Risikomanagement - Kirsch Managementsysteme

Werbung
Risikomanagement
Was Sie schon immer wissen wollten
RISIKO
Scheibe einschlagen
Risikomelder
Risiken erfolgreich bewältigen
© Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting
www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94
1
Dieses eBook ist eine Zusammenfassung der unter KIRSCH Managementsysteme zwischen August 2013 und Januar 2014 erstmalig veröffentlichten
fünfteiligen Serie zum Risikomanagement. Der Inhalt versteht sich als
informativer Überblick und wurde mit Sorgfalt erstellt. Die externen Links waren
zum Zeitpunkt der Artikelerstellung aktiv. Nach der Veröffentlichung sind
Änderungen möglich. Wir übernehmen keine Haftung. Die Geltendmachung von
Ansprüchen jeglicher Art ist ausgeschlossen. Alle Rechte vorbehalten. Keine
unerlaubte Weitergabe oder Vervielfältigung.
Dieses eBook unterliegt dem Urheberrecht. Jede Verwertung ist ohne Zustimmung von
KIRSCH Managementsysteme unzulässig. Das gilt insbesondere für Vervielfältigungen,
Übersetzungen, Mikroverfilmungen, die Einspeicherung und Verarbeitung in elektronischen
Systemen. Copyright © 2014, KIRSCH Managementsysteme, Peter Uwe Kirsch, Niestetal
(Kassel, Hessen).
© Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting
www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94
2
INHALT
Teil 1: Risikomanagementprozess
4
Teil 2: Risikokontext / Risikofelder klären
7
Teil 3: Risiken beurteilen
9
Teil 4: Risiken bewältigen / behandeln / steuern
13
Teil 5: Übergeordnete Elemente des Risikomanagementprozesses
15
Anhang: Risikobasiertes Denken in ISO 9001:2015
18
© Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting
www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94
3
Teil 1: Risikomanagementprozess
Was ist ein Risiko? Warum sollen Unternehmen Risiken betrachten? Was ist der Unterschied
zwischen der Betrachtung von einzelnen Risiken und einem Risikomanagementsystem nach ISO
31000 / ONR 49001?
Auf diese und weitere Fragen gibt die fünfteilige Serie “Risikomanagement” Antworten.
Was ist ein Risiko?
ISO 31000 und ONR 49000 definieren Risiko als Auswirkung von Unsicherheit auf Ziele. Die
Auswirkung, d.h. der Ausgang eines plötzlichen Ereignisses oder einer allmählichen Entwicklung auf
die Ziele kann quantitativer oder qualitativer Art sein. Die Auswirkung kann positiv (Gewinn, Vorteil,
Nutzen) oder negativ (Verlust, Nachteil, Schaden) sein. Die Ziele können strategisch, operativ,
finanziell, sicherheitsbezogen oder andersartig definiert sein. Unsicherheit oder Ungewissheit steht
für fehlende Informationen bezüglich des Eintritts zukünftiger Ereignisse oder Entwicklungen und wird
mit Wahrscheinlichkeiten geschätzt oder ermittelt. Das Risiko als Folge von Ereignissen oder
Entwicklungen wird berechnet aus der Wahrscheinlichkeit des Eintritts und der Auswirkung derselben.
Warum sollen Unternehmen Risiken betrachten?
Jedes unternehmerische Handeln ist mit Risiken und Chancen verbunden. Entscheidungen in
Unternehmen sollten daher immer auf möglichst sicheren und genauen Informationen und Daten
beruhen. Neben den wirtschaftlichen Risiken bestehen auch technische Risiken, z.B. im Bereich
Arbeitssicherheit, Umwelt, Produktsicherheit, Brandschutz, IT, Versorgung/Entsorgung, Betriebsunterbrechung. Eine rechtzeitige, umfassende und detaillierte Risikobetrachtung verringert die
Eintrittswahrscheinlichkeit von Krisen und vermeidet in letzter Konsequenz die Insolvenz von
Unternehmen.
Was ist der Unterschied zwischen der Betrachtung von einzelnen Risiken und einem
Risikomanagementsystem nach ISO 31000 / ONR 49001?
Ein
Risikomanagementsystem
steht
für
die
systematische
Auseinandersetzung
und
kontinuierliche Verbesserung betreffend die einzelnen Risiken eines Unternehmens. Im
Gegensatz zur Betrachtung einzelner Risiken gibt es eine systematische Vorgehensweise, einen
ständigen Verbesserungsprozess zur Vermeidung oder Senkung von Risiken, ebenso werden
Wechselwirkungen zwischen den Risiken berücksichtigt.
Der Gesetzgeber fordert für bestimmte Unternehmen die Einführung eines Risikomanagement als
Früherkennungssystem und Überwachungssystem für Risiken. Ziel ist die langfristige
Existenzsicherung durch rechtzeitiges Erkennen und Gegensteuern bei bedrohlichen Entwicklungen
und durch Einschränkung auf bewusst getragene Restrisiken.
© Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting
www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94
4
Für Unternehmen sind dies im Wesentlichen das KonTraG (Gesetz zur Kontrolle und Transparenz
im Unternehmensbereich) und viele mitgeltende Gesetze wie z.B. HGB, GmbHG, AktG und SOX
(Sarbanes Oxley Act) für alle Unternehmen, die – unabhängig von ihrem Sitz – an den US-Börsen
notiert
sind.
Für
Banken
wesentlich
sind
die
Bestimmungen
von
Basel
und
MAK
(Mindestanforderungen für das Betreiben von Kreditgeschäften), mit Auswirkungen auf die
Unternehmen durch die sogenannten Ratings vor Kreditvergaben. Ergänzende Standards sind in
Deutschland der Prüfstandard IDW PS 340 des Instituts der Wirtschaftsprüfer.
Risikomanagementsysteme können bereits bestehende Managementsysteme ergänzen. Das systematische Einführen und das konsequente, wirksame Leben von Risikomanagement ist Aufgabe der
Unternehmensführung. Der Nutzen besteht in der Leistungssteigerung und Effizienzverbesserung
des Unternehmens und einzelnen Bereichen durch Risikosenkung mittels Optimierung von Strukturen
und Prozessen, in der besseren Einschätzung von Risiken und deren Auswirkung auf strategische
und operative Ziele des Unternehmens, in kleineren und kontrollierbaren Restrisiken, in identifizierten
Risikofeldern, beurteilten Risiken, umgesetzten Maßnahmen zur Risikosenkung, in der Sicherstellung
der ständigen Anpassung an den aktuellen Risikokontext, in dem unternehmensweit eingeführten und
gelebten ständigen Verbesserungsprozess zur Verfolgung und Senkung von Risiken.
Was ist der Risikomanagementprozess?
Der Risikomanagementprozess bildet den Kern des Risikomanagement und ist die systematische
und kontinuierliche Auseinandersetzung mit den individuellen Risikopotenzialen des Unternehmens.
Seine einzelnen Bestandteile werden näher beschrieben in
Teil 2: Risikokontext / Risikofelder klären
Teil 3: Risiken beurteilen
Teil 4: Risiken bewältigen / behandeln / steuern
Teil 5: Übergeordnete Elemente mit Risiken überwachen / monitoren / reviewen – PDCA, Risiken
kommunizieren und Risikomanagement Lernprozess
Lesen Sie in Teil 2 mehr zu Risikokontext / Risikofelder klären.
Hinweis: Wir leisten im Rahmen des Risikomanagements keine Beratung zu rechtlichen und
steuerrechtlichen Themen. Für den Inhalt dieses Artikels, der sich als informativer Überblick versteht,
übernehmen wir keine Haftung und die Geltendmachung von Ansprüchen jeglicher Art ist
ausgeschlossen. Bitte fragen Sie für alle Rechtsthemen den Rechtsanwalt Ihres Vertrauens, für alle
Steuerthemen den Steuerberater oder den Wirtschaftsprüfer Ihres Vertrauens.
© Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting
www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94
5
© Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting
www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94
6
Teil 2: Risikokontext / Risikofelder klären
Teil
2
der
Serie
Risikomanagement
widmet
sich
dem
ersten
Schritt
des
Risiko-
managementprozesses, dem Klären des Risikokontext und der Risikofelder. Beim Schritt
Risikokontext und Risikofelder klären geht um die Bestimmung des Rahmens, der Umgebung, der
wesentlichen Einflussfaktoren für das Risikomanagement des Unternehmens.
Was ist der Risikokontext?
Der Risikokontext wird bestimmt von externen und internen Bedingungen. Zu den externen
Bedingungen gehören die rechtlichen, politischen, sozialen, technologischen, wirtschaftlichen
(Markt, Wettbewerb, Kunde) und umweltbezogenen Rahmenbedingungen. Zu den internen
Bedingungen gehören Strategie, Politik, Ziele, Kennzahlen, Werte, Kultur, Aufbauorganisation,
Ablauforganisation,
Informationssysteme,
Entscheidungsprozesse,
Führungsverhalten
und
Managementqualität.
Wichtig für ein wirksames und lebendiges Risikomanagementsystem ist, dass Strategie, Politik,
Ziele, Kennzahlensysteme, Aufbauorganisation, Ablauforganisation, Werte, Kultur, Führungsverhalten
aufeinander abgestimmt und in sich widerspruchsfrei sind. Damit steht und fällt – wie bei jedem
Managementsystem – die Glaubwürdigkeit, die Akzeptanz und das Vertrauen.
Was sind Risikofelder?
Risikofelder legen fest, welche Risiken betrachtet werden sollen, nur finanzielle Risiken, nur
technische oder operative Risiken, Risiken in speziellen Bereichen wie z.B. Produktion, Beschaffung,
Logistik, oder beliebige Kombinationen von Risiken.
Eine komplette Betrachtung aller Risiken des Unternehmens benötigt sehr viel Zeit. Die mit der
Klärung des Risikokontext bzw. der Risikofelder einhergehende Priorisierung schont daher auch
Ressourcen und führt zu einer schnelleren Vermeidung oder Verringerung der wesentlichen Risiken.
Für den Erfolg eines Risikomanagementsystems ausschlaggebend ist die Festlegung der für das
Unternehmen wesentlichen Risikofelder. Hier gibt es wegen der Unterschiedlichkeit der
Unternehmen keine Standardlösung, kein richtig oder falsch. Es geht an dieser Stelle auch nur um die
grobe Abschätzung der wesentlichen Risikofelder, jedoch noch nicht um die detaillierte Risikoanalyse
für die festgelegten Risikofelder.
In der Praxis haben sich zwei Vorgehensweisen bewährt. Möglichkeit eins geht vom
unternehmensspezifischen Umfeld, dem zugehörigen Gesamtkontext aus, und bestimmt ohne
Vergleich mit Modellen die wesentlichen Risikofelder. Möglichkeit zwei baut auf bestehenden
Modellen, z.B. EFQM-Modell, oder Checklisten bzw. Standardrisikokatalogen, branchenbezogenen
Risikostudien oder Versicherungsinformationen für die verschiedensten Risikofelder auf. In
Kombination mit Möglichkeit eins ist hier eine Anpassung an die unternehmensspezifischen
Gegebenheiten vorzunehmen.
© Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting
www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94
7
Ergebnis der Klärung des Risikokontext / der Risikofelder
Das Ergebnis des Schrittes Risikokontext und Risikofelder klären sind die Bewusstseinsbildung
betreffend des Risikokontext, d.h. des Rahmens für das Risikomanagementsystem, die Priorisierung
und Eingrenzung der wesentlichen Risikofelder.
Lesen Sie in Teil 3 mehr zu Risiken beurteilen.
Hinweis: Wir leisten im Rahmen des Risikomanagements keine Beratung zu rechtlichen und
steuerrechtlichen Themen. Für den Inhalt dieses Artikels, der sich als informativer Überblick versteht,
übernehmen wir keine Haftung und die Geltendmachung von Ansprüchen jeglicher Art ist
ausgeschlossen. Bitte fragen Sie für alle Rechtsthemen den Rechtsanwalt Ihres Vertrauens, für alle
Steuerthemen den Steuerberater oder den Wirtschaftsprüfer Ihres Vertrauens.
© Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting
www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94
8
Teil 3: Risiken beurteilen
Teil
3
der
Serie
Risikomanagement
widmet
sich
dem
zweiten
Schritt
des
Risiko-
managementprozesses, dem Beurteilen von Risiken. Dieser Schritt umfasst das Ermitteln bzw.
Identifizieren, Analysieren und Bewerten der Risiken für die festgelegten wesentlichen Risikofelder
unter Beachtung des Risikokontextes.
Risikobeurteilung Voraussetzungen
Für die praktische Durchführung der Risikobeurteilung ist VOR deren Durchführung festzulegen,
welche Methoden eingesetzt werden sollen, welche Organisationsebenen bzw. welche Bereiche
eingebunden werden sollen, wer (Einzelner, Gruppe) die Risiken identifizieren soll. Spätestens VOR
dem
Start
der
Risikobeurteilung
Organisationsebene
ein
Training
sollte
oder
für
alle
Beteiligten
Workshop
zur
unter
Berücksichtigung
Bewusstseinsbildung
der
betreffend
Risikomanagement, Risiken und Methoden erfolgen. Mit dem Start der Risikobeurteilung muss die
Risikostrategie und Risikopolitik vorliegen. Nur so kann festgelegt werden, wann (zeitliche
Priorisierung), wie (Methode) und in welchem Umfang eine Beurteilung der möglichen Risiken
durchgeführt werden soll.
Risiken ermitteln – Was kann passieren und warum?
Beim Risiko ermitteln oder identifizieren geht um die gemeinsame Bestimmung möglicher Risiken
der wichtigsten Risikofelder. In ihrer Gesamtheit bilden die möglichen Risiken das Risikoprofil. Die
Risikoermittlung umfasst die Beschreibung des Risikos und der zugehörigen möglichen Ursachen. An
dieser Stelle erfolgt noch KEINE Bewertung der möglichen Risiken.
Die Risikoermittlung hat als Grundlage für alle weiteren Schritte des Risikomanagementprozesses
eine besondere Bedeutung. Eine schlecht und nicht vollständig ausgeführte Risikoermittlung ist
Zeitverschwendung, bedeutet wiederholten Mehraufwand, führt im schlimmsten Fall wegen fehlender
Glaubwürdigkeit,
Akzeptanz
und
Vertrauen
zum
Abbruch
der
Einführung
eines
Risikomanagementsystems.
Die wesentlichen Fragen zur Risikoermittlung externer und interner Risiken sind z.B. wann, wo,
warum und wie tritt das Risiko auf? Wer ist am Risiko beteiligt, sind Verantwortlichkeiten beschrieben,
welche Kontrollen gibt es für dieses Risiko? In der Praxis wird unterschieden zwischen der
qualitativen und quantitativen Risikoermittlung.
Die qualitative Risikoermittlung eignet sich, wenn wenige genaue und detaillierte Daten und
Informationen greifbar sind. Hier geht es um die Nutzung des Wissens fachkundiger interner und
externer Experten, von erkennbaren Entwicklungen, von bereits stattgefundenen Ereignissen.
© Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting
www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94
9
Die quantitative Risikoermittlung verwendet ZDF = Zahlen, Daten, Fakten. Ihr Hauptnachteil
besteht im Nichtvorliegen belastbarer Daten, dem im Vergleich zum Nutzen hohen Aufwand für das
Sammeln der Daten und der schlechten Abbildbarkeit komplexer Zusammenhänge durch Daten.
Bereits im Unternehmen vorhandene Kennzahlensysteme unterstützen den quantitativen Ansatz. Im
Idealfall sind beide Ansätze miteinander zu kombinieren.
Zu den wesentlichen Techniken oder Methoden für die Ermittlung möglicher Risiken eignen sich an
das Unternehmen angepasste Checklisten, die Fehlermöglichkeits- und -einflußanalyse FMEA, die
Stärken-Schwächen-Chancen-Risiko-Analyse SWOT, die Umfeldanalyse politischer, ökonomischer,
sozialer und technologischer Faktoren – kurz PEST-Analyse, die Wettbewerbsanalyse bzw. Porter’s
Five
Forces,
die
Risikoursache
und
Risikoauswirkung
in
Verbindung
bringende
Risiko-
Identifikationsmatrix RIM und die Expertenbefragung bzw. Delphi-Methode. Speziell für die
Ursachenfindung eignen sich Risikostudien, die 5 mal Warum-Fragetechnik 5W und das Ishikawabzw. Fischgrätendiagramm. Einem möglichen Risiko können dabei eine oder mehrere Ursachen
zugeordnet werden.
Die Dokumentation der Risikoermittlung bildet auch die Grundlage für die Anpassung an einen sich
ändernden Risikokontext bzw. sich ändernde Risikofelder.
Risiken analysieren – Was sind die Auswirkungen?
Risikoanalyse ist nach ISO 31000 der Prozess zur Erfassung des Wesens eines Risikos und zur
Bestimmung von dessen Risikohöhe bzw. Risikoauswirkung. Nach ONR 49000 ist die Risikoanalyse
die systematische Ermittlung und der Gebrauch von Informationen, um ein Risiko zu verstehen und
eine Einschätzung betreffend Wahrscheinlichkeit und Auswirkung vorzunehmen. Die Risikoanalyse
umfasst somit eine Risikoschätzung und bildet die Ausgangsbasis für die Risikobewertung und
Festlegung der jeweiligen Risikobewältigung.
Im Kern geht es darum, wie wahrscheinlich der Eintritt eines Risikos ist und mit welchen
Auswirkungen – einer oder mehrerer – zu rechnen ist. Unabhängig von der angewendeten Methodik
ist ein Verständnis für die Unsicherheiten notwendig, um eine richtige Interpretation der Auswirkungen
vorzunehmen.
Die Praxis unterscheidet zwischen der qualitativen und quantitativen Risikoanalyse. Im Idealfall sind
beide Ansätze miteinander zu kombinieren. Die qualitative Risikoanalyse eignet sich, wenn nicht
ausreichend genaue und detaillierte Daten und Informationen vorhanden sind. Die Nutzung des
Wissens fachkundiger interner und externer Experten, von erkennbaren Entwicklungen, von bereits
stattgefundenen Ereignissen steht im Vordergrund. Die zugehörigen qualitativen Techniken oder
Methoden sind Brainstorming, Fragebögen, strukturierte Interviews, Bestimmung der Auswirkungen
durch interdisziplinäre Gruppen oder Fachexperten.
© Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting
www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94
10
Die quantitative Risikoanalyse beruht auf dem Prinzip ZDF = Zahlen, Daten, Fakten. Die
Datenqualität, insbesondere die Validität, ist von entscheidender Bedeutung für eine zutreffende
Risikoeinstufung. Die Gefahr liegt hier in einer Überinterpretation der Objektivität der Daten. Die
quantitativen Techniken oder Methoden haben in vielen Fällen komplexe statistische Modelle als
Grundlage, z.B. Wahrscheinlichkeitsanalyse, Simulationen wie z.B. Monte-Carlo-Simulation, Marktforschungsdaten, Lebenszykluskostenanalysen, Fehlerbaumanalysen FTA.
In der Praxis erleichtert die Einführung von unternehmensindividuellen Risikoklassen für die
Eintrittswahrscheinlichkeit des möglichen Risikos und für die Auswirkung bzw. Schadenshöhe die
folgende Risikobewertung und die damit verbundene Risikobehandlung. Branchenbezogene
Risikoklassen können zum Abgleich der eigenen Risikoklassen herangezogen werden.
Risikoklassen für die Eintrittswahrscheinlichkeit können z.B. sein erwarteter Eintritt innerhalb
eines Jahres = häufig, erwarteter Eintritt innerhalb von drei Jahren = möglich, erwarteter Eintritt
innerhalb von fünf Jahren = selten, erwarteter Eintritt unwahrscheinlich, jedoch nicht ausschließbar =
unwahrscheinlich. Risikoklassen für die Auswirkung bzw. Schadenshöhe können z.B. sein kleine
Auswirkung auf das Unternehmen und keine Maßnahmen notwendig = vernachlässigbar,
Änderungen von Mitteln und Wegen notwendig = klein, mittelfristige Änderung der Unternehmensziele notwendig = mittel, kurzfristige Änderung der Unternehmensziele notwendig = Krise,
hoch, Existenzgefährdung = Gefahr Insolvenz.
Risiken bewerten – in welchem Umfang wird das jeweilige Ziel oder die Existenz
gefährdet?
Die Risikobewertung steht nach ISO 31000 bzw. ONR 49000 für einen Prozess, der die Ergebnisse
der Risikoanalyse mit Risikokriterien vergleicht, um zu bestimmen, ob ein Risiko oder sein Ausmaß
akzeptierbar oder tolerierbar sind. Risikokriterien sind individuell festgelegte Bezugspunkte, mit denen
die Bedeutung eines Risikos bewertet wird.
Im Kern geht es darum, das Produkt aus der Eintrittswahrscheinlichkeit eines Risikos und der
zugehörigen Auswirkung zu ermitteln oder auf Achsen getrennt grafisch als sogenannte Risikomatrix
darzustellen. Die Risikobewertung kann bei gleicher Eintrittswahrscheinlichkeit eines Risikos und der
zugehörigen Auswirkung aufgrund unterschiedlicher Höhe der Risikokriterien, auch Schwellwerte
genannt, unterschiedlich ausfallen, z.B. Bewertung mittel = Kosten und Nutzen abwägen oder
Bewertung hoch = Handlungsbedarf notwendig. Das Ergebnis ist eine Einteilung der Risiken in
Risikozonen.
Die
jeweilige
Risikobewertung
bzw.
Zuordnung
zur
Risikozone,
z.B.
kein
Handlungsbedarf, Kosten und Nutzen abwägen, Handlungsbedarf, beeinflusst die Entscheidungen
zur Festlegung der jeweiligen Risikobewältigung.
© Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting
www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94
11
Für die Risikobewertung werden drei grundsätzliche Methoden eingesetzt. Die induktive Methode
geht von einer bekannten Ursache aus und sucht nach den Wirkungen. Die deduktive Methode geht
von bekannten Wirkungen aus und sucht nach den Ursachen. Kreative Methoden wie Brainstorming
oder Interviews nutzen die Erfahrungen von internen und externen Experten.
Ergebnis der Risikobeurteilung
Das Ergebnis des Schrittes Risiken beurteilen, d.h. ermitteln, analysieren und bewerten sind die
ermittelten wesentlichen möglichen Risiken, die Bestimmung von deren Eintrittswahrscheinlichkeit
und deren Auswirkungen, sowie deren Zuordnung zu Risikozonen.
