Risikomanagement Was Sie schon immer wissen wollten RISIKO Scheibe einschlagen Risikomelder Risiken erfolgreich bewältigen © Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94 1 Dieses eBook ist eine Zusammenfassung der unter KIRSCH Managementsysteme zwischen August 2013 und Januar 2014 erstmalig veröffentlichten fünfteiligen Serie zum Risikomanagement. Der Inhalt versteht sich als informativer Überblick und wurde mit Sorgfalt erstellt. Die externen Links waren zum Zeitpunkt der Artikelerstellung aktiv. Nach der Veröffentlichung sind Änderungen möglich. Wir übernehmen keine Haftung. Die Geltendmachung von Ansprüchen jeglicher Art ist ausgeschlossen. Alle Rechte vorbehalten. Keine unerlaubte Weitergabe oder Vervielfältigung. Dieses eBook unterliegt dem Urheberrecht. Jede Verwertung ist ohne Zustimmung von KIRSCH Managementsysteme unzulässig. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen, die Einspeicherung und Verarbeitung in elektronischen Systemen. Copyright © 2014, KIRSCH Managementsysteme, Peter Uwe Kirsch, Niestetal (Kassel, Hessen). © Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94 2 INHALT Teil 1: Risikomanagementprozess 4 Teil 2: Risikokontext / Risikofelder klären 7 Teil 3: Risiken beurteilen 9 Teil 4: Risiken bewältigen / behandeln / steuern 13 Teil 5: Übergeordnete Elemente des Risikomanagementprozesses 15 Anhang: Risikobasiertes Denken in ISO 9001:2015 18 © Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94 3 Teil 1: Risikomanagementprozess Was ist ein Risiko? Warum sollen Unternehmen Risiken betrachten? Was ist der Unterschied zwischen der Betrachtung von einzelnen Risiken und einem Risikomanagementsystem nach ISO 31000 / ONR 49001? Auf diese und weitere Fragen gibt die fünfteilige Serie “Risikomanagement” Antworten. Was ist ein Risiko? ISO 31000 und ONR 49000 definieren Risiko als Auswirkung von Unsicherheit auf Ziele. Die Auswirkung, d.h. der Ausgang eines plötzlichen Ereignisses oder einer allmählichen Entwicklung auf die Ziele kann quantitativer oder qualitativer Art sein. Die Auswirkung kann positiv (Gewinn, Vorteil, Nutzen) oder negativ (Verlust, Nachteil, Schaden) sein. Die Ziele können strategisch, operativ, finanziell, sicherheitsbezogen oder andersartig definiert sein. Unsicherheit oder Ungewissheit steht für fehlende Informationen bezüglich des Eintritts zukünftiger Ereignisse oder Entwicklungen und wird mit Wahrscheinlichkeiten geschätzt oder ermittelt. Das Risiko als Folge von Ereignissen oder Entwicklungen wird berechnet aus der Wahrscheinlichkeit des Eintritts und der Auswirkung derselben. Warum sollen Unternehmen Risiken betrachten? Jedes unternehmerische Handeln ist mit Risiken und Chancen verbunden. Entscheidungen in Unternehmen sollten daher immer auf möglichst sicheren und genauen Informationen und Daten beruhen. Neben den wirtschaftlichen Risiken bestehen auch technische Risiken, z.B. im Bereich Arbeitssicherheit, Umwelt, Produktsicherheit, Brandschutz, IT, Versorgung/Entsorgung, Betriebsunterbrechung. Eine rechtzeitige, umfassende und detaillierte Risikobetrachtung verringert die Eintrittswahrscheinlichkeit von Krisen und vermeidet in letzter Konsequenz die Insolvenz von Unternehmen. Was ist der Unterschied zwischen der Betrachtung von einzelnen Risiken und einem Risikomanagementsystem nach ISO 31000 / ONR 49001? Ein Risikomanagementsystem steht für die systematische Auseinandersetzung und kontinuierliche Verbesserung betreffend die einzelnen Risiken eines Unternehmens. Im Gegensatz zur Betrachtung einzelner Risiken gibt es eine systematische Vorgehensweise, einen ständigen Verbesserungsprozess zur Vermeidung oder Senkung von Risiken, ebenso werden Wechselwirkungen zwischen den Risiken berücksichtigt. Der Gesetzgeber fordert für bestimmte Unternehmen die Einführung eines Risikomanagement als Früherkennungssystem und Überwachungssystem für Risiken. Ziel ist die langfristige Existenzsicherung durch rechtzeitiges Erkennen und Gegensteuern bei bedrohlichen Entwicklungen und durch Einschränkung auf bewusst getragene Restrisiken. © Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94 4 Für Unternehmen sind dies im Wesentlichen das KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) und viele mitgeltende Gesetze wie z.B. HGB, GmbHG, AktG und SOX (Sarbanes Oxley Act) für alle Unternehmen, die – unabhängig von ihrem Sitz – an den US-Börsen notiert sind. Für Banken wesentlich sind die Bestimmungen von Basel und MAK (Mindestanforderungen für das Betreiben von Kreditgeschäften), mit Auswirkungen auf die Unternehmen durch die sogenannten Ratings vor Kreditvergaben. Ergänzende Standards sind in Deutschland der Prüfstandard IDW PS 340 des Instituts der Wirtschaftsprüfer. Risikomanagementsysteme können bereits bestehende Managementsysteme ergänzen. Das systematische Einführen und das konsequente, wirksame Leben von Risikomanagement ist Aufgabe der Unternehmensführung. Der Nutzen besteht in der Leistungssteigerung und Effizienzverbesserung des Unternehmens und einzelnen Bereichen durch Risikosenkung mittels Optimierung von Strukturen und Prozessen, in der besseren Einschätzung von Risiken und deren Auswirkung auf strategische und operative Ziele des Unternehmens, in kleineren und kontrollierbaren Restrisiken, in identifizierten Risikofeldern, beurteilten Risiken, umgesetzten Maßnahmen zur Risikosenkung, in der Sicherstellung der ständigen Anpassung an den aktuellen Risikokontext, in dem unternehmensweit eingeführten und gelebten ständigen Verbesserungsprozess zur Verfolgung und Senkung von Risiken. Was ist der Risikomanagementprozess? Der Risikomanagementprozess bildet den Kern des Risikomanagement und ist die systematische und kontinuierliche Auseinandersetzung mit den individuellen Risikopotenzialen des Unternehmens. Seine einzelnen Bestandteile werden näher beschrieben in Teil 2: Risikokontext / Risikofelder klären Teil 3: Risiken beurteilen Teil 4: Risiken bewältigen / behandeln / steuern Teil 5: Übergeordnete Elemente mit Risiken überwachen / monitoren / reviewen – PDCA, Risiken kommunizieren und Risikomanagement Lernprozess Lesen Sie in Teil 2 mehr zu Risikokontext / Risikofelder klären. Hinweis: Wir leisten im Rahmen des Risikomanagements keine Beratung zu rechtlichen und steuerrechtlichen Themen. Für den Inhalt dieses Artikels, der sich als informativer Überblick versteht, übernehmen wir keine Haftung und die Geltendmachung von