Zum Inhalt springen
Procari Lexikon Risikoregister
Einkaufslexikon

Risikoregister

Risikoregister

Das Risikoregister ist das zentrale, dynamisch gepflegte Verzeichnis aller identifizierten Risiken im Einkauf und der Lieferkette. Es dokumentiert pro Eintrag Risikobeschreibung, Eintrittswahrscheinlichkeit, Schadenshoehe, Risikoeigner, geplante Massnahmen und Status. Nach ISO 31000:2018 und IDW PS 340 ist ein gefuehrtes Register Pflichtbestandteil eines wirksamen Risikomanagementsystems im deutschen Mittelstand.

Detaillierte Erklaerung

Ein Risikoregister im Einkauf umfasst typischerweise zwischen 60 und 250 aktive Eintraege bei einem mittelstaendischen Tier-1-Automotive-Zulieferer mit 800 Mitarbeitern und 180 Millionen Euro Beschaffungsvolumen. Jeder Eintrag folgt einem standardisierten Datenschema: eindeutige Risiko-ID, Kategorie (Markt, Lieferant, Compliance, Geopolitik, Cyber, Qualitaet), betroffene Warengruppen, Eintrittswahrscheinlichkeit in Prozent oder Stufen 1 bis 5, finanzielle Schadenshoehe in Euro, Bruttorisiko, eingeplante Massnahmen, Restrisiko nach Massnahmen, Risikoeigner mit Namen, Frist und Statusampel.

Die Trennung von Brutto- und Nettorisiko ist essenziell und wird im Pruefstandard IDW PS 340 explizit gefordert. Ein Bruttorisiko von 4,2 Millionen Euro fuer den Ausfall eines Single-Source-Stahllieferanten kann durch Sicherheitsbestand fuer 6 Wochen, einen qualifizierten Zweitlieferanten in Tschechien und eine Betriebsunterbrechungsversicherung auf ein Nettorisiko von 480.000 Euro reduziert werden. Genau diese Bewertungstransparenz verlangen Abschlusspruefer bei Kapitalgesellschaften nach Paragraph 91 Absatz 2 Aktiengesetz, der ueber den Lagebericht auch GmbHs ab mittlerer Groesse erfasst.

Im Mittelstand wird das Register in den meisten Faellen quartalsweise im Risikoausschuss formal reviewt, bei kritischen Eintraegen (Ampel Rot) monatlich. Die Aktualisierung erfolgt anlassbezogen sofort, etwa bei einer neuen geopolitischen Eskalation, einem Lieferanten-Audit mit C-Bewertung oder einer Sanktionslistentreffer-Pruefung. Die Verknuepfung zur [[risikoanalyse-lieferkette]] und zur quantitativen [[fmea]] schafft die methodische Basis fuer eine konsistente Bewertung. Tools reichen von Excel-Templates bei Unternehmen unter 100 Millionen Euro Umsatz bis zu integrierten GRC-Plattformen wie SAP GRC, Riskonnect oder LogicGate ab etwa 250 Millionen Euro Umsatz, mit jaehrlichen Lizenzkosten zwischen 35.000 und 180.000 Euro.

Praxisbeispiel (konkretes Einkaufsszenario)

Ein Maschinenbauer aus Baden-Wuerttemberg mit 1.200 Mitarbeitern und 320 Millionen Euro Umsatz fuehrt 2026 sein Risikoregister mit 142 aktiven Eintraegen in einer GRC-Plattform. Im Februar identifiziert die Einkaeuferin fuer Elektronik einen neuen Risikoeintrag: Der Hauptlieferant fuer kundenspezifische Leistungselektronik aus Norditalien meldet einen Cyberangriff mit Produktionsstillstand von 14 Tagen.

Der Eintrag erhaelt die ID R-2026-038, Kategorie Cyberrisiko-Lieferant, Warengruppe Power Electronics, Jahresvolumen 4,8 Millionen Euro. Die Bruttorisiko-Bewertung ergibt eine Eintrittswahrscheinlichkeit von 35 Prozent fuer einen Folgevorfall innerhalb von 12 Monaten, multipliziert mit einer Schadenshoehe von 2,1 Millionen Euro (Line-Stop-Kosten 95.000 Euro pro Tag, Vertragsstrafen, Express-Logistik) ergibt einen Erwartungsschaden von 735.000 Euro. Risikoeigner ist der Bereichsleiter Einkauf Elektronik.

Die Massnahmenliste umfasst: Sofortige Sicherheitsbestandserhoehung von 4 auf 8 Wochen (Kosten 195.000 Euro Working Capital), Qualifizierung eines Zweitlieferanten in Polen mit ueber [[dual-sourcing]] (Projektkosten 85.000 Euro, Laufzeit 7 Monate), Anforderung eines TISAX-Nachweises Level AL3 vom Bestandslieferanten bis Juli 2026 sowie Aufnahme einer Cyber-Klausel im Rahmenvertrag mit Haftungsobergrenze 2,5 Millionen Euro. Nach Umsetzung sinkt das Nettorisiko auf 158.000 Euro Erwartungsschaden. Der Eintrag wird auf Status Gelb gesetzt und im naechsten Quartalsreview von der Geschaeftsfuehrung freigegeben.

Typische Fehler & Verhandlungskontext

Der haeufigste Fehler im Mittelstand ist das Register als statisches Excel-Dokument zu fuehren, das einmal jaehrlich vor dem Wirtschaftspruefertermin oberflaechlich aktualisiert wird. Eine BME-Studie 2024 zeigt: 42 Prozent der DACH-Mittelstaendler haben kein formal gepflegtes Risikoregister mit klaren Eigentuemern und Faelligkeiten, weitere 23 Prozent fuehren es ohne Verknuepfung zu konkreten Massnahmenplaenen. Das fuehrt regelmaessig zu Findings im Pruefbericht und in schwerwiegenden Faellen zu eingeschraenkten Testaten.

Ein zweiter typischer Fehler ist die einseitige Fokussierung auf finanzielle Risiken bei Vernachlaessigung von Reputations-, Compliance- und Lieferketten-ESG-Risiken. Seit Inkrafttreten des [[lieferkettensorgfaltspflichtengesetz]] muss das Register auch menschenrechtliche und umweltbezogene Risiken in tieferen Lieferketten-Stufen erfassen, mit jaehrlicher Berichtspflicht ans BAFA. Bussgelder bis 8 Millionen Euro oder 2 Prozent des Jahresumsatzes bei Unternehmen ueber 400 Millionen Euro sind dokumentiert.

Im Verhandlungskontext mit strategischen Lieferanten wird das Register zur Hebelposition: Wer einen Lieferanten als Rot-Eintrag fuehrt, hat dokumentierte Grundlagen fuer harte Forderungen nach Penalty-Klauseln, erweiterten Reportingpflichten, Audit-Rechten ohne Ankuendigungsfrist oder Bankgarantien ueber 5 bis 15 Prozent des Jahresvolumens. Umgekehrt nutzen sophistizierte Lieferanten ihr eigenes Risikoregister im Vertriebsgespraech, um Sicherheitsbestaende, Express-Optionen und Risikoteilungsmodelle aktiv anzubieten und damit Preisaufschlaege von 1,5 bis 4 Prozent zu rechtfertigen.

Verwandte Begriffe

  • [[risikoanalyse-lieferkette]]
  • [[lieferantenrisikomanagement]]
  • [[inherent-risk]]
  • [[residual-risk]]
  • [[third-party-risk-management]]

Alle 1.460+ Begriffe als PDF

Das komplette Procari Einkaufslexikon — kostenlos per Email.

PDF anfordern →