Zum Inhalt springen
Procari Lexikon Risk Heatmap
Einkaufslexikon

Risk Heatmap

Risk Heatmap

Die Risk Heatmap ist die visuelle Darstellung aller Eintraege eines Risikoregisters in einer zweidimensionalen Matrix aus Eintrittswahrscheinlichkeit und Schadenshoehe, eingefaerbt in Gruen, Gelb und Rot. Die im COSO ERM Framework 2017 verankerte 5×5-Konvention ist im DACH-Mittelstand Standard und uebersetzt komplexe Risiken in eine fuer Vorstand, Aufsichtsrat und Wirtschaftspruefer sofort lesbare Priorisierungsgrafik.

Detaillierte Erklaerung

Die klassische 5×5 Heatmap kombiniert fuenf Stufen der Eintrittswahrscheinlichkeit (sehr gering unter 5 Prozent, gering 5 bis 20 Prozent, mittel 20 bis 50 Prozent, hoch 50 bis 80 Prozent, sehr hoch ueber 80 Prozent) mit fuenf Stufen der finanziellen Schadenshoehe. Im Einkauf eines Mittelstaendlers mit 250 Millionen Euro Umsatz definieren sich die Schadensstufen typischerweise als unter 50.000 Euro (Stufe 1), 50.000 bis 250.000 Euro (Stufe 2), 250.000 bis 1 Million Euro (Stufe 3), 1 bis 5 Millionen Euro (Stufe 4) und ueber 5 Millionen Euro (Stufe 5). Die Schwellenwerte werden bewusst an die individuelle Bilanzstaerke und Risikotragfaehigkeit angepasst.

Die Faerbung folgt einer firmenspezifisch definierten Tolerierungslogik. Verbreitet ist: alle Felder mit Produkt aus Stufe Wahrscheinlichkeit mal Stufe Schaden bis 4 sind Gruen (akzeptabel), 5 bis 12 Gelb (beobachten und mitigieren), 13 bis 25 Rot (sofortige Vorstandsbefassung). Ein Risiko in Feld 4×4 (hohe Wahrscheinlichkeit, hohe Schadenshoehe, also Punktwert 16) loest automatisch ein Eskalationsprotokoll mit Vorlage einer Massnahmenplanung binnen 30 Tagen aus.

Heatmaps werden regelmaessig in zwei Versionen gepflegt: Brutto (vor Massnahmen) und Netto (nach Massnahmen). Die Brutto-Heatmap zeigt das inhaerente Risikoprofil, die Netto-Heatmap die Wirksamkeit des Risikomanagements. Eine deutliche Linksverschiebung von Brutto zu Netto ist das vom Wirtschaftspruefer und Aufsichtsrat erwartete Wirksamkeitsnachweis. Im Lieferantenkontext werden zusaetzlich Heatmaps pro Warengruppe, pro Land und pro [[klumpenrisiko-einkauf]]-Cluster erstellt. Die Verknuepfung mit [[lieferantenrisikomanagement]] und [[risikoanalyse-lieferkette]] schafft den methodischen Rahmen.

Praxisbeispiel (konkretes Einkaufsszenario)

Ein Tier-1-Automotive-Zulieferer aus Bayern, 950 Mitarbeiter, 240 Millionen Euro Umsatz, erstellt im Maerz 2026 die quartalsweise Heatmap fuer den Aufsichtsrat. Das Risikoregister enthaelt 168 aktive Eintraege, davon 89 mit direktem Lieferantenbezug. Die Heatmap aggregiert diese in vier Quadranten und identifiziert 7 Rote Risiken, 22 Gelbe und 60 Gruene.

Das Top-Risiko in Feld 5×4 (sehr hohe Wahrscheinlichkeit, hohe Schadenshoehe, Punktwert 20) ist der Single-Source-Lieferant fuer kundenspezifische Aluminium-Druckgussteile aus Norditalien mit einem Jahresvolumen von 12,4 Millionen Euro. Eintrittswahrscheinlichkeit 78 Prozent fuer Produktionsstoerung binnen 12 Monaten (Energiekostenkrise, Streiks, Cyber-Vorfaelle), Schadenshoehe 3,8 Millionen Euro im Stoerungsfall (Line-Stop bei OEM, Vertragsstrafen 145.000 Euro pro Tag, Express-Logistik aus China). Das Risiko wird im Aufsichtsrat eskaliert mit der Vorgabe, bis September 2026 einen qualifizierten Zweitlieferanten in Polen oder der Tuerkei aufzubauen.

In der Netto-Heatmap nach geplanten Massnahmen (Aufbau [[dual-sourcing]] mit 25-Prozent-Splitvolumen ab Oktober 2026, Sicherheitsbestand 8 Wochen, Cyber-Audit und Betriebsunterbrechungsversicherung mit 5 Millionen Euro Deckung bei der Allianz Industrieversicherung fuer eine Praemie von 78.000 Euro jaehrlich) wandert das Risiko in Feld 2×3 (Punktwert 6, Gelb). Diese Verschiebung ist die quantitative Erfolgsmessung des Risikomanagements und wird im Lagebericht 2026 als Kennzahl ausgewiesen.

Typische Fehler & Verhandlungskontext

Der haeufigste Konstruktionsfehler ist eine zu grobe oder inkonsistente Skala. Wenn die Schadensstufe 5 bei "ueber 1 Million Euro" beginnt, landen bei einem Konzern mit 800 Millionen Euro Umsatz nahezu alle relevanten Risiken pauschal in der hoechsten Stufe, womit die Heatmap ihre differenzierende Wirkung verliert. Umgekehrt fuehrt eine zu feine Skalierung dazu, dass akute Risiken in einer Wolke aus harmlosen Eintraegen optisch verschwinden. Die Schwellenwerte muessen jaehrlich an Inflation, Umsatzentwicklung und [[lieferantenausfallrisiko]]-Profil angepasst werden.

Ein zweiter klassischer Fehler ist die rein subjektive Schaetzung der Eintrittswahrscheinlichkeit durch den Risikoeigner ohne Datenfundament. Branchenstudien wie der Allianz Risk Barometer 2026 oder das Munich Re Loss Report liefern belastbare Frequenzwerte fuer Cyber-Vorfaelle (12 Prozent jaehrlich bei Mittelstaendlern ueber 100 Millionen Euro Umsatz), Naturkatastrophen, Streiks und Insolvenzen. Werden diese Benchmarks ignoriert, kollabiert die Vergleichbarkeit zwischen Heatmaps verschiedener Bereiche und Standorte.

Im Verhandlungskontext mit Versicherern und Banken wird die Netto-Heatmap zum entscheidenden Dokument. Eine sauber ausgewiesene Risikoreduktion senkt Versicherungspraemien fuer Betriebsunterbrechung und Cyber-Policen um 8 bis 18 Prozent und verbessert das Rating bei Hausbanken um eine halbe bis ganze Notch, was bei einer Kreditlinie von 50 Millionen Euro Zinsersparnisse von 75.000 bis 200.000 Euro jaehrlich bedeuten kann. Gegenueber strategischen Lieferanten dient die Roteinstufung als legitime Begruendung fuer Forderungen nach Penalty-Klauseln, [[fruehwarnindikatoren]] und Audit-Rechten.

Verwandte Begriffe

  • [[risikoanalyse-lieferkette]]
  • [[lieferantenrisikomanagement]]
  • [[klumpenrisiko-einkauf]]
  • [[lieferantenausfallrisiko]]
  • [[fmea]]

Alle 1.460+ Begriffe als PDF

Das komplette Procari Einkaufslexikon — kostenlos per Email.

PDF anfordern →