Lesen Sie in Teil 4 mehr zu Risiken bewältigen, behandeln, steuern.
Hinweis: Wir leisten im Rahmen des Risikomanagements keine Beratung zu rechtlichen und
steuerrechtlichen Themen. Für den Inhalt dieses Artikels, der sich als informativer Überblick versteht,
übernehmen wir keine Haftung und die Geltendmachung von Ansprüchen jeglicher Art ist
ausgeschlossen. Bitte fragen Sie für alle Rechtsthemen den Rechtsanwalt Ihres Vertrauens, für alle
Steuerthemen den Steuerberater oder den Wirtschaftsprüfer Ihres Vertrauens.
© Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting
www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94
12
Teil 4: Risiken bewältigen
Teil
4
der
Serie
Risikomanagement
widmet
sich
dem
dritten
Schritt
des
Risiko-
managementprozesses, der Bewältigung von Risiken.
Erfahren Sie mehr zur unterschiedlichen Behandlung und Steuerung von Risiken und deren
Auswirkungen in Abhängigkeit von der zuvor erfolgten Risikobewertung.
Risikosteuerung
Nach erfolgter Risikobewertung sind nun geeignete Maßnahmen zur Risikobewältigung einzuleiten.
ISO 31000 definiert die Risikobewältigung als ein Verfahren zur Änderung von Risiken, das mehrere
Maßnahmen umfassen kann. ONR 49000 beschreibt Risikobewältigung als die Auswahl und
Umsetzung von Maßnahmen, um ein Risiko zu verändern.
Ziel ist es, für das jeweilige bewertete Risiko aus allen möglichen Maßnahmen die jeweils optimale
Maßnahme
unter
Berücksichtigung
von
Kosten
und
Nutzen
zu
bestimmen.
Risikobehandlungspläne sind eine Zusammenfassung der einzelnen Maßnahmen zur Behandlung
und Steuerung der einzelnen Risiken, sowie zur Bewertung von Effektivität und Effizienz der
eingeleiteten Maßnahmen. Für die aktive und gezielte Steuerung der Risiken und deren
Auswirkung lassen sich vier mögliche Risikobehandlungsstrategien unterscheiden.
Risiken vermeiden
Die Entscheidung für die Risikovermeidung ist nach ONR 49000 eine Maßnahme, um das Risiko
nicht einzugehen oder sich einem Risiko zu entziehen. Die Eintrittswahrscheinlichkeit für das Risiko
wird gleich Null. Im Kern stoppt das Unternehmen alle mit dem Risiko verbundenen Prozesse und
Tätigkeiten. Das Unternehmen geht kein Risiko mehr ein um Vermögensverluste zu vermeiden,
verzichtet aber gleichzeitig auf mögliche Chancen und Vermögenszuwächse. Risikovermeidung ist
immer dann eine Option, wenn Risiken wegen einer hohen Eintrittswahrscheinlichkeit und/oder
großen Auswirkung bzw. Schadenshöhe die Existenz des Unternehmens als Ganzes gefährden
können und es keine andere Risikobehandlungsstrategie gibt, die das betrachtete Risiko und dessen
Auswirkungen auf ein akzeptables Niveau verringern kann.
Risiken vermindern
Die Risikoverminderung ist nach ONR 49000 die Entscheidung für Maßnahmen, welche die
Eintrittswahrscheinlichkeit und/oder die Auswirkungen eines Risikos günstig beeinflussen. Das Risiko
wird auf ein für das Unternehmen akzeptables Maß verringert, mögliche Vermögensverluste begrenzt.
Richtlinien und Grenzwerte legen praktisch fest, welche Risiken bis zu welcher Höhe eingegangen
werden dürfen und wie deren Steuerung zu erfolgen hat. Die Risikoverminderung eignet sich für
bewertete Risiken, deren mögliche Auswirkungen als nur erfolgsbedrohend, d.h. nur das
Unternehmensergebnis beeinflussend, eingestuft werden.
© Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting
www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94
13
Risiken übertragen / überwälzen / transferieren / teilen
Bei der Risikoübertragung werden weder die Eintrittswahrscheinlichkeit, noch die Auswirkungen eines
Risikos eliminiert. Es wechselt nur der Träger des Risikos. Die Risiken können dabei teilweise oder
komplett übertragen werden. Der Standardfall sind Versicherungen, die gegen Prämienzahlung
versicherbare Risiken übernehmen. Ein anderer üblicher Fall ist die Übertragung von Risiken auf
Vertragspartner, z.B. Lieferanten im Rahmen des Outsourcing für die Produktion bestimmter Teile.
Diese Risikofinanzierung dient der Bewältigung von Risiken und stellt die Liquidität und das Kapital
nach Eintritt eines Risikos sicher.
Risiken selbst tragen / akzeptieren / kompensieren
Trotz aller risikosteuernden Maßnahmen lassen sich Risiken nicht vollständig ausschließen. Es bleibt
immer ein Restrisiko, welches als bewusst eingegangenes Risiko vom Unternehmen selbst zu tragen
ist. Hierbei handelt es sich um Risiken mit geringer Eintrittswahrscheinlichkeit UND geringer
Auswirkung bzw. Schadenshöhe. Für die selbst zu tragenden Risiken sind klare Risikokriterien und
Grenzen festzulegen. Praktisch bedeutet dies für das mögliche Risiko Rücklagen zu bilden und bei
Risikoeintritt die gebildeten Rücklagen zu verbrauchen.
Ergebnis der Risikosteuerung
Das Ergebnis der Risikobehandlung oder Risikosteuerung sind – unter Beachtung der
Gesamtrisikolage des Unternehmens – für einzelne Risiken entsprechend ihrer Eintrittswahrscheinlichkeit und/oder Auswirkung festgelegte Risikobehandlungsmaßnahmen. Diese bilden in
ihrer Gesamtheit den Risikobehandlungsplan. Mit der Fortschreibung des Risikobehandlungsplans
lassen sich die Effektivität und die Effizienz der jeweiligen Maßnahmen verfolgen und kommunizieren.
Lesen
Sie
im
abschließenden
Teil
5
mehr
zu
den
übergeordneten
Elementen
des
Risikomanagementprozesses, der Risikoüberwachung und der Risikokommunikation.
Hinweis: Wir leisten im Rahmen des Risikomanagements keine Beratung zu rechtlichen und
steuerrechtlichen Themen. Für den Inhalt dieses Artikels, der sich als informativer Überblick versteht,
übernehmen wir keine Haftung und die Geltendmachung von Ansprüchen jeglicher Art ist
ausgeschlossen. Bitte fragen Sie für alle Rechtsthemen den Rechtsanwalt Ihres Vertrauens, für alle
Steuerthemen den Steuerberater oder den Wirtschaftsprüfer Ihres Vertrauens.
© Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting
www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94
14
Teil 5: Übergeordnete Elemente des Risikomanagementprozesses
Der abschließende Teil 5 der Serie Risikomanagement widmet sich dem vierten Schritt des
Risikomanagementprozesses,
den
übergeordneten
Elementen
des
Risikomanagement-
prozesses.
Erfahren Sie, warum Überwachung, Kommunikation und der Lernprozess wesentlich sind für das
wirksame Leben und die ständige Verbesserung eines Risikomanagementsystems.
