GEFMA 192: Risikomanagement im FM

Risk Management im FM bedeutet das systematische Erkennen von Ereignissen oder Entwicklungen, die die Zielerreichung der Organisation gefährden können. Das Portal FM‑Connect erklärt, dass Risiko das Verfehlen strategischer und operativer Zielsetzungen bezeichnet; positive Zielverfehlungen gelten als Chancen und negative als Gefahr. Risiken sind untrennbar mit Unsicherheiten verbunden, die zu entscheiden sind. Ein professionelles Risikomanagementsystem hilft, Risiken frühzeitig zu erkennen, systematisch zu bewerten und geeignete Maßnahmen abzuleiten.

Im FM‑Kontext beschreibt die Richtlinie Risiko als Kombination aus Eintrittswahrscheinlichkeit und Schadensauswirkung. Sowohl die Häufigkeit eines Ereignisses als auch die Höhe des potenziellen Schadens bestimmen die Risikohöhe.

• Strategische Risiken: Ergebnisse aus äußeren Entwicklungen oder langfristigen Entscheidungen, z. B. Abhängigkeit von einem Großkunden oder energiepolitische Szenarien wie ein Gasembargo; SWOT‑Analysen helfen, solche Risiken zu identifizieren.

• Operative Risiken: resultieren aus internen Prozessen, z. B. Fehler in der Instandhaltung, mangelhafte Arbeitsanweisungen, Unterbrechungen in der Versorgungskette.

• Technische Risiken: betreffen Ausfälle von Anlagen und Systemen (Kühlung, Stromversorgung, IT). Das Risiko-Impact-Analyse‑Beitrag betont die Notwendigkeit, auch gekoppelten physisch‑digitalen Risiken wie Cyberangriffen auf Sprinkleranlagen zu berücksichtigen.

• Rechtliche Risiken: ergeben sich aus der Nichterfüllung gesetzlicher Vorschriften (Arbeitssicherheit, Umweltauflagen, Betreiberpflichten). FM‑Connect verweist auf das KonTraG, wonach Vorstände ein Überwachungssystem einrichten müssen, damit eine den Fortbestand gefährdende Entwicklung früh erkannt wird.

• Wirtschaftliche Risiken: beinhalten Markt- und Finanzrisiken, z. B. Zahlungsunfähigkeit von Kunden oder Insolvenz eines Großkunden.

Risikomanagement ist eine elementare Führungsaufgabe innerhalb einer FM‑Organisation. Der Verband gefma betont, dass die FM‑Leitung bestehende Risiken identifizieren, vermeiden, mindern, übertragen und Restrisiken beherrschen muss, um zur Existenzsicherung der Organisation und zum Erfolg der Kunden beizutragen. Somit ist Risikomanagement als integraler Bestandteil der Unternehmensführung zu verstehen, der Ressourcen, Verantwortung und Kontrolle durch die Unternehmensleitung erfordert.

• Betreiberverantwortung und Compliance: GEFMA 190 regelt Betreiberpflichten; Risikomanagement ist Teil der Haftungsvermeidung. FM‑Connect weist darauf hin, dass ein internes Kontrollsystem (IKS) erforderlich ist, um gesetzliche Pflichten zu erfüllen und Bußgelder oder Haftungsfälle zu vermeiden.

• Instandhaltungsmanagement: Eine lückenlose Wartung erhöht die Anlagenverfügbarkeit; Auswertungen von Störungsmeldungen und Inspektionsberichten sind wichtige Quellen für die Risikoidentifikation.

• Arbeitsschutz und Sicherheitsmanagement: Gefährdungsbeurteilungen nach Arbeitsschutzgesetz liefern Hinweise auf Unfall- und Gesundheitsrisiken.

• Qualitätsmanagement: Risikomanagement sollte in das bestehende QM-System integriert werden, um Prozesse kontinuierlich zu verbessern und Normanforderungen (z. B. ISO 9001, ISO 31000) zu erfüllen.

• Nachhaltigkeit und Umweltmanagement: Natürliche Risiken wie Extremwetter, Überschwemmungen oder Hitzeperioden beeinflussen den Betrieb; baulicher Schutz und alternative Kühlung sind mögliche Gegenmaßnahmen.

