Zum Inhalt springen
Procari Lexikon Residual Risk
Einkaufslexikon

Residual Risk

Residual Risk

Residual Risk ist das Restrisiko, das nach Anwendung aller risikomindernden Maßnahmen, Kontrollen und Vertragsklauseln verbleibt. Im Einkauf beschreibt es den Anteil eines Lieferanten- oder Lieferkettenrisikos, den das Unternehmen bewusst akzeptiert — abgeglichen mit dem definierten Risikoappetit nach COSO ERM 2017 und ISO 31000.

Detaillierte Erklärung

Das Konzept folgt der klassischen Risikoformel: Inherent Risk minus Wirkung der Kontrollen ergibt Residual Risk. COSO ERM 2017 fordert, dass jedes wesentliche Risiko in zwei Stufen bewertet wird — vor Maßnahme (inherent) und nach Maßnahme (residual). ISO 31000:2018 verankert den gleichen Ansatz im Risikomanagement-Prozess unter "Risikobehandlung". Der Differenzbetrag zwischen beiden Werten ist die Risk Treatment Effectiveness.

Im Einkauf wird Residual Risk pro Lieferant, pro Warengruppe und pro Vertrag bewertet. Beispiel: Ein Single-Source-Lieferant in Taiwan hat ein Inherent Risk von 9/10 (geopolitisch + Klumpen). Nach Dual-Sourcing-Aufbau mit einem koreanischen Zweitlieferanten und einem 6-Wochen-Sicherheitsbestand sinkt das Residual Risk auf 4/10. Liegt der Risikoappetit bei 5/10, ist die Behandlung ausreichend; liegt er bei 3/10, sind weitere Maßnahmen erforderlich.

Die IIA 3-Lines-of-Defense-Struktur weist klare Verantwortung zu: Erste Linie (Einkauf, Category Manager) identifiziert und behandelt; zweite Linie (Risk Management, Compliance) prüft die Bewertung; dritte Linie (Interne Revision) auditiert die Methodik. BaFin MaRisk AT 9 verlangt für regulierte Auslagerungen eine dokumentierte Residual-Risk-Bewertung mit Plausibilitätsprüfung.

Wichtige Abgrenzung: Residual Risk ist nicht "akzeptiertes Risiko" per se. Akzeptanz erfolgt erst durch dokumentierten Beschluss eines Risk Owners mit ausreichender Befugnis. Liegt das Restrisiko über dem Appetit, sind die Optionen: weitere Behandlung, Risikotransfer (Versicherung, Vertragsklausel), Vermeidung (Lieferant aussortieren) oder formelle Toleranz mit Eskalation an die Geschäftsleitung. Die Dokumentation muss prüffest sein — LkSG-Berichte, BaFin-Audits und ISO-9001-Zertifizierungen verlangen Nachvollziehbarkeit der Restrisiko-Begründung.

Quantifizierung erfolgt typischerweise über zweidimensionale Heatmaps (Eintrittswahrscheinlichkeit × Schadenshöhe), Risk-Scores oder monetäre Modelle (Expected Loss × Restwahrscheinlichkeit).

Praxisbeispiel (konkretes Einkaufsszenario)

Ein Maschinenbauer aus Schwaben (220 Mitarbeiter) bezieht Präzisionslager über einen Single-Source-Lieferanten in Norditalien. Inherent Risk: 8/10 — Single-Source, geografisch konzentriert, kritisch für die Endmontage, Jahresvolumen 4,2 Mio. Euro.

Die Risikoanalyse identifiziert vier Maßnahmen: (1) Sicherheitsbestand 8 Wochen statt bisher 2 Wochen, (2) Qualifizierung eines tschechischen Zweitlieferanten als Backup, (3) Vertragliche Force-Majeure-Klauseln mit 30-Tage-Vorwarnpflicht, (4) Quartalsweise Lieferanten-Audits mit Liquiditätskennzahlen.

Nach Implementierung wird das Residual Risk neu bewertet: Eintrittswahrscheinlichkeit eines kritischen Ausfalls sinkt von 35 % auf 8 %, Schadenshöhe bei Ausfall von 1,8 Mio. Euro auf 480.000 Euro (Sicherheitsbestand puffert 6 Wochen Produktion). Expected Residual Loss: 38.400 Euro pro Jahr. Der Risikoappetit der Geschäftsleitung wurde auf maximal 60.000 Euro Expected Loss pro Einzellieferant festgelegt — Restrisiko also unterhalb der Schwelle.

