Risikomanagement · Teil 3 der Serie Risikomanagement widmet sich dem zweiten Schritt des Risiko- managementprozesses, dem Beurteilen von Risiken . Dieser Schritt umfasst das …

© Dipl.-Ing. (FH) Peter Uwe Kirsch, KIRSCH Managementsysteme Interim Management & Consulting www.kirsch-managementsysteme.de | [email protected] | +49 (0)152 287 262 94 1

Risikomanagement Was Sie schon immer wissen wollten

Risiken erfolgreich bewältigen

Risikomelder

Scheibe einschlagen

R I S I K O


Dieses eBook ist eine Zusammenfassung der unter KIRSCH Management-systeme zwischen August 2013 und Januar 2014 erstmalig veröffentlichten fünfteiligen Serie zum Risikomanagement. Der Inhalt versteht sich als informativer Überblick und wurde mit Sorgfalt erstellt. Die externen Links waren zum Zeitpunkt der Artikelerstellung aktiv. Nach der Veröffentlichung sind Änderungen möglich. Wir übernehmen keine Haftung. Die Geltendmachung von Ansprüchen jeglicher Art ist ausgeschlossen. Alle Rechte vorbehalten. Keine unerlaubte Weitergabe oder Vervielfältigung.

Dieses eBook unterliegt dem Urheberrecht. Jede Verwertung ist ohne Zustimmung von KIRSCH Managementsysteme unzulässig. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen, die Einspeicherung und Verarbeitung in elektronischen Systemen. Copyright © 2014, KIRSCH Managementsysteme, Peter Uwe Kirsch, Niestetal (Kassel, Hessen).


INHALT

Teil 1: Risikomanagementprozess 4

Teil 2: Risikokontext / Risikofelder klären 7

Teil 3: Risiken beurteilen 9

Teil 4: Risiken bewältigen / behandeln / steuern 13

Teil 5: Übergeordnete Elemente des Risikomanagementprozesses 15

Anhang: Risikobasiertes Denken in ISO 9001:2015 18


Teil 1: Risikomanagementprozess

Was ist ein Risiko? Warum sollen Unternehmen Risiken betrachten? Was ist der Unterschied

zwischen der Betrachtung von einzelnen Risiken und einem Risikomanagementsystem nach ISO

31000 / ONR 49001?

Auf diese und weitere Fragen gibt die fünfteilige Serie “Risikomanagement” Antworten.

Was ist ein Risiko?

ISO 31000 und ONR 49000 definieren Risiko als Auswirkung von Unsicherheit auf Ziele. Die

Auswirkung, d.h. der Ausgang eines plötzlichen Ereignisses oder einer allmählichen Entwicklung auf

die Ziele kann quantitativer oder qualitativer Art sein. Die Auswirkung kann positiv (Gewinn, Vorteil,

Nutzen) oder negativ (Verlust, Nachteil, Schaden) sein. Die Ziele können strategisch, operativ,

finanziell, sicherheitsbezogen oder andersartig definiert sein. Unsicherheit oder Ungewissheit steht

für fehlende Informationen bezüglich des Eintritts zukünftiger Ereignisse oder Entwicklungen und wird

mit Wahrscheinlichkeiten geschätzt oder ermittelt. Das Risiko als Folge von Ereignissen oder

Entwicklungen wird berechnet aus der Wahrscheinlichkeit des Eintritts und der Auswirkung derselben.

Warum sollen Unternehmen Risiken betrachten?

Jedes unternehmerische Handeln ist mit Risiken und Chancen verbunden. Entscheidungen in

Unternehmen sollten daher immer auf möglichst sicheren und genauen Informationen und Daten

beruhen. Neben den wirtschaftlichen Risiken bestehen auch technische Risiken, z.B. im Bereich

Arbeitssicherheit, Umwelt, Produktsicherheit, Brandschutz, IT, Versorgung/Entsorgung, Betriebs-

unterbrechung. Eine rechtzeitige, umfassende und detaillierte Risikobetrachtung verringert die

Eintrittswahrscheinlichkeit von Krisen und vermeidet in letzter Konsequenz die Insolvenz von

Unternehmen.

Was ist der Unterschied zwischen der Betrachtung von einzelnen Risiken und einem

Risikomanagementsystem nach ISO 31000 / ONR 49001?

Ein Risikomanagementsystem steht für die systematische Auseinandersetzung und

kontinuierliche Verbesserung betreffend die einzelnen Risiken eines Unternehmens. Im

Gegensatz zur Betrachtung einzelner Risiken gibt es eine systematische Vorgehensweise, einen

ständigen Verbesserungsprozess zur Vermeidung oder Senkung von Risiken, ebenso werden

Wechselwirkungen zwischen den Risiken berücksichtigt.

Der Gesetzgeber fordert für bestimmte Unternehmen die Einführung eines Risikomanagement als

Früherkennungssystem und Überwachungssystem für Risiken. Ziel ist die langfristige

Existenzsicherung durch rechtzeitiges Erkennen und Gegensteuern bei bedrohlichen Entwicklungen

und durch Einschränkung auf bewusst getragene Restrisiken.


Für Unternehmen sind dies im Wesentlichen das KonTraG (Gesetz zur Kontrolle und Transparenz

im Unternehmensbereich) und viele mitgeltende Gesetze wie z.B. HGB, GmbHG, AktG und SOX

(Sarbanes Oxley Act) für alle Unternehmen, die – unabhängig von ihrem Sitz – an den US-Börsen

notiert sind. Für Banken wesentlich sind die Bestimmungen von Basel und MAK

(Mindestanforderungen für das Betreiben von Kreditgeschäften), mit Auswirkungen auf die

Unternehmen durch die sogenannten Ratings vor Kreditvergaben. Ergänzende Standards sind in

Deutschland der Prüfstandard IDW PS 340 des Instituts der Wirtschaftsprüfer.

Risikomanagementsysteme können bereits bestehende Managementsysteme ergänzen. Das syste-

matische Einführen und das konsequente, wirksame Leben von Risikomanagement ist Aufgabe der

Unternehmensführung. Der Nutzen besteht in der Leistungssteigerung und Effizienzverbesserung

des Unternehmens und einzelnen Bereichen durch Risikosenkung mittels Optimierung von Strukturen

und Prozessen, in der besseren Einschätzung von Risiken und deren Auswirkung auf strategische

und operative Ziele des Unternehmens, in kleineren und kontrollierbaren Restrisiken, in identifizierten

Risikofeldern, beurteilten Risiken, umgesetzten Maßnahmen zur Risikosenkung, in der Sicherstellung

der ständigen Anpassung an den aktuellen Risikokontext, in dem unternehmensweit eingeführten und

gelebten ständigen Verbesserungsprozess zur Verfolgung und Senkung von Risiken.

Was ist der Risikomanagementprozess?

Der Risikomanagementprozess bildet den Kern des Risikomanagement und ist die systematische

und kontinuierliche Auseinandersetzung mit den individuellen Risikopotenzialen des Unternehmens.

Seine einzelnen Bestandteile werden näher beschrieben in

Teil 2: Risikokontext / Risikofelder klären

Teil 3: Risiken beurteilen

Teil 4: Risiken bewältigen / behandeln / steuern

Teil 5: Übergeordnete Elemente mit Risiken überwachen / monitoren / reviewen – PDCA, Risiken

kommunizieren und Risikomanagement Lernprozess

Lesen Sie in Teil 2 mehr zu Risikokontext / Risikofelder klären.