Risiken überwachen / monitoren / reviewen – PDCA
Jeder
einzelne
Schritt
des
Risikomanagementprozesses
bedarf
zur
Sicherstellung
seiner
Wirksamkeit einer geeigneten und angemessenen Überwachung. Wichtig sind hier die eindeutige
Zuordnung von Verantwortlichkeiten, die laufende Überwachung der Risiken auf ihre Aktualität,
die regelmäßige Überprüfung und Bewertung der eingeleiteten Maßnahmen auf ihre Wirksamkeit z.B.
mit internen Audits Risikomanagement oder Checklisten, eine an den jeweiligen Empfängerkreis
angepasste regelmäßige Berichterstattung (Review), die einen Soll-Ist-Vergleich auf Basis der
Ziele und Kennzahlen beinhaltet und Maßnahmen bei Abweichungen festlegt und umsetzt. Alle diese
Tätigkeiten ergeben Möglichkeiten für Verbesserungen des Risikomanagementsystems. Die
Überwachung schließt auch den Risikomanagementprozess und das Risikomanagementsystem
selbst ein, d.h. wird das Richtige (Effektivität) richtig getan (Effizienz).
Bei wichtigen Änderungen wie der Aufbau- und Ablauforganisation, neuen Gesetzen, neuen Kunden
usw. sind außerplanmäßig alle Betroffenen VOR der Veränderung an der Anpassung des
Risikokontextes, der Risikobeurteilung, der Risikobewältigung, der Maßnahmenfestlegung und der
Risikokommunikation zu beteiligen.
Risiken kommunizieren
ONR 49000 und ISO 31000 beschreiben die Risikokommunikation als einen sich ständig
wiederholenden Prozess, der Vertrauen bzgl. des Risikomanagement bei allen internen und externen
Interessengruppen bildet. Ein Kommunikationsplan legt die Kommunikation in Abhängigkeit von
Umfang und Auswirkung der jeweiligen Risiken fest und stellt eine gezielte Information der jeweiligen
Interessengruppen sicher.
Die Risikokommunikation findet in allen Schritten des Risikomanagementprozesses statt und dient
der Bewusstseinsbildung für Risiken, erklärt das Warum. Eine ideale Risikokommunikation findet für
die Akzeptanz der Ergebnisse in zwei Richtungen statt. Sie erfolgt intern und extern, in
Normalsituationen oder außergewöhnlichen Situationen (Krise).
© Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting
www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94
15
Die interne Risikokommunikation legt die Verantwortlichkeit für die jeweiligen Risiken fest. Dies gilt
für Normalsituationen und außergewöhnliche Situationen. Methoden wie Kommunikationsplan,
Regeltermine, eine regelmäßige zielgruppenorientierte Berichterstattung stellen sicher, dass
wesentliche Risiken und deren Änderungen mitgeteilt werden, dass Informationen über die
Wirksamkeit von Maßnahmen vorliegen. Risikostrategie, Risikopolitik und Risikoziele bilden das
Gerüst für die interne Orientierung aller Beteiligten des Risikomanagementprozesses.
Die
Risikokommunikation
externe
Kapitalgebern
über
betrifft
Risikostrategie,
im
Regelfall
Risikopolitik,
die
Risikoziele
regelmäßige
sowie
die
Information
von
Wirksamkeit
der
Zielerreichung. Darüber hinaus erwartet die Öffentlichkeit zunehmend auch für den nichtfinanziellen
Bereich, wie z.B. Umwelt oder Arbeitssicherheit, Informationen über die entsprechenden Leistungen
des Unternehmens.
Bei außergewöhnlichen Situationen, z.B. Krisen oder Rückrufaktionen, greifen Prozesse zum
Krisenmanagement und Notfallmanagement. Die externe Kommunikation hat hier eine besondere
Bedeutung. Hier geht es speziell um die sensible Lenkung von Informationen an Behörden,
Kunden, Kapitalgeber usw. mit dem Ziel Vertrauensbildung, d.h. Vermeidung langfristig wirkender
Schädigung
des
Unternehmensrufs
und
damit
verbundener
möglicher
Umsatz-
und
Ertragsminderungen.
Risikomanagement Lernprozess
Regelmäßig, z.B. in Verbindung mit internen Audits Risikomanagement oder Verbesserungsteams
Risiko ist auf den Ebenen System und Prozess mit allen Betroffenen zu klären “Was lief gut?”,
“Was lief schlecht?”. Es geht darum, die Wirksamkeit des Risikomanagementsystems durch
Analysieren, Auswerten und Austauschen von Erfahrungen laufend zu verbessern. Gemeinsam sind
die Ursachen für gut und schlecht laufende “Dinge” zu finden.
Für Abweichungen, d.h. fehlende Zielerreichungen, sind gemeinsam, bei Bedarf in interdisziplinären
Teams, die Hauptursachen zu bestimmen. Der Handlungsbedarf ist zu beurteilen, geeignete und
angemessene Korrekturmaßnahmen sind festzulegen, umzusetzen, aufzuzeichnen und deren
Wirksamkeit zu bewerten. Dies schließt auch mögliche, d.h. noch nicht eingetretene, ungenügende
Leistungen des Risikomanagementsystems ein, für die gemeinsam Vorbeugungsmaßnahmen zur
Vermeidung des möglichen Eintritts von Abweichungen ebenfalls festzulegen, umzusetzen,
aufzuzeichnen und deren Wirksamkeit zu bewerten sind.
Die Ergebnisse und Lernerfolge sind als Wissen für andere verfügbar zu machen. Dies kann erfolgen
im Rahmen von regelmäßigen Informationen über Erfolge, z.B. Infotafeln, Mitarbeiterzeitung,
Berichtswesen, oder bei der Neueinstellung von Mitarbeitern.
© Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting
www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94
16
Ergebnis der übergeordneten Elemente
Das Ergebnis der Risikoüberwachung, der Risikokommunikation und des Lernprozesses Risiko ist
die Bewusstseinsbildung betreffend Risiken, die Sicherstellung eines wirksam gelebten und sich
ständig verbessernden Risikomanagementsystems.
Hinweis: Wir leisten im Rahmen des Risikomanagements keine Beratung zu rechtlichen und
steuerrechtlichen Themen. Für den Inhalt dieses Artikels, der sich als informativer Überblick versteht,
übernehmen wir keine Haftung und die Geltendmachung von Ansprüchen jeglicher Art ist
ausgeschlossen. Bitte fragen Sie für alle Rechtsthemen den Rechtsanwalt Ihres Vertrauens, für alle
Steuerthemen den Steuerberater oder den Wirtschaftsprüfer Ihres Vertrauens.
© Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting
www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94
17
Risikobasiertes Denken in ISO 9001:2015
Die Mutter aller Managementsystemnormen – ISO 9001 – führt das risikobasierte Denken als eine
Hauptänderung mit neuen Anforderungen ein. Risiken und Chancen sollen in einem immer
dynamischer und komplexer werdenden Umfeld beim Erstellen, Einführen, Aufrechterhalten und bei
der fortlaufenden Verbesserung des Qualitätsmanagementsystems und dessen Prozessen
berücksichtigt werden.
Teil 5 der Reihe ISO/DIS 9001:2014 erläutert die neuen Anforderungen des risikobasierten Denkens,
klärt den Zusammenhang mit der Prozessorientierung und dem PDCA-Zyklus, erläutert den Nutzen
des risikobasierten Denkens für Unternehmen und dessen Kunden und gibt Umsetzungsanleitungen
für das risikobasierte Denken.
Was ist risikobasiertes Denken?
Bereits ISO 9001:2008 erwähnt unter 0.1 Allgemeines Risiken im Zusammenhang mit dem Umfeld
des Unternehmens, enthält aber keine spezifischen Anforderungen betreffend Risiken oder
Risikomanagement.