Ansprüchen jeglicher Art ist ausgeschlossen. Bitte fragen Sie für alle Rechtsthemen den Rechtsanwalt Ihres Vertrauens, für alle Steuerthemen den Steuerberater oder den Wirtschaftsprüfer Ihres Vertrauens. © Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94 5 © Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94 6 Teil 2: Risikokontext / Risikofelder klären Teil 2 der Serie Risikomanagement widmet sich dem ersten Schritt des Risiko- managementprozesses, dem Klären des Risikokontext und der Risikofelder. Beim Schritt Risikokontext und Risikofelder klären geht um die Bestimmung des Rahmens, der Umgebung, der wesentlichen Einflussfaktoren für das Risikomanagement des Unternehmens. Was ist der Risikokontext? Der Risikokontext wird bestimmt von externen und internen Bedingungen. Zu den externen Bedingungen gehören die rechtlichen, politischen, sozialen, technologischen, wirtschaftlichen (Markt, Wettbewerb, Kunde) und umweltbezogenen Rahmenbedingungen. Zu den internen Bedingungen gehören Strategie, Politik, Ziele, Kennzahlen, Werte, Kultur, Aufbauorganisation, Ablauforganisation, Informationssysteme, Entscheidungsprozesse, Führungsverhalten und Managementqualität. Wichtig für ein wirksames und lebendiges Risikomanagementsystem ist, dass Strategie, Politik, Ziele, Kennzahlensysteme, Aufbauorganisation, Ablauforganisation, Werte, Kultur, Führungsverhalten aufeinander abgestimmt und in sich widerspruchsfrei sind. Damit steht und fällt – wie bei jedem Managementsystem – die Glaubwürdigkeit, die Akzeptanz und das Vertrauen. Was sind Risikofelder? Risikofelder legen fest, welche Risiken betrachtet werden sollen, nur finanzielle Risiken, nur technische oder operative Risiken, Risiken in speziellen Bereichen wie z.B. Produktion, Beschaffung, Logistik, oder beliebige Kombinationen von Risiken. Eine komplette Betrachtung aller Risiken des Unternehmens benötigt sehr viel Zeit. Die mit der Klärung des Risikokontext bzw. der Risikofelder einhergehende Priorisierung schont daher auch Ressourcen und führt zu einer schnelleren Vermeidung oder Verringerung der wesentlichen Risiken. Für den Erfolg eines Risikomanagementsystems ausschlaggebend ist die Festlegung der für das Unternehmen wesentlichen Risikofelder. Hier gibt es wegen der Unterschiedlichkeit der Unternehmen keine Standardlösung, kein richtig oder falsch. Es geht an dieser Stelle auch nur um die grobe Abschätzung der wesentlichen Risikofelder, jedoch noch nicht um die detaillierte Risikoanalyse für die festgelegten Risikofelder. In der Praxis haben sich zwei Vorgehensweisen bewährt. Möglichkeit eins geht vom unternehmensspezifischen Umfeld, dem zugehörigen Gesamtkontext aus, und bestimmt ohne Vergleich mit Modellen die wesentlichen Risikofelder. Möglichkeit zwei baut auf bestehenden Modellen, z.B. EFQM-Modell, oder Checklisten bzw. Standardrisikokatalogen, branchenbezogenen Risikostudien oder Versicherungsinformationen für die verschiedensten Risikofelder auf. In Kombination mit Möglichkeit eins ist hier eine Anpassung an die unternehmensspezifischen Gegebenheiten vorzunehmen. © Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94 7 Ergebnis der Klärung des Risikokontext / der Risikofelder Das Ergebnis des Schrittes Risikokontext und Risikofelder klären sind die Bewusstseinsbildung betreffend des Risikokontext, d.h. des Rahmens für das Risikomanagementsystem, die Priorisierung und Eingrenzung der wesentlichen Risikofelder. Lesen Sie in Teil 3 mehr zu Risiken beurteilen. Hinweis: Wir leisten im Rahmen des Risikomanagements keine Beratung zu rechtlichen und steuerrechtlichen Themen. Für den Inhalt dieses Artikels, der sich als informativer Überblick versteht, übernehmen wir keine Haftung und die Geltendmachung von Ansprüchen jeglicher Art ist ausgeschlossen. Bitte fragen Sie für alle Rechtsthemen den Rechtsanwalt Ihres Vertrauens, für alle Steuerthemen den Steuerberater oder den Wirtschaftsprüfer Ihres Vertrauens. © Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94 8 Teil 3: Risiken beurteilen Teil 3 der Serie Risikomanagement widmet sich dem zweiten Schritt des Risiko- managementprozesses, dem Beurteilen von Risiken. Dieser Schritt umfasst das Ermitteln bzw. Identifizieren, Analysieren und Bewerten der Risiken für die festgelegten wesentlichen Risikofelder unter Beachtung des Risikokontextes. Risikobeurteilung Voraussetzungen Für die praktische Durchführung der Risikobeurteilung ist VOR deren Durchführung festzulegen, welche Methoden eingesetzt werden sollen, welche Organisationsebenen bzw. welche Bereiche eingebunden werden sollen, wer (Einzelner, Gruppe) die Risiken identifizieren soll. Spätestens VOR dem Start der Risikobeurteilung Organisationsebene ein Training sollte oder für alle Beteiligten Workshop zur unter Berücksichtigung Bewusstseinsbildung der betreffend Risikomanagement, Risiken und Methoden erfolgen. Mit dem Start der Risikobeurteilung muss die Risikostrategie und Risikopolitik vorliegen. Nur so kann festgelegt werden, wann (zeitliche Priorisierung), wie (Methode) und in welchem Umfang eine Beurteilung der möglichen Risiken durchgeführt werden soll. Risiken ermitteln – Was kann passieren und warum? Beim Risiko ermitteln oder identifizieren geht um die gemeinsame Bestimmung möglicher Risiken der wichtigsten Risikofelder. In ihrer Gesamtheit bilden die möglichen Risiken das Risikoprofil. Die Risikoermittlung umfasst die Beschreibung des Risikos und der zugehörigen möglichen Ursachen. An dieser Stelle erfolgt noch KEINE Bewertung der möglichen Risiken. Die Risikoermittlung hat als Grundlage für alle weiteren Schritte des Risikomanagementprozesses eine besondere Bedeutung. Eine schlecht und nicht vollständig ausgeführte Risikoermittlung ist Zeitverschwendung, bedeutet wiederholten Mehraufwand, führt im schlimmsten Fall wegen fehlender Glaubwürdigkeit, Akzeptanz und Vertrauen zum Abbruch der Einführung eines Risikomanagementsystems. Die wesentlichen Fragen zur Risikoermittlung externer und interner Risiken sind z.B. wann, wo, warum und wie tritt das Risiko auf? Wer ist am Risiko beteiligt, sind Verantwortlichkeiten beschrieben, welche Kontrollen gibt es für dieses Risiko? In der Praxis wird unterschieden zwischen der qualitativen und quantitativen Risikoermittlung. Die qualitative Risikoermittlung eignet sich, wenn wenige genaue und detaillierte Daten und Informationen greifbar sind. Hier geht es um die Nutzung des Wissens