Hinweis: Wir leisten im Rahmen des Risikomanagements keine Beratung zu rechtlichen und

steuerrechtlichen Themen. Für den Inhalt dieses Artikels, der sich als informativer Überblick versteht,

übernehmen wir keine Haftung und die Geltendmachung von Ansprüchen jeglicher Art ist

ausgeschlossen. Bitte fragen Sie für alle Rechtsthemen den Rechtsanwalt Ihres Vertrauens, für alle

Steuerthemen den Steuerberater oder den Wirtschaftsprüfer Ihres Vertrauens.



Teil 2: Risikokontext / Risikofelder klären

Teil 2 der Serie Risikomanagement widmet sich dem ersten Schritt des Risiko-

managementprozesses, dem Klären des Risikokontext und der Risikofelder. Beim Schritt

Risikokontext und Risikofelder klären geht um die Bestimmung des Rahmens, der Umgebung, der

wesentlichen Einflussfaktoren für das Risikomanagement des Unternehmens.

Was ist der Risikokontext?

Der Risikokontext wird bestimmt von externen und internen Bedingungen. Zu den externen

Bedingungen gehören die rechtlichen, politischen, sozialen, technologischen, wirtschaftlichen

(Markt, Wettbewerb, Kunde) und umweltbezogenen Rahmenbedingungen. Zu den internen

Bedingungen gehören Strategie, Politik, Ziele, Kennzahlen, Werte, Kultur, Aufbauorganisation,

Ablauforganisation, Informationssysteme, Entscheidungsprozesse, Führungsverhalten und

Managementqualität.

Wichtig für ein wirksames und lebendiges Risikomanagementsystem ist, dass Strategie, Politik,

Ziele, Kennzahlensysteme, Aufbauorganisation, Ablauforganisation, Werte, Kultur, Führungsverhalten

aufeinander abgestimmt und in sich widerspruchsfrei sind. Damit steht und fällt – wie bei jedem

Managementsystem – die Glaubwürdigkeit, die Akzeptanz und das Vertrauen.

Was sind Risikofelder?

Risikofelder legen fest, welche Risiken betrachtet werden sollen, nur finanzielle Risiken, nur

technische oder operative Risiken, Risiken in speziellen Bereichen wie z.B. Produktion, Beschaffung,

Logistik, oder beliebige Kombinationen von Risiken.

Eine komplette Betrachtung aller Risiken des Unternehmens benötigt sehr viel Zeit. Die mit der

Klärung des Risikokontext bzw. der Risikofelder einhergehende Priorisierung schont daher auch

Ressourcen und führt zu einer schnelleren Vermeidung oder Verringerung der wesentlichen Risiken.

Für den Erfolg eines Risikomanagementsystems ausschlaggebend ist die Festlegung der für das

Unternehmen wesentlichen Risikofelder. Hier gibt es wegen der Unterschiedlichkeit der

Unternehmen keine Standardlösung, kein richtig oder falsch. Es geht an dieser Stelle auch nur um die

grobe Abschätzung der wesentlichen Risikofelder, jedoch noch nicht um die detaillierte Risikoanalyse

für die festgelegten Risikofelder.

In der Praxis haben sich zwei Vorgehensweisen bewährt. Möglichkeit eins geht vom

unternehmensspezifischen Umfeld, dem zugehörigen Gesamtkontext aus, und bestimmt ohne

Vergleich mit Modellen die wesentlichen Risikofelder. Möglichkeit zwei baut auf bestehenden

Modellen, z.B. EFQM-Modell, oder Checklisten bzw. Standardrisikokatalogen, branchenbezogenen

Risikostudien oder Versicherungsinformationen für die verschiedensten Risikofelder auf. In

Kombination mit Möglichkeit eins ist hier eine Anpassung an die unternehmensspezifischen

Gegebenheiten vorzunehmen.


Ergebnis der Klärung des Risikokontext / der Risikofelder

Das Ergebnis des Schrittes Risikokontext und Risikofelder klären sind die Bewusstseinsbildung

betreffend des Risikokontext, d.h. des Rahmens für das Risikomanagementsystem, die Priorisierung

und Eingrenzung der wesentlichen Risikofelder.

Lesen Sie in Teil 3 mehr zu Risiken beurteilen.







Teil 3: Risiken beurteilen

Teil 3 der Serie Risikomanagement widmet sich dem zweiten Schritt des Risiko-

managementprozesses, dem Beurteilen von Risiken. Dieser Schritt umfasst das Ermitteln bzw.

Identifizieren, Analysieren und Bewerten der Risiken für die festgelegten wesentlichen Risikofelder

unter Beachtung des Risikokontextes.

Risikobeurteilung Voraussetzungen

Für die praktische Durchführung der Risikobeurteilung ist VOR deren Durchführung festzulegen,

welche Methoden eingesetzt werden sollen, welche Organisationsebenen bzw. welche Bereiche

eingebunden werden sollen, wer (Einzelner, Gruppe) die Risiken identifizieren soll. Spätestens VOR

dem Start der Risikobeurteilung sollte für alle Beteiligten unter Berücksichtigung der

Organisationsebene ein Training oder Workshop zur Bewusstseinsbildung betreffend

Risikomanagement, Risiken und Methoden erfolgen. Mit dem Start der Risikobeurteilung muss die

Risikostrategie und Risikopolitik vorliegen. Nur so kann festgelegt werden, wann (zeitliche

Priorisierung), wie (Methode) und in welchem Umfang eine Beurteilung der möglichen Risiken

durchgeführt werden soll.

Risiken ermitteln – Was kann passieren und warum?

Beim Risiko ermitteln oder identifizieren geht um die gemeinsame Bestimmung möglicher Risiken

der wichtigsten Risikofelder. In ihrer Gesamtheit bilden die möglichen Risiken das Risikoprofil. Die

Risikoermittlung umfasst die Beschreibung des Risikos und der zugehörigen möglichen Ursachen. An

dieser Stelle erfolgt noch KEINE Bewertung der möglichen Risiken.

Die Risikoermittlung hat als Grundlage für alle weiteren Schritte des Risikomanagementprozesses

eine besondere Bedeutung. Eine schlecht und nicht vollständig ausgeführte Risikoermittlung ist

Zeitverschwendung, bedeutet wiederholten Mehraufwand, führt im schlimmsten Fall wegen fehlender

Glaubwürdigkeit, Akzeptanz und Vertrauen zum Abbruch der Einführung eines

Risikomanagementsystems.

Die wesentlichen Fragen zur Risikoermittlung externer und interner Risiken sind z.B. wann, wo,

warum und wie tritt das Risiko auf? Wer ist am Risiko beteiligt, sind Verantwortlichkeiten beschrieben,

welche Kontrollen gibt es für dieses Risiko? In der Praxis wird unterschieden zwischen der

qualitativen und quantitativen Risikoermittlung.

Die qualitative Risikoermittlung eignet sich, wenn wenige genaue und detaillierte Daten und

Informationen greifbar sind. Hier geht es um die Nutzung des Wissens fachkundiger interner und

externer Experten, von erkennbaren Entwicklungen, von bereits stattgefundenen Ereignissen.


