Risikomanagement nach der ISO 31000

Inhaltsverzeichnis

Darstellungsverzeichnis

1 Einleitung
1.1 Zielsetzung
1.2 Aufbau des Assignments

2 Grundlagen
2.1 Das Risikomanagement
2.2 Von der DIN-Norm bis zur ISO-Norm 31000

3 Risikomanagement nach der ISO 31000
3.1 Einordnung des Risikoprozesses in die ISO 31000
3.2 Der Risikomanagement-Prozess

4 Das Fallbeispiel der Premium Air
4.1 Zusammenhang herstellen
4.2 Risikoidentifikation
4.3 Risikoanalyse
4.4 Risikobewertung
4.5 Risikobewältigung
4.6 Risikoüberwachung
4.7 Risikokommunikation

5 Resümee

Anhang

Literaturverzeichnis

Darstellungsverzeichnis

Darstellung 1: Prinzipen und Grundsätze, Rahmen und Risikomanagement-Prozess nach ISO 31000

Darstellung 2: Risikomanagement-Prozess nach ISO 31000

Darstellung 3: Flugzeugfensterrahmen mit defekter Seal-Naht

Darstellung 4: Risikotabelle des Prozesses - Aerodynamische Seal-Naht ersetzten

Darstellung 5: Fehlerbaum für Risiko 1 des ersten Arbeitsschrittes

Darstellung 6: Fehlerbaum für Risiko 2 des zweiten Arbeitsschrittes

Darstellung 7: Fehlerbaum für Risiko 3 des vierten Arbeitsschrittes

Darstellung 8: Fehlerbaum für Risiko 4 des fünften Arbeitsschrittes

Darstellung 9: Fehlerbaum für Risiko 5 des siebten Arbeitsschrittes

Darstellung 10: Ergebnisse der Risikoeinschätzung der Premium Air

Darstellung 11: Risikoakzeptanzkriterien der Premium Air zur Risikobewertung

Darstellung 12: Risikobewältigung der Premium Air im Risikodiagramm

1 Einleitung

Täglich werden wir mit Risiken konfrontiert. Das Risiko eines Autounfalls auf dem Weg zur Arbeit, das Risiko, dass der Zug zu spät kommt oder auch ganz aktuell, die Risiken der Corona-Krise. Dies gilt natürlich auch für die Unternehmenswelt. Der zunehmende internationale Wettbewerb, immer schnellere Produktzyklen sowie Spezialisierungen in der Wertschöpfungskette, führen zu immer komplexeren Risiken, mit denen sich das Unternehmen auseinandersetzen muss. Risikomanagement war daher schon immer notwendig und hat sich in den letzten Jahrzenten zunehmend weiterentwickelt. Bestimmte Industriezweige, wie beispielsweise die Automobil- und Luftfahrtindustrie wurden schon früh mit diesem Thema konfrontiert. Während das Risikomanagement in verschiedenen Bereichen zur Anwendung kommen kann, ist das allgemeine Vorgehen, der sogenannte Risikomanagement-Prozess, immer gleichbleibend. Der Prozess variiert nicht, egal ob es sich um das Projekt-Risikomanagement bei dem Bau einer industriellen Anlage oder um die Entwicklung eines neuen Fahrzeugmodells handelt¹. Die Verwendung der ISO-Norm bei der Gestaltung eines Risikomanagement-Prozesses bietet den Vorteil einer weltweiten Verbreitung und Anerkennung des Risikomanagement-Standards, der bei international agierenden Unternehmen einen Argumentationsvorteil gegenüber ihren Geschäftspartnern mit sich bringen kann. In diesem Assignment soll der Risikomanagement-Prozess in Verbindung mit der ISO-Norm 31000 detaillierter untersucht werden.

