Zum Inhalt springen
Procari Lexikon Risikoklassen
Einkaufslexikon

Risikoklassen

Risikoklassen

Risikoklassen sind die strukturierte Taxonomie, mit der ein Einkaufsteam alle erkannten Risiken in vergleichbare Kategorien gliedert. Sie reichen von strategischen, operativen und finanziellen Risiken ueber Compliance-, Reputations- und IT-/Cyberrisiken bis zu Lieferanten-, Markt- und politischen Risiken nach COSO ERM 2017 und ISO 31000:2018.

Detaillierte Erklaerung

Risikoklassen erfuellen drei Funktionen: Vollstaendigkeit der Identifikation, Vergleichbarkeit bei der Bewertung und Zuordnung von Verantwortlichkeiten. Ohne Taxonomie diskutieren Workshop-Teilnehmer aneinander vorbei, ein und dasselbe Ereignis erscheint mehrfach unter verschiedenen Bezeichnungen, und das Management erhaelt keine vergleichbare Sicht ueber die Bereiche.

Das COSO-ERM-Framework 2017 unterscheidet vier Hauptkategorien: strategische, operative, Berichts- und Compliance-Risiken. Im Einkaufskontext hat sich eine feinere Aufteilung etabliert. Strategische Risiken umfassen falsche Make-or-Buy-Entscheidungen, fehlende Diversifikation, technologische Verschiebungen wie der Wandel zur E-Mobilitaet. Operative Risiken decken Lieferausfaelle, Qualitaetsprobleme und Logistikstoerungen ab. Finanzielle Risiken umfassen Waehrungsschwankungen, Rohstoffpreisvolatilitaet, Bonitaetsverschlechterung beim Lieferanten und Inflationseffekte. Compliance-Risiken adressieren Verstoesse gegen Sanktionen, Kartellrecht, Datenschutz, LkSG-Pflichten und IATF-16949-Vorgaben.

Reputationsrisiken entstehen aus Negativberichterstattung zu Lieferanten, Greenwashing-Vorwuerfen oder Skandalen in der Lieferkette. IT- und Cyberrisiken decken Ransomware-Angriffe auf Lieferanten, kompromittierte EDI-Schnittstellen oder Datenabfluss bei Cloud-Anbietern ab. Lieferantenrisiken im engeren Sinn umfassen Insolvenz, Klumpenrisiko, Single-Source-Abhaengigkeit und Generationswechsel. Marktrisiken adressieren Knappheiten kritischer Materialien, Kartellbildung und Preisexplosionen. Politische Risiken umfassen Sanktionen, Exportkontrollen, Embargos und Regulierungswandel wie den CBAM oder die EU-Entwaldungsverordnung.

DIN ISO 31000 verlangt keine spezifische Taxonomie, fordert aber Konsistenz. BaFin-MaRisk AT 4.2 schreibt fuer Finanzdienstleister verbindliche Risikoarten vor, was als Orientierung dient. Im Mittelstand reichen meist acht bis zwoelf Klassen; mehr fuehrt zu Pseudogenauigkeit, weniger zu Vermischung. Jede Klasse erhaelt einen Owner auf Bereichsebene (z. B. CFO fuer finanzielle Risiken, Head of Procurement fuer Lieferantenrisiken, CIO fuer Cyberrisiken) sowie Eskalationsregeln. Erfahrene Risikomanager pflegen zusaetzlich eine Sub-Taxonomie, um etwa innerhalb der Lieferantenrisiken Bonitaet, Qualitaet, Termintreue und Konzentration getrennt zu fuehren.

Praxisbeispiel (konkretes Einkaufsszenario)

Ein Hersteller von Verpackungsmaschinen mit 480 Mitarbeitern und 62 Mio Euro Einkaufsvolumen fuehrt erstmals ein strukturiertes Risikoregister ein. CFO Hendrik Bartlomey und Einkaufsleiterin Yvonne Maerklin entscheiden sich gegen die generische 4-Felder-Logik nach COSO und nutzen eine erweiterte 10-Klassen-Taxonomie, abgestimmt mit der internen Revision.

Die Klassen lauten: strategisch, operativ, finanziell, Compliance, Reputation, IT/Cyber, Lieferant, Markt, politisch und Nachhaltigkeit. Letztere wird wegen zunehmender CSRD- und LkSG-Anforderungen separat gefuehrt. Jede Klasse erhaelt einen Owner, einen Stellvertreter und ein Quartalsreview im Risikoausschuss.