Die quantitative Risikoermittlung verwendet ZDF = Zahlen, Daten, Fakten. Ihr Hauptnachteil

besteht im Nichtvorliegen belastbarer Daten, dem im Vergleich zum Nutzen hohen Aufwand für das

Sammeln der Daten und der schlechten Abbildbarkeit komplexer Zusammenhänge durch Daten.

Bereits im Unternehmen vorhandene Kennzahlensysteme unterstützen den quantitativen Ansatz. Im

Idealfall sind beide Ansätze miteinander zu kombinieren.

Zu den wesentlichen Techniken oder Methoden für die Ermittlung möglicher Risiken eignen sich an

das Unternehmen angepasste Checklisten, die Fehlermöglichkeits- und -einflußanalyse FMEA, die

Stärken-Schwächen-Chancen-Risiko-Analyse SWOT, die Umfeldanalyse politischer, ökonomischer,

sozialer und technologischer Faktoren – kurz PEST-Analyse, die Wettbewerbsanalyse bzw. Porter’s

Five Forces, die Risikoursache und Risikoauswirkung in Verbindung bringende Risiko-

Identifikationsmatrix RIM und die Expertenbefragung bzw. Delphi-Methode. Speziell für die

Ursachenfindung eignen sich Risikostudien, die 5 mal Warum-Fragetechnik 5W und das Ishikawa-

bzw. Fischgrätendiagramm. Einem möglichen Risiko können dabei eine oder mehrere Ursachen

zugeordnet werden.

Die Dokumentation der Risikoermittlung bildet auch die Grundlage für die Anpassung an einen sich

ändernden Risikokontext bzw. sich ändernde Risikofelder.

Risiken analysieren – Was sind die Auswirkungen?

Risikoanalyse ist nach ISO 31000 der Prozess zur Erfassung des Wesens eines Risikos und zur

Bestimmung von dessen Risikohöhe bzw. Risikoauswirkung. Nach ONR 49000 ist die Risikoanalyse

die systematische Ermittlung und der Gebrauch von Informationen, um ein Risiko zu verstehen und

eine Einschätzung betreffend Wahrscheinlichkeit und Auswirkung vorzunehmen. Die Risikoanalyse

umfasst somit eine Risikoschätzung und bildet die Ausgangsbasis für die Risikobewertung und

Festlegung der jeweiligen Risikobewältigung.

Im Kern geht es darum, wie wahrscheinlich der Eintritt eines Risikos ist und mit welchen

Auswirkungen – einer oder mehrerer – zu rechnen ist. Unabhängig von der angewendeten Methodik

ist ein Verständnis für die Unsicherheiten notwendig, um eine richtige Interpretation der Auswirkungen

vorzunehmen.

Die Praxis unterscheidet zwischen der qualitativen und quantitativen Risikoanalyse. Im Idealfall sind

beide Ansätze miteinander zu kombinieren. Die qualitative Risikoanalyse eignet sich, wenn nicht

ausreichend genaue und detaillierte Daten und Informationen vorhanden sind. Die Nutzung des

Wissens fachkundiger interner und externer Experten, von erkennbaren Entwicklungen, von bereits

stattgefundenen Ereignissen steht im Vordergrund. Die zugehörigen qualitativen Techniken oder

Methoden sind Brainstorming, Fragebögen, strukturierte Interviews, Bestimmung der Auswirkungen

durch interdisziplinäre Gruppen oder Fachexperten.


Die quantitative Risikoanalyse beruht auf dem Prinzip ZDF = Zahlen, Daten, Fakten. Die

Datenqualität, insbesondere die Validität, ist von entscheidender Bedeutung für eine zutreffende

Risikoeinstufung. Die Gefahr liegt hier in einer Überinterpretation der Objektivität der Daten. Die

quantitativen Techniken oder Methoden haben in vielen Fällen komplexe statistische Modelle als

Grundlage, z.B. Wahrscheinlichkeitsanalyse, Simulationen wie z.B. Monte-Carlo-Simulation, Markt-

forschungsdaten, Lebenszykluskostenanalysen, Fehlerbaumanalysen FTA.

In der Praxis erleichtert die Einführung von unternehmensindividuellen Risikoklassen für die

Eintrittswahrscheinlichkeit des möglichen Risikos und für die Auswirkung bzw. Schadenshöhe die

folgende Risikobewertung und die damit verbundene Risikobehandlung. Branchenbezogene

Risikoklassen können zum Abgleich der eigenen Risikoklassen herangezogen werden.

Risikoklassen für die Eintrittswahrscheinlichkeit können z.B. sein erwarteter Eintritt innerhalb

eines Jahres = häufig, erwarteter Eintritt innerhalb von drei Jahren = möglich, erwarteter Eintritt

innerhalb von fünf Jahren = selten, erwarteter Eintritt unwahrscheinlich, jedoch nicht ausschließbar =

unwahrscheinlich. Risikoklassen für die Auswirkung bzw. Schadenshöhe können z.B. sein kleine

Auswirkung auf das Unternehmen und keine Maßnahmen notwendig = vernachlässigbar,

Änderungen von Mitteln und Wegen notwendig = klein, mittelfristige Änderung der Unter-

nehmensziele notwendig = mittel, kurzfristige Änderung der Unternehmensziele notwendig = Krise,

hoch, Existenzgefährdung = Gefahr Insolvenz.

Risiken bewerten – in welchem Umfang wird das jeweilige Ziel oder die Existenz

gefährdet?

Die Risikobewertung steht nach ISO 31000 bzw. ONR 49000 für einen Prozess, der die Ergebnisse

der Risikoanalyse mit Risikokriterien vergleicht, um zu bestimmen, ob ein Risiko oder sein Ausmaß

akzeptierbar oder tolerierbar sind. Risikokriterien sind individuell festgelegte Bezugspunkte, mit denen

die Bedeutung eines Risikos bewertet wird.

Im Kern geht es darum, das Produkt aus der Eintrittswahrscheinlichkeit eines Risikos und der

zugehörigen Auswirkung zu ermitteln oder auf Achsen getrennt grafisch als sogenannte Risikomatrix

darzustellen. Die Risikobewertung kann bei gleicher Eintrittswahrscheinlichkeit eines Risikos und der

zugehörigen Auswirkung aufgrund unterschiedlicher Höhe der Risikokriterien, auch Schwellwerte

genannt, unterschiedlich ausfallen, z.B. Bewertung mittel = Kosten und Nutzen abwägen oder

Bewertung hoch = Handlungsbedarf notwendig. Das Ergebnis ist eine Einteilung der Risiken in

Risikozonen. Die jeweilige Risikobewertung bzw. Zuordnung zur Risikozone, z.B. kein

Handlungsbedarf, Kosten und Nutzen abwägen, Handlungsbedarf, beeinflusst die Entscheidungen

zur Festlegung der jeweiligen Risikobewältigung.


Für die Risikobewertung werden drei grundsätzliche Methoden eingesetzt. Die induktive Methode

geht von einer bekannten Ursache aus und sucht nach den Wirkungen. Die deduktive Methode geht

von bekannten Wirkungen aus und sucht nach den Ursachen. Kreative Methoden wie Brainstorming

oder Interviews nutzen die Erfahrungen von internen und externen Experten.