1.1 Zielsetzung

Aufbauend auf der Vorgabe für das Assignment im Modul „RER81 Requirements Engineering und Risikomanagement“,

# soll das Risikomanagement nach der ISO 31000 näher betrachtet werden. Ziel dieser Arbeit ist es, anhand eines fiktiven Fallbeispiels, den Risikomanagement-Prozess nach der ISO 31000 mit den dafür verwendeten Methoden zu illustrieren.

1.2 Aufbau des Assignments

Im ersten Teil der Arbeit sollen die Grundlagen erläutert werden. Dabei werden die Begrifflichkeiten „Risikomanagement im Allgemeinem“ und „ISO-Norm“ beschrieben. Anschließend wird, im Hauptteil der Arbeit, auf das Riskmanagement nach der ISO 31000 detailliert eingegangen. Dabei werden die dafür verwendeten Methoden sowie der Risikomanagement-Prozess beschrieben. Nachfolgend wird anhand eines Fallbeispiels der Risikomanagement-Prozess mit den jeweiligen Prozessebenen aufgezeigt. Bei dem Fallbeispiel handelt es sich um ein fiktives Unternehmen der Luftfahrtindustrie. Der Prozess, der in dem Fallbeispiel durchleuchtet wird, wurde in Anlehnung an einem realen Prozess eines führenden Unternehmens der Luft- und Raumfahrt erstellt. Einige Sachverhalte sind jedoch frei erfunden. Abschließend wird im letzten Teil der Arbeit, anhand der erlangten Erkenntnisse, ein Resümee gezogen. Aus Platz- und Übersichtsgründen werden alle, im Assignment enthaltenen Darstellungen sowie Zusatzinformationen im Anhang dargestellt. Aufgrund des begrenzten bzw. vorgegebenen Umfangs der Arbeit, wird der Fokus nur auf einzelnen Themengruppen gelegt. Einen ausführlicheren Einblick bieten u.a. das Buch „Risikomanagement im Unternehmen“ von Hans Christian Brauweiler sowie die Internetseite www.risikomanagement-wissen.de, auf der sich viele Informationen sowie Schulungen, Weiterbildungen und Downloads zu diesem Thema befinden.

2 Grundlagen

Zum besseren Verständnis werden vorab, wie bereits in Kapitel 1.2 erwähnt, das Risikomanagement sowie die ISO-Norm erläutert. Da im weiteren Verlauf des Assignments auf das Risikomanagement im Zusammenhang mit der ISO 31000 detaillierter eingegangen wird, wird in diesem Kapitel nur der allgemeine Begriff des Risikomanagements angesprochen. Die ISO-Norm und dessen Zusammenhänge werden hingegen ausführlicher betrachtet.

2.1 Das Risikomanagement

Das Risikomanagement ist die systematische Analyse, Bewertung, Behandlung sowie Steuerung von Unternehmensrisiken. Es ist darauf ausgerichtet, kritische Situationen im Rahmen der Unternehmenstätigkeit frühzeitig zu erkennen, zu vermeiden oder zu reduzieren bzw. alternativ die Wirkung der Risiken zu minimieren. So kann ein Unternehmen selbst unvorhersehbare Risiken meistern. Damit ist ein durchdachtes und funktionstüchtig aufgebautes Risikomanagement gleichfalls ein Frühwarnsystem für das Unternehmen. Dadurch können bei eintretenden Risiken rechtzeitig Gegenmaßnahmen eingeleitet werden².