Beim ersten Workshop entstehen 124 Einzelrisiken, die ueber zwei Tage den Klassen zugeordnet werden. Die Verteilung zeigt Schwerpunkte: 38 operative Risiken (vor allem Lieferausfall und Qualitaet), 22 finanzielle (Stahlpreis, USD-Kurs, drei Lieferanten mit verschlechtertem Creditreform-Index), 18 Lieferantenrisiken (Klumpenrisiko bei zwei Single-Source-Lieferanten, Generationswechsel bei einem Familienunternehmen mit 4,8 Mio Euro Jahresvolumen), 14 Compliance-Risiken (LkSG-Risikoanalyse offen, Sanktionslistenpruefung manuell), 12 Cyberrisiken, jeweils 5 bis 8 in den uebrigen Klassen.

Die Klassifizierung deckt eine Schieflage auf: 76 Prozent der Aufmerksamkeit lag bisher auf operativen Themen, waehrend strategische und Marktrisiken unterbelichtet waren. Der Vorstand priorisiert daraufhin drei Querschnittsmassnahmen: ein quartalsweises Watchlist-Meeting fuer politische und Marktrisiken mit dem Verband, ein Cyber-Lieferantenaudit fuer die zehn groessten IT-abhaengigen Lieferanten, sowie ein Mapping aller Lieferanten auf das BAFA-Risikoprofil nach LkSG.

Nach sechs Monaten zeigt der Bericht eine ausgewogene Verteilung der Massnahmen und Budgets ueber alle Klassen. Die Geschaeftsfuehrung berichtet im IDW-PS-340-Bericht erstmals klassenscharf, was vom Wirtschaftspruefer positiv gewuerdigt wird.

Typische Fehler & Verhandlungskontext

Ein klassischer Fehler ist die unklare Abgrenzung zwischen Klassen, sodass ein Risiko wie Cyberangriff auf den Lieferanten in IT/Cyber und gleichzeitig in Lieferantenrisiken auftaucht. Doppelzaehlung verzerrt die Schwerpunktanalyse. Abhilfe schafft eine Entscheidungsregel: Risiken werden nach der dominanten Ursache klassifiziert, sekundaere Auswirkungen werden in der Risikobeschreibung erwaehnt, aber nicht doppelt erfasst.

Ein zweiter Fehler ist die ueberambitionierte Taxonomie mit 30 oder mehr Klassen. Sie wirkt vollstaendig, ist aber im Workshop unbedienbar; Teilnehmer wechseln zu pragmatischen Sammelbegriffen, die Konsistenz bricht. Erfahrungswert: Zehn Klassen sind das Optimum fuer Mittelstaendler bis 1.500 Mitarbeiter, bei Konzernen oder regulierten Bereichen koennen es bis zu 15 sein.

Drittens fehlt haeufig die Verbindung zwischen Risikoklassen und Massnahmen-Owner. Wenn jede Klasse einen Verantwortlichen hat, aber keine ressortuebergreifende Steuerung existiert, bleiben Querschnittsrisiken wie Lieferketten-Resilienz unbearbeitet. Empfehlung ist eine Matrix-Verantwortung: Klassen-Owner fuer Methodik und Reporting, Massnahmen-Owner fuer die operative Umsetzung, beides klar dokumentiert.

In Lieferantenverhandlungen helfen Risikoklassen, Forderungen sauber zu begruenden. Wer eine Konventionalstrafe fuer Lieferterminverzug fordert, ordnet das Risiko der Klasse operativ zu und beziffert den Schaden. Wer ein Cyber-Audit verlangt, beruft sich auf die Klasse IT/Cyber und die wachsende Bedrohungslage. Lieferanten akzeptieren methodisch hergeleitete Forderungen eher als pauschale Vertragsverschaerfungen ohne Begruendung.

Verwandte Begriffe

  • [[risikomanagement]]
  • [[risikomatrix]]
  • [[risikoanalyse]]
  • [[lieferantenrisikomanagement]]
  • [[third-party-risk-management]]

Alle 1.460+ Begriffe als PDF

Das komplette Procari Einkaufslexikon — kostenlos per Email.

PDF anfordern →