Ergebnis der Risikobeurteilung

Das Ergebnis des Schrittes Risiken beurteilen, d.h. ermitteln, analysieren und bewerten sind die

ermittelten wesentlichen möglichen Risiken, die Bestimmung von deren Eintrittswahrscheinlichkeit

und deren Auswirkungen, sowie deren Zuordnung zu Risikozonen.

Lesen Sie in Teil 4 mehr zu Risiken bewältigen, behandeln, steuern.







Teil 4: Risiken bewältigen

Teil 4 der Serie Risikomanagement widmet sich dem dritten Schritt des Risiko-

managementprozesses, der Bewältigung von Risiken.

Erfahren Sie mehr zur unterschiedlichen Behandlung und Steuerung von Risiken und deren

Auswirkungen in Abhängigkeit von der zuvor erfolgten Risikobewertung.

Risikosteuerung

Nach erfolgter Risikobewertung sind nun geeignete Maßnahmen zur Risikobewältigung einzuleiten.

ISO 31000 definiert die Risikobewältigung als ein Verfahren zur Änderung von Risiken, das mehrere

Maßnahmen umfassen kann. ONR 49000 beschreibt Risikobewältigung als die Auswahl und

Umsetzung von Maßnahmen, um ein Risiko zu verändern.

Ziel ist es, für das jeweilige bewertete Risiko aus allen möglichen Maßnahmen die jeweils optimale

Maßnahme unter Berücksichtigung von Kosten und Nutzen zu bestimmen.

Risikobehandlungspläne sind eine Zusammenfassung der einzelnen Maßnahmen zur Behandlung

und Steuerung der einzelnen Risiken, sowie zur Bewertung von Effektivität und Effizienz der

eingeleiteten Maßnahmen. Für die aktive und gezielte Steuerung der Risiken und deren

Auswirkung lassen sich vier mögliche Risikobehandlungsstrategien unterscheiden.

Risiken vermeiden

Die Entscheidung für die Risikovermeidung ist nach ONR 49000 eine Maßnahme, um das Risiko

nicht einzugehen oder sich einem Risiko zu entziehen. Die Eintrittswahrscheinlichkeit für das Risiko

wird gleich Null. Im Kern stoppt das Unternehmen alle mit dem Risiko verbundenen Prozesse und

Tätigkeiten. Das Unternehmen geht kein Risiko mehr ein um Vermögensverluste zu vermeiden,

verzichtet aber gleichzeitig auf mögliche Chancen und Vermögenszuwächse. Risikovermeidung ist

immer dann eine Option, wenn Risiken wegen einer hohen Eintrittswahrscheinlichkeit und/oder

großen Auswirkung bzw. Schadenshöhe die Existenz des Unternehmens als Ganzes gefährden

können und es keine andere Risikobehandlungsstrategie gibt, die das betrachtete Risiko und dessen

Auswirkungen auf ein akzeptables Niveau verringern kann.

Risiken vermindern

Die Risikoverminderung ist nach ONR 49000 die Entscheidung für Maßnahmen, welche die

Eintrittswahrscheinlichkeit und/oder die Auswirkungen eines Risikos günstig beeinflussen. Das Risiko

wird auf ein für das Unternehmen akzeptables Maß verringert, mögliche Vermögensverluste begrenzt.

Richtlinien und Grenzwerte legen praktisch fest, welche Risiken bis zu welcher Höhe eingegangen

werden dürfen und wie deren Steuerung zu erfolgen hat. Die Risikoverminderung eignet sich für

bewertete Risiken, deren mögliche Auswirkungen als nur erfolgsbedrohend, d.h. nur das

Unternehmensergebnis beeinflussend, eingestuft werden.


Risiken übertragen / überwälzen / transferieren / teilen

Bei der Risikoübertragung werden weder die Eintrittswahrscheinlichkeit, noch die Auswirkungen eines

Risikos eliminiert. Es wechselt nur der Träger des Risikos. Die Risiken können dabei teilweise oder

komplett übertragen werden. Der Standardfall sind Versicherungen, die gegen Prämienzahlung

versicherbare Risiken übernehmen. Ein anderer üblicher Fall ist die Übertragung von Risiken auf

Vertragspartner, z.B. Lieferanten im Rahmen des Outsourcing für die Produktion bestimmter Teile.

Diese Risikofinanzierung dient der Bewältigung von Risiken und stellt die Liquidität und das Kapital

nach Eintritt eines Risikos sicher.

Risiken selbst tragen / akzeptieren / kompensieren

Trotz aller risikosteuernden Maßnahmen lassen sich Risiken nicht vollständig ausschließen. Es bleibt

immer ein Restrisiko, welches als bewusst eingegangenes Risiko vom Unternehmen selbst zu tragen

ist. Hierbei handelt es sich um Risiken mit geringer Eintrittswahrscheinlichkeit UND geringer

Auswirkung bzw. Schadenshöhe. Für die selbst zu tragenden Risiken sind klare Risikokriterien und

Grenzen festzulegen. Praktisch bedeutet dies für das mögliche Risiko Rücklagen zu bilden und bei

Risikoeintritt die gebildeten Rücklagen zu verbrauchen.

Ergebnis der Risikosteuerung

Das Ergebnis der Risikobehandlung oder Risikosteuerung sind – unter Beachtung der

Gesamtrisikolage des Unternehmens – für einzelne Risiken entsprechend ihrer Eintritts-

wahrscheinlichkeit und/oder Auswirkung festgelegte Risikobehandlungsmaßnahmen. Diese bilden in

ihrer Gesamtheit den Risikobehandlungsplan. Mit der Fortschreibung des Risikobehandlungsplans

lassen sich die Effektivität und die Effizienz der jeweiligen Maßnahmen verfolgen und kommunizieren.

Lesen Sie im abschließenden Teil 5 mehr zu den übergeordneten Elementen des

Risikomanagementprozesses, der Risikoüberwachung und der Risikokommunikation.







Teil 5: Übergeordnete Elemente des Risikomanagement-

prozesses

Der abschließende Teil 5 der Serie Risikomanagement widmet sich dem vierten Schritt des

Risikomanagementprozesses, den übergeordneten Elementen des Risikomanagement-

prozesses.

Erfahren Sie, warum Überwachung, Kommunikation und der Lernprozess wesentlich sind für das

wirksame Leben und die ständige Verbesserung eines Risikomanagementsystems.

Risiken überwachen / monitoren / reviewen – PDCA

Jeder einzelne Schritt des Risikomanagementprozesses bedarf zur Sicherstellung seiner

Wirksamkeit einer geeigneten und angemessenen Überwachung. Wichtig sind hier die eindeutige

Zuordnung von Verantwortlichkeiten, die laufende Überwachung der Risiken auf ihre Aktualität,

die regelmäßige Überprüfung und Bewertung der eingeleiteten Maßnahmen auf ihre Wirksamkeit z.B.

mit internen Audits Risikomanagement oder Checklisten, eine an den jeweiligen Empfängerkreis

angepasste regelmäßige Berichterstattung (Review), die einen Soll-Ist-Vergleich auf Basis der

Ziele und Kennzahlen beinhaltet und Maßnahmen bei Abweichungen festlegt und umsetzt. Alle diese

Tätigkeiten ergeben Möglichkeiten für Verbesserungen des Risikomanagementsystems. Die

Überwachung schließt auch den Risikomanagementprozess und das Risikomanagementsystem

selbst ein, d.h. wird das Richtige (Effektivität) richtig getan (Effizienz).

