Methode: Risikoanalyse durchführen

Die Risikoanalyse im FM ist ein strukturiertes Verfahren, um Risiken an Standorten, Gebäuden, Anlagen und FM-Services zu identifizieren, zu bewerten und in Steuerungsentscheidungen zu überführen. Methodisch folgt sie dem in ISO 31000 beschriebenen Grundprozess (Identifikation → Analyse → Evaluation → Behandlung → Monitoring/Kommunikation).

Für FM-Connect.com ist der entscheidende Praxisfokus: Risiken nicht nur als „HSE-Thema“ zu behandeln, sondern als Portfolio- und Steuerungslogik, die CAPEX/OPEX-Priorisierung, Betreiberpflichten, Service Levels, Outsourcing-Entscheidungen und Vertragsgestaltung konsistent unterstützt (Anschlussfähigkeit an ISO 41001/41012/41014).

• Risiken entlang einheitlicher Kriterien bewertet (Vergleichbarkeit),

• Risiken in Risikoklassen und Maßnahmenprioritäten übersetzt,

• eine Risikobehandlungsplanung mit Verantwortlichen, Fristen und Wirksamkeitsnachweis erzeugt,

• Risiken in Governance/Managementsystem integriert (PDCA, Reviews, kontinuierliche Verbesserung).

• Standorte (z. B. HQ, Produktion, Logistik, Retail, gemischt genutzte Areale),

• Objekte (Gebäude, Flächencluster, kritische Infrastrukturen innerhalb des Portfolios),

• Anlagen/TGA (z. B. Energieversorgung, Kälte, Lüftung, MSR, Brandschutztechnik, Aufzüge),

• Services (technisches FM, infrastrukturelles FM, Security, Helpdesk, Winterdienst etc.),

• Sourcing/Verträge (Make-or-Buy, Bündelung, Single-/Multi-Service, SLA-/KPI-Design, Risikotransfer).

• heterogene Datenlage (CAFM/ERP/HSE existieren, aber nicht konsistent),

• steigender Investitionsdruck (Backlog, Obsoleszenz, Energie-/ESG-Anforderungen),

• wiederkehrende Störungen oder Qualitätsprobleme ohne priorisierte Ursachenbehandlung,

• geplante Ausschreibung/Outsourcing oder Vertragsbündelung,

• Managementbedarf nach „Top-Risiken“ inkl. Maßnahmenplan und Kosten-/Ressourcenwirkung,

• Audit- oder Versicherungsanforderungen nach nachvollziehbarer Risikoargumentation.

Die Risikoobjekte (Standort/Objekt/Anlage/Service) müssen eindeutig definiert und in einer Taxonomie abbildbar sein. Für Vergleichbarkeit ist eine strukturierte Klassifikation, wie sie DIN EN 15221-4 für standardisierte Facility-Produkte und deren hierarchische Strukturierung adressiert, ein geeigneter Referenzrahmen.

• Bewertungslogik (P × I, Klassen, Schwellen),

• Risikoakzeptanzkriterien/„Risk Appetite“ (pro Risikokategorie ggf. differenziert),

• Vorgehen bei Datenlücken (Annahmen, Expertenschätzungen, konservative Regeln),

• Reporting- und Eskalationswege (Governance).

Eine Risikoanalyse ist nur dann wirksam, wenn sie in Managementsystem/Steuerung integriert wird – das ist anschlussfähig an die Managementsystem-Logik von DIN EN ISO 41001 (wirksame, konsistente FM-Erbringung) und an die strategische Ausrichtung nach DIN EN ISO 41014.

Die Datenbasis sollte „so viel wie nötig, so konsistent wie möglich“ sein. Im FM ist vollständige Perfektion selten erreichbar; daher ist ein definierter Datenqualitäts- und Annahmenprozess Teil der Methode.

CAFM/IWMS (Asset-/Flächenstamm, Wartungspläne, Tickets, Betreiberpflichten, Prüftermine), ERP/Controlling (OPEX/CAPEX, Kostenstellen, Umlagen), HSE-Systeme (Begehungen, Unfälle, Near Misses, Maßnahmen), Versicherungen (Schadenhistorie, Risikobesichtigungen, Empfehlungen), Wartungs- und Prüfprotokolle/Logs (Aufzugsprüfungen, Brandschutz, Elektro, Druckbehälter etc.), BMS/GLT (Alarm-/Trenddaten), Security-Logs (Zutritt, Vorfälle), Vertragsmanagement (SLAs, Pönalen, Laufzeiten, Abhängigkeiten), Bau-/Projektakten (Sanierungsstau, Mängellisten).