fachkundiger interner und externer Experten, von erkennbaren Entwicklungen, von bereits stattgefundenen Ereignissen. © Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94 9 Die quantitative Risikoermittlung verwendet ZDF = Zahlen, Daten, Fakten. Ihr Hauptnachteil besteht im Nichtvorliegen belastbarer Daten, dem im Vergleich zum Nutzen hohen Aufwand für das Sammeln der Daten und der schlechten Abbildbarkeit komplexer Zusammenhänge durch Daten. Bereits im Unternehmen vorhandene Kennzahlensysteme unterstützen den quantitativen Ansatz. Im Idealfall sind beide Ansätze miteinander zu kombinieren. Zu den wesentlichen Techniken oder Methoden für die Ermittlung möglicher Risiken eignen sich an das Unternehmen angepasste Checklisten, die Fehlermöglichkeits- und -einflußanalyse FMEA, die Stärken-Schwächen-Chancen-Risiko-Analyse SWOT, die Umfeldanalyse politischer, ökonomischer, sozialer und technologischer Faktoren – kurz PEST-Analyse, die Wettbewerbsanalyse bzw. Porter’s Five Forces, die Risikoursache und Risikoauswirkung in Verbindung bringende Risiko- Identifikationsmatrix RIM und die Expertenbefragung bzw. Delphi-Methode. Speziell für die Ursachenfindung eignen sich Risikostudien, die 5 mal Warum-Fragetechnik 5W und das Ishikawabzw. Fischgrätendiagramm. Einem möglichen Risiko können dabei eine oder mehrere Ursachen zugeordnet werden. Die Dokumentation der Risikoermittlung bildet auch die Grundlage für die Anpassung an einen sich ändernden Risikokontext bzw. sich ändernde Risikofelder. Risiken analysieren – Was sind die Auswirkungen? Risikoanalyse ist nach ISO 31000 der Prozess zur Erfassung des Wesens eines Risikos und zur Bestimmung von dessen Risikohöhe bzw. Risikoauswirkung. Nach ONR 49000 ist die Risikoanalyse die systematische Ermittlung und der Gebrauch von Informationen, um ein Risiko zu verstehen und eine Einschätzung betreffend Wahrscheinlichkeit und Auswirkung vorzunehmen. Die Risikoanalyse umfasst somit eine Risikoschätzung und bildet die Ausgangsbasis für die Risikobewertung und Festlegung der jeweiligen Risikobewältigung. Im Kern geht es darum, wie wahrscheinlich der Eintritt eines Risikos ist und mit welchen Auswirkungen – einer oder mehrerer – zu rechnen ist. Unabhängig von der angewendeten Methodik ist ein Verständnis für die Unsicherheiten notwendig, um eine richtige Interpretation der Auswirkungen vorzunehmen. Die Praxis unterscheidet zwischen der qualitativen und quantitativen Risikoanalyse. Im Idealfall sind beide Ansätze miteinander zu kombinieren. Die qualitative Risikoanalyse eignet sich, wenn nicht ausreichend genaue und detaillierte Daten und Informationen vorhanden sind. Die Nutzung des Wissens fachkundiger interner und externer Experten, von erkennbaren Entwicklungen, von bereits stattgefundenen Ereignissen steht im Vordergrund. Die zugehörigen qualitativen Techniken oder Methoden sind Brainstorming, Fragebögen, strukturierte Interviews, Bestimmung der Auswirkungen durch interdisziplinäre Gruppen oder Fachexperten. © Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94 10 Die quantitative Risikoanalyse beruht auf dem Prinzip ZDF = Zahlen, Daten, Fakten. Die Datenqualität, insbesondere die Validität, ist von entscheidender Bedeutung für eine zutreffende Risikoeinstufung. Die Gefahr liegt hier in einer Überinterpretation der Objektivität der Daten. Die quantitativen Techniken oder Methoden haben in vielen Fällen komplexe statistische Modelle als Grundlage, z.B. Wahrscheinlichkeitsanalyse, Simulationen wie z.B. Monte-Carlo-Simulation, Marktforschungsdaten, Lebenszykluskostenanalysen, Fehlerbaumanalysen FTA. In der Praxis erleichtert die Einführung von unternehmensindividuellen Risikoklassen für die Eintrittswahrscheinlichkeit des möglichen Risikos und für die Auswirkung bzw. Schadenshöhe die folgende Risikobewertung und die damit verbundene Risikobehandlung. Branchenbezogene Risikoklassen können zum Abgleich der eigenen Risikoklassen herangezogen werden. Risikoklassen für die Eintrittswahrscheinlichkeit können z.B. sein erwarteter Eintritt innerhalb eines Jahres = häufig, erwarteter Eintritt innerhalb von drei Jahren = möglich, erwarteter Eintritt innerhalb von fünf Jahren = selten, erwarteter Eintritt unwahrscheinlich, jedoch nicht ausschließbar = unwahrscheinlich. Risikoklassen für die Auswirkung bzw. Schadenshöhe können z.B. sein kleine Auswirkung auf das Unternehmen und keine Maßnahmen notwendig = vernachlässigbar, Änderungen von Mitteln und Wegen notwendig = klein, mittelfristige Änderung der Unternehmensziele notwendig = mittel, kurzfristige Änderung der Unternehmensziele notwendig = Krise, hoch, Existenzgefährdung = Gefahr Insolvenz. Risiken bewerten – in welchem Umfang wird das jeweilige Ziel oder die Existenz gefährdet? Die Risikobewertung steht nach ISO 31000 bzw. ONR 49000 für einen Prozess, der die Ergebnisse der Risikoanalyse mit Risikokriterien vergleicht, um zu bestimmen, ob ein Risiko oder sein Ausmaß akzeptierbar oder tolerierbar sind. Risikokriterien sind individuell festgelegte Bezugspunkte, mit denen die Bedeutung eines Risikos bewertet wird. Im Kern geht es darum, das Produkt aus der Eintrittswahrscheinlichkeit eines Risikos und der zugehörigen Auswirkung zu ermitteln oder auf Achsen getrennt grafisch als sogenannte Risikomatrix darzustellen. Die Risikobewertung kann bei gleicher Eintrittswahrscheinlichkeit eines Risikos und der zugehörigen Auswirkung aufgrund unterschiedlicher Höhe der Risikokriterien, auch Schwellwerte genannt, unterschiedlich ausfallen, z.B. Bewertung mittel = Kosten und Nutzen abwägen oder Bewertung hoch = Handlungsbedarf notwendig. Das Ergebnis ist eine Einteilung der Risiken in Risikozonen. Die jeweilige Risikobewertung bzw. Zuordnung zur Risikozone, z.B. kein Handlungsbedarf, Kosten und Nutzen abwägen, Handlungsbedarf, beeinflusst die Entscheidungen zur Festlegung der jeweiligen Risikobewältigung. © Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94 11 Für die Risikobewertung werden drei grundsätzliche Methoden eingesetzt. Die induktive Methode geht von einer bekannten Ursache aus und sucht nach den Wirkungen. Die deduktive Methode geht von bekannten Wirkungen aus und sucht nach den Ursachen. Kreative Methoden wie Brainstorming oder Interviews nutzen die Erfahrungen von internen und externen Experten. Ergebnis der Risikobeurteilung Das Ergebnis des Schrittes Risiken beurteilen, d.h. ermitteln, analysieren und