Präsentation Risikomanagement im FM
Risiken erkennen, bewerten, steuern und überwachen
Risikomanagement im Facility Management ist ein systematischer Führungs- und Steuerungsprozess zur Identifikation, Bewertung, Behandlung und Überwachung von Risiken im Gebäudebetrieb. Es verbindet Betreiberverantwortung, Arbeitsschutz, Brandschutz, technische Anlagen, Instandhaltung, Dokumentation, Dienstleistersteuerung, Verträge, Kosten, Compliance, Notfallmanagement und strategische Unternehmensziele
FM-Connect beschreibt Risikomanagement als Führungsaufgabe. Das Management definiert die Risikopolitik, leitet daraus Ziele zur Risikohandhabung ab und steuert den Risikomanagementprozess als kontinuierlichen Regelkreis. Ziel ist es, Risiken sichtbar, berechenbar und steuerbar zu machen.
Facility Management betreibt die physische und technische Infrastruktur eines Unternehmens. Daraus entstehen vielfältige Risiken: technische Ausfälle, nicht erfüllte Betreiberpflichten, fehlende Prüfungen, Brandschutzmängel, unsichere Arbeitsmittel, unklare Verantwortlichkeiten, schlechte Dokumentation, Dienstleisterausfälle, Cyber- und OT-Risiken, Energieversorgungsrisiken, Kostensteigerungen, Vertragsrisiken und Reputationsschäden.
Risikomanagement stellt sicher, dass diese Risiken nicht nur reaktiv nach einem Ereignis behandelt werden. Es schafft einen geordneten Prozess, um Risiken frühzeitig zu erkennen, ihre Eintrittswahrscheinlichkeit und Auswirkungen zu bewerten, geeignete Maßnahmen festzulegen, Verantwortlichkeiten zuzuordnen und die Wirksamkeit der Maßnahmen zu überwachen.
Der internationale Referenzrahmen ist ISO 31000. Die Norm beschreibt Grundsätze, Rahmenwerk und Prozess des Risikomanagements und umfasst nach ISO-Angaben unter anderem Identifikation, Analyse, Bewertung, Behandlung, Überwachung und Kommunikation von Risiken über eine Organisation hinweg. Die Ausgabe ISO 31000:2018 wurde 2023 überprüft und als weiterhin aktuell bestätigt.
Was zeigt die Präsentation?
Die Präsentation zeigt Risikomanagement als geschlossenen Managementkreislauf. Am Anfang steht die Systemdefinition: Der Geltungsbereich, die betrachteten Geschäftsprozesse, Systeme, Technologien, Schnittstellen und Zielsetzungen müssen geklärt werden. Ohne klare Systemabgrenzung bleibt unklar, welche Risiken überhaupt bewertet werden sollen. FM-Connect beschreibt die Systemdefinition als Voraussetzung für gezielte Risikoidentifikation und Analyse.
Ein weiterer Schwerpunkt liegt auf der Risikoidentifikation. Risiken werden aus Geschäftsprozessen, Gebäuden, technischen Anlagen, Dienstleisterketten, Nutzungen, Rechtsanforderungen, Störungen, Begehungen, Audits, Schadensfällen, Beschwerden, Service-Desk-Daten und Erfahrungswissen abgeleitet. FM-Connect betont, dass Risikoidentifikation eine gründliche Analyse von Geschäftsprozessen, Technologien und Umgebungen sowie die Zusammenarbeit verschiedener Abteilungen erfordert.
Die Risikobeurteilung bewertet identifizierte Risiken nach Szenarien, Eintrittswahrscheinlichkeit und Schadensausmaß. Kriterien können von „unbedeutend“ bis „kritisch“ und von „unwahrscheinlich“ bis „häufig“ reichen. Diese Kriterien müssen zur Risikopolitik, zu regulatorischen Vorgaben und zur operativen Realität des Unternehmens passen.