ISO/DIS 9001:2014 erhöht mit Punkt 0.5 Risikobasiertes Denken die Bedeutung von Risiken und
Chancen (Verbesserungen, Gelegenheiten [Opportunities]) in Verbindung mit dem Kontext (Umfeld,
Rahmenbedingungen) und den Zielen des Unternehmens. Das risikobasierte Denken bezieht sich auf
das gesamte Qualitätsmanagementsystem und dessen Prozesse. Risiken und Chancen werden zum
Pflichtbestandteil bei der Betrachtung von Prozessen und deren Wechselwirkungen. Den
Schwerpunkt bildet der Entstehungsprozess und Lebenszyklus von Produkten und Dienstleistungen.
Planung und Lenkung der Prozesse und des QM-Systems sowie die erforderlichen Maßnahmen sind
abhängig von den jeweiligen Risiken und Chancen. Das risikobasierte Denken ist Bestandteil der
Prozessorientierung und des PDCA-Zyklus. Das umfassende risikobasierte Denken in ISO 9001:2015
ersetzt Punkt 8.5.3 Vorbeugungsmaßnahmen aus ISO 9001:2008. Risikobasiertes Denken, die
Betrachtung von und der Umgang mit Risiken und Chancen wird als Vorbeugung gegen das Eintreten
unerwünschter Ereignisse verstanden.
Bei zukünftigen Erstzertifizierungen, Überwachungsaudits und Wiederholungsaudits nach ISO
9001:2015 ist nachzuweisen, wie die Anforderungen des risikobasierten Denkens umgesetzt wurden.
ISO/DIS 9001:2014 Punkt 3.9 bzw. ISO/DIS 9000:2014 Punkt 3.7.8 definiert Risiko als Auswirkung
von Ungewissheit auf ein erwartetes Ergebnis. Die Auswirkung selbst ist eine negative (Risiko) oder
positive (Chance) Abweichung vom Erwarteten. Ungewissheit ergibt sich durch das Fehlen von
Informationen, Fehlen des Verständnisses für und Wissen um ein Ereignis und dessen Folgen oder
Wahrscheinlichkeit. Risiken stehen somit für mögliche Ereignisse und deren mögliche
Auswirkungen bei deren Eintreten.
© Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting
www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94
18
Der risikobasierte Ansatz steht für
•
proaktives (vorbeugendes) Tun anstelle Reaktion auf Ereignisse
•
ein Qualitätsmanagementsystem als vorbeugendes Instrument
•
das Verhindern oder Verringern unerwünschter Ereignisse
•
ein effektiveres und effizienteres Erreichen konsistenter und vorhersehbarer Ergebnisse
•
“Vorbeugungsmaßnahmen” anstelle Korrekturen und Korrekturmaßnahmen
•
die Berücksichtigung von Risiken und Chancen bei der strategischen Planung, der operativen
Umsetzung und deren Bewertung
•
verbesserte Fähigkeit zur Wertschöpfung durch gemeinsames Nutzen von Ressourcen und
Kompetenz (Wissen) sowie Leiten und Lenken qualitätsbezogener Risiken.
Welchen Nutzen hat risikobasiertes Denken?
Risikobasiertes Denken, prozessorientierter Ansatz und PDCA-Zyklus ergänzen sich gegenseitig.
Mittels konsequentem Tun sichern sie die ganzheitliche und nachhaltige Steigerung der Wertschöpfung eines Unternehmens. Erfolgreiche Unternehmen profitieren vom risikobasierten Denken
durch
•
erhöhtes Vertrauen der Kunden und deren Kundenzufriedenheit
•
sichern einer beständigen Qualität von Produkten und Dienstleistungen, d.h. weniger Fehloder Blindleistung, weniger Verschwendung
•
unterstützen einer proaktiven Kultur der Vorbeugung und Verbesserung
•
sicherstellen eines größeren Wissens und der Bereitschaft für möglicherweise eintretende
Ereignisse
•
erhöhte Wahrscheinlichkeiten für das Erreichen von Zielen
•
verringern der Wahrscheinlichkeit für negativ abweichende Ergebnisse.
Welche neuen Anforderungen stellt risikobasiertes Denken?
Risikobasiertes Denken fordert und fördert eine Berücksichtigung von Risiken und Chancen beim
Planen
(Plan),
Durchführen
(Do),
Prüfen
(Check)
und
Handeln
(Act)
der
für
das
Qualitätsmanagementsystem benötigten Prozesse und deren Wechselwirkungen.
Die neuen Muss-Anforderungen des risikobasierten Denkens ergeben sich im Wesentlichen aus
Punkt
4.4
Qualitätsmanagementsystem
und
dessen
Prozesse.
Speziell
sind
für
die
Sicherstellung der Zielerreichung und Verhinderung unerwünschter Ergebnisse
•
die Risiken und Chancen der Prozesse zu berücksichtigen und entsprechende Maßnahmen
zum Umgang mit Risiken und Chancen zu planen und umzusetzen
•
die Chancen zur Verbesserung der Prozesse und des Qualitätsmanagementsystems zu
bestimmen.
© Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting
www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94
19
Punkt 6.1 Maßnahmen zum Umgang mit Risiken und Chancen fordert, dass bei Planungen des
QM-Systems
•
die in Punkt 4.1 Verstehen der Organisation und ihres Kontextes genannten internen und
externen Themen mit Relevanz für die Unternehmensstrategie und mit Auswirkung auf die
Fähigkeit Ergebnisse (Leistungen) zu erreichen, zu bestimmen sind (Strategie und deren
Weiterentwicklung,
Stärken-Schwächen-Chancen-Risiken-Analyse
SWOT,
Balanced
Scorecard BSC, Engpassanalyse, Porters Five)
•
die in Punkt 4.2 Verstehen der Erfordernisse und Erwartungen interessierter Parteien
genannten interessierten Parteien und deren für das QM-System relevante Anforderungen zu
bestimmen sind (Lastenheft, Pflichtenheft, Gesetze, Verordnungen, Richtlinien, Studien,
Umfragen)
•
die Risiken und Chancen der Prozesse zu berücksichtigen sind, entsprechende Maßnahmen
zum Umgang mit Risiken und Chancen zu planen sind, umzusetzen sind und deren
Wirksamkeit zu bewerten sind (Risikomanagementprozess, Risikomatrix).
Punkt 5.1 Führung und Verpflichtung verpflichtet die oberste Leitung sicherzustellen, dass
•
Risiken und Chancen, welche die Konformität von Produkten und Dienstleistungen, sowie die
Fähigkeit zur Verbesserung der Kundenzufriedenheit beeinflussen können, bestimmt und
berücksichtigt werden.
Punkt 8.1 Betriebliche Planung und Steuerung fordert Prozesse, welche die Risiken der
betrieblichen Planung und Steuerung identifizieren und bearbeiten. Auf diese Weise sind
•
Prozesse und Maßnahmen zur Erfüllung der Anforderungen an die Bereitstellung von
Produkten und Dienstleistungen unter Berücksichtigung von Punkt 4.4 und 6.1 zu planen,
umzusetzen und zu steuern.
Dies entspricht im Wesentlichen den bereits in ISO 9001:2008 geforderten Tätigkeiten der
Verifizierung, Validierung, Überwachung, Messung, Prüfung sowie Kriterien für die Produktannahme.
In der Praxis handelt es sich um Qualitätsvorausplanung, FMEA, Fehlerbaumanalyse, Betrachtung
von Projektrisiken sowie Bewertung, Verifizierung und Validierung jeder Entwicklungsphase.
Der neue Punkt 8.5.5 Tätigkeiten nach der Lieferung erweitert die bereits in ISO 9001:2008 unter
Punkt 7.2.1 Ermittlung der Anforderungen in Bezug auf das Produkt enthaltene Anmerkung betreffend
Tätigkeiten nach der Lieferung.