Bei wichtigen Änderungen wie der Aufbau- und Ablauforganisation, neuen Gesetzen, neuen Kunden

usw. sind außerplanmäßig alle Betroffenen VOR der Veränderung an der Anpassung des

Risikokontextes, der Risikobeurteilung, der Risikobewältigung, der Maßnahmenfestlegung und der

Risikokommunikation zu beteiligen.

Risiken kommunizieren

ONR 49000 und ISO 31000 beschreiben die Risikokommunikation als einen sich ständig

wiederholenden Prozess, der Vertrauen bzgl. des Risikomanagement bei allen internen und externen

Interessengruppen bildet. Ein Kommunikationsplan legt die Kommunikation in Abhängigkeit von

Umfang und Auswirkung der jeweiligen Risiken fest und stellt eine gezielte Information der jeweiligen

Interessengruppen sicher.

Die Risikokommunikation findet in allen Schritten des Risikomanagementprozesses statt und dient

der Bewusstseinsbildung für Risiken, erklärt das Warum. Eine ideale Risikokommunikation findet für

die Akzeptanz der Ergebnisse in zwei Richtungen statt. Sie erfolgt intern und extern, in

Normalsituationen oder außergewöhnlichen Situationen (Krise).


Die interne Risikokommunikation legt die Verantwortlichkeit für die jeweiligen Risiken fest. Dies gilt

für Normalsituationen und außergewöhnliche Situationen. Methoden wie Kommunikationsplan,

Regeltermine, eine regelmäßige zielgruppenorientierte Berichterstattung stellen sicher, dass

wesentliche Risiken und deren Änderungen mitgeteilt werden, dass Informationen über die

Wirksamkeit von Maßnahmen vorliegen. Risikostrategie, Risikopolitik und Risikoziele bilden das

Gerüst für die interne Orientierung aller Beteiligten des Risikomanagementprozesses.

Die externe Risikokommunikation betrifft im Regelfall die regelmäßige Information von

Kapitalgebern über Risikostrategie, Risikopolitik, Risikoziele sowie die Wirksamkeit der

Zielerreichung. Darüber hinaus erwartet die Öffentlichkeit zunehmend auch für den nichtfinanziellen

Bereich, wie z.B. Umwelt oder Arbeitssicherheit, Informationen über die entsprechenden Leistungen

des Unternehmens.

Bei außergewöhnlichen Situationen, z.B. Krisen oder Rückrufaktionen, greifen Prozesse zum

Krisenmanagement und Notfallmanagement. Die externe Kommunikation hat hier eine besondere

Bedeutung. Hier geht es speziell um die sensible Lenkung von Informationen an Behörden,

Kunden, Kapitalgeber usw. mit dem Ziel Vertrauensbildung, d.h. Vermeidung langfristig wirkender

Schädigung des Unternehmensrufs und damit verbundener möglicher Umsatz- und

Ertragsminderungen.

Risikomanagement Lernprozess

Regelmäßig, z.B. in Verbindung mit internen Audits Risikomanagement oder Verbesserungsteams

Risiko ist auf den Ebenen System und Prozess mit allen Betroffenen zu klären “Was lief gut?”,

“Was lief schlecht?”. Es geht darum, die Wirksamkeit des Risikomanagementsystems durch

Analysieren, Auswerten und Austauschen von Erfahrungen laufend zu verbessern. Gemeinsam sind

die Ursachen für gut und schlecht laufende “Dinge” zu finden.

Für Abweichungen, d.h. fehlende Zielerreichungen, sind gemeinsam, bei Bedarf in interdisziplinären

Teams, die Hauptursachen zu bestimmen. Der Handlungsbedarf ist zu beurteilen, geeignete und

angemessene Korrekturmaßnahmen sind festzulegen, umzusetzen, aufzuzeichnen und deren

Wirksamkeit zu bewerten. Dies schließt auch mögliche, d.h. noch nicht eingetretene, ungenügende

Leistungen des Risikomanagementsystems ein, für die gemeinsam Vorbeugungsmaßnahmen zur

Vermeidung des möglichen Eintritts von Abweichungen ebenfalls festzulegen, umzusetzen,

aufzuzeichnen und deren Wirksamkeit zu bewerten sind.

Die Ergebnisse und Lernerfolge sind als Wissen für andere verfügbar zu machen. Dies kann erfolgen

im Rahmen von regelmäßigen Informationen über Erfolge, z.B. Infotafeln, Mitarbeiterzeitung,

Berichtswesen, oder bei der Neueinstellung von Mitarbeitern.


Ergebnis der übergeordneten Elemente

Das Ergebnis der Risikoüberwachung, der Risikokommunikation und des Lernprozesses Risiko ist

die Bewusstseinsbildung betreffend Risiken, die Sicherstellung eines wirksam gelebten und sich

ständig verbessernden Risikomanagementsystems.







Risikobasiertes Denken in ISO 9001:2015

Die Mutter aller Managementsystemnormen – ISO 9001 – führt das risikobasierte Denken als eine

Hauptänderung mit neuen Anforderungen ein. Risiken und Chancen sollen in einem immer

dynamischer und komplexer werdenden Umfeld beim Erstellen, Einführen, Aufrechterhalten und bei

der fortlaufenden Verbesserung des Qualitätsmanagementsystems und dessen Prozessen

berücksichtigt werden.

Teil 5 der Reihe ISO/DIS 9001:2014 erläutert die neuen Anforderungen des risikobasierten Denkens,

klärt den Zusammenhang mit der Prozessorientierung und dem PDCA-Zyklus, erläutert den Nutzen

des risikobasierten Denkens für Unternehmen und dessen Kunden und gibt Umsetzungsanleitungen

für das risikobasierte Denken.

Was ist risikobasiertes Denken?

Bereits ISO 9001:2008 erwähnt unter 0.1 Allgemeines Risiken im Zusammenhang mit dem Umfeld

des Unternehmens, enthält aber keine spezifischen Anforderungen betreffend Risiken oder

Risikomanagement.

ISO/DIS 9001:2014 erhöht mit Punkt 0.5 Risikobasiertes Denken die Bedeutung von Risiken und

Chancen (Verbesserungen, Gelegenheiten [Opportunities]) in Verbindung mit dem Kontext (Umfeld,

Rahmenbedingungen) und den Zielen des Unternehmens. Das risikobasierte Denken bezieht sich auf

das gesamte Qualitätsmanagementsystem und dessen Prozesse. Risiken und Chancen werden zum

Pflichtbestandteil bei der Betrachtung von Prozessen und deren Wechselwirkungen. Den

Schwerpunkt bildet der Entstehungsprozess und Lebenszyklus von Produkten und Dienstleistungen.

Planung und Lenkung der Prozesse und des QM-Systems sowie die erforderlichen Maßnahmen sind

abhängig von den jeweiligen Risiken und Chancen. Das risikobasierte Denken ist Bestandteil der

Prozessorientierung und des PDCA-Zyklus. Das umfassende risikobasierte Denken in ISO 9001:2015

ersetzt Punkt 8.5.3 Vorbeugungsmaßnahmen aus ISO 9001:2008. Risikobasiertes Denken, die

Betrachtung von und der Umgang mit Risiken und Chancen wird als Vorbeugung gegen das Eintreten

unerwünschter Ereignisse verstanden.

