Risikoanalyse
Facility Management: Methoden » Strategisches FM » Risiko, Resilienz & Notfallmanagement » Risikoanalyse
Risikoanalyse im Facility Management
Executive SummaryEine Risikoanalyse im Facility Management (FM) schafft ein belastbares, vergleichbares Lagebild darüber, welche Risiken (z. B. Verfügbarkeit, Betreibercompliance, HSE, Kosten, Security, Lieferketten, Daten/IT) in einem Portfolio aus Standorten, Objekten, Services und Dienstleistern bestehen, wie groß sie sind (Wahrscheinlichkeit × Auswirkung) und welche Maßnahmen daraus priorisiert umzusetzen sind. Die Methode ist dann besonders wirksam, wenn sie konsequent mit einer FM‑Taxonomie und Datenstruktur umgesetzt wird: DIN EN 15221‑4 beschreibt Taxonomie als Klassifizierungssystem für verbessertes Informationsmanagement, fordert die Ausrichtung an Geschäftsprozessen und benennt als Elemente u. a. Beziehungsmodell, Produkt-/Dienstleistungsstruktur und Klassifizierungssystem.
Für die risikobasierte Logik liefert DIN ISO 31000 einen anerkannten Leitlinienrahmen für Risikomanagement; sie beschreibt darin u. a. den Kernprozess aus Risikoidentifizierung, Risikoanalyse (Verstehen von Natur/Charakteristika/Ausmaß) und Risikobewertung (Vergleich mit Risikokriterien).
Risikoanalyse im Facility Management durchführen
- Verweise
- Einführung
- Anwendung
- Ausgangssituation
- Voraussetzungen
- Daten
- Rollen
- Vorgehen
- Governance und Review‑Zyklen
- Ergebnisse, Vorteile, Grenzen und Einsatzbereiche
- Vorteile
- Grenzen
- Einsatz
- Tools
Verweise
DIN EN 15221‑4: Taxonomie als Klassifizierungssystem, Ausrichtung an Geschäftsprozessen, Beziehungsmodell und Produkt-/Dienstleistungsstruktur.
EN‑15221‑4 Norm‑Entwurf (2018‑12): beschreibt u. a. PDCA‑Prozessdimension und standardisierte Facility‑Produkte als Grundlage für Datenmanagement, Kostenumlage und Benchmarking (als historisch/entwurfsbezogene Vertiefung).
DIN ISO 31000: Leitlinien für Risikomanagement; DIN Media beschreibt den Nutzen als Unterstützung von Wertschöpfung und -erhaltung und die Anwendbarkeit als global anerkannten Maßstab.
DIN Media‑Risikomanagementseite: Risikoidentifizierung, Risikoanalyse, Risikobewertung als Kernprozess (Abschnitt 6 der Norm).
ISO 41001 (und Amendment 1: 2024): Anforderungen an FM‑Managementsystem; Climate‑Action‑Änderung als Kontextsignal.
ISO 41012 (inkl. DIS‑Hinweis): Guidance zu strategischem Sourcing und Agreements; Rollen/Verantwortlichkeiten und Agreement‑Modelle.
ISO 41014: Strategieentwicklung, Szenarien und Risiken, Alignment zu Kerngeschäft.
Prinzip der Risikodimensionen (Schwere + Wahrscheinlichkeit): Bayerisches Landesamt für Datenschutzaufsicht
Delphi‑Methode als strukturierte Expertenschätzung: Statistisches Bundesamt.
Normungskontext: DIN und International Organization for Standardization als zentrale Quelleninstanzen für die genannten Normen.
Einführung in die Methode
Die Methode „Risikoanalyse durchführen“ ist ein strukturierter Prozess, der Risiken systematisch identifiziert, analysiert, bewertet und behandelt sowie laufend überwacht. DIN Media beschreibt den Kernprozess in ISO 31000 als Risikoidentifizierung, Risikoanalyse (Natur/Charakteristika/Ausmaß verstehen) und Risikobewertung (Vergleich mit Risikokriterien).
Damit Risiken im FM portfoliofähig und vergleichbar werden, wird die Risikoanalyse an eine einheitliche Service-/Produktstruktur gekoppelt: DIN EN 15221‑4 beschreibt Taxonomie als Klassifizierungssystem für verbessertes Informationsmanagement und fordert die Ausrichtung der Taxonomie an Geschäftsprozessen; die Taxonomie beinhaltet ein Beziehungsmodell, eine Produkt-/Dienstleistungsstruktur und ein Klassifizierungssystem.