•
Soweit zutreffend, sind Anforderungen an Tätigkeiten in Verbindung mit den Produkten und
Dienstleistungen nach der Lieferung unter Berücksichtigung der Risiken zu erfüllen.
Tätigkeiten nach der Lieferung können Tätigkeiten aufgrund von Gewährleistungsbestimmungen,
vertragliche Pflichten wie Instandhaltung und ergänzende Dienstleistungen wie Wiederverwertung
oder Entsorgung sein.
© Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting
www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94
20
Punkt 9 Bewertung der Leistung verpflichtet das Unternehmen bezüglich Risiken und Chancen
festzulegen
•
was zu überwachen und zu messen ist
•
welche Methoden zur Überwachung, Messung, Analyse und Bewertung, sofern zutreffend,
einzusetzen sind um gültige Ergebnisse sicherzustellen
•
wann das Überwachen und Messen durchzuführen ist
•
wann die Ergebnisse der Überwachung und Messung zu analysieren und zu bewerten sind.
Punkt
9.3.1
Managementbewertung
fordert
speziell
von
der
obersten
Leitung,
der
Unternehmensführung, die Beschäftigung mit Risiken und Chancen, d.h.
•
das Qualitätsmanagementsystem in geplanten Abständen zu bewerten, um dessen
fortdauernde Eignung, Angemessenheit und Wirksamkeit sicherzustellen
•
die Wirksamkeit von Maßnahmen zur Behandlung von Risiken und Chancen, vgl. Punkt 6.1,
zu bewerten
•
neue potentielle Chancen zur fortlaufenden Verbesserung zu bewerten.
Punkt 10 Verbesserung fordert vom Unternehmen die Notwendigkeit oder die Chancen für
Verbesserungen innerhalb des Qualitätsmanagementsystems zu bestimmen, d.h.
•
die Chancen zur Verbesserung zu bestimmen, auszuwählen und die notwendigen Tätigkeiten
umzusetzen, um die Anforderungen des Kunden zu erfüllen und die Kundenzufriedenheit zu
verbessern
•
soweit zutreffend Prozesse zu verbessern, um Nichtkonformitäten zu verhindern
•
soweit zutreffend Produkte und Dienstleistungen zu verbessern, um bekannte und
vorhergesagte Anforderungen zu erfüllen
•
soweit zutreffend die Ergebnisse des Qualitätsmanagementsystems zu verbessern.
Die Verbesserung kann reaktiv (Korrekturmaßnahmen), schrittweise (fortlaufende Verbesserung),
sprunghaft (Durchbruch), kreativ (Innovation) oder durch Neuorganisation (Transformation) erfolgen.
Punkt 10.3 Fortlaufende Verbesserung fordert vom Unternehmen
•
Eignung, Angemessenheit und Wirksamkeit des Qualitätsmanagementsystems fortlaufend zu
verbessern
•
Ergebnisse von Analysen, Beurteilungen und Managementbewertung zu berücksichtigen, um
Chancen als Teil der fortlaufenden Verbesserung zu behandeln
•
soweit zutreffend, geeignete Hilfsmittel und Methoden zur Unterstützung der fortlaufenden
Verbesserung auszuwählen und anzuwenden.
Der informelle Anhang A von ISO/DIS 9001:2014 verweist unter A.7 Wissen der Organisation auf
Punkt 7.1.5 Wissen der Organisation, dass
© Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting
www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94
21
•
der Prozess zur Berücksichtigung und Steuerung des früheren, bestehenden und zusätzlichen
Wissensstands den Kontext der Organisation berücksichtigen muss, einschließlich ihrer
Größe und Komplexität, der Risiken und Chancen, die sie zu beachten hat, und der
Notwendigkeit für den Zugang zu diesem Wissen.
Anhang A.8 verweist auf den zugehörigen Punkt 8.4 Kontrolle von extern bereitgestellten
Produkten und Dienstleistungen und fordert nicht nur für die interne, sondern auch für die externe
Wertschöpfungskette
•
einen risikobasierten Ansatz anzuwenden, um die Art und den Umfang der Lenkung zu
bestimmen, die/der für den jeweiligen externen Anbieter und die extern bereitgestellten
Produkte
und
Dienstleistungen
geeignet
ist
(Beschaffungsrisiken,
Logistikrisiken,
Lieferantenentwicklung, Risiken von Produkt und Dienstleistung).
Wie lassen sich risikobasiertes Denken und dessen Anforderungen wirksam
umsetzen?
ISO/DIS 9001:2014 fordert Risiken und Chancen im Kontext des Unternehmens zu verstehen. Es
gibt nach ISO/DIS 9001:2014 jedoch keine Anforderung für ein formelles (und zu zertifizierendes)
Risikomanagement(system) oder einen dokumentierten Risikomanagementprozess.
Punkt 0.5 Risikobasiertes Denken verweist darauf, dass sich Unternehmen abhängig von ihrem
Kontext für einen umfangreicheren risikobasierten Ansatz als den von ISO/DIS 9001:2014
entscheiden können. ISO 31000:2009 Risikomanagement – Allgemeine Anleitung zu den
Grundsätzen und zur Implementierung eines Risikomanagements wird als Leitlinie zum formellen
Risikomanagement
angeführt.
Die
Qualitätsmanagementsysteme
—
risikobezogenen
Definitionen
Anforderungen
und
in
ISO/DIS
ISO/DIS
9001:2014
9000:2014
Qualitätsmanagementsysteme – Grundlagen und Begriffe verweisen auf den ISO Guide 73:2009
Risk management – Vocabulary.
Die Zusammenfassung der Anforderungen des risikobasierten Denkens aus ISO/DIS 9001:2014
ergibt, dass Risiken und Chancen
•
zu identifizieren sind
•
zu analysieren sind
•
zu bewerten sind
•
zu bewältigen sind (vermeiden, vermindern, übertragen, selbst tragen), vgl. auch Anmerkung
zu 6.1 Maßnahmen zum Umgang mit Risiken und Chancen
•
Maßnahmen festzulegen und umzusetzen sind
•
die Wirksamkeit der Maßnahmen zu überwachen ist
•
Risiken und Chancen zu kommunizieren sind (Berichte, Managementreview)
•
aus Erfahrung zu lernen ist (Lessons Learned).
© Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting
www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94
22
Dies entspricht dem Umfang eines systematischen Risikomanagementprozesses! Es besteht
jedoch
keine
Anforderung
seitens
ISO/DIS
9001:2014
diesen
systematischen
Risikomanagementprozess zu dokumentieren. Andererseits sind Nachweise zu führen, wie die
Anforderungen betreffend Risiko und Chancen (Verbesserung) wirksam und effizient umgesetzt
werden.
Da
für
ein
wirksames
und
lebendiges
risikobasiertes
Denken
auch
die
Bewusstseinsbildung durch Schulungen, Prozessfestlegungen usw. maßgeblich ist, lässt der
ISO/DIS 9001:2014 die Anwender hier allein, “ein bisschen schwanger geht nicht”.
Empfehlung: Dokumentieren Sie einen Risikomanagementprozess. Er bildet den Kern des
Risikomanagement und ist die systematische und kontinuierliche Auseinandersetzung mit den
individuellen Risikopotenzialen und Chancen des Unternehmens. Dieser Risikomanagementprozess
ergänzt das bereits bestehende Qualitätsmanagementsystem. Das Risikomanagement ist Aufgabe
der Unternehmensführung. Bei systematischer Einführung und konsequentem Leben des
Risikomanagementprozesses
besteht
der
Nutzen
in
der
Leistungssteigerung
und
Effizienzverbesserung des Unternehmens. Die bessere Einschätzung von Risiken und deren
Auswirkung auf strategische und operative Ziele des Unternehmens führt zu kleineren,
kontrollierbaren
Restrisiken,
erhöht
Handlungsspielräume
und
steigert
die
Wertschöpfung
ganzheitlich und nachhaltig.
