌─────────┐ ┌────────────────────┐
│Übertragen│ │ Kann die risiko- │
└─────────┘ │ erzeugende │
│ Aktivität gestoppt │
│ werden? │
└────────┬───────────┘
│
┌──────┴──────┐
Ja Nein
│ │
▼ ▼
┌────────┐ ┌────────┐
│Vermeiden│ │Akzept. │
└────────┘ │mit │
│Prüfung │
└────────┘
Phase 5: Minderungsplanung
Für Risiken, die Sie mindern möchten, ist der nächste Schritt die Definition spezifischer Kontrollen und die Zuweisung von Verantwortlichkeit.
Ein Minderungsplan beantwortet vier Fragen:
- Was für eine Kontrolle wird implementiert?
- Wer ist für die Implementierung verantwortlich?
- Wann wird sie abgeschlossen sein?
- Wie wird die Wirksamkeit gemessen?
┌─────────────────────────┐
│ Kontrolltyp definieren:│
│ - Präventiv │
│ - Erkennend │
│ - Korrigierend │
└──────────┬──────────────┘
│
▼
┌─────────────────────────┐
│ Kontroll-Eigentümer │
│ und Frist zuweisen │
└──────────┬──────────────┘
│
▼
┌─────────────────────────┐
│ Erfolgsmetrik definieren│
│ (wie merken Sie, dass │
│ es funktioniert?) │
└──────────┬──────────────┘
│
▼
┌─────────────────────────┐
│ Restrisiko nach │
│ Kontrolle schätzen │
└──────────┬──────────────┘
│
▼
┌─────────────────────────┐
│ Restrisiko │
│ akzeptabel? │
└──────────┬──────────────┘
│
┌──────┴──────┐
Ja Nein
│ │
▼ ▼
┌──────────┐ ┌────────────────┐
│ Zur Impl.│ │ Zusätzliche │
│ fortfahren│ │ Kontrollen │
│ │ │ hinzufügen oder│
│ │ │ Behandlung │
│ │ │ überdenken │
└──────────┘ └────────────────┘
Phase 6: Überwachung und Überprüfung
Die Risikobewertung ist keine einmalige Übung. Risiken ändern sich, wenn sich das Unternehmen ändert, und Kontrollen degradieren mit der Zeit.
┌─────────────────────┐
│ Überprüfungs- │
│ häufigkeit festl.: │
│ Hoch: Vierteljährl.│
│ Mittel: Halbjährl. │
│ Niedrig: Jährlich │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ Auslöserereignis? │
│ (Vorfall, Audit, │
│ wesentl. Änderung) │
└──────────┬──────────┘
│
┌──────┴──────┐
Ja Nein
│ │
▼ ▼
┌──────────┐ ┌──────────────────┐
│ Sofortige│ │ Auf geplante │
│ Prüfung │ │ Prüfung warten │
└────┬─────┘ └────────┬─────────┘
└─────────────────┘
│
▼
┌─────────────────────┐
│ Ist die Kontrolle │
│ noch wirksam? │
└──────────┬──────────┘
│
┌──────┴──────┐
Ja Nein
│ │
▼ ▼
┌────────────┐ ┌────────────────┐
│ Überwachung│ │ Kontrolle │
│ fortsetzen │ │ aktualisieren │
│ │ │ oder Risiko │
│ │ │ neu bewerten │
└────────────┘ └────────┬───────┘
│
▼
┌─────────────────┐
│ Zu Phase 3: │
│ Bewertung │
│ zurückkehren │
└─────────────────┘
Risikokategorien und domänenspezifische Beispiele
Operationelles Risiko
Operationelle Risiken entstehen durch Menschen, Prozesse, Systeme und externe Ereignisse.