Bei zukünftigen Erstzertifizierungen, Überwachungsaudits und Wiederholungsaudits nach ISO

9001:2015 ist nachzuweisen, wie die Anforderungen des risikobasierten Denkens umgesetzt wurden.

ISO/DIS 9001:2014 Punkt 3.9 bzw. ISO/DIS 9000:2014 Punkt 3.7.8 definiert Risiko als Auswirkung

von Ungewissheit auf ein erwartetes Ergebnis. Die Auswirkung selbst ist eine negative (Risiko) oder

positive (Chance) Abweichung vom Erwarteten. Ungewissheit ergibt sich durch das Fehlen von

Informationen, Fehlen des Verständnisses für und Wissen um ein Ereignis und dessen Folgen oder

Wahrscheinlichkeit. Risiken stehen somit für mögliche Ereignisse und deren mögliche

Auswirkungen bei deren Eintreten.


Der risikobasierte Ansatz steht für

• proaktives (vorbeugendes) Tun anstelle Reaktion auf Ereignisse

• ein Qualitätsmanagementsystem als vorbeugendes Instrument

• das Verhindern oder Verringern unerwünschter Ereignisse

• ein effektiveres und effizienteres Erreichen konsistenter und vorhersehbarer Ergebnisse

• “Vorbeugungsmaßnahmen” anstelle Korrekturen und Korrekturmaßnahmen

• die Berücksichtigung von Risiken und Chancen bei der strategischen Planung, der operativen

Umsetzung und deren Bewertung

• verbesserte Fähigkeit zur Wertschöpfung durch gemeinsames Nutzen von Ressourcen und

Kompetenz (Wissen) sowie Leiten und Lenken qualitätsbezogener Risiken.

Welchen Nutzen hat risikobasiertes Denken?

Risikobasiertes Denken, prozessorientierter Ansatz und PDCA-Zyklus ergänzen sich gegenseitig.

Mittels konsequentem Tun sichern sie die ganzheitliche und nachhaltige Steigerung der Wert-

schöpfung eines Unternehmens. Erfolgreiche Unternehmen profitieren vom risikobasierten Denken

durch

• erhöhtes Vertrauen der Kunden und deren Kundenzufriedenheit

• sichern einer beständigen Qualität von Produkten und Dienstleistungen, d.h. weniger Fehl-

oder Blindleistung, weniger Verschwendung

• unterstützen einer proaktiven Kultur der Vorbeugung und Verbesserung

• sicherstellen eines größeren Wissens und der Bereitschaft für möglicherweise eintretende

Ereignisse

• erhöhte Wahrscheinlichkeiten für das Erreichen von Zielen

• verringern der Wahrscheinlichkeit für negativ abweichende Ergebnisse.

Welche neuen Anforderungen stellt risikobasiertes Denken?

Risikobasiertes Denken fordert und fördert eine Berücksichtigung von Risiken und Chancen beim

Planen (Plan), Durchführen (Do), Prüfen (Check) und Handeln (Act) der für das

Qualitätsmanagementsystem benötigten Prozesse und deren Wechselwirkungen.

Die neuen Muss-Anforderungen des risikobasierten Denkens ergeben sich im Wesentlichen aus

Punkt 4.4 Qualitätsmanagementsystem und dessen Prozesse. Speziell sind für die

Sicherstellung der Zielerreichung und Verhinderung unerwünschter Ergebnisse

• die Risiken und Chancen der Prozesse zu berücksichtigen und entsprechende Maßnahmen

zum Umgang mit Risiken und Chancen zu planen und umzusetzen

• die Chancen zur Verbesserung der Prozesse und des Qualitätsmanagementsystems zu

bestimmen.


Punkt 6.1 Maßnahmen zum Umgang mit Risiken und Chancen fordert, dass bei Planungen des

QM-Systems

• die in Punkt 4.1 Verstehen der Organisation und ihres Kontextes genannten internen und

externen Themen mit Relevanz für die Unternehmensstrategie und mit Auswirkung auf die

Fähigkeit Ergebnisse (Leistungen) zu erreichen, zu bestimmen sind (Strategie und deren

Weiterentwicklung, Stärken-Schwächen-Chancen-Risiken-Analyse SWOT, Balanced

Scorecard BSC, Engpassanalyse, Porters Five)

• die in Punkt 4.2 Verstehen der Erfordernisse und Erwartungen interessierter Parteien

genannten interessierten Parteien und deren für das QM-System relevante Anforderungen zu

bestimmen sind (Lastenheft, Pflichtenheft, Gesetze, Verordnungen, Richtlinien, Studien,

Umfragen)

• die Risiken und Chancen der Prozesse zu berücksichtigen sind, entsprechende Maßnahmen

zum Umgang mit Risiken und Chancen zu planen sind, umzusetzen sind und deren

Wirksamkeit zu bewerten sind (Risikomanagementprozess, Risikomatrix).

Punkt 5.1 Führung und Verpflichtung verpflichtet die oberste Leitung sicherzustellen, dass

• Risiken und Chancen, welche die Konformität von Produkten und Dienstleistungen, sowie die

Fähigkeit zur Verbesserung der Kundenzufriedenheit beeinflussen können, bestimmt und

berücksichtigt werden.

Punkt 8.1 Betriebliche Planung und Steuerung fordert Prozesse, welche die Risiken der

betrieblichen Planung und Steuerung identifizieren und bearbeiten. Auf diese Weise sind

• Prozesse und Maßnahmen zur Erfüllung der Anforderungen an die Bereitstellung von

Produkten und Dienstleistungen unter Berücksichtigung von Punkt 4.4 und 6.1 zu planen,

umzusetzen und zu steuern.

Dies entspricht im Wesentlichen den bereits in ISO 9001:2008 geforderten Tätigkeiten der

Verifizierung, Validierung, Überwachung, Messung, Prüfung sowie Kriterien für die Produktannahme.

In der Praxis handelt es sich um Qualitätsvorausplanung, FMEA, Fehlerbaumanalyse, Betrachtung

von Projektrisiken sowie Bewertung, Verifizierung und Validierung jeder Entwicklungsphase.

Der neue Punkt 8.5.5 Tätigkeiten nach der Lieferung erweitert die bereits in ISO 9001:2008 unter

Punkt 7.2.1 Ermittlung der Anforderungen in Bezug auf das Produkt enthaltene Anmerkung betreffend

Tätigkeiten nach der Lieferung.

• Soweit zutreffend, sind Anforderungen an Tätigkeiten in Verbindung mit den Produkten und

Dienstleistungen nach der Lieferung unter Berücksichtigung der Risiken zu erfüllen.

Tätigkeiten nach der Lieferung können Tätigkeiten aufgrund von Gewährleistungsbestimmungen,

vertragliche Pflichten wie Instandhaltung und ergänzende Dienstleistungen wie Wiederverwertung

oder Entsorgung sein.