Die Risikobewältigung legt fest, wie mit Risiken umzugehen ist. Maßnahmen können technischer, organisatorischer, personeller, vertraglicher oder finanzieller Art sein. FM-Connect unterscheidet unter anderem Risikovermeidung, Risikoverminderung, Risikofinanzierung, Risikoüberwälzung und Selbsttragung von Risiken.
Die Risikoüberwachung stellt sicher, dass die tatsächliche Risikolage mit der gewünschten Risikolage abgeglichen wird. Dazu gehören operative Kontrollen, Soll-Ist-Vergleiche, Frühwarnindikatoren, Berichte, Eskalationen und die laufende Prüfung der Wirksamkeit von Maßnahmen.
Im Mittelpunkt stehen sieben Themenbereiche
strategische Einordnung des Risikomanagements als Führungsaufgabe im Facility Management
Risikoidentifikation in Gebäuden, Anlagen, Prozessen, Verträgen, Dienstleistern, Daten und Betreiberpflichten
Risikobeurteilung mit Eintrittswahrscheinlichkeit, Schadenshöhe, Kritikalität, Risikomatrix, Szenarien und Risikotoleranz
Risikobewältigung durch technische, organisatorische, personelle, vertragliche und finanzielle Maßnahmen
internes Kontrollsystem, Kontrollaktivitäten, Verantwortlichkeiten, Risk Owner, Risikoregister und Nachweisführung
Risikoüberwachung, Frühwarnindikatoren, Incident Reporting, Eskalation, Managementberichte und Lessons Learned
Digitalisierung durch CAFM, CMMS, Service Desk, Dashboards, Sensorik, Audits, Dokumentenmanagement und automatisierte Workflows
Häufige Fragen zum Risikomanagement im Facility Management
Risikomanagement im Facility Management ist die systematische Erkennung, Bewertung, Steuerung und Überwachung von Risiken aus Gebäuden, Anlagen, Services, Verträgen, Organisation, Betreiberpflichten, Dienstleistern und Daten. Ziel ist, Schäden zu vermeiden, Betriebskontinuität zu sichern, Compliance nachzuweisen und Entscheidungen belastbarer zu machen.
Risiken im FM betreffen Unternehmensziele, Kosten, Sicherheit, Verfügbarkeit, Reputation und Haftung. Deshalb reicht eine rein operative Bearbeitung nicht aus. Das Management muss Risikopolitik, Risikotoleranz, Rollen, Eskalationswege, Ressourcen und Berichtspflichten festlegen. FM-Connect beschreibt Risikomanagement ausdrücklich als Führungsaufgabe, bei der das Management die Risikopolitik definiert und daraus Ziele zur Risikohandhabung ableitet.
Ein Risiko ist eine unsichere Entwicklung oder ein Ereignis, das Ziele beeinträchtigen kann. Im Facility Management kann dies ein technischer Ausfall, ein Compliance-Verstoß, ein Unfall, ein Brandschutzmangel, ein Dienstleisterausfall, eine Kostensteigerung oder eine fehlerhafte Entscheidung sein. ISO 31000 betrachtet Risiken nicht nur als Bedrohungen, sondern auch als Unsicherheiten, die Chancen oder negative Folgen erzeugen können.
Typische Risiken sind Betreiberpflichtenrisiken, Arbeitsschutzrisiken, Brandschutzrisiken, technische Ausfallrisiken, Instandhaltungsrisiken, Vertragsrisiken, Outsourcing-Risiken, Dokumentationsrisiken, Sicherheitsrisiken, Energierisiken, Umwelt- und Gefahrstoffrisiken, Cyber-/OT-Risiken, Kostenrisiken, Personalrisiken und Reputationsrisiken.