bewerten sind die ermittelten wesentlichen möglichen Risiken, die Bestimmung von deren Eintrittswahrscheinlichkeit und deren Auswirkungen, sowie deren Zuordnung zu Risikozonen. Lesen Sie in Teil 4 mehr zu Risiken bewältigen, behandeln, steuern. Hinweis: Wir leisten im Rahmen des Risikomanagements keine Beratung zu rechtlichen und steuerrechtlichen Themen. Für den Inhalt dieses Artikels, der sich als informativer Überblick versteht, übernehmen wir keine Haftung und die Geltendmachung von Ansprüchen jeglicher Art ist ausgeschlossen. Bitte fragen Sie für alle Rechtsthemen den Rechtsanwalt Ihres Vertrauens, für alle Steuerthemen den Steuerberater oder den Wirtschaftsprüfer Ihres Vertrauens. © Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94 12 Teil 4: Risiken bewältigen Teil 4 der Serie Risikomanagement widmet sich dem dritten Schritt des Risiko- managementprozesses, der Bewältigung von Risiken. Erfahren Sie mehr zur unterschiedlichen Behandlung und Steuerung von Risiken und deren Auswirkungen in Abhängigkeit von der zuvor erfolgten Risikobewertung. Risikosteuerung Nach erfolgter Risikobewertung sind nun geeignete Maßnahmen zur Risikobewältigung einzuleiten. ISO 31000 definiert die Risikobewältigung als ein Verfahren zur Änderung von Risiken, das mehrere Maßnahmen umfassen kann. ONR 49000 beschreibt Risikobewältigung als die Auswahl und Umsetzung von Maßnahmen, um ein Risiko zu verändern. Ziel ist es, für das jeweilige bewertete Risiko aus allen möglichen Maßnahmen die jeweils optimale Maßnahme unter Berücksichtigung von Kosten und Nutzen zu bestimmen. Risikobehandlungspläne sind eine Zusammenfassung der einzelnen Maßnahmen zur Behandlung und Steuerung der einzelnen Risiken, sowie zur Bewertung von Effektivität und Effizienz der eingeleiteten Maßnahmen. Für die aktive und gezielte Steuerung der Risiken und deren Auswirkung lassen sich vier mögliche Risikobehandlungsstrategien unterscheiden. Risiken vermeiden Die Entscheidung für die Risikovermeidung ist nach ONR 49000 eine Maßnahme, um das Risiko nicht einzugehen oder sich einem Risiko zu entziehen. Die Eintrittswahrscheinlichkeit für das Risiko wird gleich Null. Im Kern stoppt das Unternehmen alle mit dem Risiko verbundenen Prozesse und Tätigkeiten. Das Unternehmen geht kein Risiko mehr ein um Vermögensverluste zu vermeiden, verzichtet aber gleichzeitig auf mögliche Chancen und Vermögenszuwächse. Risikovermeidung ist immer dann eine Option, wenn Risiken wegen einer hohen Eintrittswahrscheinlichkeit und/oder großen Auswirkung bzw. Schadenshöhe die Existenz des Unternehmens als Ganzes gefährden können und es keine andere Risikobehandlungsstrategie gibt, die das betrachtete Risiko und dessen Auswirkungen auf ein akzeptables Niveau verringern kann. Risiken vermindern Die Risikoverminderung ist nach ONR 49000 die Entscheidung für Maßnahmen, welche die Eintrittswahrscheinlichkeit und/oder die Auswirkungen eines Risikos günstig beeinflussen. Das Risiko wird auf ein für das Unternehmen akzeptables Maß verringert, mögliche Vermögensverluste begrenzt. Richtlinien und Grenzwerte legen praktisch fest, welche Risiken bis zu welcher Höhe eingegangen werden dürfen und wie deren Steuerung zu erfolgen hat. Die Risikoverminderung eignet sich für bewertete Risiken, deren mögliche Auswirkungen als nur erfolgsbedrohend, d.h. nur das Unternehmensergebnis beeinflussend, eingestuft werden. © Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94 13 Risiken übertragen / überwälzen / transferieren / teilen Bei der Risikoübertragung werden weder die Eintrittswahrscheinlichkeit, noch die Auswirkungen eines Risikos eliminiert. Es wechselt nur der Träger des Risikos. Die Risiken können dabei teilweise oder komplett übertragen werden. Der Standardfall sind Versicherungen, die gegen Prämienzahlung versicherbare Risiken übernehmen. Ein anderer üblicher Fall ist die Übertragung von Risiken auf Vertragspartner, z.B. Lieferanten im Rahmen des Outsourcing für die Produktion bestimmter Teile. Diese Risikofinanzierung dient der Bewältigung von Risiken und stellt die Liquidität und das Kapital nach Eintritt eines Risikos sicher. Risiken selbst tragen / akzeptieren / kompensieren Trotz aller risikosteuernden Maßnahmen lassen sich Risiken nicht vollständig ausschließen. Es bleibt immer ein Restrisiko, welches als bewusst eingegangenes Risiko vom Unternehmen selbst zu tragen ist. Hierbei handelt es sich um Risiken mit geringer Eintrittswahrscheinlichkeit UND geringer Auswirkung bzw. Schadenshöhe. Für die selbst zu tragenden Risiken sind klare Risikokriterien und Grenzen festzulegen. Praktisch bedeutet dies für das mögliche Risiko Rücklagen zu bilden und bei Risikoeintritt die gebildeten Rücklagen zu verbrauchen. Ergebnis der Risikosteuerung Das Ergebnis der Risikobehandlung oder Risikosteuerung sind – unter Beachtung der Gesamtrisikolage des Unternehmens – für einzelne Risiken entsprechend ihrer Eintrittswahrscheinlichkeit und/oder Auswirkung festgelegte Risikobehandlungsmaßnahmen. Diese bilden in ihrer Gesamtheit den Risikobehandlungsplan. Mit der Fortschreibung des Risikobehandlungsplans lassen sich die Effektivität und die Effizienz der jeweiligen Maßnahmen verfolgen und kommunizieren. Lesen Sie im abschließenden Teil 5 mehr zu den übergeordneten Elementen des Risikomanagementprozesses, der Risikoüberwachung und der Risikokommunikation. Hinweis: Wir leisten im Rahmen des Risikomanagements keine Beratung zu rechtlichen und steuerrechtlichen Themen. Für den Inhalt dieses Artikels, der sich als informativer Überblick versteht, übernehmen wir keine Haftung und die Geltendmachung von Ansprüchen jeglicher Art ist ausgeschlossen. Bitte fragen Sie für alle Rechtsthemen den Rechtsanwalt Ihres Vertrauens, für alle Steuerthemen den Steuerberater oder den Wirtschaftsprüfer Ihres Vertrauens. © Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94 14 Teil 5: Übergeordnete Elemente des Risikomanagementprozesses Der abschließende Teil 5 der Serie Risikomanagement widmet sich dem vierten Schritt des Risikomanagementprozesses, den übergeordneten Elementen des Risikomanagement- prozesses. Erfahren Sie, warum Überwachung, Kommunikation und der Lernprozess wesentlich sind für das wirksame Leben und die ständige Verbesserung eines Risikomanagementsystems. Risiken überwachen / monitoren / reviewen – PDCA Jeder einzelne Schritt des Risikomanagementprozesses bedarf zur Sicherstellung seiner