Was ist ein Risikoregister?
Ein Risikoregister – auch Risikolog oder Risikoliste genannt – ist ein tabellarisches Dokument, in dem alle bekannten Risiken eines Projekts systematisch erfasst, bewertet und nachverfolgt werden. Es ist das Bindeglied zwischen der Risikoanalyse und der operativen Risikosteuerung.
Das Register beantwortet für jedes Risiko vier Fragen: Was kann passieren? Wie wahrscheinlich und wie schwerwiegend ist es? Was tun wir dagegen? Und wer ist dafür verantwortlich?
Im Gegensatz zu einer einmaligen Analyse ist das Risikoregister ein lebendes Dokument. Es wird in der Planungsphase angelegt und über den gesamten Projektlebenszyklus hinweg aktualisiert – bis zum Projektabschluss. Neue Risiken kommen hinzu, bestehende verändern ihre Bewertung, gelöste werden geschlossen. Was nicht im Register steht, wird im Projektalltag schnell vergessen.
Wozu dient ein Risikoregister?
Das Risikoregister erfüllt mehrere Funktionen gleichzeitig:
Zentrale Ablage. Alle identifizierten Risiken stehen an einem Ort – nicht verstreut in E-Mails, Protokollen oder Köpfen. Das verhindert, dass Risiken verloren gehen, wenn Teammitglieder wechseln oder Besprechungsergebnisse in Vergessenheit geraten.
Priorisierung. Nicht jedes Risiko verdient dieselbe Aufmerksamkeit. Das Register ordnet Risiken nach ihrer Priorität und lenkt begrenzte Ressourcen auf die größten Bedrohungen.
Nachverfolgung. Der Status jedes Risikos ist jederzeit erkennbar: offen, in Bearbeitung, geschlossen. Das macht den Fortschritt der Risikobewältigung messbar und gibt der Projektleitung Kontrolle über die Risikolage.
Kommunikation. Das Register bildet die Grundlage für Statusberichte und Entscheidungsvorlagen an den Lenkungsausschuss. Stakeholder sehen auf einen Blick, welche Risiken bestehen und wie damit umgegangen wird.
Lerngrundlage. Am Projektende liefert das Register wertvolle Daten für Lessons Learned: Welche Risiken sind eingetreten? Haben die Maßnahmen gewirkt? Was wurde unterschätzt?
Risikoregister vs. Risikomatrix
Risikoregister und Risikomatrix werden häufig verwechselt. Beide sind Werkzeuge des Risikomanagements, erfüllen aber unterschiedliche Zwecke.
| Kriterium | Risikoregister | Risikomatrix |
|---|---|---|
| Darstellung | Tabellarisch, zeilenweise pro Risiko | Visuelles Raster (Heatmap) |
| Detailtiefe | Hoch – Beschreibung, Maßnahmen, Verantwortliche, Status | Gering – Position im Raster zeigt Priorität |
| Zweck | Dokumentation und Nachverfolgung | Visualisierung und Priorisierung |
| Aktualisierung | Laufend über den gesamten Projektverlauf | Bei jeder Neubewertung |
In der Praxis ergänzen sich beide: Die Risikomatrix liefert das Bild – auf einen Blick erkennbar, wo die größten Gefahren liegen. Das Risikoregister liefert die Details – was genau geplant ist und wer handelt. Die Bewertung im Register (Wahrscheinlichkeit × Auswirkung) bestimmt die Position in der Matrix.
Was gehört in ein Risikoregister?