Betreiberpflichtenrisiken entstehen, wenn gesetzliche, behördliche, technische oder organisatorische Pflichten im Gebäudebetrieb nicht erkannt, nicht zugeordnet, nicht umgesetzt oder nicht dokumentiert werden. Dazu gehören Prüfpflichten, Wartung, Arbeitsschutz, Brandschutz, Verkehrssicherung, Trinkwasserhygiene, Elektrosicherheit, Aufzüge, Gefahrstoffe, Arbeitsstätten und technische Anlagen. FM-Connect beschreibt Betreiberverantwortung als Überbegriff für gesetzliche Betreiberpflichten gebäudebetreibender Unternehmen und handelnder Personen.
Die Risikoidentifikation fragt: Welche Risiken gibt es? Die Risikobeurteilung fragt: Wie schwer wiegen diese Risiken? Dafür werden Eintrittswahrscheinlichkeit, Schadensausmaß, Kritikalität, Risikotoleranz und mögliche Wechselwirkungen bewertet. FM-Connect beschreibt die Risikobeurteilung über Szenarien, Ausmaß und Wahrscheinlichkeit beziehungsweise Häufigkeit.
Risiken werden durch Begehungen, Audits, Gefährdungsbeurteilungen, Prüfberichte, Wartungsdaten, Service-Desk-Tickets, Störungsanalysen, Schadensfälle, Beschwerden, Vertragsanalysen, Dokumentationsprüfungen, Betreiberpflichtenkataster, Workshops, Interviews und Szenarioanalysen identifiziert. Wichtig ist die Beteiligung verschiedener Fachbereiche, weil FM-Risiken häufig an Schnittstellen entstehen.
Eine Risikomatrix stellt Eintrittswahrscheinlichkeit und Schadensausmaß gegenüber. Sie hilft, Risiken zu priorisieren und Maßnahmen abzuleiten. Eine einfache Matrix reicht jedoch nicht immer aus. Bei kritischen Gebäuden, Produktionsanlagen oder sicherheitsrelevanter Technik sollten zusätzlich Kritikalität, Entdeckbarkeit, Abhängigkeiten, Wiederanlaufzeit, gesetzliche Relevanz und Reputationswirkung berücksichtigt werden.
Die Eintrittswahrscheinlichkeit beschreibt, wie häufig oder plausibel ein Risiko eintreten kann. Sie kann qualitativ, halbquantitativ oder quantitativ bewertet werden. Im FM sollte sie nicht nur aus Bauchgefühl abgeleitet werden, sondern aus Daten wie Störungen, Prüfberichten, Anlagenalter, Wartungszustand, Betriebsstunden, Mängelhistorie, Begehungen und Erfahrungswerten.
Die Schadenshöhe beschreibt die Auswirkung eines Risikos. Sie kann finanzielle Schäden, Personenschäden, Betriebsunterbrechungen, Compliance-Verstöße, Umweltschäden, Imageschäden oder Qualitätsverluste umfassen. In sicherheitskritischen Bereichen darf die finanzielle Schadenshöhe nicht allein maßgeblich sein; Personenschutz und gesetzliche Anforderungen haben Vorrang.
Risikobewältigung beschreibt die Maßnahmen zum Umgang mit Risiken. Typische Strategien sind Vermeidung, Verminderung, Übertragung, Finanzierung oder bewusstes Tragen des Risikos. Im Facility Management können Maßnahmen baulich, technisch, organisatorisch, personell, vertraglich, dokumentarisch oder digital sein. FM-Connect beschreibt Risikobewältigungsmaßnahmen als personeller, technischer oder organisatorischer Art und unterscheidet ursachen- und wirkungsorientierte Maßnahmen.
Risiko vermeiden bedeutet, eine risikobehaftete Tätigkeit oder Konstellation nicht einzugehen. Beispiele sind die Stilllegung unsicherer Anlagen, der Verzicht auf eine nicht regelkonforme Nutzung, die Sperrung gefährlicher Bereiche oder die Änderung eines Prozesses, wenn das Risiko nicht beherrschbar ist.