Ziel der Methode
Ziel ist eine belastbare Entscheidungsgrundlage für Priorisierung, Investitionen, Maßnahmensteuerung, Sourcing und Governance: ISO 41001 beschreibt als Kontext für ein FM‑System u. a. wirksame/effiziente Leistungserbringung zur Unterstützung der Demand‑Organisation, konsistentes Erfüllen von Stakeholder‑Erfordernissen und anwendbaren Anforderungen sowie Nachhaltigkeit.
Anwendungsbereich
Die Methode ist anwendbar auf Standorte, Gebäude, Anlagencluster (TGA), Services (z. B. Security, Cleaning, Instandhaltung), Provider/Verträge sowie FM‑Programme (Masterplanung, Transition, Standardisierung). ISO 41012 ist hierbei relevant, weil sie Guidance zu strategischem Sourcing und der Entwicklung von Vereinbarungen liefert und explizit Rollen/Verantwortlichkeiten sowie Agreement‑Strukturen hervorhebt. [5] ISO 41014 ist relevant, weil sie FM‑Strategieentwicklung mit Zukunftsszenarien und Risiken verknüpft.
Typische Ausgangslagen sind:
heterogene Datenbasis (CAFM/ERP/HSE nicht sauber gemappt), unklare Risikokriterien (was ist „hoch“), unterschiedliche Eskalationskulturen je Standort und Provider, sowie inkonsistente Service-/Leistungsdefinitionen. DIN EN 15221‑4 adressiert die Beseitigung von Harmonisierungshindernissen durch Taxonomie/Struktur und die Ausrichtung an Geschäftsprozessen.
Voraussetzungen
Erforderlich sind: definierter Scope (Portfolioeinheiten), Risikokriterien (Skalen/Schwellen), Datenzugang, Rollen/Owner, sowie ein Review‑Rhythmus. PDCA‑Fähigkeit ist in einem späteren EN‑15221‑4‑Norm‑Entwurf explizit als Erweiterung des FM‑Grundmodells um eine Prozessdimension (Plan‑Do‑Check‑Act) beschrieben.
Für eine praxistaugliche Risikoanalyse im FM werden mindestens folgende Datenfelder benötigt (als Template):
Standort/Objekt, Service/Facility‑Produktcode (Taxonomie), Asset‑IDs, Ereignis-/Störhistorie, Prüf-/Wartungsstatus, Backlog, Kosten-/Budgetdaten, SLA‑Performance, Vertragsklauseln/Fristen, Versicherungsdeckung, sowie Nachweise/Artefakte (Auditprotokolle, Wartungslogs, Anbieterreports). Die Verankerung von „FM information systems“ und Agreements im Sourcing‑Kontext wird in ISO 41012 ausdrücklich als Anwendungsbereich genannt und legitimiert die Integration von Informationssystem- und Vertragsdaten.
Ein robustes Rollenmodell orientiert sich an Managementsystem‑Logik (ISO 41001) und an der Notwendigkeit, Sourcing/Agreements einzubinden (ISO 41012):
Sponsor/Steering (Risikokriterien, Budget- und Eskalationsentscheide)
FM‑Portfolio Owner (Taxonomie/Portfoliovergleich, Priorisierung)
Risk Owner je Risiko (Umsetzung/Wirksamkeit)
Data Owner (CAFM/ERP/HSE/Verträge)
Procurement/Contract Owner (SLA‑Risiken, Vertrags-/Penalty‑Exposure)
HSE/Compliance Owner (rechtliche Pflichten, Audits)
Provider Manager (Leistungs- und Provider‑Risiken)
Tabelle Indikatoren, Definitionen, Quellen, Skalen, Gewichte
Die Auswahl orientiert sich an FM‑Praxis und wird normativ über die Kombination aus Taxonomie/Informationsmanagement (DIN EN 15221‑4), Risikoprozesslogik (DIN ISO 31000) und Sourcing-/Agreement‑Einbindung (ISO 41012) abgesichert.
