So implementieren Sie ein Risikomanagement ISO 31000 erfolgreich in Ihrem Unternehmen!

Von Reinhold Kaim

Wem der Begriff „Risikomanagement“ und die möglichen Folgen, falls ein solches fehlt oder nicht greift bzw. zu abstrakt ist, wird nun in seinem Vorstellungsvermögen täglich visuell unterstützt. Die aktuelle Berichterstattung zum Unglück der Bohrplattform „Deepwater Horizon“, die nach einer Explosion im Golf von Mexiko versank, führt die Folgen des mangelhaften Risikomanagements des BP-Konzerns eindrucksvoll vor Augen. Dies nun als Einzelfall einer „beispiellosen Serie von Fehlern“ darzustellen, wie dies BP-Chef Tony Hayward aktuell versuchte, verharmlost die Brisanz der Situation in unzulässiger Weise. Bei einer Anhörung im US-Kongress formulierte der demokratische Vorsitzende Ed Markey laut ARD-Pressemeldung vom 15.06.2010 folgende Erkenntnis: „Wir haben herausgefunden, dass die Katastrophenpläne der fünf großen Ölkonzerne so gut wie identisch sind.“ Vielleicht sollten die Ölmultis mal einen Blick in die Risikomanagement-Norm ISO 31000 riskieren?

RISIKOMANAGEMENT – DIES BETRIFFT AUCH IHRE ORGANISATION

Die Notwendigkeit eines Risikomanagements wird häufig nur für Organisationen mit gefährlichen Produkten oder Dienstleistungen gesehen. Dies ist jedoch definitiv ein Trugschluss:

  • So ist z.B. seit 01. Mai 1998 das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) in Kraft. Die oberste Leitung wird seitdem haftbar gemacht, wenn sie keine Vorsorge bzw. Frühwarnung im Rahmen des betrieblichen Risikomanagements betreibt.
  • Aus den so genannten „Sorgfaltspflichten“ von Vorstandsmitgliedern einer Aktiengesellschaft (§ 93 Absatz 1 Satz 1 Aktiengesetz) bzw. den entsprechenden Vorschriften für GmbH-Geschäftsführer (§ 43 Absatz 1 GmbH-Gesetz) leitet sich die Pflicht der obersten Leitung ab, das Vermögen zu sichern und Gefahren vom Unternehmen abzuwenden.

Eine Erfüllung dieser Pflichten setzt bei einem ordentlichen und gewissenhaften Unternehmensführer ein Risikobewusstsein voraus, das über das hinlänglich bekannte Maß des typischen Risikoempfindens hinausgeht. Die Erfahrung zeigt, dass viele Manager Ihre Aufgaben durch die Identifikation von „versicherbaren Gefahren“ und den Abschluss entsprechender Versicherungspolicen bereits als erfüllt ansehen. Kein Wunder also, dass diese von krisenhaften Ereignissen immer wieder überrascht – ja regelrecht überrumpelt – werden.

VIELLEICHT HÄTTE DEM BP-KONZERN BEREITS DIE ISO 9001 GEHOLFEN

Nach der jüngsten Überarbeitung der DIN EN ISO 9001 und Veröffentlichung der Revision 2008 müssen auch ISO 9001- Anwender „in sich gehen“ und sich dem Risikobegriff widmen. Bisher musste sich die Organisation bei der Gestaltung und Verwirklichung ihres QM-Systems mit den verändernden Erfordernissen, besonderen Zielen, den bereitgestellten Produkten, den angewendeten Prozessen und der Größe und Struktur der Organisation auseinandersetzen. Die ISO 9001 fordert folgendes:

Gestaltung und Verwirklichung des QM-Systems einer Organisation werden beeinflusst durch

  1. ihr Umfeld, Änderungen in diesem Umfeld und die mit diesem Umfeld verbundenen Risiken,
  2. sich verändernde Erfordernisse,
  3. besondere Ziele der Organisation,
  4. ihre bereitgestellten Produkte,
  5. ihre angewendeten Prozesse,
  6. ihre Größe und Struktur.