Punkt 9 Bewertung der Leistung verpflichtet das Unternehmen bezüglich Risiken und Chancen

festzulegen

• was zu überwachen und zu messen ist

• welche Methoden zur Überwachung, Messung, Analyse und Bewertung, sofern zutreffend,

einzusetzen sind um gültige Ergebnisse sicherzustellen

• wann das Überwachen und Messen durchzuführen ist

• wann die Ergebnisse der Überwachung und Messung zu analysieren und zu bewerten sind.

Punkt 9.3.1 Managementbewertung fordert speziell von der obersten Leitung, der

Unternehmensführung, die Beschäftigung mit Risiken und Chancen, d.h.

• das Qualitätsmanagementsystem in geplanten Abständen zu bewerten, um dessen

fortdauernde Eignung, Angemessenheit und Wirksamkeit sicherzustellen

• die Wirksamkeit von Maßnahmen zur Behandlung von Risiken und Chancen, vgl. Punkt 6.1,

zu bewerten

• neue potentielle Chancen zur fortlaufenden Verbesserung zu bewerten.

Punkt 10 Verbesserung fordert vom Unternehmen die Notwendigkeit oder die Chancen für

Verbesserungen innerhalb des Qualitätsmanagementsystems zu bestimmen, d.h.

• die Chancen zur Verbesserung zu bestimmen, auszuwählen und die notwendigen Tätigkeiten

umzusetzen, um die Anforderungen des Kunden zu erfüllen und die Kundenzufriedenheit zu

verbessern

• soweit zutreffend Prozesse zu verbessern, um Nichtkonformitäten zu verhindern

• soweit zutreffend Produkte und Dienstleistungen zu verbessern, um bekannte und

vorhergesagte Anforderungen zu erfüllen

• soweit zutreffend die Ergebnisse des Qualitätsmanagementsystems zu verbessern.

Die Verbesserung kann reaktiv (Korrekturmaßnahmen), schrittweise (fortlaufende Verbesserung),

sprunghaft (Durchbruch), kreativ (Innovation) oder durch Neuorganisation (Transformation) erfolgen.

Punkt 10.3 Fortlaufende Verbesserung fordert vom Unternehmen

• Eignung, Angemessenheit und Wirksamkeit des Qualitätsmanagementsystems fortlaufend zu

verbessern

• Ergebnisse von Analysen, Beurteilungen und Managementbewertung zu berücksichtigen, um

Chancen als Teil der fortlaufenden Verbesserung zu behandeln

• soweit zutreffend, geeignete Hilfsmittel und Methoden zur Unterstützung der fortlaufenden

Verbesserung auszuwählen und anzuwenden.

Der informelle Anhang A von ISO/DIS 9001:2014 verweist unter A.7 Wissen der Organisation auf

Punkt 7.1.5 Wissen der Organisation, dass


• der Prozess zur Berücksichtigung und Steuerung des früheren, bestehenden und zusätzlichen

Wissensstands den Kontext der Organisation berücksichtigen muss, einschließlich ihrer

Größe und Komplexität, der Risiken und Chancen, die sie zu beachten hat, und der

Notwendigkeit für den Zugang zu diesem Wissen.

Anhang A.8 verweist auf den zugehörigen Punkt 8.4 Kontrolle von extern bereitgestellten

Produkten und Dienstleistungen und fordert nicht nur für die interne, sondern auch für die externe

Wertschöpfungskette

• einen risikobasierten Ansatz anzuwenden, um die Art und den Umfang der Lenkung zu

bestimmen, die/der für den jeweiligen externen Anbieter und die extern bereitgestellten

Produkte und Dienstleistungen geeignet ist (Beschaffungsrisiken, Logistikrisiken,

Lieferantenentwicklung, Risiken von Produkt und Dienstleistung).

Wie lassen sich risikobasiertes Denken und dessen Anforderungen wirksam

umsetzen?

ISO/DIS 9001:2014 fordert Risiken und Chancen im Kontext des Unternehmens zu verstehen. Es

gibt nach ISO/DIS 9001:2014 jedoch keine Anforderung für ein formelles (und zu zertifizierendes)

Risikomanagement(system) oder einen dokumentierten Risikomanagementprozess.

Punkt 0.5 Risikobasiertes Denken verweist darauf, dass sich Unternehmen abhängig von ihrem

Kontext für einen umfangreicheren risikobasierten Ansatz als den von ISO/DIS 9001:2014

entscheiden können. ISO 31000:2009 Risikomanagement – Allgemeine Anleitung zu den

Grundsätzen und zur Implementierung eines Risikomanagements wird als Leitlinie zum formellen

Risikomanagement angeführt. Die risikobezogenen Definitionen in ISO/DIS 9001:2014

Qualitätsmanagementsysteme — Anforderungen und ISO/DIS 9000:2014

Qualitätsmanagementsysteme – Grundlagen und Begriffe verweisen auf den ISO Guide 73:2009

Risk management – Vocabulary.

Die Zusammenfassung der Anforderungen des risikobasierten Denkens aus ISO/DIS 9001:2014

ergibt, dass Risiken und Chancen

• zu identifizieren sind

• zu analysieren sind

• zu bewerten sind

• zu bewältigen sind (vermeiden, vermindern, übertragen, selbst tragen), vgl. auch Anmerkung

zu 6.1 Maßnahmen zum Umgang mit Risiken und Chancen

• Maßnahmen festzulegen und umzusetzen sind

• die Wirksamkeit der Maßnahmen zu überwachen ist

• Risiken und Chancen zu kommunizieren sind (Berichte, Managementreview)

• aus Erfahrung zu lernen ist (Lessons Learned).


Dies entspricht dem Umfang eines systematischen Risikomanagementprozesses! Es besteht

jedoch keine Anforderung seitens ISO/DIS 9001:2014 diesen systematischen

Risikomanagementprozess zu dokumentieren. Andererseits sind Nachweise zu führen, wie die

Anforderungen betreffend Risiko und Chancen (Verbesserung) wirksam und effizient umgesetzt

werden. Da für ein wirksames und lebendiges risikobasiertes Denken auch die

Bewusstseinsbildung durch Schulungen, Prozessfestlegungen usw. maßgeblich ist, lässt der

ISO/DIS 9001:2014 die Anwender hier allein, “ein bisschen schwanger geht nicht”.

Empfehlung: Dokumentieren Sie einen Risikomanagementprozess. Er bildet den Kern des

Risikomanagement und ist die systematische und kontinuierliche Auseinandersetzung mit den

individuellen Risikopotenzialen und Chancen des Unternehmens. Dieser Risikomanagementprozess

ergänzt das bereits bestehende Qualitätsmanagementsystem. Das Risikomanagement ist Aufgabe

der Unternehmensführung. Bei systematischer Einführung und konsequentem Leben des

Risikomanagementprozesses besteht der Nutzen in der Leistungssteigerung und

Effizienzverbesserung des Unternehmens. Die bessere Einschätzung von Risiken und deren

Auswirkung auf strategische und operative Ziele des Unternehmens führt zu kleineren,

kontrollierbaren Restrisiken, erhöht Handlungsspielräume und steigert die Wertschöpfung

ganzheitlich und nachhaltig.