2.2 Von der DIN-Norm bis zur ISO-Norm 31000

Jedes europäische Land hat seine eigenen Normen. In Deutschland ist das die DIN-Norm. DIN steht für „Deutsches Institut für Normung“, welches die Kriterien für die jeweilige Norm festlegt. Ausgewählte Experten entwickeln, ausgehend vom aktuellsten Stand der Technik und unter wirtschaftlichen Gesichtspunkten, Regeln, die dann idealerweise für alle Produkte und Lösungen gelten. Normen sind grundsätzlich nicht verpflichtend, es sei denn, sie sind vertraglich festgelegt. Allerdings versprechen die Einhaltungen dieser Normen Verbindlichkeiten und schaffen Vertrauen bei den Kunden. Außer den DIN-Normen gibt es noch weitere Normen, wie z.B. die, die auf europäischer Ebene verabschiedet werden. Sie werden mit dem Kürzel EN gekennzeichnet. Eine DIN-EN-Norm bedeutet somit, dass eine ursprünglich deutsche Norm zukünftig als europäische Norm auftritt. Zu den deutschen und europäischen Normen gibt es auch internationale Normen, die das Kürzel ISO tragen. ISO steht für „International Organisation for Standardization“. Auch ISO-Normen können für sich alleinstehen oder als ursprünglich europäische oder nationale Norm mit dem ISO-Zusatz geführt werden. Das bedeutet letztendlich nur, dass zum Beispiel eine deutsche DIN-Norm internationalen Anforderungen entspricht³. Die DIN ISO 31000:2018-10 beispielsweise enthält die deutsche Übersetzung der Internationalen Norm ISO 31000:2018, die vom NA 175-00-04 AA "Grundlagen des Risikomanagements" des DIN-Normenausschusses Organisationsprozesse (NAOrg) in Zusammenarbeit mit der Schweizerischen Normenvereinigung (SNV) und dem Austrian Standards Institute (ASI) erstellt wurde. Das Dokument legt die Leitlinien für das Behandeln von Risiken fest, denen Organisationen ausgesetzt sind. Die Anwendung dieser Leitlinien kann an jede Organisation und deren Kontext angepasst werden. Es bietet einen allgemeinen Ansatz für das Behandeln jeglicher Art von Risiken und kann während der gesamten Lebensdauer der Organisation genutzt und auf alle Aktivitäten einschließlich der Entscheidungsfindung auf allen Ebenen angewendet werden⁴.

3 Risikomanagement nach der ISO 31000

Das Risikomanagement ist ein verbindendes Glied und Bestandteil aller Managementsysteme. Deshalb hat der Umgang mit Risiken eine zentrale Bedeutung in allen Unternehmensprozessen. Zur Umsetzung dient als Werkzeug die ISO 31000 mit den darin dargestellten Prinzipien und dem standardisierten Risikomanagement-Prozess⁵. Nachfolgend soll dieses verdeutlicht werden.

3.1 Einordnung des Risikoprozesses in die ISO 31000

Wie bereits im Kapitel 2.2 erwähnt, ist die ISO 31000: 2018 die Leitnorm für sämtliche ISO-Normen im Bereich Sicherheit und Risikomanagement. Die Abbildung 1 im Anhang 1 zeigt die Beziehung zwischen den Prinzipien und Grundsätzen und den Rahmen zur kontinuierlichen Verbesserung des Risikomanagements-Systems sowie den Risikomanagement-Prozess⁶. Wie man der Abbildung 1 entnehmen kann, sind die „Prinzipien und Grundsätze“ die Grundlage für den Part „Mandat und Selbstverpflichtung“ des Rahmenwerkes. Dieses ist wiederum über den Schritt „Einführung des Risikomanagements“ mit dem Prozess verbunden. Prinzipien und Grundsätze, Rahmen und Prozess bilden die Grundlage der ISO 31000, wobei die konkrete Ausgestaltung des Risikomanagements sich immer an den Prozess orientiert. Aus diesem Grund wird nachfolgend detaillierter auf diesen eingegangen⁷.

