Zum Inhalt springen
Procari Lexikon Inherent Risk
Einkaufslexikon

Inherent Risk

Inherent Risk

Inherent Risk (deutsch: inhärentes Risiko oder Bruttorisiko) bezeichnet das einer Geschäftstätigkeit innewohnende Risiko, bevor interne Kontrollen oder risikomindernde Maßnahmen wirken. Das Konzept ist zentral in COSO ERM 2017, ISO 31000 und im IIA-3-Lines-of-Defense-Modell und bildet die Grundlage strukturierter Risikobewertung im Einkauf und Lieferantenmanagement.

Detaillierte Erklärung

In der Risikomanagement-Disziplin werden drei Risikoebenen unterschieden:

Inherent Risk (Bruttorisiko): das Risiko, das der Geschäftstätigkeit oder einem Lieferantenverhältnis grundsätzlich innewohnt — bevor irgendeine Kontrolle, Maßnahme oder Sicherung greift. Beispiel: ein Single-Source-Lieferant in geopolitisch instabiler Region hat ein hohes inhärentes Lieferausfallrisiko, unabhängig davon, ob der Käufer Sicherheitsbestände oder Notfallpläne hat.

Residual Risk (Restrisiko): das Risiko, das nach Wirkung aller implementierten Kontrollen verbleibt. Mathematisch vereinfacht: Inherent Risk × (1 − Kontroll-Effektivität) = Residual Risk.

Target Risk: das vom Unternehmen definierte akzeptable Risikoniveau (Risk Appetite). Liegt das Residual Risk darüber, sind zusätzliche Maßnahmen erforderlich.

Die Bewertung des Inherent Risk erfolgt klassisch zweidimensional über Eintrittswahrscheinlichkeit (Likelihood) und Schadenshöhe (Impact). COSO ERM 2017 ergänzt eine dritte Dimension — Geschwindigkeit der Risikomanifestation (Velocity) — die für volatile Märkte (Energie, Halbleiter, Logistik) relevant ist. ISO 31000:2018 erweitert um die Begriffe Risikoquelle, Ereignis, Konsequenz und Wahrscheinlichkeit und liefert das prozessuale Rahmenwerk (Identifikation, Analyse, Bewertung, Behandlung, Überwachung).

Das IIA-3-Lines-of-Defense-Modell ordnet Verantwortung:

  • Erste Linie (operatives Management, Einkäufer): identifiziert und bewertet inhärente Risiken im Tagesgeschäft, implementiert Kontrollen
  • Zweite Linie (Risk Management, Compliance, Procurement Excellence): definiert Methodik, überwacht aggregierte Risikoposition, schult erste Linie
  • Dritte Linie (interne Revision): prüft Effektivität der ersten und zweiten Linie unabhängig

Im Einkauf typische Inherent-Risk-Kategorien:

Lieferantenausfallrisiko: Bonität, Insolvenzwahrscheinlichkeit, Single-Source-Abhängigkeit. Bruttorisiko hoch bei Lieferanten mit Creditreform-Score über 250 oder bei Single-Source ohne qualifizierte Alternative.

Geopolitisches und Länderrisiko: Sanktionen, Exportbeschränkungen, politische Instabilität. Bruttorisiko hoch bei Bezug aus Russland, Iran, Myanmar oder bei taiwanabhängigen Halbleiter-Lieferketten.

Compliance-Risiko: Verstöße gegen LkSG, Sanktionsrecht, Kartellrecht, Korruption. Bruttorisiko branchenabhängig — Bau und Pharma höher als IT-Dienstleistungen.

Cybersicherheits-Risiko: Lieferantenanbindung, geteilte Daten, supply-chain-attacks. Steigt mit Digitalisierungsgrad.

Finanz- und Währungsrisiko: Wechselkursvolatilität, Rohstoffpreise, Zinsänderungen. Bruttorisiko hoch bei langlaufenden Verträgen ohne Indexklauseln.

Das Bruttorisiko zu kennen ist essenziell, weil es die Investition in Kontrollen rechtfertigt. Niemand baut einen Notfallplan für ein Risiko, das er nicht ausdrücklich als hoch bewertet hat. Die BME-Risikomanagement-Studie 2024 zeigt: 38 Prozent der DACH-Mittelstandseinkäufer bewerten Risiken nur netto (also mit bereits unterstellter Kontrollwirkung) — was zu systematischer Unterschätzung struktureller Schwachstellen führt.

Praxisbeispiel (konkretes Einkaufsszenario)

Ein DACH-Automotive-Zulieferer (1.100 Mitarbeiter, 280 Mio Euro Umsatz) führt 2026 ein systematisches Inherent-Risk-Assessment für seine Top-50-Lieferanten ein. Anlass: ein wichtiger Single-Source-Lieferant für Drehmaschinen-Spezialteile musste 2025 wegen Energieengpass die Produktion 6 Wochen pausieren — Folgekosten beim Zulieferer 1,8 Mio Euro Umsatzausfall plus Pönalen.