Details für die Umsetzung des risikobasierten Denkens betreffend Risiko und Chancen bietet auch

ISO 9004:2009 Leiten und Lenken für den nachhaltigen Erfolg einer Organisation – ein

Qualitätsmanagementansatz, der bereits das risikobasierte Denken mittels Risiken berücksichtigt

mit

• Punkt 4.2 Nachhaltiger Erfolg

• Punkt 5.3 Umsetzung von Strategie und Politik

• Punkt 6 Management von Ressourcen, speziell 6.2 Finanzielle Ressourcen, 6.4 Lieferanten

und Partner (für das Risiko in Wertschöpfungsketten), 6.5 Infrastruktur, 6.7 Wissen,

Information und Technologie

• Punkt 7.2 Prozessplanung und Prozesslenkung

• Punkt 8 Überwachung, Messung, Analyse und Bewertung, speziell 8.3.2 Entscheidende

Leistungskenngrößen (KPI), 8.3.3 Internes Audit

• Punkt 9 Verbesserung, Innovation und Lernen, speziell 9.3 Innovation und 9.4 Lernen

• informativer Anhang B Grundsätze des Qualitätsmanagements, speziell B.7 6.Ständige

Verbesserung und B.8 7.Sachbezogener Ansatz zur Entscheidungsfindung (ZDF = Zahlen,

Daten, Fakten).

Vom ISO/TC 176/SC2 selbst gibt es die Veröffentlichungen ISO/TC 176/SC2 N1221, July 2014, Risk

Based Thinking und ISO/TC 176/SC2 N1222, July 2014, Risk in ISO 9001:2015. Beide


Veröffentlichungen bieten Hintergrundwissen für das Verständnis des risikobasierten Denkens,

insbesondere hinsichtlich des Risikomanagementprozesses.

Zwei weitere Quellen zur Einarbeitung in das risikobasierte Denken und das Risikomanagement sind

ISO GUIDE 73:2009 Risk management – vocabulary, der eine Sammlung der wichtigsten Begriffe

und Definitionen zum Risikomanagement enthält sowie ISO 31000:2009 Risikomanagement als

Allgemeine Anleitung zu den Grundsätzen und zur Implementierung eines Risikomanagements.

Unabhängig davon sind die aktuellen Prozessbeschreibungen um den Punkt Risiken und Chancen

zu erweitern. Welche Risiken bzw. Chancen hat der Prozess? Welche Folgen bzw. Auswirkungen gibt

es? Sind die Auswirkungen minimal oder existenzgefährdend? Wie sieht die Risikolandschaft, d.h. die

Gesamtheit der Risiken und Chancen aller Prozesse aus? Welche Risiken bzw. Chancen stehen in

Wechselwirkung bzw. beeinflussen sich gegenseitig?

Die strategisch relevanten Prozesse des Unternehmens sind bei der Betrachtung von Risiken und

Chancen zu priorisieren. Der Risikomanagementprozess mit all seinen Schritten ist auf diese

relevanten Prozesse zuerst anzuwenden.

Die Anforderungen des risikobasierten Denkens sind auch bei der Planung und Durchführung der

internen Audits umzusetzen. Die Audits bilden eine der wichtigsten Eingaben für das

Managementreview der obersten Leitung. Die Auditorenqualifikationen sind für wirksame Audits um

das Thema Risiken und Chancen zu erweitern. In diesem Zusammenhang ist insbesondere ISO

19011:2011 Leitfaden zur Auditierung von Managementsystemen wichtig, der bereits ein

Risikokonzept für Audits (risikobasiertes Auditieren) beinhaltet. Punkt 7.2.3.3 Disziplin- und

branchenspezifisches Wissen und Fertigkeiten von Auditoren für Managementsysteme erwähnt

Grundlagen des Risikomanagements, Verfahren und Techniken in Bezug auf die Disziplin und die

Branche, um den Auditor zu befähigen, die Risiken, die mit dem Auditprogramm verbunden sind, zu

bewerten und zu kontrollieren. ISO 19011:2011 informativer Anhang A.4 gibt für Auditoren von

Qualitätsmanagementsystemen einen Hinweis für disziplinspezifisches Wissen und Fertigkeiten

betreffend Risikobewertungsmethoden, d.h. Risikoerkennung, -analyse und -bewertung.

Hinweis: Der Inhalt dieses Artikels, der sich als informativer Überblick versteht, wurde mit Sorgfalt

erstellt. Die externen Links waren zum Zeitpunkt der Artikelerstellung aktiv. Nach der Veröffentlichung

sind Änderungen möglich. Wir übernehmen keine Haftung und die Geltendmachung von Ansprüchen

jeglicher Art ist ausgeschlossen.

→ ISO/TC 176/SC2 N1222, July 2014, Risk in ISO 9001:2015

→ ISO/TC 176/SC2 N1221, July 2014, Risk Based Thinking


KIRSCH Managementsysteme

Interim Management & Consulting

Dienstleistungen Risikomanagement

Interim Management Risiko / Interim Riskmanager

Management auf Zeit als Interim Riskmanager, Risikobeauftragter oder “Projektleiter” für

unterschiedlichste Risikothemen auf Ebene des Unternehmens und einzelner Bereiche / Funktionen

Beratung Risikomanagement

Unterstützung als Umsetzungsberater bei der Einführung sowie der strategischen und operativen

Weiterentwicklung von Risikomanagementsystemen

externer Risikomanagementbeauftragter (RMB)

Pflege der Dokumentation des Risikomanagementsystem nach ONR 49001 bzw. ISO 31000,

Durchführung interner Risikoaudits als Systemaudit und Prozessaudit, Umsetzung aktueller Risiko-

themen, Unterstützung beim Managementreview Risiko

Audit

Beratung zu Systemaudit Risikomanagement nach ONR 49001 bzw. ISO 31000, Prozessaudit oder

Potenzialanalyse nach VDA 6.3, Wirksamkeit von Audits, Management von Auditprogrammen,

Beratung und Umsetzung DIN EN ISO 19011, Durchführung von Systemaudit ONR 49001 bzw. ISO

31000 und Prozessaudit oder Potenzialanalysen nach VDA 6.3

Interim

Management

Risiko-

beratung

Externer RMB

Audit Risiko


IMPRESSUM / Herausgeber Kirsch Managementsysteme Interim Management & Consulting Wertschöpfung steigern. Ganzheitlich. Nachhaltig. Dipl.-Ing. (FH) Peter Uwe Kirsch Marie-Calm-Strasse 5 D-34266 Niestetal November 2014 (Ausgabe zum Weltqualitätstag 13.11.2014)

Das von Peter Uwe Kirsch gegründete Ingenieurbüro KIRSCH Management-systeme unterstützt seit 2008 als Umsetzungsberater Unternehmen der Investi-tionsgüterindustrie, Konsumgüterindustrie und Vorleistungsgüterindustrie vom Mittelstand bis zum Konzern aus den Bereichen Automotive, Non-Automotive, Transportation Railway, Metall und Kunststoff bei den Themen Qualitäts-, Risiko- und Energiemanagement entlang der internen und externen Wert-schöpfungskette mit Interim Management und Managementsystem Beratung bei der ganzheitlichen und nachhaltigen Steigerung der Wertschöpfung.

Kirsch Managementsysteme

Blog

RSS-Feed

Risiken erfolgreich bewältigen

Documents

Risikomanagement · Teil 3 der Serie Risikomanagement widmet sich dem zweiten Schritt des Risiko- managementprozesses, dem Beurteilen von Risiken . Dieser Schritt umfasst das …