Risikoidentifikation 

Sämtliche Maßnahmen, die der Identifikation und Bewertung von Risiken dienen, werden zusammenfassend als Risikoanalyse oder Risikofrüherkennung bezeichnet. Ergebnis dieser Risikoanalyse ist das Risikoinventar. Durch dieses erhält die verantwortliche Führungskraft steuerungsrelevante Informationen über Ereignisse, die sich günstig oder ungünstig auf das angestrebte Ziel auswirken können.

Die Bewertung der Risiken erfolgt durch die Einschätzung der voraussichtlichen Eintrittswahrscheinlichkeit eines Ereignisses und dessen angenommene Auswirkungen auf das Ziel. Der Begriff der Auswirkung wird auch als Impact bezeichnet. In der freien Wirtschaft werden Auswirkungen stets in Geldbeträgen dargestellt. Ob dies auch für den öffentlichen Sektor so gelten kann, ist umstritten. Die übergeordneten Aufgaben der Gemeinwohlsicherung bzw. Wohlfahrtspflege sprechen dafür, dass etwa Personen- und Umweltschäden nicht in einen Geldwert umgerechnet werden dürfen. Gleiches gilt für die Erfüllung von Pflichtaufgaben. Deren Ausführung ist gesetzlich vorgeschrieben und darf nicht mit einem finanziellen Schaden abgewogen werden.   

Folgt man dieser Auffassung, sind die unterschiedlichen Folgen des Ereignisses getrennt darzustellen und zu bewerten. Hierfür werden Folgekategorien gebildet, die festlegen, welche Auswirkungen vermieden werden sollen.

Risikofolgekategorien

Beispiel: Ein mit Chemikalien beladener Tanklastwagen rutscht im Winter von einer vereisten Straße in einen Straßengraben und kippt um. Dabei verletzt sich der Fahrer. Durch die auslaufenden Chemikalien wird das Grundwasser verunreinigt. Hier löst der Unfall als Ereignis verschiedene Folgen aus: finanzielle Schäden (beschädigter LKW, Bergung, Reinigung), einen Personenschaden (verletzter Fahrer), einen Umweltschaden und gegebenenfalls noch einen Imageschaden für die Kommune, der die Räum- und Streupflicht oblag.
Risikobewertung
Ist ein Risiko erkannt und bewertet, obliegt es der Führungskraft, zu entscheiden, ob und wenn in welcher Weise diese Risiken gemanagt werden sollen. Der Begriff Risikomanagement geht also über den Begriff der Risikoanalysehinaus und umfasst neben den Maßnahmen der Identifikation und Bewertung, auch solche der Steuerung von Risiken.  

Gerade im öffentlichen Sektor tun sich viele Führungskräfte und Beschäftigte schwer, eine eindeutige Aussage bezüglich der Höhe der Eintrittswahrscheinlichkeit und der Auswirkung zu treffen. Oft werden Risiken gar nicht als quantifizierbar eingeschätzt, was an einer fehlenden Bereitschaft, Risiken anzuerkennen und in Entscheidungen zu berücksichtigen (siehe Risiko-Umfeld), liegen kann. Es kann aber auch daran liegen, dass methodische Unsicherheiten bei der Risikobewertung bestehen.

Im öffentlichen Sektor liegen häufig keine ausreichenden Daten vor, um die Eintrittswahrscheinlichkeit oder die Auswirkung des Risikos beziffern zu können. Dies darf aber nicht dazu verleiten, auf eine Risikoquantifizierung zu verzichten. Denn ein nicht quantifiziertes Risiko wird im Rahmen des Risikomanagements nicht berücksichtigt und damit faktisch mit Null quantifiziert. Dem Risiko wird damit tatsächlich eine Eintrittswahrscheinlichkeit oder Auswirkung in Höhe von Null zugeordnet, weil es eine Nicht-Quantifizierung im Risikomanagement nicht gibt. Nicht-Quantifizierung ist Null-Quantifizierung und damit in jedem Fall eine falsche Bewertung des Risikos.  
Naheliegender Weise sollte man also versuchen, die Bewertung mit den besten verfügbaren Informationen vorzunehmen. Liegen keine historischen Daten oder andere Vergleichswerte vor, so wird das Risiko durch Experten aus der Verwaltung subjektiv geschätzt. Die Verwendung der subjektiven Schätzung zur Quantifizierung von Risiken ist im Risikomanagement seit dem Jahr 1977 durch die Dissertation „Ökonomische Entscheidungen bei Ungewissheit“ von Prof. Hans-Werner Sinn anerkannt.
Matrix.png

Basierend auf dieser Einschätzung werden insbesondere für Chancen und Risiken mit hoher Eintrittswahrscheinlichkeit und großen Auswirkungen Steuerungsmaßnahmen ergriffen. Die Eintrittswahrscheinlichkeit ist prozentual oder zeitlich definiert. Wenn keine statistisch belastbaren Werte vorliegen, wird die Eintrittswahrscheinlichkeit (wie eben dargelegt) qualifiziert geschätzt.

EW.png
Jede Folgekategorie muss einzeln bewertet werden. Hierfür ist es erforderlich, dass die jeweilige Höhe der Auswirkung klar definiert wird. Eine Bewertung könnte nach folgender Skala erfolgen: 
Folgen.png