Wenn Daten fehlen oder unplausibel sind, wird je Risiko eine Datenqualität (DQ) dokumentiert und ein Regelwerk angewandt:

• DQ-A: belastbare Messdaten/Protokolle (z. B. 12–24 Monate Ticket- und Wartungsdaten),

• DQ-B: teilvalide Daten + Plausibilisierung (z. B. lückenhafte Logs, einzelne Audits),

• DQ-C: Expertenschätzung (strukturierte Interviews/Workshop, konservative Annahmen).

Bei DQ-C wird die Risikoklasse im Zweifel um eine Stufe konservativ behandelt, bis Messdaten vorliegen (z. B. „mittel“ → „hoch“ bei sicherheits- oder compliance-nahen Risiken). Diese Regel ist in der ISO-31000-Logik (systematische Prozessanwendung, Monitoring/Review, kontinuierliche Verbesserung) gut anschlussfähig.

In vielen FM-Praxisfällen ist nicht nur die Exposition entscheidend, sondern ob Wartung, Prüfungen, Sperrprozesse, Redundanzen und Verantwortlichkeiten wirksam greifen. Das korrespondiert mit dem ISO-31000-Fokus auf Integration, Wirksamkeit und kontinuierliche Verbesserung. 

• Risk Owner (je Risikoobjekt oder Risikokategorie): z. B. Standort-FM, Objektleiter, Service Owner, TGA-Verantwortlicher; trägt Verantwortung für Maßnahmen und Rest-Risiko.

• Risk Manager FM (Methoden-/Prozessverantwortung): moderiert, pflegt Kriterien, sorgt für Konsistenz, Qualität und Reporting (häufig FM-Connect.com im Projekt).

• HSE/Compliance: prüft sicherheits- und compliance-relevante Bewertungen, definiert Mindestanforderungen/Eskalationen.

• Controlling/Finance: validiert Kosten-/Schadensannahmen, CAPEX/OPEX-Wirkungen, Budgetpfade.

• Einkauf/Vertragsmanagement: übersetzt Risiken in Sourcing- und Agreement-Design; normativ passend zu ISO 41012 (Sourcing/Agreements).

• Steuerkreis/Management: nimmt Top-Risiken ab, entscheidet über Akzeptanz, Investitionen, Sourcing, Betriebsbeschränkungen.

Die Vorgehensstruktur folgt der ISO-31000-Prozesslogik (Risiken identifizieren, analysieren, evaluieren, behandeln; Kommunikation sowie Monitoring/Review).  Für FM empfiehlt sich ein „zweistufiges“ Setup: erst standardisiert (Matrix + Kernindikatoren), dann vertiefend (IEC-31010-Verfahren) für Top-Risiken.

• A[Identifikation] --> B[Bewertung]

• B --> C[Priorisierung]

• C --> D[Maßnahmenplanung]

• D --> E[Umsetzung]

• E --> F[Monitoring & Review]

• F --> A

Ziele, Stakeholder, Risikoobjekte (nach DIN EN 15221-4 klassifiziert), Bewertungsmaßstäbe und Akzeptanzgrenzen definieren, damit Ergebnisse vergleichbar sind. DIN EN 15221-4:2011-12

Risiken als „Szenarien“ formulieren (Ursache → Ereignis → Auswirkung), z. B. „Ausfall Kälteanlage → Temperaturüberschreitung → Produktionsunterbrechung“. Quelle: Workshops, Audits, Störungsdaten, Versicherungsberichte, Betreiberpflichten, Vertragsrisiken.

Standard-Scoring: Wahrscheinlichkeit P und Auswirkung I bewerten (Skala 1–5 oder 0–100). Ergebnis: Risikoscore pro Szenario.

• Skalenvorschlag (1–5) für Wahrscheinlichkeit P 1 selten (≤1×/10 J), 2 unwahrscheinlich (1×/5–10 J), 3 möglich (1×/1–5 J), 4 wahrscheinlich (mehrmals/Jahr), 5 fast sicher (monatlich/fortlaufend).

• Skalenvorschlag (1–5) für Auswirkung I 1 gering (keine Verletzung, <10k€, <2 h), 2 moderat (kleine Störung, <50k€, <8 h), 3 erheblich (wiederherstellbar, 50–250k€, 1 Tag), 4 groß (wesentliche Beeinträchtigung, 250k–1 Mio, 1–3 Tage), 5 kritisch (schwerer Personenschaden/Behördenwirkung/Stillstand, >1 Mio, >3 Tage).