Wirksamkeit einer geeigneten und angemessenen Überwachung. Wichtig sind hier die eindeutige Zuordnung von Verantwortlichkeiten, die laufende Überwachung der Risiken auf ihre Aktualität, die regelmäßige Überprüfung und Bewertung der eingeleiteten Maßnahmen auf ihre Wirksamkeit z.B. mit internen Audits Risikomanagement oder Checklisten, eine an den jeweiligen Empfängerkreis angepasste regelmäßige Berichterstattung (Review), die einen Soll-Ist-Vergleich auf Basis der Ziele und Kennzahlen beinhaltet und Maßnahmen bei Abweichungen festlegt und umsetzt. Alle diese Tätigkeiten ergeben Möglichkeiten für Verbesserungen des Risikomanagementsystems. Die Überwachung schließt auch den Risikomanagementprozess und das Risikomanagementsystem selbst ein, d.h. wird das Richtige (Effektivität) richtig getan (Effizienz). Bei wichtigen Änderungen wie der Aufbau- und Ablauforganisation, neuen Gesetzen, neuen Kunden usw. sind außerplanmäßig alle Betroffenen VOR der Veränderung an der Anpassung des Risikokontextes, der Risikobeurteilung, der Risikobewältigung, der Maßnahmenfestlegung und der Risikokommunikation zu beteiligen. Risiken kommunizieren ONR 49000 und ISO 31000 beschreiben die Risikokommunikation als einen sich ständig wiederholenden Prozess, der Vertrauen bzgl. des Risikomanagement bei allen internen und externen Interessengruppen bildet. Ein Kommunikationsplan legt die Kommunikation in Abhängigkeit von Umfang und Auswirkung der jeweiligen Risiken fest und stellt eine gezielte Information der jeweiligen Interessengruppen sicher. Die Risikokommunikation findet in allen Schritten des Risikomanagementprozesses statt und dient der Bewusstseinsbildung für Risiken, erklärt das Warum. Eine ideale Risikokommunikation findet für die Akzeptanz der Ergebnisse in zwei Richtungen statt. Sie erfolgt intern und extern, in Normalsituationen oder außergewöhnlichen Situationen (Krise). © Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94 15 Die interne Risikokommunikation legt die Verantwortlichkeit für die jeweiligen Risiken fest. Dies gilt für Normalsituationen und außergewöhnliche Situationen. Methoden wie Kommunikationsplan, Regeltermine, eine regelmäßige zielgruppenorientierte Berichterstattung stellen sicher, dass wesentliche Risiken und deren Änderungen mitgeteilt werden, dass Informationen über die Wirksamkeit von Maßnahmen vorliegen. Risikostrategie, Risikopolitik und Risikoziele bilden das Gerüst für die interne Orientierung aller Beteiligten des Risikomanagementprozesses. Die Risikokommunikation externe Kapitalgebern über betrifft Risikostrategie, im Regelfall Risikopolitik, die Risikoziele regelmäßige sowie die Information von Wirksamkeit der Zielerreichung. Darüber hinaus erwartet die Öffentlichkeit zunehmend auch für den nichtfinanziellen Bereich, wie z.B. Umwelt oder Arbeitssicherheit, Informationen über die entsprechenden Leistungen des Unternehmens. Bei außergewöhnlichen Situationen, z.B. Krisen oder Rückrufaktionen, greifen Prozesse zum Krisenmanagement und Notfallmanagement. Die externe Kommunikation hat hier eine besondere Bedeutung. Hier geht es speziell um die sensible Lenkung von Informationen an Behörden, Kunden, Kapitalgeber usw. mit dem Ziel Vertrauensbildung, d.h. Vermeidung langfristig wirkender Schädigung des Unternehmensrufs und damit verbundener möglicher Umsatz- und Ertragsminderungen. Risikomanagement Lernprozess Regelmäßig, z.B. in Verbindung mit internen Audits Risikomanagement oder Verbesserungsteams Risiko ist auf den Ebenen System und Prozess mit allen Betroffenen zu klären “Was lief gut?”, “Was lief schlecht?”. Es geht darum, die Wirksamkeit des Risikomanagementsystems durch Analysieren, Auswerten und Austauschen von Erfahrungen laufend zu verbessern. Gemeinsam sind die Ursachen für gut und schlecht laufende “Dinge” zu finden. Für Abweichungen, d.h. fehlende Zielerreichungen, sind gemeinsam, bei Bedarf in interdisziplinären Teams, die Hauptursachen zu bestimmen. Der Handlungsbedarf ist zu beurteilen, geeignete und angemessene Korrekturmaßnahmen sind festzulegen, umzusetzen, aufzuzeichnen und deren Wirksamkeit zu bewerten. Dies schließt auch mögliche, d.h. noch nicht eingetretene, ungenügende Leistungen des Risikomanagementsystems ein, für die gemeinsam Vorbeugungsmaßnahmen zur Vermeidung des möglichen Eintritts von Abweichungen ebenfalls festzulegen, umzusetzen, aufzuzeichnen und deren Wirksamkeit zu bewerten sind. Die Ergebnisse und Lernerfolge sind als Wissen für andere verfügbar zu machen. Dies kann erfolgen im Rahmen von regelmäßigen Informationen über Erfolge, z.B. Infotafeln, Mitarbeiterzeitung, Berichtswesen, oder bei der Neueinstellung von Mitarbeitern. © Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94 16 Ergebnis der übergeordneten Elemente Das Ergebnis der Risikoüberwachung, der Risikokommunikation und des Lernprozesses Risiko ist die Bewusstseinsbildung betreffend Risiken, die Sicherstellung eines wirksam gelebten und sich ständig verbessernden Risikomanagementsystems. Hinweis: Wir leisten im Rahmen des Risikomanagements keine Beratung zu rechtlichen und steuerrechtlichen Themen. Für den Inhalt dieses Artikels, der sich als informativer Überblick versteht, übernehmen wir keine Haftung und die Geltendmachung von Ansprüchen jeglicher Art ist ausgeschlossen. Bitte fragen Sie für alle Rechtsthemen den Rechtsanwalt Ihres Vertrauens, für alle Steuerthemen den Steuerberater oder den Wirtschaftsprüfer Ihres Vertrauens. © Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94 17 Risikobasiertes Denken in ISO 9001:2015 Die Mutter aller Managementsystemnormen – ISO 9001 – führt das risikobasierte Denken als eine Hauptänderung mit neuen Anforderungen ein. Risiken und Chancen sollen in einem immer dynamischer und komplexer werdenden Umfeld beim Erstellen, Einführen, Aufrechterhalten und bei der fortlaufenden Verbesserung des Qualitätsmanagementsystems und dessen Prozessen berücksichtigt werden. Teil 5 der Reihe ISO/DIS 9001:2014 erläutert die neuen Anforderungen des risikobasierten Denkens, klärt den Zusammenhang mit der Prozessorientierung und dem PDCA-Zyklus, erläutert den Nutzen des risikobasierten Denkens für Unternehmen und dessen Kunden und gibt Umsetzungsanleitungen für das risikobasierte Denken. Was ist risikobasiertes Denken? Bereits ISO 9001:2008 erwähnt unter 0.1 Allgemeines Risiken im Zusammenhang mit dem Umfeld des Unternehmens, enthält aber keine spezifischen