Die Verantwortung für das Risikomanagement ist in der Organisation zuzuweisen und klar zu dokumentieren.

Die Einbindung aller Hierarchieebenen ist wesentlich, da nach den Erfahrungen des gefma‑Arbeitskreises „der Mensch in allen Hierarchieebenen der dominierende Faktor ist“. Eine gut entwickelte Organisation mit qualifizierten Mitarbeitern reduziert Fehlentscheidungen und Fehleinschätzungen.

• Einrichtung eines Risikomanagementbeauftragten oder Teams als Schnittstelle zwischen Unternehmensleitung, FM‑Leitung und operativen Einheiten.

• Definition von Kommunikationswegen: klare Meldewege für Störungen und Risiken, transparente Dokumentation.

• Integration in IT‑Systeme: Nutzung von CAFM‑Systemen, Incident-Reporting‑Tools und Risikobewertungssoftware.

• Schulung und Sensibilisierung: regelmäßige Schulungen für Mitarbeiter zur Erkennung und Meldung von Risiken sowie zum Umgang mit dem internen Kontrollsystem.

Die Richtlinie stellt einen zyklischen Risikomanagementprozess dar, der als kontinuierliche Managementaufgabe verstanden wird. Jede Phase liefert Informationen für die nächste; nach der Umsetzung der Maßnahmen folgt die Überwachung und der erneute Beginn des Zyklus. Die einzelnen Schritte sind nachfolgend beschrieben.

Eine gründliche Risikoidentifikation bildet die Basis des Risikomanagements. FM‑Connect beschreibt, dass die Risikoidentifikation auf einer sorgfältigen Analyse von Geschäftsprozessen, Technologien und Umgebungen basiert, um alle relevanten Risiken zu erfassen.

• Begehungen und Inspektionen: regelmäßige Vor-Ort-Begehungen zur Erkennung sicherheitstechnischer Mängel, baulicher Schäden und Gefahrenquellen.

• Auswertung von Störungsmeldungen und Ticketsystemen: Incident-Reporting-Systeme, Störungsmeldungen, CAFM‑Tickets und Schadenstatistiken liefern Anhaltspunkte für wiederkehrende Probleme und Schwachstellen.

• Prüfberichte und Checklisten: Nutzung von Checklisten nach DIN EN 15221‑4 sowie FM‑spezifischen Checklisten gemäß GEFMA 100‑2 für verschiedene Leistungen.

• Erfahrungswerte und Workshops: Brainstorming mit interdisziplinären Teams, Expertenworkshops und Auswertung von Beinahe-Unfällen.

• Szenariotechniken und SWOT-Analysen: Identifizieren externer Risiken und strategischer Einflüsse, z. B. Auswirkungen politischer Entscheidungen oder Abhängigkeiten von Lieferanten.

• Technische Anlagen: Ausfall von Heizungs-, Klima-, Lüftungs- und Elektroanlagen, Störungen im IT‑Netzwerk oder in der Stromversorgung.

• Bauliche Substanz: Bauschäden, mangelhafte Statik, Feuchtigkeit oder Korrosionsschäden; unzureichender Brandschutz.

• Betriebssicherheit: Arbeitsschutzrisiken (Unfälle, gesundheitliche Gefahren), Brandschutz, Explosionsschutz, unzureichende Sicherheitsprotokolle und Notfallpläne.

• Organisation und Personal: Personelle Unterbesetzung, mangelnde Qualifikation, fehlerhafte Arbeitsanweisungen, Informationsverluste an Schnittstellen.

• Externe Einflüsse: Naturkatastrophen (Sturm, Überschwemmung, Hitze), Markt- und Finanzrisiken (Zahlungsausfall von Kunden, Insolvenzen), politische oder gesetzliche Änderungen.

Nach der Identifikation müssen die erfassten Risiken hinsichtlich Ursachen, Eintrittswahrscheinlichkeit und Schadensausmaß untersucht werden. FM‑Connect betont, dass identifizierte Risiken in Szenarien nach Ausmaß und Häufigkeit analysiert werden; dabei sollen die Wechselwirkungen einzelner Risiken berücksichtigt werden. Die Ursachenanalyse umfasst technische Defekte, organisatorische Schwachstellen, menschliche Fehler und externe Einflüsse.