Methodik: jeder Top-50-Lieferant wird nach acht Inherent-Risk-Dimensionen bewertet, jeweils auf 5-stufiger Skala (1 = sehr niedrig, 5 = sehr hoch):

  1. Bonität (Creditreform-Score-Bucket)
  2. Single-Source-Status (alternative Lieferanten qualifiziert?)
  3. Geografisches Konzentrationsrisiko
  4. Geopolitisches Risiko (Standortland)
  5. Energie-Abhängigkeit (Erdgas-/Strom-Intensität)
  6. Cybersecurity-Reife (ISO 27001, Audit)
  7. Compliance-Risiko (Branche, LkSG-Exposure)
  8. Lieferantenkonzentration beim Lieferanten selbst (Klumpenrisiko in dessen Kundenstruktur)

Bewertet wird ausschließlich das Bruttorisiko — also vor Wirkung interner Kontrollen wie Sicherheitsbeständen, Dual-Sourcing oder Bankbürgschaften. Das ergibt eine Heatmap, die strukturelle Schwachstellen sichtbar macht.

Beispielergebnis für Lieferant Nr. 17 (Spezialgetriebe-Hersteller, 90 Mitarbeiter, Standort Norditalien):

  • Bonität: 3 (Score 195, stabil)
  • Single-Source: 5 (keine qualifizierte Alternative)
  • Geografische Konzentration: 4 (alle Werke in Bergamo)
  • Geopolitik: 2 (EU, stabil)
  • Energie-Abhängigkeit: 4 (energieintensive Wärmebehandlung)
  • Cybersecurity: 3 (ISO 27001 in Vorbereitung)
  • Compliance: 2 (geringe LkSG-Risiken)
  • Konzentration in Kundenstruktur: 4 (drei Hauptkunden über 70 Prozent Umsatz)

Inherent Risk Score: 3,4 (Skala 1-5), Cluster "hoch". Nach Anwendung der existierenden Kontrollen — Sicherheitsbestand 3 Wochen, Quartals-Audit, Anzahlungsbürgschaft — ergibt sich Residual Risk 2,1 (Cluster "mittel"). Risk Appetite des Unternehmens: maximal 1,8 für Single-Source-Lieferanten kritischer Komponenten.

Konsequenz: Residual Risk übersteigt Risk Appetite. Maßnahmenplan über 18 Monate: Qualifizierung eines zweiten Lieferanten in Tschechien (Investition 220.000 Euro für Erstmuster, FAI, Werkzeugkostenanteil), Erhöhung Sicherheitsbestand auf 5 Wochen für Kernteile, jährliche Energie-Resilienz-Auditierung beim Lieferanten. Nach Umsetzung sinkt Residual Risk auf 1,6.

Der Wert des expliziten Bruttorisiko-Schritts: ohne ihn hätte das Risikomanagement nur das gefühlt akzeptable Restrisiko gesehen — und die strukturelle Single-Source-Schwachstelle nicht priorisiert.

Typische Fehler & Verhandlungskontext

Fehler 1 — Direkt zum Restrisiko springen: Einkäufer bewerten "wie schlimm wäre es, wenn…" und unterstellen dabei implizit, dass Kontrollen funktionieren. Das verschleiert strukturelle Risikotreiber. Saubere Methodik: Bruttorisiko zuerst, dann Kontroll-Effektivität separat bewerten, dann Restrisiko ableiten.

Fehler 2 — Kontroll-Effektivität zu optimistisch: "Wir haben einen Notfallplan" wird mit 80 Prozent Effektivität bewertet, obwohl der Plan nie getestet wurde. COSO ERM verlangt periodische Wirksamkeitstests (mindestens jährlich). Ein nicht-getesteter Plan ist nach IIA-Standards mit maximal 30 Prozent Effektivität zu bewerten.

Fehler 3 — Velocity ignorieren: ein Risiko mit niedriger Eintrittswahrscheinlichkeit aber hoher Geschwindigkeit der Manifestation (Beispiel: ad-hoc-Sanktionen bei Eskalation eines Konflikts) wird unterschätzt. COSO ERM 2017 fordert ausdrücklich die dritte Dimension.

Fehler 4 — Aggregations-Trugschluss: zehn Lieferanten mit jeweils niedrigem Inherent Risk werden als unkritisch bewertet — übersehen wird, dass alle zehn einen gemeinsamen Vorlieferanten haben (n-Tier-Abhängigkeit). Bruttorisiko muss auf Wertstrom-Ebene aggregiert werden, nicht nur Lieferanten-individuell.

Fehler 5 — Statische Bewertung: Inherent Risk wird einmal jährlich bewertet und dann eingefroren. Realität: Bonität, Geopolitik, Energie- und Rohstoffmärkte verändern sich monatlich. Best-Practice: Trigger-basierte Neubewertung bei Score-Verschlechterung, Sanktionsmeldung, M&A-Ereignis beim Lieferanten.

Verhandlungskontext: Inherent-Risk-Bewertung ist auch ein Lieferanten-Argument. Ein Lieferant, der seine eigenen Kontrollen transparent darlegt (ISO 22301 Business Continuity, ISO 27001, dual-source-fähige Vorlieferanten), reduziert das Bruttorisiko des Käufers und kann höhere Preise oder längere Vertragslaufzeiten rechtfertigen. Im strategischen Lieferantengespräch sollte daher die Frage "was ist Ihr Inherent Risk Profile, und wie reduzieren Sie es?" Standard sein.

Verwandte Begriffe

  • [[residual-risk]]
  • [[lieferantenrisikomanagement]]
  • [[risikoanalyse-lieferkette]]
  • [[third-party-risk-management]]
  • [[compliance-risikobewertung-einkauf]]

Alle 1.460+ Begriffe als PDF

Das komplette Procari Einkaufslexikon — kostenlos per Email.

PDF anfordern →