| Indikator | Definition | Primäre Datenquelle | Skala | Gewicht (Beispiel) |
|---|---|---|---|---|
| Prüf-/Wartungscompliance | Anteil fristgerechter Prüfungen/Wartungen (kritische Pflichten separat) | CAFM/CMMS, HSE | 0–100 oder 1–5 | 12,00 |
| Backlog € | Wert/Volumen überfälliger Instandhaltungsmaßnahmen | CAFM/CMMS, ERP | € + 0–100 | 10,00 |
| Störungsrate | Ungeplante Ausfälle je Zeitraum (kritische Anlagen separat) | Wartungslogs, CAFM, BMS | 0–100 | 8,00 |
| MTTR / Wiederherstellungszeit | Zeit bis Wiederherstellung kritischer Services | CAFM/ITSM, BMS | Stunden + 0–100 | 7,00 |
| Kritikalität des Services | Bedeutung für Kerngeschäft/Standort (Business Bedeutung) | Workshops, Strategie | 1–5 → 0–100 | 10,00 |
| Vertragliche SLA Lücke | Differenz Soll-SLA vs. Ist Performance; relevante Klauseln | Vertragsdaten, CAFM | 0–100 | 8,00 |
| Penalty Exposure | Potenzieller Malus/Vertragsstrafe aus SLA Verletzungen | Vertragsdaten, Controlling | € + 0–100 | 6,00 |
| OPEX €/m² | Betriebskostenkennzahl (vergleichbar definiert) | ERP/Controlling + Flächen | € + 0–100 | 6,00 |
| CAPEX Forecast vs. Baseline | Abweichung Forecast gegenüber Freigabe/Baseline | Projektcontrolling | % + 0–100 | 7,00 |
| HSE Incident Index | sicherheitsrelevante Vorfälle/Near Misses je Zeitraum | HSE System | 0–100 | 10,00 |
| Versicherungsdeckung | Deckungssumme/Selbstbehalt vs. Worst Case Schaden | Versicherer, Risk Mgmt | 1–5 → 0–100 | 5,00 |
| Datenqualität (DQ) | Vollständigkeit/Aktualität/Konsistenz der Kernfelder | Data Profiling | 0–100 | 11,00 |
Diese Matrix ist ein praxistaugliches Startmodell (P×I), kompatibel mit der risikobasierten Grundidee „Schwere und Wahrscheinlichkeit“ als zentrale Dimensionen.
| Wahrscheinlichkeit Auswirkung | 1 | 2 | 3 | 4 | 5 |
|---|---|---|---|---|---|
| 1 | 1 Delegieren | 2 Delegieren | 3 Beobachten | 4 Beobachten | 5 Planen |
| 2 | 2 Delegieren | 4 Beobachten | 6 Beobachten | 8 Planen | 10 Planen |
| 3 | 3 Beobachten | 6 Beobachten | 9 Planen | 12 Planen | 15 Sofort handeln |
| 4 | 4 Beobachten | 8 Planen | 12 Planen | 16 Sofort handeln | 20 Sofort handeln |
| 5 | 5 Planen | 10 Planen | 15 Sofort handeln | 20 Sofort handeln | 25 Sofort handeln |
Vorgehensstruktur
Die Prozesskette folgt dem in DIN ISO 31000 beschriebenen Kernprozess: Risikoidentifizierung, Risikoanalyse, Risikobewertung.
Identifikation (Risiko finden und beschreiben)
Risikoquellen je Service/Asset/Standort erfassen (z. B. Betreiberpflichten, Ausfall TGA, Providerfähigkeit, Daten/IT, Lieferketten).
Strukturierung über FM‑Produkt-/Servicekatalog (DIN EN 15221‑4 Taxonomie).
Bewertung (Natur/Charakteristika/Ausmaß verstehen)
P/I‑Scoring nach definierter Skala; evidenzbasierte Begründung (Logs, Auditfinding, Wartungsprotokoll).
Ergänzend: Kritikalität und Umsetzbarkeit als Steuerungsdimension (Praxisvorschlag).
Priorisierung (Vergleich mit Risikokriterien)
Heatmap, Schwellenwerte und Worst‑Case‑Gates festlegen; Entscheidungsvorlage für Steering.
ISO 41014 liefert die Brücke, Risiken/Szenarien in FM‑Strategie und Masterplanung zu integrieren.
Maßnahmen (Risikobehandlung)
Vermeidungs-/Minderungs-/Transfer-/Akzeptanzmaßnahmen definieren; Maßnahmenowner, Termin, CAPEX/OPEX‑Einordnung.
Vertrags-/Providermaßnahmen (z. B. SLA‑Anpassung, Notfall‑Klauseln) entlang ISO 41012.