Die Bewertung zielt darauf ab, Risiken anhand definierter Kriterien zu priorisieren. Die Risiko‑Impact‑Analyse unterscheidet qualitative, semi‑quantitative und quantitative Verfahren:

• Qualitative Bewertung: Wahrscheinlichkeiten und Auswirkungen werden verbal in Klassen (niedrig/mittel/hoch) eingestuft; Methoden wie Workshops, Delphi-Verfahren oder HAZOP basieren darauf.

• Semi‑quantitative Bewertung: Numerische Skalen für Wahrscheinlichkeit und Auswirkungsstärke werden in Risikomatrizen kombiniert. Übliche Skalen reichen von 1 (selten/vernachlässigbar) bis 5 (sehr häufig/katastrophal); das Produkt ergibt einen Risikoscore, der in Klassen (rot, gelb, grün) eingeteilt wird.

• Quantitative Bewertung: Berechnung von erwarteten Schadenskosten oder Wahrscheinlichkeitsverteilungen mittels statistischer Methoden, Monte-Carlo‑Simulation oder FTA/ETA. Diese Methoden sind datenintensiv, liefern aber detaillierte Entscheidungsgrundlagen.

Die Bewertung führt zu einer Priorisierung der Risiken. Kriterien wie potenzielle finanzielle Auswirkungen, Reputationsschäden und Personenrisiken sollten einbezogen werden. Hohe Risiken (rot) erfordern sofortige Maßnahmen, mittlere Risiken (gelb) sind zu beobachten und ggf. zu behandeln, niedrige Risiken (grün) werden akzeptiert oder periodisch überwacht. Wichtig ist, dass die Bewertung nach einem für das Unternehmen einheitlichen Raster erfolgt.

• Risikovermeidung: Aufgabe oder Anpassung von risikoreichen Aktivitäten; Veränderung von Prozessen, um Risiken zu eliminieren.

• Risikoverminderung: Verringerung der Eintrittswahrscheinlichkeit oder Schadensausmaß durch technische, organisatorische oder personelle Maßnahmen.

• Risikoverlagerung (Transfer): Übertragung von Risiken auf Dritte, z. B. durch Versicherungen, Wartungsverträge oder Outsourcing.

• Risikosalvierung (Bewusste Akzeptanz): Akzeptanz von Restrisiken innerhalb der definierten Risikotoleranzen; in der Praxis bei geringen Auswirkungen oder bei unwirtschaftlichen Gegenmaßnahmen.

Aus der Risikobewertung sind technische, organisatorische und personelle Maßnahmen abzuleiten.

• Technische Maßnahmen: Redundante Stromversorgung, Notkühlung, Sprinkleranlagen, baulicher Hochwasserschutz; Monitoring durch Sensoren und automatisierte Überwachungssysteme für Temperatur, Feuchtigkeit und Gas.

• Organisatorische Maßnahmen: Einführung von Sicherheitsprotokollen und Notfallplänen; Erstellung von Service-Level-Agreements und konsequentes Vertragsmanagement zur Sicherstellung von Servicequalität und Termintreue; regelmäßige Risiko- und Notfallübungen.

• Personelle Maßnahmen: Schulung und Sensibilisierung der Mitarbeiter für Risikobewusstsein und korrekte Anwendung des internen Kontrollsystems; Sicherstellung der Qualifikation der technischen und organisatorischen Verantwortlichen.

Die Überwachung ist ein wichtiger Bestandteil des Risikomanagements, da sie hilft, Risiken frühzeitig zu erkennen und entsprechende Gegenmaßnahmen zu ergreifen. FM‑Connect hebt hervor, dass durch systematische Überwachung mögliche Risiken kontinuierlich analysiert und bewertet werden können.

• Kontinuierliche Datenerfassung und Analyse zur Überwachung der Risikoveränderungen im Zeitverlauf.

• Vergleich von Soll- und Ist-Zuständen: eine laufende Erfolgskontrolle stellt sicher, dass die tatsächliche Risikolage dem gewünschten Zielzustand entspricht.

• Frühwarnsysteme: Sensorbasierte Überwachungssysteme, Dashboards für finanzielle, produktive, absatzwirtschaftliche und personalbezogene Kennzahlen.

• Regelmäßige Audits und Reviews zur Überprüfung des Risikomanagementsystems und zur Identifikation von Verbesserungsmöglichkeiten.