• Basisformel R = P × I (Range 1–25)

• Optionale 0–100-Normierung (für Dashboards/BI) R₁₀₀ = (R / 25) × 100

Risiken werden in Klassen eingeteilt und gegen Akzeptanzkriterien bewertet; ISO 31000 betont hierfür die systematische Prozessanwendung sowie Monitoring und Kommunikation. ISO 31000:2018

• 1–4 niedrig: akzeptieren/monitoren

• 5–9 mittel: behandeln im Planungszyklus

• 10–16 hoch: priorisiert behandeln + Eskalation an Führung

• 17–25 kritisch: sofortige Maßnahmen / Betriebsrestriktion prüfen

Wenn mehrere Szenarien je Objekt/Standort/Service vorliegen, braucht es Aggregationsregeln.

• Worst-Case-Regel (robust und schnell): Objektrisiko R_obj = max(R_szenario)

• Gewichtete Aggregation (differenzierter, aber aufwändiger): Zuerst je Risikokategorie k (z. B. HSE, Compliance, Verfügbarkeit, Finanzen, Umwelt) das Maximum oder den Durchschnitt der Szenarien bilden: R_k = max(R_szenario∈k) Dann Gesamtwert (0–100) berechnen: R₁₀₀,obj = Σ (w_k × (R_k/25) × 100), mit Σw_k=1.

HSE/Compliance 0,40; Verfügbarkeit 0,25; Finanzen 0,20; Umwelt/ESG 0,10; Reputation/sonstiges 0,05.

Maßnahmenarten (typisch): vermeiden (Stop/Änderung), reduzieren (Kontrollen/Wartung/Redundanz), übertragen (Versicherung/Vertrag), teilen (Partner), akzeptieren (bewusst, dokumentiert). ISO 31000 sieht Risikobehandlung als integralen Prozessschritt und adressiert Ressourcenallokation zur Behandlung.

Kontinuierliches Monitoring und Review sind Kernelemente des ISO-31000-Ansatzes; zudem unterstützt DIN EN 15221-4 die PDCA-Orientierung im FM-Kontext.

Eine 5×5-Heatmap verbessert Priorisierung und Kommunikation (Management, Einkauf, Betrieb). Eine Beispiel-Heatmap (R = P×I) ist als Datei verfügbar: Download der Beispiel-Heatmap

• Risk Register (Risikoszenarien, P/I/R, Klasse, Owner, Maßnahmen, Termine, Status, Residualrisiko, Datenqualität),

• Heatmap je Portfolioebene (Standort/Objekt/Service),

• Top-Risiken-Liste mit Maßnahmen- und Budgetpfad (CAPEX/OPEX),

• Eskalations- und Entscheidungsprotokolle (Akzeptanz vs. Behandlung),

• Sourcing-/Vertrags-Implikationen (z. B. kritische Leistungen nicht ohne Redundanz/Notfallkonzept vergeben; SLA-/KPI-Anpassung), anschlussfähig an ISO 41012.

• Review- und Audit-Nachweise (PDCA/Managementsystem-Anschluss).

Die Methode liefert Vergleichbarkeit über Standorte/Objekte/Services, wenn Taxonomie und Datenstruktur konsistent sind (DIN EN 15221-4).

Sie ermöglicht schnelle Priorisierung durch Standard-Scoring und liefert zugleich eine normativ anschlussfähige Prozesslogik (DIN/ISO 31000), inklusive Kommunikation und Review.

Sie ist managementsystemfähig (ISO 41001) und strategie- sowie sourcing-relevant (ISO 41014/41012), weil Risiken explizit in Entscheidungen über Service-Design, Betreiberorganisation und Verträge übersetzt werden.

• Betreiberpflichten- und Compliance-Risiken (Prüf-/Wartungsregime, Audits)

• Verfügbarkeits-/Resilienzrisiken in kritischen Standorten oder Prozessen

• Investitionspriorisierung (Backlog, Obsoleszenz, Redundanz)

• Sourcing/Outsourcing und Vertragsgestaltung (kritische Leistungen, SLA-Design)

• HSE und Security als integrierte FM-Steuerung

• Post-Merger-Integration (Harmonisierung von Standards, Risikotransparenz)

• DIN EN 15221-4:2011-12 – Taxonomie, Klassifikation und Strukturen im FM (Datenmanagement, Kostenumlage, Benchmarking, PDCA-Erweiterung).

• DIN EN ISO 41001:2018-09 – Anforderungen an FM-Managementsysteme (Wirksamkeit/Effizienz, konsistentes Erfüllen von Anforderungen).

