Zum Inhalt springen
Procari Lexikon Risikomatrix
Einkaufslexikon

Risikomatrix

Risikomatrix

Die Risikomatrix ist die zweidimensionale Darstellung erkannter Risiken nach Eintrittswahrscheinlichkeit und Schadenshoehe. Sie folgt DIN ISO 31010 und nutzt in der Praxis ueberwiegend eine 5×5-Skalierung mit Ampellogik. Die resultierende Heatmap macht Prioritaeten sichtbar und ist das verbreitetste Steuerungsinstrument im Einkaufsrisikomanagement.

Detaillierte Erklaerung

Die Risikomatrix verbindet zwei Bewertungsachsen zu einem Bild. Auf der horizontalen Achse steht die Eintrittswahrscheinlichkeit, meist in fuenf Stufen von sehr selten (unter 5 Prozent ueber drei Jahre) bis sehr wahrscheinlich (ueber 80 Prozent). Auf der vertikalen Achse steht die Schadenshoehe, ebenfalls in fuenf Stufen, jeweils mit Schwellenwerten in Euro hinterlegt. Bei einem Mittelstaendler mit 80 Mio Euro Einkaufsvolumen koennten die Stufen lauten: bis 50.000 Euro, bis 250.000 Euro, bis 1 Mio Euro, bis 5 Mio Euro, ueber 5 Mio Euro.

Die resultierenden 25 Felder werden in drei oder vier Zonen eingefaerbt. Klassisch sind gruen (akzeptabel, Beobachtung), gelb (Massnahmen pruefen), rot (Massnahmen verpflichtend). Manche Unternehmen ergaenzen dunkelrot als Eskalationsstufe, in der Vorstand und Aufsichtsrat unmittelbar zu informieren sind. Die Zonengrenzen werden vom Risikoausschuss verbindlich definiert, damit Bewertungen vergleichbar bleiben.

DIN ISO 31010 listet die Matrix als eine von 31 Bewertungstechniken und weist auf Limitierungen hin. Sie ist gut fuer schnelle Priorisierung, aber schlecht fuer aggregierte Verlustrechnungen. Wer Eintrittswahrscheinlichkeit und Schadenshoehe multipliziert, erhaelt einen Erwartungswert, der zwei Risiken mit unterschiedlichem Schadenpotenzial gleichsetzen kann. Ein selten eintretendes Grossereignis (1 Prozent Eintritt, 10 Mio Euro Schaden) und ein haeufiges Kleinereignis (10 Prozent Eintritt, 1 Mio Euro Schaden) haben denselben Erwartungswert von 100.000 Euro, aber voellig unterschiedliche Steuerungsanforderungen. Erfahrene Risikomanager nutzen daher zusaetzlich Tail-Risk-Indikatoren und Worst-Case-Szenarien.

Neben der klassischen 5×5-Variante existieren 4×4-, 3×3- oder asymmetrische Matrizen. BaFin-MaRisk fuer Finanzdienstleister verlangt explizit eine Bewertung nach Eintrittswahrscheinlichkeit und Auswirkung. COSO ERM 2017 empfiehlt zusaetzlich die Visualisierung von inhaerentem Risiko (vor Massnahmen) und Restrisiko (nach Massnahmen) in derselben Matrix, mit Pfeilen, die die Wanderung darstellen. So wird die Wirksamkeit von Massnahmen unmittelbar sichtbar.

Die Risikomatrix wird ergaenzt durch das Risikoregister, das fuer jedes Feld die Einzelrisiken mit Owner, Massnahmen und Fristen auflistet. Beide Werkzeuge gehoeren zusammen: Die Matrix ist die Ein-Seiten-Sicht fuer das Management, das Register die Arbeitsgrundlage fuer die Owner.

Praxisbeispiel (konkretes Einkaufsszenario)

Ein Hersteller von Praezisionsmesstechnik mit 340 Mitarbeitern und 38 Mio Euro Einkaufsvolumen fuehrt im Rahmen des LkSG-Risikoanalyse-Projekts eine konzernweite Risikomatrix ein. Einkaufsleiterin Bettina Hoffmeister-Lechler arbeitet mit dem CFO und der Compliance-Beauftragten die Skalierung aus.

Eintrittswahrscheinlichkeit: Stufe 1 unter 2 Prozent ueber drei Jahre, Stufe 2 bis 10 Prozent, Stufe 3 bis 25 Prozent, Stufe 4 bis 50 Prozent, Stufe 5 ueber 50 Prozent. Schadenshoehe: Stufe 1 bis 25.000 Euro, Stufe 2 bis 150.000 Euro, Stufe 3 bis 750.000 Euro, Stufe 4 bis 2,5 Mio Euro, Stufe 5 ueber 2,5 Mio Euro. Zonengrenzen: gruen bis Produkt 6, gelb bis 12, rot ab 13.