Der Umfang eines Risikoregisters hängt von der Projektgröße ab. Ein kleines Projekt kommt mit fünf Spalten aus, ein komplexes Vorhaben braucht mehr. Die folgende Tabelle zeigt die gängigsten Spalten:
| Spalte | Inhalt |
|---|---|
| Risiko-ID | Eindeutige Kennung (z. B. R-001), erleichtert Referenzierung in Berichten und Besprechungen |
| Risikobeschreibung | Konkrete Beschreibung: Was kann passieren, und welche Folgen hätte es? |
| Risikokategorie | Einordnung nach Art – z. B. technisch, organisatorisch, finanziell, extern, rechtlich |
| Eintrittswahrscheinlichkeit | Qualitativ (gering / mittel / hoch) oder quantitativ (in Prozent) |
| Auswirkung | Schadensausmaß auf Kosten, Termine oder Qualität – qualitativ oder quantitativ |
| Risikoscore | Wahrscheinlichkeit × Auswirkung – bestimmt die Priorität |
| Risikostrategie | Vermeiden, vermindern, übertragen oder akzeptieren |
| Geplante Maßnahmen | Konkrete Gegenmaßnahmen mit Zeitplan |
| Verantwortlicher | Person, die das Risiko überwacht und Maßnahmen umsetzt |
| Status | Offen, in Bearbeitung, geschlossen |
| Anmerkungen | Ergänzende Informationen, Änderungshistorie, Verweise |
Nicht jedes Projekt braucht alle Spalten. Entscheidend ist: Lieber ein schlankes Register, das gepflegt wird, als ein umfassendes, das in der Schublade landet. Weitere Details zu Bewertungsmethoden und Skalendefinitionen finden Sie in unseren Artikeln zur Risikoanalyse und zur Risikobewertung.
Risikoregister erstellen – Schritt für Schritt
1. Risiken identifizieren
Der erste Schritt ist die systematische Sammlung aller Risiken, die das Projekt gefährden könnten. Bewährte Methoden:
- Brainstorming im Team – verschiedene Rollen sehen verschiedene Gefahren
- Checklisten aus früheren Projekten – Erfahrungswerte sind eine der ergiebigsten Quellen
- Stakeholder-Interviews – Auftraggeber und Fachabteilungen erkennen Risiken, die dem Projektteam nicht bewusst sind
- Perspektivenwechsel – Fragen Sie nicht „Was läuft gut?”, sondern „Wie könnte dieses Projekt scheitern?”
Beziehen Sie alle Risikokategorien ein: technische, organisatorische, wirtschaftliche, rechtliche und externe Risiken. Eine ausführliche Anleitung finden Sie im Artikel Projektrisiken identifizieren.
2. Risiken beschreiben
Formulieren Sie jedes Risiko konkret und nachvollziehbar. Vage Einträge wie „Personalproblem” oder „Technik” sind im Projektalltag nutzlos – niemand kann daraus ableiten, wann das Risiko eintritt oder was zu tun ist.
Nutzen Sie eine Ursache-Wirkung-Struktur: „Wenn [Ursache], dann [Auswirkung].” Beispiel: „Wenn der externe Dienstleister die Schnittstellendokumentation nicht bis KW 20 liefert, verzögert sich der Integrationstest um mindestens zwei Wochen.” So wird für den Risikoverantwortlichen sofort klar, worauf zu achten ist und welche Konsequenzen drohen.
3. Risiken bewerten
Schätzen Sie für jedes Risiko zwei Werte ein – getrennt voneinander, um sie nicht zu vermischen:
- Eintrittswahrscheinlichkeit: Wie wahrscheinlich tritt das Risiko ein?
- Auswirkung: Wie schwerwiegend wären die Folgen für Kosten, Termine oder Qualität?
Aus beiden Werten ergibt sich der Risikoscore (Wahrscheinlichkeit × Auswirkung). Je höher der Score, desto dringender der Handlungsbedarf. Die bewerteten Risiken lassen sich anschließend in eine Risikomatrix eintragen, um die Priorisierung visuell darzustellen.
Ob Sie qualitativ (Skala 1–5) oder quantitativ (Prozent, Euro, Tage) bewerten, hängt von Projektgröße und verfügbaren Daten ab. Wichtig ist, dass alle Beteiligten dieselbe Skala verwenden. Detaillierte Methoden beschreibt unser Artikel Risiken bewerten.