• DIN EN ISO 41014:2021-10 – Entwicklung einer FM-Strategie (Schritte/Prinzipien zur Ableitung aus Kerngeschäftsstrategie).

• DIN EN ISO 41012:2018-08 und ISO 41012:2017 – Guidance zu strategischem Sourcing und Agreements im FM; Revisionsstand (DIS/EN-Entwurf) 2026 beachten.

• DIN ISO 31000:2018-10 / ISO 31000:2018 – Risikomanagement-Leitlinien, Prinzipien, Rahmenwerk und Prozess.

• DIN EN IEC 31010 – Anleitung zur Auswahl und Anwendung von Risikobeurteilungstechniken.

• ISO-Handreichung „Risk management – a practical guide“ (ISO/UNIDO) als Implementierungsunterstützung, inkl. Rollen, Kommunikation, Monitoring/Review und Verbesserung.

Tooling sollte zwei Ziele unterstützen: erstens „single source of truth“ für Risikoobjekte und Ereignisdaten, zweitens schnelle Visualisierung/Entscheidungsvorbereitung.

• CAFM/IWMS/CMMS: Asset-/Flächenstamm, Wartung/Tickets, Betreiberpflichten, Prüfkalender, Maßnahmenstatus.

• ERP/Financials: Kostendaten, Investitionsplanung, Kostenstellen/Umlagen, Schadenskosten.

• HSE-Systeme: Begehungen, Unfälle/Near Misses, Gefährdungsbeurteilungen, Maßnahmen-Tracking.

• Versicherungsdaten: Schadenhistorie, Risikobesichtigungen, Empfehlungen/Obliegenheiten.

• BI/Dashboards: Risiko-Heatmaps, Top-Risiken, Trendanalysen, Wirksamkeitsmonitoring.

• Risikoregister-Template (standardisiert, versioniert): Szenario, P/I/R, Klasse, Owner, Maßnahme, Termin, Status, Residualrisiko, Datenqualität.

• kritische Risiken (17–25): wöchentliches Review bis Stabilisierung, danach monatlich.

• hohe Risiken (10–16): monatlich (Status, Wirksamkeit, Rest-Risiko).

• mittlere Risiken (5–9): quartalsweise.

• niedrige Risiken (1–4): jährlich, plus anlassbezogen.

- schwerer Vorfall/Near Miss, Auditfindings (kritisch), relevante Anlagenänderung, Betreiberwechsel, wesentliche Leistungsstörung, Vertrags-/Sourcingwechsel, Standortstrategieänderung.

• Akzeptanzregel: Risiken der Klasse „niedrig“ können vom Risk Owner akzeptiert werden; „mittel“ erfordert dokumentierten Maßnahmenplan im Planungszyklus; „hoch“ erfordert Eskalation an FM-Leitung/Steuerkreis, Budget-/Ressourcenzuordnung; „kritisch“ erfordert sofortige Behandlung und Management-Eskalation (inkl. Prüfung operativer Einschränkungen).

• Sicherheits-/Compliance-Vorrangregel: Bei Auswirkungsstufe I=5 (z. B. potenziell schwerer Personenschaden/behördliche Stilllegung) wird unabhängig von P mindestens „hoch“ behandelt (konservatives Prinzip).

• Datenlückenregel: DQ-C → konservative Einstufung oder zeitlich befristete „Interimsmaßnahme“ + Datenerhebungspfad.

Diese Regeln entsprechen dem Zweck, Risiko strukturiert in Entscheidungen und Ressourcenallokation zu überführen (ISO-31000-Logik).

Die folgende Matrix ist eine Beispielausprägung (5×5; R=P×I). Die Maßnahmentexte sind als Standardzuordnung gedacht und werden je Kunde (Risikoappetit, Regulatorik, Kritikalität) angepasst.

• niedrig (1–4): akzeptieren, Standardkontrollen beibehalten, Review jährlich.

• mittel (5–9): Maßnahmenplan erstellen, Umsetzung typ. ≤6–12 Monate, Review quartalsweise.

• hoch (10–16): priorisierte Behandlung, Ressourcen/Budget zuweisen, Umsetzung typ. ≤4–8 Wochen (oder nächstmöglicher Shutdown/Turnaround), Review monatlich.

• kritisch (17–25): Sofortmaßnahmen (z. B. Sperren, Redundanz aktivieren, Notbetrieb), Eskalation Steering/Management, Umsetzung typ. ≤24–72 h (HSE/Compliance) bzw. ≤1–2 Wochen, Review wöchentlich bis Risiko unter „hoch“ fällt.