Risiko vermindern bedeutet, Eintrittswahrscheinlichkeit oder Schadenshöhe zu reduzieren. Beispiele sind Wartung, Prüfungen, Brandschutzmaßnahmen, Redundanzen, Schulungen, Zutrittskontrollen, Ersatzteilhaltung, Monitoring, Notfallpläne, bessere Dokumentation, Vier-Augen-Prinzipien und klare Arbeitsanweisungen.
Risiko übertragen bedeutet, Risiken vertraglich oder versicherungstechnisch teilweise auf Dritte zu verlagern. Beispiele sind Versicherungen, Gewährleistungsregelungen, Haftungsklauseln, Dienstleisterverträge oder Betreibervereinbarungen. Eine Übertragung entbindet den Betreiber aber nicht automatisch von seiner Organisations-, Auswahl-, Überwachungs- und Dokumentationsverantwortung.
Ein Risk Owner ist die Person oder Funktion, die für ein bestimmtes Risiko verantwortlich ist. Sie bewertet das Risiko, plant Maßnahmen, überwacht deren Umsetzung, berichtet den Status und eskaliert Abweichungen. Im FM können Risk Owner etwa technische Leiter, Objektleiter, Betreiberpflichtenmanager, Brandschutzbeauftragte, Energiemanager oder Vertragsverantwortliche sein.
Ein Risikoregister dokumentiert Risiken, Ursachen, Auswirkungen, Bewertungen, Maßnahmen, Verantwortliche, Fristen, Status, Restrisiko und Nachweise. Es ist das zentrale Arbeitsinstrument des Risikomanagements. FM-Connect stellt im IKS-Kontext Risikoregister, Risiko-Verifizierung, Berichterstattung und Kontrollschleifen als Elemente der Risikoüberwachung dar.
Ein internes Kontrollsystem, kurz IKS, umfasst Regeln, Kontrollen, Workflows und Nachweise, mit denen Risiken im FM gesteuert und überwacht werden. Dazu gehören Freigaben, Plausibilitätsprüfungen, Stichproben, Berechtigungssysteme, Vier-Augen-Prinzip, Soll-Ist-Vergleiche, Dokumentationskontrollen, KPI-Prüfungen und Management-Reviews. FM-Connect beschreibt das IKS als zentrales Instrument zur Überwachung und Steuerung von Risiken.
Risikomanagement identifiziert, bewertet und steuert Risiken. Das IKS stellt sicher, dass definierte Maßnahmen und Kontrollen im Alltag wirksam umgesetzt werden. Das Risikomanagement bestimmt also, welche Risiken relevant sind; das IKS sorgt dafür, dass diese Risiken durch Prozesse, Kontrollen und Nachweise beherrscht werden.
Risikoüberwachung prüft, ob Risiken und Maßnahmen aktuell bleiben. Sie vergleicht Soll- und Ist-Zustand, beobachtet Frühwarnindikatoren, verfolgt Maßnahmen, bewertet neue Risiken und sorgt für Eskalation. FM-Connect beschreibt Risikoüberwachung als kontinuierliche operative Kontrolle der Wirksamkeit von Risikosteuerungsmaßnahmen und internen Abläufen.
Geeignete Frühwarnindikatoren sind steigende Störungshäufigkeit, zunehmende Mängel, überfällige Prüfungen, Wiederholungsmängel, sinkende Anlagenverfügbarkeit, steigende Energiekosten, hohe Ticketvolumina, ungeklärte Verantwortlichkeiten, fehlende Dokumente, Dienstleisterwechsel, Budgetüberschreitungen, Auditabweichungen, Nutzerbeschwerden, Beinaheereignisse und kritische Betriebszustände.
Incident Reporting macht Ereignisse, Beinaheunfälle, Störungen und Abweichungen sichtbar. Dadurch werden Muster erkennbar, die im Alltag sonst verborgen bleiben. FM-Connect weist darauf hin, dass Unfälle und Fehler im FM selten nur durch technisches Komponentenversagen entstehen, sondern häufig durch zufällige Kombinationen in alltäglichen Abläufen und schleichende Sicherheitsdrift.