Die a) mit dem Umfeld „Tiefsee“ verbundenen Risiken und die sich b) mit größerer Bohrtiefe vergrößernden Erfordernisse hätten so z.B. durch BP unter Berücksichtigung der ISO 9001-Anforderungen thematisiert werden müssen!

Vorlage: Alle Dokumente für Ihr Risikomanagement finden Sie direkt im Riskomanagementpaket!

RISIKOMANAGEMENT BRAUCHT EINE KLARE STRUKTUR - DESHALB ISO 31000

Mit dem eben genannten Hinweis der ISO 9001 hat sich deren Unterstützung bei der Implementierung eines Risikomanagements leider bereits erschöpft. Nicht wirklich eine große Unterstützung! Auch die „International Organization for Standardization“ hat diesen Bedarf erkannt und zeigt nun mit der ISO 31000:2009 das Konzept eines unternehmensweiten und integrierten Risikomanagements auf. Folgende Schwerpunkte kennzeichnen beispielhaft die ISO 31000:

  • Definition und Systematisierung – schafft dabei ein einheitliches Risikoverständnis sowie eine von allen verstandene „Risikosprache“.
  • Bewertung und Messung – relevanter Risiken, um zu verdeutlichen, wie stark diese die Unternehmensziele gefährden.
  • Reporting und Kommunikation – der Risiken, um die Entscheidung über notwendige Maßnahmen zur Risikobewältigung zu unterstützen.
  • Definierter Umgang mit Maßnahmen - von der Risikoprävention bis hin zu Krisenplänen und der Überwachung der Effektivität der Maßnahmen.
  • Organisatorische Verankerung – durch klare Aufgabenverteilung und Funktionstrennung zwischen Linienmanagement, zentralen Funktionen.

ANWENDUNG(-SBEREICH) DER ISO 31000

Viele sektor- bzw. branchenspezifische Risikomanagement- Normen beziehen sich jeweils nur auf ein spezielles Teilgebiet, wie nachfolgende Aufzählung beispielhaft verdeutlicht:

  • Risiken technischer Systeme (Maschinen oder Produktsicherheit),
  • finanzielle Risiken (internes Kontrollsystem),
  • Risiken der Informationstechnologie (ISMS Informationssicherheitsmanagement) oder
  • Arbeits(sicherheits)risiken (Arbeitssicherheitsmanagement).

Die ISO 31000 dagegen befasst sich mit allen möglichen bzw. denkbaren Risiken einer Organisation. Die vorher genannten Handlungsfelder sollen durch die ISO 31000 nicht etwa ersetzt, sondern mit einem allgemeingültigen Konzept unterstützt werden. Die Norm sieht im Vordergrund einen umfassenden Führungsansatz stehen, der sich mit den positiven und negativen Auswirkungen von Unsicherheit auf Ziele einer Organisation oder eines Unternehmens befasst. Wie die ISO 9001 ist die ISO 31000 für jede Art von Organisation anwendbar und kann in bereits vorhandene Führungssyteme (z.B. nach ISO 9001) integriert werden. Risikomanagement kann nur wirksam sein, wenn es in alle Unternehmensprozesse integriert wird. Risikomanagement kann und darf nicht als eine getrennte Führungsebene neben dem Qualitätsmanagement, Umweltmanagement oder dem Arbeitssicherheitsmanagement betrachtet werden!