Eine lückenlose Dokumentation ist Grundlage für Transparenz, Nachvollziehbarkeit und rechtliche Absicherung.

• Risikokataloge und Register: Erfassung der identifizierten Risiken, Bewertungen, Maßnahmen und Verantwortlichkeiten.

• Prüf- und Wartungsnachweise: Dokumentation von Inspektionen, Wartungsarbeiten und Störungsmeldungen.

• Reporting: Regelmäßige Berichte an Unternehmensleitung und Stakeholder.

• Nachweisdokumente für Aufsichtsbehörden: Die Erfüllung gesetzlicher Berichtspflichten nach HGB und AktG erfordert eine angemessene Risikodarstellung; Wirtschaftsprüfer prüfen, ob das Überwachungssystem seine Aufgaben erfüllt.

• Instandhaltungs‑ und Asset-Management‑Systeme: Verknüpfungen zwischen Risikokatalogen und Wartungsplanungen; Auswertung von Störungsdaten zur Risikoaktualisierung.

• Qualitäts- und Umweltmanagementsysteme: Einbindung der Risikoanalyse in ISO 9001‑konforme Prozesse und Umweltmanagement nach ISO 14001; Berücksichtigung von Nachhaltigkeitsrisiken wie Extremwetter.

• Sicherheits‑ und Arbeitsschutzmanagement: Verknüpfungen zu Gefährdungsbeurteilungen und Notfallplänen; Berücksichtigung der technischen und organisatorischen Schutzmaßnahmen.

• Computer Aided Facility Management (CAFM): Verwendung von CAFM‑Systemen zur Verwaltung von Risikokennzahlen, Dokumentation, Tickets und Berichten; Integration von Sensor- und IoT‑Daten.

Die Betreiberverantwortung umfasst die Pflicht, die Sicherheit und Funktionsfähigkeit von Anlagen zu gewährleisten. Risikomanagement liefert die erforderlichen Informationen, um gesetzliche Betreiberpflichten zu erfüllen und Haftungsrisiken zu minimieren. Nach dem KonTraG und dem HGB sind Vorstände verpflichtet, frühzeitig Überwachungssysteme einzurichten, die den Fortbestand der Gesellschaft sichern; Risikoberichte müssen vom Wirtschaftsprüfer beurteilt werden. Die konsequente Anwendung von GEFMA 192 unterstützt somit die Rechtssicherheit der Organisation.

Risikomanagement ist ein dynamischer Prozess. Die Risikoidentifikation und ‑bewertung müssen regelmäßig überprüft und an geänderte Nutzungen, technische Entwicklungen sowie neue gesetzliche Anforderungen angepasst werden. Erfahrungswerte aus Störungsfällen sollten ausgewertet werden, um das System fortlaufend zu verbessern.

Für Immobilienportfolios gilt es, das Risikomanagement zu skalieren. Risiken einzelner Objekte sind zu konsolidieren, um Portfolio‑Risiken zu erkennen und strategische Maßnahmen abzuleiten. Methoden wie die Risiko‑Impact‑Analyse oder Szenariotechniken können helfen, externe (politische, wirtschaftliche, klimatische) Risiken zu betrachten. Ein Portfolio‑Weitblick ermöglicht Investitionsentscheidungen zur Risikostreuung und Wertsteigerung.

Durch die Anwendung der Richtlinie werden Prozesse systematisiert, Risiken frühzeitig erkannt und Störungen reduziert. Dies erhöht die Betriebssicherheit, senkt die Störungsanfälligkeit und verbessert die Planbarkeit der Instandhaltung. Frühwarnsysteme und kontinuierliche Überwachung tragen zur Optimierung des laufenden Betriebs bei.

Langfristig fördert das Risikomanagement nach GEFMA 192 die Werterhaltung von Immobilien und Anlagen. Die Reduktion von Haftungs- und Kostenrisiken stärkt die wirtschaftliche Stabilität. Zudem werden Managementstrukturen professionalisiert, Entscheidungsgrundlagen verbessert und Transparenz gegenüber Stakeholdern geschaffen. Auf Portfolioebene unterstützt die systematische Risikobetrachtung eine nachhaltige und resiliente Immobilienstrategie.