4. Maßnahmen und Verantwortliche festlegen
Für jedes priorisierte Risiko braucht es eine Strategie und konkrete Maßnahmen. Die vier Grundstrategien:
- Vermeiden: Die Ursache des Risikos beseitigen – z. B. durch Änderung des Projektscopes oder der Technologie
- Vermindern: Die Eintrittswahrscheinlichkeit oder das Schadensausmaß reduzieren – z. B. durch Tests, Schulungen oder Puffer
- Übertragen: Das Risiko an einen Dritten weitergeben – z. B. durch Versicherung oder vertragliche Regelung
- Akzeptieren: Das Risiko bewusst tragen – z. B. weil Gegenmaßnahmen unverhältnismäßig teuer wären
Weisen Sie jedem Risiko einen Verantwortlichen zu. Ohne klare Zuordnung passiert nichts – das Risiko wird zwar dokumentiert, aber niemand fühlt sich zuständig. Der Verantwortliche überwacht das Risiko, setzt Maßnahmen um und meldet Änderungen an die Projektleitung.
5. Register pflegen und aktualisieren
Das Risikoregister ist kein Dokument, das einmal erstellt und dann abgelegt wird. Es wird in jeder Statusbesprechung oder jedem Jour fixe kurz durchgegangen:
- Neue Risiken ergänzen
- Bewertungen bei veränderten Rahmenbedingungen anpassen
- Status der Maßnahmen aktualisieren
- Gelöste Risiken schließen
Ein fester Rhythmus – etwa alle zwei Wochen – stellt sicher, dass das Register aktuell bleibt. Integrieren Sie die wichtigsten Risiken in den Projektstatusbericht, damit auch der Lenkungsausschuss informiert ist.
Praxisbeispiel: Risikoregister für ein IT-Projekt
Ein mittelständisches Unternehmen führt ein neues CRM-System ein. Das Projekt hat ein Budget von 120.000 EUR und eine Laufzeit von sechs Monaten. Das Projektteam hat in einem Workshop vier zentrale Risiken identifiziert und im Risikoregister dokumentiert:
| ID | Risiko | W | A | Score | Strategie | Maßnahme | Verantwortlich | Status |
|---|---|---|---|---|---|---|---|---|
| R-001 | Schlüsselentwickler verlässt das Projekt | Mittel (3) | Hoch (4) | 12 | Vermindern | Wissenstransfer an zweite Person, Pair Programming in kritischen Modulen | Projektleitung | Offen |
| R-002 | Anforderungsänderungen durch Fachabteilung nach Spezifikationsfreigabe | Hoch (4) | Mittel (3) | 12 | Vermindern | Change-Request-Prozess etablieren, Puffer im Zeitplan einplanen | Product Owner | Offen |
| R-003 | Schnittstelle zum ERP-Altsystem funktioniert nicht wie dokumentiert | Mittel (3) | Hoch (4) | 12 | Vermindern | Prototyp der Schnittstelle in Sprint 1, Integrationstest in Sprint 2 | Tech Lead | In Bearbeitung |
| R-004 | Lieferverzögerung bei externem Dienstleister für Datenmigration | Gering (2) | Mittel (3) | 6 | Übertragen | Vertragliche Pönale vereinbaren, Alternativanbieter identifizieren | Einkauf | Offen |
Bewertung auf 5×5-Skala: 1 = Sehr gering, 2 = Gering, 3 = Mittel, 4 = Hoch, 5 = Sehr hoch
Ergebnis: Drei Risiken mit Score 12 erfordern aktive Maßnahmen. R-003 wurde als erstes angegangen, weil die Schnittstelle auf dem kritischen Pfad liegt – ein Scheitern hier würde den gesamten Projektplan gefährden. Für R-001 und R-002 wurden Maßnahmen definiert, die parallel zur laufenden Entwicklung umgesetzt werden. R-004 wird beobachtet und durch vertragliche Absicherung gesteuert.
Ein ausführlicheres Beispiel mit sieben Risiken und vollständiger Risikomatrix finden Sie in unserem Artikel Risikomanagement Beispiel.
Tipps für ein wirksames Risikoregister
-
Einfach halten. Nur so viele Spalten, wie Ihr Projekt tatsächlich braucht. Ein schlankes Register, das gepflegt wird, schlägt ein umfassendes, das niemand öffnet.
-
Verantwortung klar zuweisen. Jedes Risiko braucht genau eine verantwortliche Person. Wenn niemand zuständig ist, passiert nichts – und das Risiko fällt erst auf, wenn es zum Problem geworden ist.
