Risikobewertung durchführen: Warum die 5×5-Matrix Ihre beste Methode ist
Die 5×5-Matrix ist der Standard für professionelle Risikobewertungen. Dieser Artikel zeigt, wie Sie Eintrittswahrscheinlichkeit und Schadenshöhe konkret skalieren – mit Beispielkalibrierung für den Mittelstand.
Inhaltsverzeichnis
Lesezeit: ca. 8 Minuten | Stand: Februar 2026 | Autor: Marvin Zimbelmann
Sie haben Risiken identifiziert. Vielleicht sogar ein ordentliches Risikoregister aufgebaut. Aber jetzt kommt die Frage, an der die meisten scheitern: Wie bewerten Sie diese Risiken so, dass am Ende echte Entscheidungen herauskommen – und nicht nur bunte Ampelfarben ohne Konsequenz?
Die Risikobewertung ist der Schritt, der Ihr Risikomanagement von einer Pflichtübung zur Steuerungsgrundlage macht. Oder eben nicht. Denn die Methode entscheidet darüber, ob Ihre Geschäftsführung mit den Ergebnissen arbeiten kann – oder ob Ihr Risikobericht in der Schublade landet.
Dieser Artikel zeigt, wie Sie eine Risikobewertung mit der 5×5-Matrix methodisch sauber durchführen. Mit konkreten Skalendefinitionen, die Sie direkt übernehmen können.
Warum eine 5×5-Matrix und nicht 3×3?
Viele Unternehmen starten mit einer 3×3-Matrix: niedrig, mittel, hoch. Klingt einfach. Ist es auch. Zu einfach.
Das Problem: Bei drei Stufen landen fast alle Risiken in der Mitte. „Mittel" wird zum Sammelbecken für alles, was nicht offensichtlich harmlos oder katastrophal ist. Die Folge: Sie können nicht priorisieren. Wenn 70 % Ihrer Risiken „mittel" sind, wissen Sie immer noch nicht, wo Sie zuerst ansetzen sollen.
Die 5×5-Matrix löst dieses Problem durch feinere Abstufungen. Fünf Stufen bei Eintrittswahrscheinlichkeit und fünf bei Schadenshöhe ergeben 25 Felder statt 9. Das klingt nach mehr Komplexität – ist in der Praxis aber das Gegenteil. Denn die zusätzlichen Stufen zwingen Sie, genauer hinzuschauen. „Irgendwo zwischen niedrig und hoch" reicht nicht mehr.
Drei konkrete Vorteile der 5×5-Matrix gegenüber der 3×3-Variante:
Bessere Differenzierung. Ein Risiko mit 30 % Eintrittswahrscheinlichkeit und €200.000 Schadenpotenzial ist etwas fundamental anderes als eines mit 60 % und €50.000. In einer 3×3-Matrix landen beide auf „mittel/mittel". In einer 5×5-Matrix nicht.
Klarere Maßnahmenableitung. Fünf Stufen erlauben eine saubere Zuordnung zu Handlungsoptionen: akzeptieren, beobachten, mindern, vermeiden, eskalieren. Bei drei Stufen fehlt diese Granularität.
Anschlussfähigkeit an Standards. ISO 31000, IDW PS 340 n.F. und COSO ERM empfehlen qualitative Bewertungen mit mindestens fünf Stufen. Wer von Anfang an mit 5×5 arbeitet, muss später nicht umstellen.
Die zwei Dimensionen: Eintrittswahrscheinlichkeit und Schadenshöhe
Jedes Risiko wird entlang zweier Achsen bewertet. Klingt banal – aber die Definition dieser Achsen entscheidet über die Qualität Ihrer gesamten Risikobewertung.
Eintrittswahrscheinlichkeit konkret definieren
Der häufigste Fehler: Stufen wie „unwahrscheinlich" oder „möglich" ohne klare Definition. Was heißt „möglich"? Einmal pro Jahr? Einmal in zehn Jahren? Jeder im Raum versteht etwas anderes darunter.
So definieren Sie die fünf Stufen operational:
Stufe | Bezeichnung | Definition | Orientierungswert |
|---|---|---|---|
1 | Sehr unwahrscheinlich | Tritt unter normalen Umständen nicht ein | < 5 % in 3 Jahren |
2 | Unwahrscheinlich | Könnte eintreten, aber es gibt keine konkreten Anzeichen | 5–20 % in 3 Jahren |
3 | Möglich | Eintritt ist unter bestimmten Umständen realistisch | 20–50 % in 3 Jahren |
4 | Wahrscheinlich | Eintritt ist innerhalb des Betrachtungszeitraums zu erwarten | 50–80 % in 3 Jahren |
5 | Sehr wahrscheinlich | Eintritt ist nahezu sicher oder bereits eingetreten | > 80 % in 3 Jahren |
Entscheidend: Der Betrachtungszeitraum muss festgelegt sein. Drei Jahre haben sich in der Praxis bewährt – lang genug für strategische Risiken, kurz genug für operative Relevanz. Dieser Zeitraum sollte konsistent mit Ihrem Risikomanagement-Handbuch (link-artikel-02) sein.