Die Dokumentation im Lieferantenrisikomanagement-System: Risikobewertung vom 14.03.2026, Risk Owner Leitung Einkauf, Eskalationsschwelle 80.000 Euro, nächste Überprüfung 14.09.2026. Die Interne Revision prüft im Q4-Audit die Wirksamkeit der Maßnahmen — insbesondere ob der Sicherheitsbestand tatsächlich aufgebaut wurde und ob der tschechische Zweitlieferant qualifiziert vorliegt.

Drei Monate später: ein Hochwasser unterbricht die Produktion in Norditalien für 5 Wochen. Der Sicherheitsbestand reicht aus, der Zweitlieferant übernimmt nach 18 Tagen 40 % des Volumens, Produktion läuft ohne Stillstand weiter. Tatsächlicher Schaden: 62.000 Euro — knapp über Erwartung, aber innerhalb des Risikoappetits. Die Bewertungsmethodik bestätigt sich; die Geschäftsleitung verlangt jedoch eine Anhebung des Sicherheitsbestands auf 10 Wochen für die Top-3-Single-Source-Lieferanten. Der Lerneffekt fließt in die Risikobewertungs-Templates ein.

Typische Fehler & Verhandlungskontext

Der häufigste Fehler ist die statische Bewertung. Residual Risk muss dynamisch sein — geopolitische Lage, Lieferantenliquidität und Sanktionslisten ändern sich. Eine jährliche Neubewertung ist Mindeststandard; für Hochrisiko-Lieferanten quartalsweise. BaFin-MaRisk-Prüfungen rügen häufig veraltete Bewertungen ohne Anlassbezug.

Zweiter Fehler: Doppelzählung. Wer Versicherungsschutz und Sicherheitsbestand gleichzeitig vom Risiko abzieht, unterschätzt das Restrisiko systematisch. Die Maßnahmen müssen unabhängig wirken oder ihre Korrelation muss modelliert werden.

Dritter Fehler: Risikoappetit ohne Geschäftsleitungs-Beschluss. Der Risikoappetit ist eine Entscheidung des Top-Managements, nicht des Einkaufs. Ohne dokumentierte Vorgabe entstehen Willkür-Bewertungen, die im Audit nicht standhalten.

Im Verhandlungskontext nutzen erfahrene Einkäufer Residual-Risk-Argumente zur Konditionsverhandlung: "Ihre Single-Source-Position erzeugt bei uns 240.000 Euro Expected Residual Loss pro Jahr — wir benötigen entweder einen Preisnachlass von 1,8 % zur Kompensation oder vertragliche Verfügbarkeitsgarantien mit Pönalen." Diese Quantifizierung macht das Risiko greifbar und verschiebt die Verhandlung weg von Bauchgefühl hin zu nachvollziehbaren Zahlen.

Camp ("Start with No") empfiehlt, Risikoargumente nie als Drohung, sondern als gemeinsames Problem zu formulieren — der Lieferant soll zum Mitlöser werden. Schranner ergänzt: dokumentierte Risikobewertungen erhöhen die Verhandlungsmacht, weil sie der Gegenseite zeigen, dass die Einkaufsabteilung die Konsequenzen quantifiziert hat und alternative Pfade existieren.

Vierter Fehler: Restrisiko-Akzeptanz ohne Eskalationsmechanismus. Wer akzeptiert, muss auch frühe Warnsignale definieren — KPIs, die eine Neubewertung auslösen. Ohne Trigger bleibt die Akzeptanz blind. Bewährte Trigger im Mittelstand: Bonitätsindex-Verschlechterung um zwei Stufen, Ausfall einer Auditprüfung, Veränderung des Eigentümers, Sanktionslisten-Treffer eines verbundenen Unternehmens, geopolitische Ereignisse im Herkunftsland.

Fünfter Fehler: Restrisiko nicht aggregieren. Einzelne Lieferanten-Restrisiken mögen unter dem Schwellenwert liegen — über das gesamte Portfolio summieren sich Expected Residual Losses jedoch zu einem Gesamtrisiko, das eigene Aufmerksamkeit verlangt. Eine Portfolio-Sicht ist Pflicht für die Geschäftsleitungs-Berichte. Karass empfiehlt zudem, im Verhandlungsbriefing die Portfolio-Position des einzelnen Lieferanten zu erfassen — die Verhandlungsmacht ändert sich, wenn ein Lieferant 1 % oder 12 % des kritischen Restrisikos ausmacht.

Verwandte Begriffe

  • [[inherent-risk]]
  • [[lieferantenrisikomanagement]]
  • [[risikoanalyse-lieferkette]]
  • [[klumpenrisiko-einkauf]]
  • [[lieferantenausfallrisiko]]

Alle 1.460+ Begriffe als PDF

Das komplette Procari Einkaufslexikon — kostenlos per Email.

PDF anfordern →