ISO 31000 BESCHREIBT EINEN UMFASSENDEN TOPDOWN- ANSATZ

In der Vergangenheit stellte das Risikomanagement den Prozess der Risikobeurteilung in den Mittelpunkt. ISO 31000 betrachtet den organisatorischen Rahmen für das Risikomanagement als gleichwertig. Risikomanagement liegt und in dieser Einschätzung sind sich die ISO und der Gesetzgeber einig, in erster Linie in der Verantwortung der obersten Leitung, die die Risikostrategie und die Risikopolitik zu bestimmen hat. Dazu gehören explizit auch die Management-Aufgaben der Planung, Umsetzung, Bewertung und Verbesserung, was mit dem Deming-Kreis als P-D-C-A-Zyklus bezeichnet werden kann. Die ISO 31000, definiert damit detailliert, was ein Risikomanagement-System (Riskmanagement- Framework) umfassen sollte, damit es langfristige Wirkung erzielt.

SO IMPLEMENTIEREN SIE DAS RISIKOMANAGEMENT NACH ISO 31000

Die Einführung des Risikomanagements lässt sich in einzelne Themenblöcke zerlegen, die das methodische Vorgehen zur Einführung dieser Norm in einer Organisation widerspiegeln:

1. Erkennen Sie die organischen Zusammenhänge.

Ermitteln Sie zuerst den Anwendungs- bzw. Geltungsbereich des Risikomanagementsystems. Identifizieren Sie dabei die Zusammenhänge:

  • Externe Zusammenhänge, wie z.B. spezielle rechtliche und regulatorische Anforderungen; kulturelle, politische, wirtschaftliche, natürliche und wettbewerbsspezifische Gegebenheiten; die Wahrnehmungen und Werte von externen Stakeholdern, …
  • Interne Zusammenhänge, wie z.B. die Unternehmenskultur, welche Prozesse und Produkte sind betroffen, Informationssysteme, Informationsflüsse und Entscheidungsprozesse, Wahrnehmungen und Werte interner Stakeholder, …

Mit diesem Wissen können Sie nun …

  • festlegen, welche Strategien, Politiken und Ziele verfolgt werden sollen,
  • die erforderlichen Ressourcen in Form von entsprechend qualifiziertem Personal und Infrastruktur bereitstellen und
  • die Verantwortlichkeiten und damit verbundenen Kompetenzen festlegen.

Typischerweise sind dies Aktivitäten, die von der Geschäftsführung selbst durchgeführt bzw. an einen Beauftragten delegiert werden.

2. Beschreiben Sie den Prozess der Risikobeurteilung.

Auch wenn in Organisationen heute überwiegend Prozessbeschreibungen vorliegen, beinhalten diese Beschreibungen oft nur eine Dokumentation zu Notfallsituationen. Eine eigenständige Beschreibung zum Prozessablauf eines Risikomanagements ist meistens nicht vorhanden. Zum Risikomanagement-Prozess finden wir jedoch in der ISO 31000 einen dezidierten Ablauf.

ISO Kap. 5.4.2. Risikoidentifikation

Zur Risikoidentifikation empfiehlt es sich eine „Gefahrenliste“ in Form einer Checkliste zu erarbeiten. Die Gefahrenliste stellt eine Wissens-Basis (Knowledge Base, Knowledge Management) die permanent gepflegt werden muss. Wissen und die Erfahrung sollten darin nach einer übergeordneten Systematik gegliedert werden. Eine Gefahrenliste mit Risikostruktur des Gesamtunternehmens kann z.B. nach dem Zielsystem einer BSC (Balanced Scorecard) aufgebaut sein. Eine Gefahrenliste für die Sicherheit von Produkten dagegen, kann sich aus den Elementen und dem Lebenslauf dieses Produktes gliedern. Wichtiger als eine stringente Kausalität ist eine möglichst zuverlässige Identifikation der relevanten Risiken einer Organisation, selbst wenn sie außerhalb des bisherigen Erfahrungsbereiches liegen.