| Risikobeispiel | Wahrscheinlichkeit | Auswirkung | Behandlung |
|---|---|---|---|
| Weggang einer Schlüsselperson | Wahrscheinlich | Schwerwiegend | Mindern: Gegenseitige Schulung, Prozesse dokumentieren |
| Lieferantenausfall | Möglich | Schwerwiegend | Mindern: Dual-Sourcing; Übertragen: Vertragsstrafen |
| Dateneingabefehler | Fast sicher | Geringfügig | Mindern: Validierungskontrollen |
| Büroüberflutung | Selten | Katastrophal | Übertragen: Versicherung; Mindern: Ausweichstandort |
IT-Sicherheits-Risikobewertungs-Flussdiagramm:
┌───────────────────────┐
│ Sicherheitsbedrohung │
│ identifiziert │
└──────────┬────────────┘
│
▼
┌───────────────────────┐
│ Ist das System extern │
│ exponiert? │
└──────────┬────────────┘
│
┌──────┴──────┐
Ja Nein
│ │
▼ ▼
┌──────────┐ ┌──────────────────┐
│ Hohes │ │ Befindet sich das│
│ Exposi- │ │ System im inter- │
│ tionsrisi│ │ nen Netzwerk? │
└────┬─────┘ └────────┬─────────┘
│ ┌──────┴──────┐
│ Ja Nein
│ │ │
│ ▼ ▼
│ ┌────────┐ ┌──────────┐
│ │ Mittl. │ │ Niedriges│
│ │ Risiko │ │ Risiko │
│ └────────┘ └──────────┘
│ │ │
└──────────┴─────────────┘
│
▼
┌─────────────────────┐
│ Kontrollen anwenden:│
│ Patches, MFA, │
│ Netzwerksegm., │
│ Überwachung │
└─────────────────────┘
Finanzrisiko
Finanzrisiken beeinflussen den Cashflow, die Rentabilität oder die Bilanz.
Häufige Entscheidungspunkte in Finanzrisiko-Flussdiagrammen:
- Währungsexponierung: Liegt das Risiko über einem definierten Schwellenwert? Wenn ja, Absicherungsinstrumente in Betracht ziehen.
- Kreditrisiko: Erfüllt die Gegenpartei die Kreditkriterien? Wenn nein, Sicherheiten fordern oder ablehnen.
- Liquiditätsrisiko: Sind liquide Mittel ausreichend, um 90 Tage Betriebskosten zu decken? Wenn nein, Cash-Management-Review auslösen.
Projektrisiko
Projektrisiken sind zeitlich begrenzt. Ein Risiko, das in Woche 1 wichtig ist, kann in Woche 10 irrelevant sein.
┌───────────────────────┐
│ Neues Projektrisiko │
│ identifiziert │
└──────────┬────────────┘
│
▼
┌───────────────────────┐
│ Liegt das Risiko auf │
│ dem kritischen Pfad? │
└──────────┬────────────┘
│
┌──────┴──────┐
Ja Nein
│ │
▼ ▼
┌──────────┐ ┌────────────────────┐
│ Sofort- │ │ In Risikoregister │
│ maßnahmen│ │ aufnehmen, wöchentl│
│ erforderl│ │ überwachen │
└──────────┘ └────────────────────┘
Compliance-Risiko
Compliance-Risiken entstehen aus regulatorischen Anforderungen, Verträgen und internen Richtlinien.
Schlüsselentscheidung: Gibt es eine bestimmte regulatorische Frist? Wenn ja, ist der Minderungszeitrahmen nicht verhandelbar — Compliance ist keine Option.
Reputationsrisiko
Reputationsrisiken sind schwerer zu quantifizieren, aber oft am folgenreichsten. Ein nützlicher Proxy: Wenn dieses Risiko eintritt und öffentlich wird, wie würde es das Kundenvertrauen, den Aktienkurs oder die Mitarbeitergewinnung beeinflussen?
Bei Reputationsrisiken beinhaltet die Behandlungsentscheidung oft eine Kommunikationsplanung zusammen mit operativen Kontrollen.