Anforderungen betreffend Risiken oder Risikomanagement. ISO/DIS 9001:2014 erhöht mit Punkt 0.5 Risikobasiertes Denken die Bedeutung von Risiken und Chancen (Verbesserungen, Gelegenheiten [Opportunities]) in Verbindung mit dem Kontext (Umfeld, Rahmenbedingungen) und den Zielen des Unternehmens. Das risikobasierte Denken bezieht sich auf das gesamte Qualitätsmanagementsystem und dessen Prozesse. Risiken und Chancen werden zum Pflichtbestandteil bei der Betrachtung von Prozessen und deren Wechselwirkungen. Den Schwerpunkt bildet der Entstehungsprozess und Lebenszyklus von Produkten und Dienstleistungen. Planung und Lenkung der Prozesse und des QM-Systems sowie die erforderlichen Maßnahmen sind abhängig von den jeweiligen Risiken und Chancen. Das risikobasierte Denken ist Bestandteil der Prozessorientierung und des PDCA-Zyklus. Das umfassende risikobasierte Denken in ISO 9001:2015 ersetzt Punkt 8.5.3 Vorbeugungsmaßnahmen aus ISO 9001:2008. Risikobasiertes Denken, die Betrachtung von und der Umgang mit Risiken und Chancen wird als Vorbeugung gegen das Eintreten unerwünschter Ereignisse verstanden. Bei zukünftigen Erstzertifizierungen, Überwachungsaudits und Wiederholungsaudits nach ISO 9001:2015 ist nachzuweisen, wie die Anforderungen des risikobasierten Denkens umgesetzt wurden. ISO/DIS 9001:2014 Punkt 3.9 bzw. ISO/DIS 9000:2014 Punkt 3.7.8 definiert Risiko als Auswirkung von Ungewissheit auf ein erwartetes Ergebnis. Die Auswirkung selbst ist eine negative (Risiko) oder positive (Chance) Abweichung vom Erwarteten. Ungewissheit ergibt sich durch das Fehlen von Informationen, Fehlen des Verständnisses für und Wissen um ein Ereignis und dessen Folgen oder Wahrscheinlichkeit. Risiken stehen somit für mögliche Ereignisse und deren mögliche Auswirkungen bei deren Eintreten. © Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94 18 Der risikobasierte Ansatz steht für • proaktives (vorbeugendes) Tun anstelle Reaktion auf Ereignisse • ein Qualitätsmanagementsystem als vorbeugendes Instrument • das Verhindern oder Verringern unerwünschter Ereignisse • ein effektiveres und effizienteres Erreichen konsistenter und vorhersehbarer Ergebnisse • “Vorbeugungsmaßnahmen” anstelle Korrekturen und Korrekturmaßnahmen • die Berücksichtigung von Risiken und Chancen bei der strategischen Planung, der operativen Umsetzung und deren Bewertung • verbesserte Fähigkeit zur Wertschöpfung durch gemeinsames Nutzen von Ressourcen und Kompetenz (Wissen) sowie Leiten und Lenken qualitätsbezogener Risiken. Welchen Nutzen hat risikobasiertes Denken? Risikobasiertes Denken, prozessorientierter Ansatz und PDCA-Zyklus ergänzen sich gegenseitig. Mittels konsequentem Tun sichern sie die ganzheitliche und nachhaltige Steigerung der Wertschöpfung eines Unternehmens. Erfolgreiche Unternehmen profitieren vom risikobasierten Denken durch • erhöhtes Vertrauen der Kunden und deren Kundenzufriedenheit • sichern einer beständigen Qualität von Produkten und Dienstleistungen, d.h. weniger Fehloder Blindleistung, weniger Verschwendung • unterstützen einer proaktiven Kultur der Vorbeugung und Verbesserung • sicherstellen eines größeren Wissens und der Bereitschaft für möglicherweise eintretende Ereignisse • erhöhte Wahrscheinlichkeiten für das Erreichen von Zielen • verringern der Wahrscheinlichkeit für negativ abweichende Ergebnisse. Welche neuen Anforderungen stellt risikobasiertes Denken? Risikobasiertes Denken fordert und fördert eine Berücksichtigung von Risiken und Chancen beim Planen (Plan), Durchführen (Do), Prüfen (Check) und Handeln (Act) der für das Qualitätsmanagementsystem benötigten Prozesse und deren Wechselwirkungen. Die neuen Muss-Anforderungen des risikobasierten Denkens ergeben sich im Wesentlichen aus Punkt 4.4 Qualitätsmanagementsystem und dessen Prozesse. Speziell sind für die Sicherstellung der Zielerreichung und Verhinderung unerwünschter Ergebnisse • die Risiken und Chancen der Prozesse zu berücksichtigen und entsprechende Maßnahmen zum Umgang mit Risiken und Chancen zu planen und umzusetzen • die Chancen zur Verbesserung der Prozesse und des Qualitätsmanagementsystems zu bestimmen. © Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94 19 Punkt 6.1 Maßnahmen zum Umgang mit Risiken und Chancen fordert, dass bei Planungen des QM-Systems • die in Punkt 4.1 Verstehen der Organisation und ihres Kontextes genannten internen und externen Themen mit Relevanz für die Unternehmensstrategie und mit Auswirkung auf die Fähigkeit Ergebnisse (Leistungen) zu erreichen, zu bestimmen sind (Strategie und deren Weiterentwicklung, Stärken-Schwächen-Chancen-Risiken-Analyse SWOT, Balanced Scorecard BSC, Engpassanalyse, Porters Five) • die in Punkt 4.2 Verstehen der Erfordernisse und Erwartungen interessierter Parteien genannten interessierten Parteien und deren für das QM-System relevante Anforderungen zu bestimmen sind (Lastenheft, Pflichtenheft, Gesetze, Verordnungen, Richtlinien, Studien, Umfragen) • die Risiken und Chancen der Prozesse zu berücksichtigen sind, entsprechende Maßnahmen zum Umgang mit Risiken und Chancen zu planen sind, umzusetzen sind und deren Wirksamkeit zu bewerten sind (Risikomanagementprozess, Risikomatrix). Punkt 5.1 Führung und Verpflichtung verpflichtet die oberste Leitung sicherzustellen, dass • Risiken und Chancen, welche die Konformität von Produkten und Dienstleistungen, sowie die Fähigkeit zur Verbesserung der Kundenzufriedenheit beeinflussen können, bestimmt und berücksichtigt werden. Punkt 8.1 Betriebliche Planung und Steuerung fordert Prozesse, welche die Risiken der betrieblichen Planung und Steuerung identifizieren und bearbeiten. Auf diese Weise sind • Prozesse und Maßnahmen zur Erfüllung der Anforderungen an die Bereitstellung von Produkten und Dienstleistungen unter Berücksichtigung von Punkt 4.4 und 6.1 zu planen, umzusetzen und zu steuern. Dies entspricht im Wesentlichen den bereits in ISO 9001:2008 geforderten Tätigkeiten der Verifizierung, Validierung, Überwachung, Messung, Prüfung sowie Kriterien für die Produktannahme. In der Praxis handelt es sich um Qualitätsvorausplanung, FMEA, Fehlerbaumanalyse, Betrachtung von Projektrisiken sowie Bewertung, Verifizierung und Validierung jeder Entwicklungsphase. Der neue Punkt 8.5.5 Tätigkeiten nach der Lieferung erweitert die bereits in ISO 9001:2008 unter Punkt 7.2.1 Ermittlung der Anforderungen in Bezug auf das Produkt enthaltene Anmerkung betreffend