Schadenshöhe konkret definieren
Auch hier gilt: Ohne klare Schwellenwerte ist jede Bewertung Bauchgefühl.
Die Schadenshöhe müssen Sie an Ihrem Unternehmen kalibrieren. Ein Schaden von €500.000 ist für einen Konzern eine Randnotiz – für einen Mittelständler mit €20 Mio. Umsatz existenzbedrohend. Orientieren Sie sich an Ihrem EBIT oder Jahresumsatz.
Beispielhafte Kalibrierung für ein mittelständisches Unternehmen (€20–50 Mio. Umsatz):
Stufe | Bezeichnung | Finanzieller Schaden | Weitere Auswirkungen |
|---|---|---|---|
1 | Unbedeutend | < €25.000 | Keine Auswirkung auf Geschäftsbetrieb |
2 | Gering | €25.000–€100.000 | Kurzfristige operative Einschränkungen |
3 | Moderat | €100.000–€500.000 | Spürbare Ergebnisbelastung, ggf. Reputationsschaden |
4 | Erheblich | €500.000–€2 Mio. | Signifikante Ergebnisbelastung, strategische Auswirkungen |
5 | Kritisch | > €2 Mio. | Bestandsgefährdend oder existenzbedrohend i.S.d. § 91 Abs. 2 AktG |
Wichtig: Neben dem finanziellen Schaden sollten Sie auch qualitative Auswirkungen berücksichtigen – Reputationsschaden, regulatorische Konsequenzen, Personalverlust. Ein DSGVO-Verstoß kann finanziell bei Stufe 3 liegen, aber reputationsseitig bei Stufe 5. Nehmen Sie im Zweifel die höhere Stufe.
Von der Bewertung zur Priorisierung: Die Matrix richtig lesen
Haben Sie beide Dimensionen bewertet, ergibt sich der Risikoscore als Produkt: Eintrittswahrscheinlichkeit × Schadenshöhe. Bei einer 5×5-Matrix reicht die Spanne von 1 (1×1) bis 25 (5×5).
Daraus leiten Sie drei Risikozonen ab:
Grüne Zone (Score 1–5): Akzeptabel. Diese Risiken beobachten Sie, aber sie erfordern keine aktiven Maßnahmen. Dokumentieren und beim nächsten Review prüfen.
Gelbe Zone (Score 6–14): Handlungsbedarf. Für diese Risiken definieren Sie konkrete Maßnahmen zur Risikosteuerung. Verantwortlichkeiten und Fristen festlegen.
Rote Zone (Score 15–25): Sofortmaßnahmen. Diese Risiken müssen der Geschäftsführung gemeldet werden. Hier entscheidet das Management, ob vermieden, verlagert oder eskaliert wird.
Und hier kommt der entscheidende Punkt, den die meisten Unternehmen übersehen: Die Grenzen zwischen den Zonen sind keine mathematische Wahrheit. Sie sind eine Management-Entscheidung. Genau deshalb brauchen Sie ein Risk Appetite Statement (link-artikel-03) – es definiert, welche Risiken Ihr Unternehmen bewusst akzeptiert und wo die rote Linie verläuft.
Ohne Risk Appetite Statement ist Ihre 5×5-Matrix ein hübsches Diagramm. Mit Risk Appetite Statement wird sie zum Steuerungsinstrument.
Risikobewertung in der Praxis: Der 5-Schritte-Prozess
Genug Theorie. So führen Sie eine Risikobewertung konkret durch:
Schritt 1: Skalen kalibrieren. Definieren Sie die fünf Stufen für Eintrittswahrscheinlichkeit und Schadenshöhe für Ihr Unternehmen. Stimmen Sie diese mit der Geschäftsführung ab. Dieser Schritt passiert einmal – nicht bei jeder Bewertung neu.
Schritt 2: Brutto-Risiko bewerten. Bewerten Sie jedes Risiko aus Ihrem Risikoregister (link-artikel-01) zunächst ohne Berücksichtigung bestehender Maßnahmen. Das Brutto-Risiko zeigt, was passieren kann, wenn alle Kontrollen versagen.