Ihr Risikobewertungs-Flussdiagramm mit Flowova erstellen
Ein umfassendes Risikobewertungs-Flussdiagramm von Grund auf zu erstellen, ist zeitaufwendig. Das Text-zu-Flussdiagramm-Tool von Flowova ermöglicht es Ihnen, Ihren Risikoprozess in natürlicher Sprache zu beschreiben und generiert in Sekunden ein strukturiertes Flussdiagramm. Sie können dann Knoten direkt bearbeiten, Entscheidungsverzweigungen hinzufügen und das Layout anpassen, ohne manuell an einem Diagramm-Canvas zu arbeiten.
Für Organisationen, die ein bestehendes Risiko-Framework (ISO 31000, COSO ERM, NIST RMF) anpassen, bieten die Flussdiagramm-Vorlagen von Flowova einen Ausgangspunkt, den Sie für Ihre spezifische Branche und Risikobereitschaft anpassen können.
Häufige Fehler in Risikobewertungs-Flussdiagrammen
Wahrscheinlichkeit und Auswirkung verwechseln. Ein Risiko mit hoher Wahrscheinlichkeit und geringer Auswirkung (wie ein Druckerstau) erhält eine niedrigere Bewertung als ein Risiko mit geringer Wahrscheinlichkeit und hoher Auswirkung (wie ein Datenschutzverstoß). Unterscheiden Sie die beiden Dimensionen klar in Ihrer Bewertungslogik.
Kein klarer Eigentümer. Ein Risiko ohne Eigentümer ist niemandes Problem. Jeder Risikodatensatz sollte eine namentlich genannte Person haben, keine Abteilung oder Kommission.
Überwachung als optional behandeln. Die Überwachungsschleife ist das, was die Risikobewertung zu einem kontinuierlichen Prozess macht, anstatt zu einer einmaligen Compliance-Übung. Bauen Sie sie in das Flussdiagramm ein und weisen Sie die Verantwortlichkeit explizit zu.
Veraltete Risikobewertungen. Kontrollen, die vor zwei Jahren funktionierten, sind möglicherweise nicht mehr wirksam. Planen Sie Überprüfungen ein und lösen Sie sie bei bedeutenden Ereignissen aus — eine neue Systemeinführung, eine regulatorische Änderung, ein Branchenvorfall.
Binäres Bestehen/Nicht-Bestehen. Reale Risikobehandlung ist selten Akzeptieren/Ablehnen. Bauen Sie die vier Behandlungsoptionen (akzeptieren, mindern, übertragen, vermeiden) als unterschiedliche Pfade ein, jeder mit seinen eigenen Entscheidungskriterien.
Fazit
Ein Risikobewertungs-Flussdiagramm wandelt eine abstrakte Governance-Verpflichtung in einen konkreten, wiederholbaren Prozess um. Durch die Dokumentation jeder Phase — Identifizierung, Analyse, Bewertung, Behandlung, Implementierung und Überwachung — schaffen Sie ein System, dem jedes Teammitglied folgen und das jeder Prüfer validieren kann.
Beginnen Sie mit dem sechsphasigen Kernfluss und fügen Sie dann domänenspezifische Entscheidungslogik für Ihre höchstprioritären Risikokategorien hinzu. Überprüfen Sie das Flussdiagramm selbst mindestens jährlich: Wenn sich Ihr Unternehmen verändert hat, sollte der Risikoprozess dies widerspiegeln.
Verwandte Ressourcen
- Prozess-Mapping-Leitfaden — Betriebliche Workflows kartieren und verbessern
- Swimlane-Diagramm-Leitfaden — Funktionsübergreifende Verantwortlichkeit in Flussdiagrammen
- Entscheidungsbaum vs. Flussdiagramm — Den richtigen Diagrammtyp wählen
- Text-zu-Flussdiagramm-Tool — Risikobeschreibungen sofort in Diagramme umwandeln