Der erste Workshop bewertet 96 erkannte Einzelrisiken. 14 landen im roten Quadranten. Top-Position ist der Cyberangriff auf einen IT-Dienstleister, der die Auftragsabwicklung lahmlegen koennte (Stufe 3 / Stufe 5 = Produkt 15, rot). Position zwei ist die Insolvenz eines Single-Source-Lieferanten fuer optische Komponenten mit 2,2 Mio Euro Volumen (Stufe 3 / Stufe 4 = Produkt 12, gelb-rot). Position drei sind Lieferengpaesse bei Halbleitern (Stufe 4 / Stufe 4 = Produkt 16, rot).

Fuer jedes rote Risiko wird ein Massnahmenpaket geschnuert: Cyber-Audit beim IT-Dienstleister mit anschliessender Zertifizierung nach ISO 27001 (Budget 28.000 Euro, Frist 6 Monate), Qualifizierung eines Second-Source-Lieferanten fuer optische Komponenten (Budget 95.000 Euro, Frist 9 Monate), Aufbau eines 8-Wochen-Sicherheitsbestands fuer kritische Halbleiter (Bindungskosten 480.000 Euro). Nach Massnahmen wandern die Risiken in der Matrix in die gelbe Zone, was im Bericht mit Vorher-/Nachher-Pfeilen visualisiert wird.

Nach drei Quartalen zeigt die rollierende Matrix: rote Risiken sind von 14 auf 6 gesunken, gelbe haben sich von 22 auf 31 erhoeht (durch Sichtbarwerden neuer Risiken aus geopolitischer Lage), gruene sind stabil. Der Aufsichtsrat lobt die Transparenz und beauftragt die Ausweitung auf nicht-einkaufsbezogene Risiken.

Typische Fehler & Verhandlungskontext

Ein klassischer Fehler ist die fehlende Verankerung der Skalenstufen in konkreten Euro-Werten. Ohne hinterlegte Schwellenwerte bewertet jeder Workshop-Teilnehmer aus dem Bauch, und vergleichbare Risiken erscheinen in unterschiedlichen Feldern, je nachdem, wer dabei war. Abhilfe schafft eine verbindliche Skalenlegende, die in jedem Workshop sichtbar ist und vom Risikoausschuss freigegeben wurde. Die Schwellenwerte sollten an die Unternehmensgroesse angepasst sein und alle drei bis fuenf Jahre ueberprueft werden.

Ein zweiter Fehler ist das Bewerten ohne historische Daten. Eintrittswahrscheinlichkeiten werden geschaetzt, ohne dass auf Branchenstatistiken (z. B. Creditreform-Insolvenzquoten), eigene Vorfaelle oder externe Studien zurueckgegriffen wird. Empfehlung ist eine Datenbasis mit Referenzwerten fuer typische Ereignisse, ergaenzt durch Expertenschaetzung in Bereichen ohne Datenlage. Die Delphi-Methode mit mehreren unabhaengigen Schaetzungen liefert robustere Ergebnisse als der spontane Konsens.

Drittens wird die Matrix haeufig statisch genutzt, ohne Vorher-/Nachher-Vergleich. Damit bleibt unsichtbar, ob Massnahmen wirken. Die Visualisierung von inhaerentem und Restrisiko nach COSO ERM 2017 mit Wanderungs-Pfeilen ist Standard in geprueften Systemen und sollte konsequent angewendet werden.

In Lieferantenverhandlungen ist die Risikomatrix ein starkes Instrument. Wer einem Lieferanten zeigen kann, dass dessen Position im roten Quadranten liegt und dies finanzielle Konsequenzen in der Konditionenrunde hat, schafft Druck zur Veraenderung. Lieferanten mit verschlechtertem Bonitaetsindex oder hoher Konzentration auf einen Endkunden akzeptieren oft Sicherheitsstellungen oder kuerzere Zahlungsziele, wenn das mit transparenter Risikomethodik begruendet wird.

Verwandte Begriffe

  • [[risikomanagement]]
  • [[risikoanalyse]]
  • [[risikoklassen]]
  • [[risk-heatmap]]
  • [[risikoregister]]

Alle 1.460+ Begriffe als PDF

Das komplette Procari Einkaufslexikon — kostenlos per Email.

PDF anfordern →