„Drift into Failure“ beschreibt das schrittweise Abgleiten in unsichere Zustände. Einzelne Abweichungen wirken zunächst beherrschbar, summieren sich aber über Zeit: fehlende Nachweise, aufgeschobene Wartung, unklare Zuständigkeiten, informelle Workarounds, nicht geschlossene Tickets oder ignorierte Warnsignale. Risikomanagement soll diese Drift früh sichtbar machen.
Dokumentation belegt, dass Risiken erkannt, bewertet, Maßnahmen festgelegt und Kontrollen durchgeführt wurden. Sie ist Grundlage für Audits, Haftungsabwehr, Betreiberpflichten, Dienstleistersteuerung und Managemententscheidungen. FM-Connect beschreibt eine klare und umfassende Dokumentation als wesentlichen Bestandteil des Risikomanagements zur Minimierung potenzieller Haftungsrisiken.
Vertragsrisiken entstehen durch unklare Leistungsbeschreibungen, fehlende Service Level, ungeklärte Schnittstellen, schwache Nachweispflichten, unpassende Haftungsregelungen, fehlende Eskalationswege, unklare Betreiberpflichtenübertragung, Preisgleitklauseln, Nachträge oder mangelhafte Abnahmeprozesse. FM-Connect betont, dass FM-Verträge nur dann positiv abgewickelt werden können, wenn Vertragsrisiken richtig eingeschätzt werden.
Outsourcing kann Kosten senken und Prozesse professionalisieren, erzeugt aber Risiken wie Qualitätsverluste, Kommunikationsprobleme, Abhängigkeit von Dienstleistern, Wissensverlust, Schnittstellenprobleme, Kontrollverlust und unklare Verantwortlichkeiten. FM-Connect beschreibt Partnerauswahl, transparente Kommunikation und Risikoanalyse als Grundlagen für erfolgreiches Outsourcing.
Instandhaltung reduziert technische Ausfallrisiken, Sicherheitsrisiken und Folgekosten. Fehlende oder falsche Instandhaltung erhöht die Wahrscheinlichkeit von Anlagenstillständen, Unfällen, Brandschutzmängeln, Energieverlusten und Ersatzteilproblemen. FM-Connect beschreibt Instandhaltungsprogramme als Mittel, um Ausfallzeiten zu minimieren, Betriebssicherheit zu gewährleisten und langfristige Kosten zu reduzieren.
Sicherheitsmanagement behandelt Risiken aus Arbeitsschutz, Gebäudesicherheit, Security, Kriminalität, Zugang, Evakuierung, Brandschutz, Notfallorganisation und Schutz kritischer Bereiche. FM-Connect weist darauf hin, dass in vielen Unternehmen keine einheitliche Vorgehensweise zur Integration von Sicherheitsmanagement in FM oder Gesamtunternehmen besteht und häufig nur Teilbereiche betrachtet werden.
Risikomanagement identifiziert und bewertet Risiken. Business Continuity Management bereitet die Aufrechterhaltung oder Wiederherstellung kritischer Prozesse vor. Im FM treffen beide Themen zusammen, wenn Gebäude, Energie, IT-nahe Infrastruktur, Sicherheitsdienste, technische Anlagen, Dienstleister oder Arbeitsplätze für die Geschäftsfähigkeit kritisch sind.
ISO 31000 bietet einen international anerkannten Orientierungsrahmen für Risikomanagement. Sie unterstützt Organisationen dabei, Risiken zu identifizieren, zu analysieren, zu bewerten, zu behandeln, zu überwachen und zu kommunizieren. Die Norm ist nicht zertifizierbar, kann aber als Benchmark und Grundlage für interne oder externe Audits genutzt werden.