-
Konkret formulieren. „Technisches Risiko” ist kein Eintrag. „Schnittstelle X liefert unter Last fehlerhafte Daten” schon. Die Ursache-Wirkung-Struktur zwingt zur Präzision.
-
Regelmäßig reviewen. Machen Sie das Risikoregister zum festen Tagesordnungspunkt – mindestens alle zwei Wochen. Ein veraltetes Register ist schlimmer als keines, weil es ein falsches Sicherheitsgefühl vermittelt.
-
Risiken auch schließen. Ein Register, das nur wächst, verliert an Übersichtlichkeit. Wenn ein Risiko nicht mehr relevant ist oder die Maßnahme gewirkt hat, schließen Sie es. Das gibt dem Team das Signal: Wir haben die Lage im Griff.
-
Software statt Tabellenkalkulation. Bei mehr als zehn Risiken oder bei verteilten Teams stößt Excel an seine Grenzen. Eine Projektmanagement-Software mit integriertem Risikomanagement bietet Filterung, Benachrichtigungen, Versionierung und Verknüpfung mit Aufgaben.
Werkzeuge für das Risikoregister
Für kleine Projekte reicht eine Tabellenkalkulation – Excel oder Google Sheets – mit einer sauberen Vorlage aus. Die Spalten entsprechen den oben beschriebenen Feldern, jede Zeile ein Risiko.
Ab einer gewissen Komplexität lohnt sich eine Projektmanagement-Software. Die Vorteile gegenüber einer statischen Tabelle: Echtzeitstatus, automatische Benachrichtigungen bei Änderungen, Verknüpfung von Risiken mit Arbeitspaketen und Aufgaben, rollenbasierter Zugriff und Dashboards für den Überblick. So wird aus einer Liste ein aktiver Prozess – und kein Risiko gerät in Vergessenheit.
Häufig gestellte Fragen
Was ist ein Risikoregister?
Ein Risikoregister ist ein tabellarisches Dokument, in dem alle identifizierten Projektrisiken systematisch erfasst werden – mit Beschreibung, Bewertung (Eintrittswahrscheinlichkeit und Auswirkung), geplanten Maßnahmen, Verantwortlichkeiten und Status. Es ist das zentrale Werkzeug der operativen Risikosteuerung im Projektmanagement.
Was ist der Unterschied zwischen Risikoregister und Risikomatrix?
Das Risikoregister ist eine detaillierte Tabelle mit allen Informationen zu jedem Risiko: Beschreibung, Bewertung, Maßnahmen, Verantwortliche und Status. Die Risikomatrix ist eine visuelle Darstellung, die Risiken nach Eintrittswahrscheinlichkeit und Auswirkung in einem farbcodierten Raster einordnet. Beide Werkzeuge ergänzen sich – die Matrix priorisiert, das Register dokumentiert.
Wer erstellt das Risikoregister?
In der Regel der Projektleiter. Bei großen oder komplexen Projekten kann ein Risikomanager diese Aufgabe übernehmen. Die Verantwortung für die Erstellung liegt bei einer Person – die Identifikation und Bewertung der Risiken sollte aber das gesamte Projektteam einbeziehen, einschließlich Fachexperten und Stakeholder.
Wann sollte ein Risikoregister erstellt werden?
So früh wie möglich – idealerweise in der Planungsphase, sobald die Projektziele und der Scope definiert sind. Das Register wird dann über den gesamten Projektverlauf fortgeschrieben und bei jedem Meilenstein und in jeder Statusbesprechung aktualisiert.
Welche Spalten muss ein Risikoregister enthalten?
Mindestens: Risiko-ID, Beschreibung, Eintrittswahrscheinlichkeit, Auswirkung, Risikoscore, Maßnahmen und Verantwortlicher. Weitere sinnvolle Spalten sind Risikokategorie, Risikostrategie, Status und Anmerkungen. Passen Sie den Umfang an Ihre Projektgröße an – ein schlankes Register, das gepflegt wird, ist wertvoller als ein umfassendes, das veraltet.