Details für die Umsetzung des risikobasierten Denkens betreffend Risiko und Chancen bietet auch
ISO 9004:2009 Leiten und Lenken für den nachhaltigen Erfolg einer Organisation – ein
Qualitätsmanagementansatz, der bereits das risikobasierte Denken mittels Risiken berücksichtigt
mit
•
Punkt 4.2 Nachhaltiger Erfolg
•
Punkt 5.3 Umsetzung von Strategie und Politik
•
Punkt 6 Management von Ressourcen, speziell 6.2 Finanzielle Ressourcen, 6.4 Lieferanten
und Partner (für das Risiko in Wertschöpfungsketten), 6.5 Infrastruktur, 6.7 Wissen,
Information und Technologie
•
Punkt 7.2 Prozessplanung und Prozesslenkung
•
Punkt 8 Überwachung, Messung, Analyse und Bewertung, speziell 8.3.2 Entscheidende
Leistungskenngrößen (KPI), 8.3.3 Internes Audit
•
Punkt 9 Verbesserung, Innovation und Lernen, speziell 9.3 Innovation und 9.4 Lernen
•
informativer Anhang B Grundsätze des Qualitätsmanagements, speziell B.7 6.Ständige
Verbesserung und B.8 7.Sachbezogener Ansatz zur Entscheidungsfindung (ZDF = Zahlen,
Daten, Fakten).
Vom ISO/TC 176/SC2 selbst gibt es die Veröffentlichungen ISO/TC 176/SC2 N1221, July 2014, Risk
Based Thinking und ISO/TC 176/SC2 N1222, July 2014, Risk in ISO 9001:2015. Beide
© Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting
www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94
23
Veröffentlichungen bieten Hintergrundwissen für das Verständnis des risikobasierten Denkens,
insbesondere hinsichtlich des Risikomanagementprozesses.
Zwei weitere Quellen zur Einarbeitung in das risikobasierte Denken und das Risikomanagement sind
ISO GUIDE 73:2009 Risk management – vocabulary, der eine Sammlung der wichtigsten Begriffe
und Definitionen zum Risikomanagement enthält sowie ISO 31000:2009 Risikomanagement als
Allgemeine Anleitung zu den Grundsätzen und zur Implementierung eines Risikomanagements.
Unabhängig davon sind die aktuellen Prozessbeschreibungen um den Punkt Risiken und Chancen
zu erweitern. Welche Risiken bzw. Chancen hat der Prozess? Welche Folgen bzw. Auswirkungen gibt
es? Sind die Auswirkungen minimal oder existenzgefährdend? Wie sieht die Risikolandschaft, d.h. die
Gesamtheit der Risiken und Chancen aller Prozesse aus? Welche Risiken bzw. Chancen stehen in
Wechselwirkung bzw. beeinflussen sich gegenseitig?
Die strategisch relevanten Prozesse des Unternehmens sind bei der Betrachtung von Risiken und
Chancen zu priorisieren. Der Risikomanagementprozess mit all seinen Schritten ist auf diese
relevanten Prozesse zuerst anzuwenden.
Die Anforderungen des risikobasierten Denkens sind auch bei der Planung und Durchführung der
internen Audits umzusetzen. Die Audits bilden eine der wichtigsten Eingaben für das
Managementreview der obersten Leitung. Die Auditorenqualifikationen sind für wirksame Audits um
das Thema Risiken und Chancen zu erweitern. In diesem Zusammenhang ist insbesondere ISO
19011:2011 Leitfaden zur Auditierung von Managementsystemen wichtig, der bereits ein
Risikokonzept für Audits (risikobasiertes Auditieren) beinhaltet. Punkt 7.2.3.3 Disziplin- und
branchenspezifisches Wissen und Fertigkeiten von Auditoren für Managementsysteme erwähnt
Grundlagen des Risikomanagements, Verfahren und Techniken in Bezug auf die Disziplin und die
Branche, um den Auditor zu befähigen, die Risiken, die mit dem Auditprogramm verbunden sind, zu
bewerten und zu kontrollieren. ISO 19011:2011 informativer Anhang A.4 gibt für Auditoren von
Qualitätsmanagementsystemen einen Hinweis für disziplinspezifisches Wissen und Fertigkeiten
betreffend Risikobewertungsmethoden, d.h. Risikoerkennung, -analyse und -bewertung.
Hinweis: Der Inhalt dieses Artikels, der sich als informativer Überblick versteht, wurde mit Sorgfalt
erstellt. Die externen Links waren zum Zeitpunkt der Artikelerstellung aktiv. Nach der Veröffentlichung
sind Änderungen möglich. Wir übernehmen keine Haftung und die Geltendmachung von Ansprüchen
jeglicher Art ist ausgeschlossen.
→ ISO/TC 176/SC2 N1222, July 2014, Risk in ISO 9001:2015
→ ISO/TC 176/SC2 N1221, July 2014, Risk Based Thinking
© Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting
www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94
24
KIRSCH Managementsysteme
Interim Management & Consulting
Interim
Management
Risikoberatung
Externer RMB
Audit Risiko
Dienstleistungen Risikomanagement
Interim Management Risiko / Interim Riskmanager
Management auf Zeit als Interim Riskmanager, Risikobeauftragter oder “Projektleiter” für
unterschiedlichste Risikothemen auf Ebene des Unternehmens und einzelner Bereiche / Funktionen
Beratung Risikomanagement
Unterstützung als Umsetzungsberater bei der Einführung sowie der strategischen und operativen
Weiterentwicklung von Risikomanagementsystemen
externer Risikomanagementbeauftragter (RMB)
Pflege der Dokumentation des Risikomanagementsystem nach ONR 49001 bzw. ISO 31000,
Durchführung interner Risikoaudits als Systemaudit und Prozessaudit, Umsetzung aktueller Risikothemen, Unterstützung beim Managementreview Risiko
Audit
Beratung zu Systemaudit Risikomanagement nach ONR 49001 bzw. ISO 31000, Prozessaudit oder
Potenzialanalyse nach VDA 6.3, Wirksamkeit von Audits, Management von Auditprogrammen,
Beratung und Umsetzung DIN EN ISO 19011, Durchführung von Systemaudit ONR 49001 bzw. ISO
31000 und Prozessaudit oder Potenzialanalysen nach VDA 6.3
© Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting
www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94
25
IMPRESSUM / Herausgeber
Kirsch Managementsysteme Interim Management & Consulting
Wertschöpfung steigern. Ganzheitlich. Nachhaltig.
Dipl.-Ing. (FH) Peter Uwe Kirsch
Marie-Calm-Strasse 5
D-34266 Niestetal
November 2014 (Ausgabe zum Weltqualitätstag 13.11.2014)
Das von Peter Uwe Kirsch gegründete Ingenieurbüro KIRSCH Managementsysteme unterstützt seit 2008 als Umsetzungsberater Unternehmen der Investitionsgüterindustrie, Konsumgüterindustrie und Vorleistungsgüterindustrie vom
Mittelstand bis zum Konzern aus den Bereichen Automotive, Non-Automotive,
Transportation Railway, Metall und Kunststoff bei den Themen Qualitäts-,
Risiko- und Energiemanagement entlang der internen und externen Wertschöpfungskette mit Interim Management und Managementsystem Beratung
bei der ganzheitlichen und nachhaltigen Steigerung der Wertschöpfung.
Kirsch Managementsysteme
Blog
RSS-Feed
Risiken erfolgreich bewältigen
© Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting
www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94
26
Herunterladen