ISO 41001 beschreibt Anforderungen an ein Facility-Management-System, wenn eine Organisation eine wirksame und effiziente FM-Leistung zur Unterstützung der Ziele der Nachfrageorganisation nachweisen, Anforderungen interessierter Parteien erfüllen und nachhaltig handeln will. Damit liefert die Norm einen passenden Managementsystemrahmen, in den Risikomanagement, Kontrollen, Prozesse und kontinuierliche Verbesserung integriert werden können.
Relevante Anforderungen ergeben sich je nach Organisation aus Gesellschaftsrecht, Handelsrecht, Arbeitsschutz, Betriebssicherheit, Bauordnungsrecht, Betreiberpflichten, Datenschutz, Umweltrecht, Energierecht, Versicherungsverträgen und internen Governance-Vorgaben. Für Aktiengesellschaften ist § 91 Abs. 2 AktG besonders relevant; für haftungsbeschränkte Unternehmensträger ist § 1 StaRUG zur Krisenfrüherkennung wichtig.
§ 1 StaRUG verpflichtet Geschäftsleiter haftungsbeschränkter Unternehmensträger, fortlaufend über Entwicklungen zu wachen, die den Fortbestand der juristischen Person gefährden können. Werden solche Entwicklungen erkannt, müssen Gegenmaßnahmen ergriffen und Überwachungsorgane informiert werden. Für FM bedeutet das: Wesentliche Facility-Risiken können Teil der Krisenfrüherkennung sein, wenn sie Fortbestand, Betriebsfähigkeit oder Liquidität erheblich beeinflussen.
Risikokultur beschreibt, wie eine Organisation mit Risiken, Fehlern, Hinweisen, Eskalationen und Verantwortlichkeiten umgeht. Eine gute Risikokultur fördert offene Meldungen, klare Entscheidungen, Lernbereitschaft und konsequente Maßnahmenverfolgung. Eine schlechte Risikokultur führt zu Vertuschung, Schuldzuweisungen, informellen Workarounds und fehlender Eskalation.
Digitalisierung unterstützt Risikomanagement durch aktuelle Daten, automatisierte Workflows, mobile Prüfungen, CAFM-/CMMS-Anbindung, Dashboards, Sensorik, Störungsdaten, Dokumentenmanagement, Fristenüberwachung, Eskalationen und Audit-Trails. FM-Connect weist im Kontext der Risikobewältigung auf automatische Risikoerkennung und Echtzeitdaten als Möglichkeit hin, schneller auf neu auftretende Risiken zu reagieren.
Sinnvolle Kennzahlen sind Anzahl kritischer Risiken, überfällige Maßnahmen, Prüfpflichtenerfüllung, offene Mängel, Wiederholungsmängel, Störungshäufigkeit, Anlagenverfügbarkeit, ungeplante Stillstandszeiten, Reaktionszeiten, Auditabweichungen, Dokumentationsvollständigkeit, Versicherungsfälle, Beinaheereignisse, Schadenskosten, Dienstleisterperformance und Eskalationsquote.
Der Erfolg zeigt sich nicht nur daran, dass keine Schäden eintreten. Entscheidend sind Transparenz, Aktualität des Risikoregisters, fristgerechte Maßnahmenumsetzung, reduzierte Kritikalität, bessere Nachweisführung, weniger Wiederholungsmängel, schnellere Eskalation, bessere Entscheidungsgrundlagen und höhere Betriebssicherheit.
Das Ergebnis ist ein Facility Management, das Risiken nicht nur kennt, sondern aktiv steuert. Risiken sind identifiziert, bewertet, priorisiert und verantwortet. Maßnahmen sind definiert, dokumentiert und überwacht. Frühwarnindikatoren, Kontrollen und Berichte schaffen Transparenz. Betreiberpflichten, Anlagenbetrieb, Dienstleister, Verträge, Sicherheit und Dokumentation werden risikoorientiert geführt. Damit wird Risikomanagement zu einem zentralen Instrument für Betriebssicherheit, Compliance, Resilienz und professionelle Unternehmenssteuerung.