Tätigkeiten nach der Lieferung. • Soweit zutreffend, sind Anforderungen an Tätigkeiten in Verbindung mit den Produkten und Dienstleistungen nach der Lieferung unter Berücksichtigung der Risiken zu erfüllen. Tätigkeiten nach der Lieferung können Tätigkeiten aufgrund von Gewährleistungsbestimmungen, vertragliche Pflichten wie Instandhaltung und ergänzende Dienstleistungen wie Wiederverwertung oder Entsorgung sein. © Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94 20 Punkt 9 Bewertung der Leistung verpflichtet das Unternehmen bezüglich Risiken und Chancen festzulegen • was zu überwachen und zu messen ist • welche Methoden zur Überwachung, Messung, Analyse und Bewertung, sofern zutreffend, einzusetzen sind um gültige Ergebnisse sicherzustellen • wann das Überwachen und Messen durchzuführen ist • wann die Ergebnisse der Überwachung und Messung zu analysieren und zu bewerten sind. Punkt 9.3.1 Managementbewertung fordert speziell von der obersten Leitung, der Unternehmensführung, die Beschäftigung mit Risiken und Chancen, d.h. • das Qualitätsmanagementsystem in geplanten Abständen zu bewerten, um dessen fortdauernde Eignung, Angemessenheit und Wirksamkeit sicherzustellen • die Wirksamkeit von Maßnahmen zur Behandlung von Risiken und Chancen, vgl. Punkt 6.1, zu bewerten • neue potentielle Chancen zur fortlaufenden Verbesserung zu bewerten. Punkt 10 Verbesserung fordert vom Unternehmen die Notwendigkeit oder die Chancen für Verbesserungen innerhalb des Qualitätsmanagementsystems zu bestimmen, d.h. • die Chancen zur Verbesserung zu bestimmen, auszuwählen und die notwendigen Tätigkeiten umzusetzen, um die Anforderungen des Kunden zu erfüllen und die Kundenzufriedenheit zu verbessern • soweit zutreffend Prozesse zu verbessern, um Nichtkonformitäten zu verhindern • soweit zutreffend Produkte und Dienstleistungen zu verbessern, um bekannte und vorhergesagte Anforderungen zu erfüllen • soweit zutreffend die Ergebnisse des Qualitätsmanagementsystems zu verbessern. Die Verbesserung kann reaktiv (Korrekturmaßnahmen), schrittweise (fortlaufende Verbesserung), sprunghaft (Durchbruch), kreativ (Innovation) oder durch Neuorganisation (Transformation) erfolgen. Punkt 10.3 Fortlaufende Verbesserung fordert vom Unternehmen • Eignung, Angemessenheit und Wirksamkeit des Qualitätsmanagementsystems fortlaufend zu verbessern • Ergebnisse von Analysen, Beurteilungen und Managementbewertung zu berücksichtigen, um Chancen als Teil der fortlaufenden Verbesserung zu behandeln • soweit zutreffend, geeignete Hilfsmittel und Methoden zur Unterstützung der fortlaufenden Verbesserung auszuwählen und anzuwenden. Der informelle Anhang A von ISO/DIS 9001:2014 verweist unter A.7 Wissen der Organisation auf Punkt 7.1.5 Wissen der Organisation, dass © Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94 21 • der Prozess zur Berücksichtigung und Steuerung des früheren, bestehenden und zusätzlichen Wissensstands den Kontext der Organisation berücksichtigen muss, einschließlich ihrer Größe und Komplexität, der Risiken und Chancen, die sie zu beachten hat, und der Notwendigkeit für den Zugang zu diesem Wissen. Anhang A.8 verweist auf den zugehörigen Punkt 8.4 Kontrolle von extern bereitgestellten Produkten und Dienstleistungen und fordert nicht nur für die interne, sondern auch für die externe Wertschöpfungskette • einen risikobasierten Ansatz anzuwenden, um die Art und den Umfang der Lenkung zu bestimmen, die/der für den jeweiligen externen Anbieter und die extern bereitgestellten Produkte und Dienstleistungen geeignet ist (Beschaffungsrisiken, Logistikrisiken, Lieferantenentwicklung, Risiken von Produkt und Dienstleistung). Wie lassen sich risikobasiertes Denken und dessen Anforderungen wirksam umsetzen? ISO/DIS 9001:2014 fordert Risiken und Chancen im Kontext des Unternehmens zu verstehen. Es gibt nach ISO/DIS 9001:2014 jedoch keine Anforderung für ein formelles (und zu zertifizierendes) Risikomanagement(system) oder einen dokumentierten Risikomanagementprozess. Punkt 0.5 Risikobasiertes Denken verweist darauf, dass sich Unternehmen abhängig von ihrem Kontext für einen umfangreicheren risikobasierten Ansatz als den von ISO/DIS 9001:2014 entscheiden können. ISO 31000:2009 Risikomanagement – Allgemeine Anleitung zu den Grundsätzen und zur Implementierung eines Risikomanagements wird als Leitlinie zum formellen Risikomanagement angeführt. Die Qualitätsmanagementsysteme — risikobezogenen Definitionen Anforderungen und in ISO/DIS ISO/DIS 9001:2014 9000:2014 Qualitätsmanagementsysteme – Grundlagen und Begriffe verweisen auf den ISO Guide 73:2009 Risk management – Vocabulary. Die Zusammenfassung der Anforderungen des risikobasierten Denkens aus ISO/DIS 9001:2014 ergibt, dass Risiken und Chancen • zu identifizieren sind • zu analysieren sind • zu bewerten sind • zu bewältigen sind (vermeiden, vermindern, übertragen, selbst tragen), vgl. auch Anmerkung zu 6.1 Maßnahmen zum Umgang mit Risiken und Chancen • Maßnahmen festzulegen und umzusetzen sind • die Wirksamkeit der Maßnahmen zu überwachen ist • Risiken und Chancen zu kommunizieren sind (Berichte, Managementreview) • aus Erfahrung zu lernen ist (Lessons Learned). © Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94 22 Dies entspricht dem Umfang eines systematischen Risikomanagementprozesses! Es besteht jedoch keine Anforderung seitens ISO/DIS 9001:2014 diesen systematischen Risikomanagementprozess zu dokumentieren. Andererseits sind Nachweise zu führen, wie die Anforderungen betreffend Risiko und Chancen (Verbesserung) wirksam und effizient umgesetzt werden. Da für ein wirksames und lebendiges risikobasiertes Denken auch die Bewusstseinsbildung durch Schulungen, Prozessfestlegungen usw. maßgeblich ist, lässt der ISO/DIS 9001:2014 die Anwender hier allein, “ein bisschen schwanger geht nicht”. Empfehlung: Dokumentieren Sie einen Risikomanagementprozess. Er bildet den Kern des Risikomanagement und ist die systematische und kontinuierliche Auseinandersetzung mit den individuellen Risikopotenzialen und Chancen des Unternehmens. Dieser Risikomanagementprozess ergänzt das bereits bestehende Qualitätsmanagementsystem. Das Risikomanagement ist Aufgabe der Unternehmensführung. Bei systematischer Einführung und konsequentem Leben des Risikomanagementprozesses besteht der Nutzen in der Leistungssteigerung und Effizienzverbesserung des Unternehmens. Die bessere Einschätzung von