Voraussetzung und Ausgangspunkt für einen effizienten Risk Management Prozess ist eine möglichst vollständige Risikoidentifikation. Die Risikoidentifikation sollte prozessorientiert erfolgen und in unterschiedliche Risikobereiche untergliedert werden (Unternehmensführung, Einkauf, Fertigung, Infrastrukturbereiche, Marketing, Qualitätsmanagement, Brandschutz, Arbeitsschutz, Umweltschutz, EDV, Transport etc.).

Die Technik der Risikoidentifikation sollte auf die spezifische Risikosituation des Unternehmens abgestimmt sein. Insbesondere sollten möglichst alle Risiken erfasst werden und schnell zu präzisen und verwertbaren Ergebnissen führen.

Nach der Risikobewertung sollten alle Risiken gegliedert nach ihren finanziellen Auswirkungen und der Eintrittswahrscheinlichkeit in einem Risikoinventar bzw. einem Risk Map zusammengestellt werden.

Nach der Risikoidentifikation geht es nun bei der Risikobewertung darum, die erkannten Risiken zu quantifizieren oder zumindest qualitativ zu gewichten. Bei der Risikobewertung bedient man sich verschiedener Instrumente und Methoden:

• Szenario Technik
• Value at Risk
• ABC-Analyse
• Scoring-Modelle
• Risk-Map 
• Monitoring Teams
• Sensitivitätsanalysen
• Fuzzy Mathematics
• PML bzw. MPL Analysen
• etc.

Eine Übersicht und Beschreibung der Methoden finden Sie im RiskNET Glossar! 

Bei der Beurteilung eines Grossschadenrisikos wird beispielsweise der MPL (Maximum Possible Loss) oder der PML (Probable Maximum Loss) ermittelt. Für ein Unternehmen ist es darüber hinaus wichtig zu erfahren mit welcher Wahrscheinlichkeit eine individuelle Schadenhöhe überschritten wird.

In der Praxis wird die Schadeneintrittswahrscheinlichkeit häufig auch qualitativ nach den Kategorien "sehr gering", "gering", "mittel", "hoch" sowie "sehr hoch" gewichtet. Insbesondere Risiken hinsichtlich Marktverlust bzw. Imageverlust können so besser abgebildet werden.

Die Risikobewertung ist Teil der Risikoanalysemethode, die basierend auf statistischen Datenmaterial, Systemanalysen, Fehlerbaumanalysen oder Störfallablaufanalyse (siehe RiskNET Glossar) die Unternehmensrisiken quantifizieren. Stossen die quantitativen Verfahren an ihre Grenzen, so bedient man sich qualitativer Methoden bzw. Aussagen.

Alle Erkenntnisse der Risikoanalyse (Risikoidentifikation und -bewertung) fliessen entweder in ein Risikoinventar oder in ein RiskMap (siehe Abbildung oben). In komprimierter und übersichtlicher Form werden die Risiken eines Unternehmens abgebildet, um so den Entscheidungsträgern einen Überblick über die Risikolage des Unternehmens und insbesondere die wirtschaftliche Bedeutung zu geben. Wichtig in diesem Zusammenhang ist das Ziel der betriebswirtschaftlichen optimalen Sicherheit, d.h. Sicherheit darf nicht das originäre Ziel eines Unternehmens sein.