Zum Inhalt springen
Procari Lexikon Risikoanalyse
Einkaufslexikon

Risikoanalyse

Risikoanalyse

Die Risikoanalyse ist das systematische Verfahren, mit dem ein Einkaufsteam potenzielle Stoerquellen in Lieferanten, Maerkten und Prozessen identifiziert, bewertet und priorisiert. Sie folgt DIN ISO 31000:2018 und nutzt Techniken wie Bow-Tie, FMEA oder Delphi-Befragung, um Eintrittswahrscheinlichkeit und Schadenshoehe greifbar zu machen und Gegenmassnahmen begruendet abzuleiten.

Detaillierte Erklaerung

Die Risikoanalyse bildet den dritten Schritt im Regelkreis nach ISO 31000:2018: Kontext festlegen, Risiken identifizieren, analysieren, bewerten, behandeln, ueberwachen. Sie unterscheidet sich von der reinen Identifikation dadurch, dass jedes erkannte Ereignis quantitativ oder qualitativ vermessen wird. Im Einkauf trifft sie zwei Hauptgroessen: die Eintrittswahrscheinlichkeit eines Stoerereignisses und dessen Schadenshoehe in Euro, Stunden Stillstand oder Reputationsverlust.

Die DIN ISO 31010 listet rund 31 Techniken auf, die im Beschaffungskontext relevant sind. Bow-Tie-Diagramme verknuepfen Ursachen mit einem zentralen Ereignis und dessen Folgen und machen Praeventiv- sowie Reaktivbarrieren sichtbar. Die Fehlermoeglichkeits- und Einflussanalyse (FMEA) bewertet Risiken ueber die Risikoprioritaetszahl aus Bedeutung, Auftretens- und Entdeckungswahrscheinlichkeit, jeweils auf einer Skala von eins bis zehn. Die Fehlerbaumanalyse (FTA) arbeitet deduktiv vom unerwuenschten Ereignis rueckwaerts. HAZOP-Studien sind in der Prozessindustrie verbreitet. Brainstorming, Delphi-Methode und strukturierte Interviews ergaenzen das Methodenset um qualitative Verfahren, wenn historische Daten fehlen.

Im Mittelstand mit Einkaufsvolumen zwischen 25 und 180 Mio Euro wird die Risikoanalyse haeufig auf A-Lieferanten und kritische Warengruppen begrenzt. Eine BME-Studie 2024 zeigt, dass 38 Prozent der DACH-Mittelstaendler bisher kein formales Lieferantenrisikomanagement betreiben, obwohl IDW PS 340 und das KonTraG nach Paragraf 91 Absatz 2 Aktiengesetz fuer Vorstaende ein Frueherkennungssystem fuer bestandsgefaehrdende Entwicklungen fordern. Auch GmbH-Geschaeftsfuehrer sind ueber die Ausstrahlungswirkung gebunden.

Methodisch trennt die Risikoanalyse inhaerentes Risiko (vor Massnahmen) vom Restrisiko (nach Massnahmen). Diese Unterscheidung ist wichtig, weil Vorstand und Aufsichtsrat die Wirksamkeit der Steuerungsmassnahmen beurteilen muessen. Ergebnis ist meist ein Risikoregister mit Owner, Frist und Wirksamkeitsmessung sowie eine visuelle Darstellung in der Risikomatrix. Die Frequenz reicht je nach Branche von quartalsweise bis jaehrlich; sicherheitskritische Sektoren wie Automotive nach IATF 16949 oder Medizintechnik arbeiten ereignisgetrieben zusaetzlich.

Praxisbeispiel (konkretes Einkaufsszenario)

Ein Maschinenbauer aus Baden-Wuerttemberg mit 720 Mitarbeitern und 95 Mio Euro Einkaufsvolumen plant die Risikoanalyse fuer die Warengruppe Hydraulikkomponenten. Lead Buyer Carolin Wiedemann startet mit einem zweitaegigen Workshop, an dem Einkauf, Konstruktion, Qualitaet und Produktion teilnehmen. Zwoelf Lieferanten sind betroffen, das Volumen liegt bei 11,4 Mio Euro pro Jahr.

Im ersten Schritt sammelt das Team per Brainstorming 47 Risikoereignisse. Beispiele sind Werksbrand beim Single-Source-Lieferanten aus Norditalien, Cyberangriff mit Produktionsstillstand, Insolvenz eines mittelstaendischen Zulieferers, Embargo gegen einen Vorlieferanten aus Belarus, Qualitaetsdrift bei Dichtungen. Die Liste wird auf 18 wesentliche Ereignisse verdichtet.