Risiken und deren Auswirkung auf strategische und operative Ziele des Unternehmens führt zu kleineren, kontrollierbaren Restrisiken, erhöht Handlungsspielräume und steigert die Wertschöpfung ganzheitlich und nachhaltig. Details für die Umsetzung des risikobasierten Denkens betreffend Risiko und Chancen bietet auch ISO 9004:2009 Leiten und Lenken für den nachhaltigen Erfolg einer Organisation – ein Qualitätsmanagementansatz, der bereits das risikobasierte Denken mittels Risiken berücksichtigt mit • Punkt 4.2 Nachhaltiger Erfolg • Punkt 5.3 Umsetzung von Strategie und Politik • Punkt 6 Management von Ressourcen, speziell 6.2 Finanzielle Ressourcen, 6.4 Lieferanten und Partner (für das Risiko in Wertschöpfungsketten), 6.5 Infrastruktur, 6.7 Wissen, Information und Technologie • Punkt 7.2 Prozessplanung und Prozesslenkung • Punkt 8 Überwachung, Messung, Analyse und Bewertung, speziell 8.3.2 Entscheidende Leistungskenngrößen (KPI), 8.3.3 Internes Audit • Punkt 9 Verbesserung, Innovation und Lernen, speziell 9.3 Innovation und 9.4 Lernen • informativer Anhang B Grundsätze des Qualitätsmanagements, speziell B.7 6.Ständige Verbesserung und B.8 7.Sachbezogener Ansatz zur Entscheidungsfindung (ZDF = Zahlen, Daten, Fakten). Vom ISO/TC 176/SC2 selbst gibt es die Veröffentlichungen ISO/TC 176/SC2 N1221, July 2014, Risk Based Thinking und ISO/TC 176/SC2 N1222, July 2014, Risk in ISO 9001:2015. Beide © Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94 23 Veröffentlichungen bieten Hintergrundwissen für das Verständnis des risikobasierten Denkens, insbesondere hinsichtlich des Risikomanagementprozesses. Zwei weitere Quellen zur Einarbeitung in das risikobasierte Denken und das Risikomanagement sind ISO GUIDE 73:2009 Risk management – vocabulary, der eine Sammlung der wichtigsten Begriffe und Definitionen zum Risikomanagement enthält sowie ISO 31000:2009 Risikomanagement als Allgemeine Anleitung zu den Grundsätzen und zur Implementierung eines Risikomanagements. Unabhängig davon sind die aktuellen Prozessbeschreibungen um den Punkt Risiken und Chancen zu erweitern. Welche Risiken bzw. Chancen hat der Prozess? Welche Folgen bzw. Auswirkungen gibt es? Sind die Auswirkungen minimal oder existenzgefährdend? Wie sieht die Risikolandschaft, d.h. die Gesamtheit der Risiken und Chancen aller Prozesse aus? Welche Risiken bzw. Chancen stehen in Wechselwirkung bzw. beeinflussen sich gegenseitig? Die strategisch relevanten Prozesse des Unternehmens sind bei der Betrachtung von Risiken und Chancen zu priorisieren. Der Risikomanagementprozess mit all seinen Schritten ist auf diese relevanten Prozesse zuerst anzuwenden. Die Anforderungen des risikobasierten Denkens sind auch bei der Planung und Durchführung der internen Audits umzusetzen. Die Audits bilden eine der wichtigsten Eingaben für das Managementreview der obersten Leitung. Die Auditorenqualifikationen sind für wirksame Audits um das Thema Risiken und Chancen zu erweitern. In diesem Zusammenhang ist insbesondere ISO 19011:2011 Leitfaden zur Auditierung von Managementsystemen wichtig, der bereits ein Risikokonzept für Audits (risikobasiertes Auditieren) beinhaltet. Punkt 7.2.3.3 Disziplin- und branchenspezifisches Wissen und Fertigkeiten von Auditoren für Managementsysteme erwähnt Grundlagen des Risikomanagements, Verfahren und Techniken in Bezug auf die Disziplin und die Branche, um den Auditor zu befähigen, die Risiken, die mit dem Auditprogramm verbunden sind, zu bewerten und zu kontrollieren. ISO 19011:2011 informativer Anhang A.4 gibt für Auditoren von Qualitätsmanagementsystemen einen Hinweis für disziplinspezifisches Wissen und Fertigkeiten betreffend Risikobewertungsmethoden, d.h. Risikoerkennung, -analyse und -bewertung. Hinweis: Der Inhalt dieses Artikels, der sich als informativer Überblick versteht, wurde mit Sorgfalt erstellt. Die externen Links waren zum Zeitpunkt der Artikelerstellung aktiv. Nach der Veröffentlichung sind Änderungen möglich. Wir übernehmen keine Haftung und die Geltendmachung von Ansprüchen jeglicher Art ist ausgeschlossen. → ISO/TC 176/SC2 N1222, July 2014, Risk in ISO 9001:2015 → ISO/TC 176/SC2 N1221, July 2014, Risk Based Thinking © Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94 24 KIRSCH Managementsysteme Interim Management & Consulting Interim Management Risikoberatung Externer RMB Audit Risiko Dienstleistungen Risikomanagement Interim Management Risiko / Interim Riskmanager Management auf Zeit als Interim Riskmanager, Risikobeauftragter oder “Projektleiter” für unterschiedlichste Risikothemen auf Ebene des Unternehmens und einzelner Bereiche / Funktionen Beratung Risikomanagement Unterstützung als Umsetzungsberater bei der Einführung sowie der strategischen und operativen Weiterentwicklung von Risikomanagementsystemen externer Risikomanagementbeauftragter (RMB) Pflege der Dokumentation des Risikomanagementsystem nach ONR 49001 bzw. ISO 31000, Durchführung interner Risikoaudits als Systemaudit und Prozessaudit, Umsetzung aktueller Risikothemen, Unterstützung beim Managementreview Risiko Audit Beratung zu Systemaudit Risikomanagement nach ONR 49001 bzw. ISO 31000, Prozessaudit oder Potenzialanalyse nach VDA 6.3, Wirksamkeit von Audits, Management von Auditprogrammen, Beratung und Umsetzung DIN EN ISO 19011, Durchführung von Systemaudit ONR 49001 bzw. ISO 31000 und Prozessaudit oder Potenzialanalysen nach VDA 6.3 © Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94 25 IMPRESSUM / Herausgeber Kirsch Managementsysteme Interim Management & Consulting Wertschöpfung steigern. Ganzheitlich. Nachhaltig. Dipl.-Ing. (FH) Peter Uwe Kirsch Marie-Calm-Strasse 5 D-34266 Niestetal November 2014 (Ausgabe zum Weltqualitätstag 13.11.2014) Das von Peter Uwe Kirsch gegründete Ingenieurbüro KIRSCH Managementsysteme unterstützt seit 2008 als Umsetzungsberater Unternehmen der Investitionsgüterindustrie, Konsumgüterindustrie und Vorleistungsgüterindustrie vom Mittelstand bis zum Konzern aus den Bereichen Automotive, Non-Automotive, Transportation Railway, Metall und Kunststoff bei den Themen Qualitäts-, Risiko- und Energiemanagement entlang der internen und externen Wertschöpfungskette mit Interim Management und Managementsystem Beratung bei der ganzheitlichen und nachhaltigen Steigerung der Wertschöpfung. Kirsch Managementsysteme Blog RSS-Feed Risiken erfolgreich bewältigen © Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94 26