Monitoring (PDCA‑Betrieb)
Regelmäßige Reviews, Wirksamkeitsmessung, Aktualisierung der Risikokriterien. Die PDCA‑Prozessdimension ist in einem EN‑15221‑4‑Norm‑Entwurf als Erweiterung des FM‑Grundmodells beschrieben.
Empfohlene Review‑Frequenzen (Praxisvorschlag; je Risikoappetit adaptieren):
Monatlich: operatives/taktisches Risk Review (Top‑Risiken, Maßnahmenstatus, neue Findings)
Quartalsweise: Portfolio‑Repriorisierung (Standortcluster, Providerperformance, Budgetfenster)
Jährlich: Strategie‑Refresh (ISO 41014: Szenarien- und Risikobetrachtung im FM‑Strategieprozess).
Entscheidungsregeln Go / Go‑mit‑Auflagen / No‑Go
Go: Risikokriterien/Skalen sind abgestimmt, Risk Register ist vollständig für kritische Services, Worst‑Case‑Risiken haben direkte Maßnahmen, Datenqualität in Kernfeldern mindestens DQ‑B. (Praxisvorschlag, abgestützt durch ISO 41001 Ziel „konsistent Anforderungen erfüllen“.)
Go‑mit‑Auflagen: hoher Nutzen, aber DQ‑C‑Annahmen in kritischen Bereichen → Validierungsplan und ggf. Delphi‑Runde verpflichtend.
No‑Go: keine vergleichbare Struktur/Taxonomie und keine nachvollziehbaren Risikokriterien; dann zuerst Daten-/Taxonomie‑Fundament nach DIN EN 15221‑4 herstellen.
Ergebnisse sind:
Risiko Register (Portfoliofähig: Standort/Service/Asset/Provider, Evidenzen, Scores, Owner, Maßnahmen),
Heatmap und Top Risiken Liste,
Maßnahmenprogramm (CAPEX/OPEX, Zeitplan, Verantwortliche),
Governance Kalender (Reviews, Eskalationsgates),
Risiko-/Provider Anforderungen für Agreements (ISO 41012) und Strategieabgleich (ISO 41014).
Vorteile der Methode
Vergleichbarkeit und Steuerbarkeit durch Taxonomie/Struktur (DIN EN 15221‑4).
Klarer Risikoprozess (DIN ISO 31000), der von Identifikation über Analyse und Bewertung bis zur Entscheidung über den Umgang führt.
Anschluss an FM‑Systemanforderungen (ISO 41001) sowie Sourcing-/Agreement‑Steuerung (ISO 41012) und strategische Szenarien (ISO 41014).
Grenzen der Methode
Die Methode ist abhängig von Datenqualität, Bewertungsdisziplin und Governance‑Konsequenz (Owner/Eskalationen). DIN EN 15221‑4 adressiert Informationsmanagement und Harmonisierung, aber die Umsetzung liegt bei der Organisation.
Schwellenwerte sind kontextabhängig (Risikoappetit, Kerngeschäft, Standortkritikalität); ISO 41014 betont deshalb die Übereinstimmung von FM‑Anforderungen mit Zielen/Einschränkungen und die Betrachtung von Szenarien/Risiken.
Typische Einsatzbereiche
Betreiberpflichten/Compliance‑Risiken (Prüf-/Wartungsregime, auditbasierte Findings)
Verfügbarkeits- und Ausfallrisiken kritischer TGA/Versorgungsanlagen
Provider- und Vertragsrisiken (SLA‑Lücken, Penalty‑Exposure, Transitionfenster) gemäß ISO 41012‑Sicht.
Budget-/Masterplanentscheidungen (CAPEX‑Wellen, Backlog‑Abbau, Redundanzinvests) im Sinne einer FM‑Strategieentwicklung mit Szenarien/Risiken (ISO 41014).
Tools
Daten-/Systemlandschaft (typisch): CAFM/IWMS/CMMS (Assets, Wartung, Störungen, Backlog), ERP/Controlling (Kosten/Budget), BMS/GLT (Evidenz/Alarme), HSE/Compliance‑Systeme (Auditfindings/Incidents), Vertrags-/Provider‑Management (SLA/Fristen/Pönalen), BI‑Dashboards (Heatmaps, Trends). Die Einbindung von FM‑Informationssystemen und Agreements wird im Anwendungsbereich von ISO 41012 explizit genannt.