ISO Kap. 5.4.3 Risikoanalyse

Eine detaillierte Risikoanalyse umfasst die Identifikation der bestehenden Risiken sowie eine Abschätzung ihrer Größe. Für die Durchführung von Risikobeurteilungen an Produkten und Prozessen ist es erforderlich, dass Sie sich innerhalb einer Organisation auf die Anwendung bestimmter Methoden festlegen. Das heißt, es geht nicht darum, eine eigene Methode zu erfinden, sondern aus dem Spektrum die richtige Auswahl der bekannten Methoden zu treffen, die für die Beurteilung der spezifischen Produkte und Prozesse geeignet und nutzbringend sind. Diese umfassen z.B.:

  • Unternehmensumfassende Methoden
  • allgemeine oder spezielle Inspektionen,
  • Dokumenten- bzw. Aktenanalyse,
  • Organisationsanalyse,
  • Bedrohungsanalyse.
  • Spezielle produkt- oder prozessorientierte Methoden
  • Fehlerbaumanalyse,
  • Ereignisablaufanalyse,
  • Ausfalleffektanalyse,
  • FMEA, …

Die Risikoanalyse ist von größtem Interesse, da sie die Risikofälle mit den möglichen Ursachen/Quellen/Auslösern und den vielfältigen Auswirkungen repräsentiert.

Ausbildung: Lassen Sie sich in unserem Seminar zum Risikomanagementbeauftragten ausbilden!

ISO Kap. 5.4.4 Risikobewertung

Die Risikobewertung befasst sich mit der Frage, wann ein Risiko mit gutem Gewissen tragbar ist und deshalb von den Risikoeignern akzeptiert werden kann. Zu dieser Abgrenzung sollten Sie die Risiken durch zwei Merkmalstypen kennzeichnen:

1. Merkmal - Mögliches Schadenausmaß.

Das Risiko kann z.B. in Geldeinheiten, Gefahr von Personenschäden, Vernichtung von Nutzwerten ausgedrückt werden.

2. Merkmal - Dessen Eintrittswahrscheinlichkeit.

Objektive Wahrscheinlichkeiten anhand von Erfahrungsdaten oder subjektive Wahrscheinlichkeiten anhand von Schätzungen.

In dieser zweidimensionalen Matrix können Sie nun ein Grenzrisiko definieren, indem Sie eine so genannte Risiko-Toleranzgrenze einzeichnen. Risiken, die oberhalb dieser Grenze liegen, werden im Prinzip nicht toleriert, hingegen sind Risiken unterhalb dieser Grenze akzeptabel.

ISO Kap. 5.5 Risikobewältigung

Für Risiken, die oberhalb des definierten Grenzrisikos liegen, müssen entsprechende Maßnahmen durchgeführt werden. Nachfolgende Beispiele stellen mögliche Handlungsoptionen dar:

  • Verkleinerung von Bedrohungen oder Schwachstellen,
  • Eingrenzung der Auswirkungen unerwünschter Ereignisse,
  • Überwälzung von Risiken auf andere oder
  • Vermeidung der risikobringenden Aktivitäten.

3. Überwachen und Überprüfen Sie das Risikomanagement.

Im Gegensatz zur ISO 9001 lässt die ISO 31000 offen, welche Überwachungsinstrumente zur Prüfung der Funktionsfähigkeit und Wirksamkeit des Risikomanagementsystems sinnvoll sind. Ergänzen Sie deshalb am besten die ISO 9001-bewährten Instrumente

  • interne Audits,
  • Überwachung und Messung sowie
  • Managementsystembewertung

um die Aspekte des Risikomanagements.

 

Reinhold Kaim

(QMB, EOQ-Quality Auditor)

Tags: , ,

Einen Kommentar schreiben

Einstiegslehrgänge zu Qualitätsmanagement, SIX SIGMA und mehr

Der Autor

Name: Reinhold Kaim

Bio: Reinhold Kaim ist EOQ Quality Auditor, Umwelt Auditor und Fachkraft für Arbeitssicherheit. Er ist seit vielen Jahren als Trainer, Unternehmensberater im Produktions- und Dienstleistungsumfeld und als QM-Auditor tätig. Seit 2001 führt er Trainings und Beratungsaufträge für die VOREST AG durch.