Im zweiten Schritt bewertet das Team jedes Ereignis mit einer Bow-Tie-Analyse. Fuer das Top-Ereignis Insolvenz des Hauptlieferanten werden vier Ursachen identifiziert (Bonitaetsverschlechterung, Hauptkunden-Verlust, Energiekostenexplosion, Generationswechsel) sowie fuenf Folgen (Lieferstop, Werkzeugverlust, Re-Qualifizierung, Preisanstieg, Vertragsstrafen Endkunde). Vorhandene Barrieren sind monatliches Bonitaetsmonitoring und Werkzeugklauseln im Rahmenvertrag; fehlend sind Second-Source und ein dokumentierter Notfallplan.

Im dritten Schritt erfolgt die quantitative Bewertung in der 5×5-Matrix. Eintrittswahrscheinlichkeit wird mit 3 (mittel, 10 bis 25 Prozent ueber drei Jahre), Schadenshoehe mit 5 (>2 Mio Euro inkl. Vertragsstrafen) bewertet. Das Risiko landet im roten Quadranten und erhaelt hoechste Prioritaet. Carolin hinterlegt drei Massnahmen mit Ownern: Qualifizierung eines Second-Source-Lieferanten bis Q4 2026 (Budget 145.000 Euro), Aufbau eines Sicherheitsbestands fuer 6 Wochen (Bindungskosten 380.000 Euro), Vertragsklausel mit Step-In-Recht beim Werkzeug.

Nach drei Monaten erfolgt das Wirksamkeitsreview. Das Restrisiko sinkt auf Eintrittswahrscheinlichkeit 2 und Schadenshoehe 3, das Ereignis wandert in den gelben Quadranten. Die Geschaeftsfuehrung erhaelt einen Quartalsbericht; das Ergebnis fliesst in den IDW-PS-340-Risikobericht ein.

Typische Fehler & Verhandlungskontext

Der haeufigste Fehler ist die Beschraenkung auf Bauchgefuehl ohne dokumentierte Methodik. Pruefer beanstanden regelmaessig, dass Bewertungen nicht nachvollziehbar sind, keine Skalenlegende existiert oder dieselben Ereignisse von verschiedenen Teilnehmern um drei bis vier Stufen unterschiedlich bewertet werden. Abhilfe schafft eine verbindliche Bewertungsmatrix mit Schwellenwerten in Euro, Stunden und Reputationsstufen, die vom Risikoausschuss freigegeben wird.

Ein zweiter Klassiker ist die statische Analyse ohne Aktualisierungsrhythmus. Risiken aendern sich durch geopolitische Ereignisse, Sanktionspakete oder Insolvenzwellen binnen Wochen. Ein einmal pro Jahr eingefrorenes Register verfehlt seine Funktion. Empfehlung ist ein rollierender Prozess mit quartalsweiser Aktualisierung der Top-10-Risiken und Ad-hoc-Reviews bei wesentlichen Ereignissen wie neuen Sanktionen oder einer Insolvenzmeldung beim A-Lieferanten.

Drittens wird die Risikoanalyse haeufig in der Einkaufsabteilung isoliert betrieben. Ohne Anbindung an die unternehmensweite Enterprise-Risk-Management-Struktur nach COSO ERM 2017 oder den Risikoausschuss bleiben Erkenntnisse folgenlos. Ein guter Praxisansatz ist ein quartalsweises Mapping der Einkaufsrisiken auf die Top-20-Unternehmensrisiken, sodass Massnahmen Budget und Management-Attention erhalten.

In Lieferantenverhandlungen schafft eine fundierte Risikoanalyse Hebel. Wer dem Lieferanten konkret nachweisen kann, dass dessen Klumpenrisiko (ein Endkunde > 40 Prozent Umsatz) zu einer schlechteren Risikoeinstufung fuehrt, kann begruendet hoehere Sicherheitsbestaende, kuerzere Zahlungsziele oder Step-In-Rechte fordern. Lieferanten akzeptieren solche Anforderungen erfahrungsgemaess eher, wenn sie auf einer transparenten Methodik basieren statt auf willkuerlichen Eskalationen.

Verwandte Begriffe

  • [[risikomanagement]]
  • [[risikomatrix]]
  • [[fmea]]
  • [[risikoanalyse-lieferkette]]
  • [[lieferantenrisikomanagement]]

Alle 1.460+ Begriffe als PDF

Das komplette Procari Einkaufslexikon — kostenlos per Email.

PDF anfordern →