Schritt 3: Bestehende Maßnahmen erfassen. Welche Kontrollen und Maßnahmen existieren bereits? Wie wirksam sind sie? Differenzieren Sie zwischen risikomindernden (reduzieren die Schadenshöhe) und risikovermeidenden Maßnahmen (reduzieren die Eintrittswahrscheinlichkeit).
Schritt 4: Netto-Risiko bewerten. Bewerten Sie das Risiko erneut – diesmal unter Berücksichtigung der bestehenden Maßnahmen. Die Differenz zwischen Brutto und Netto zeigt den Wert Ihrer Kontrollmaßnahmen.
Schritt 5: Mit Risk Appetite abgleichen. Liegt das Netto-Risiko innerhalb Ihrer Risikoakzeptanz? Wenn ja: dokumentieren und überwachen. Wenn nein: zusätzliche Maßnahmen definieren oder eskalieren.
Die fünf häufigsten Fehler bei der Risikobewertung
Aus der Praxis: Diese Fehler sehe ich in fast jedem Unternehmen, das seine Risikobewertung zum ersten Mal durchführt.
Fehler 1: Keine einheitlichen Skalen. Jede Abteilung definiert „hoch" anders. Die IT bewertet einen Systemausfall von zwei Stunden als kritisch, der Vertrieb stuft den Verlust eines Großkunden als „moderat" ein. Ohne unternehmensweite Skalendefinition vergleichen Sie Äpfel mit Birnen.
Fehler 2: Nur Brutto oder nur Netto bewerten. Manche Unternehmen bewerten nur das Brutto-Risiko und ignorieren bestehende Maßnahmen. Andere springen direkt zum Netto-Risiko und verlieren den Blick dafür, was passiert, wenn eine Kontrolle ausfällt. Sie brauchen beides.
Fehler 3: Gruppendenken im Workshop. Wenn die erfahrenste Person im Raum zuerst ihre Einschätzung abgibt, folgen alle anderen. Lassen Sie Bewertungen zuerst individuell abgeben, bevor Sie diskutieren. Das liefert ehrlichere Ergebnisse.
Fehler 4: Risiken nur finanziell bewerten. Ein Compliance-Verstoß kostet vielleicht €50.000 Bußgeld – aber der Reputationsschaden, die Personalfluktuation und der Vertrauensverlust bei Kunden wiegen schwerer. Berücksichtigen Sie immer auch qualitative Schadensdimensionen.
Fehler 5: Einmalige Bewertung ohne Review. Risiken verändern sich. Was vor zwölf Monaten „unwahrscheinlich" war, kann heute „wahrscheinlich" sein. Planen Sie mindestens zwei Reviews pro Jahr ein – oder anlassbezogen bei wesentlichen Veränderungen im Unternehmensumfeld.
So ordnen Sie die Risikobewertung in Ihr RMS ein
Die Risikobewertung steht nicht für sich allein. Sie ist ein Schritt im Risikomanagement-Prozess und funktioniert nur im Zusammenspiel mit den anderen Elementen:
Ihre Risiko-Taxonomie (link-artikel-04) liefert die Struktur, in der Sie Risiken kategorisieren. Das Risikoregister (link-artikel-01) dokumentiert die identifizierten Risiken. Die Risikobewertung quantifiziert sie. Und Ihr Risk Appetite Statement (link-artikel-03) gibt den Rahmen vor, innerhalb dessen Sie Entscheidungen treffen.
Wer ein RMS von Grund auf aufbauen will, findet im Pillar-Artikel (link-pillar-post) eine Schritt-für-Schritt-Anleitung für den gesamten Prozess.
Passende Produkte zum Thema
Risikomanagement-System Aufbau-Bundle
Komplettpaket für den RMS-Aufbau: 10 Dokumente gem. ISO 31000, COSO ERM & IDW PS 981/340. Von Taxonomie bis Reporting – sofort einsetzbar. Einzelwert: €590.
Risikomanagement-Handbuch Vorlage
Komplettes RMS-Handbuch: Governance, Prozesse, Methodik, Rollen, Bewertungsmatrix. Das zentrale Dokument Ihres RMS. Word-Format.
Risikoregister Excel-Vorlage
Professionelles Risikoregister mit automatischer Bewertung, Ampelsystem, Heatmap, Dashboard und Maßnahmen-Tracking. Excel-Format mit 6 Sheets.
Marvin Zimbelmann
Head of Governance, Risk & Compliance · MBA-Dozent · Podcast-Host
Auf LinkedIn vernetzen →