3.2 Der Risikomanagement-Prozess

Ein effizienter Risikomanagement-Prozess funktioniert ähnlich wie der menschliche Organismus. In einem menschlichen Organismus arbeiten Gehirn, Herz und Nervensystem zusammen. Übertragen auf den Risikomanagement-Prozess bedeutet dies, dass verschiedene Sensoren und Sinne bzw. Frühwarnindikatoren die Risiken aufnehmen und sie an eine zentrale Stelle weiterleiten⁸. Wie man der Abbildung 2 im Anhang 3 (in Anlehnung an Abbildung 1) entnehmen kann, besteht der eigentliche Risikomanagement-Prozess aus den Schritten Identifikation, Analyse, Bewertung, Bewältigung, Überwachung sowie Kommunikation. Der Prozess beginnt mit dem Vorabschritt „Zusammenhang herstellen“. Der geschlossene Kreis in der Abbildung 2 zeigt, dass der Prozess keine einmalige Aktivität ist, sondern immer wieder durchlaufen wird, bis sich alle Risiken in einem akzeptablen Bereich befinden. In der Abbildung 2 wird dies durch einen Rücksprung bei der Risikobewältigung angedeutet. Die beiden Schritte „Überwachung“ und „Kommunikation“ laufen eher parallel zu den anderen Schritten. Die Risikokommunikation soll mit allen internen sowie externen Stakeholdern stattfinden. Die Überwachung stellt einen geplanten und strukturierten Ablauf dar, der den Risikomanagement-Prozess begleitet. Die Risikobeurteilung ist der Kernpunkt des Prozesses. Diese beinhaltet die bereits erwähnte Risikoidentifikation, die Risikoanalyse sowie die Risikobewertung. Die Risikoidentifikation dient zur Bestimmung der Risiken. Die Risikoanalyse beinhaltet neben der Analyse der kausalen Zusammenhänge, auch die Einschätzung der Auftretenswahrscheinlichkeit sowie das Ausmaß bei Schadenseintritt. Die Risikobewertung beurteilt ob die Risiken akzeptabel sind oder ob Risikobewältigungsmaßnahmen ergriffen werden müssen, wenn die Risiken nicht akzeptiert werden können. Die Bewertung basiert auf der fertigen Risikoeinschätzung, die wiederum das Ergebnis der Risikoanalyse ist. Diese Risikoeinschätzung wird in der Risikobewertung mit den Risikoakzeptanzgrenzen (Definition s. Anhang 2) verglichen⁹.

4 Das Fallbeispiel der Premium Air

Der Flugzeughersteller Premium Air ist ein weltweit führendes Unternehmen im Bereich der Luft- und Raumfahrt. An dem Standort Toulouse in Frankreich, dem Hauptsitz der Firma, befindet sich ein Team, welches sich vorwiegend mit Restarbeiten sowie Kundenbeanstandungen befasst. Der Site Manager des Teams möchte anhand des Risikomanagements nach der ISO 31000 den nachfolgenden Prozess näher untersuchen. Als Unterstützung zieht er den Mitarbeiter des Oberflächenschutzes, einen Qualitätsmanager sowie das Engineering zu Rate. Außerdem wird der Kundenvertreter der Airline „Cloud“ einbezogen. Vorab wird der Prozess „Ersetzen einer beschädigten aerodynamischen Seal-Naht an einem Flugzeugfensterrahmen“ in seine Einzelschritte aufgegliedert und beschrieben. Folgende Arbeitsschritte sind notwendig, um diesen Fertigungsprozess durchführen zu können:

1. Arbeitsschritt: Entfernen der alten Seal-Naht mit einem Spachtel
2. Arbeitsschritt: Vorbereitung der Oberflächen für den Neuauftrag der Dichtmasse, d.h. einen fettfreien Zustand mit der Verwendung von Lösungsmitteln herstellen
3. Arbeitsschritt: Abkleben des Rahmen- und Strukturbereiches, um den Abdichtungsbereich festzulegen
4. Arbeitsschritt: Aufbringen der Dichtmasse auf den Applizierungsbereich
5. Arbeitsschritt: Überschüssige Dichtmasse entfernen, um eine homogene Fläche zu schaffen
6. Arbeitsschritt: Abklebungen des Rahmen- und Flächenbereichs entfernen
7. Arbeitsschritt: Überprüfung der Seal-Naht nach Trockenvorgang auf Welligkeit, Verformungen oder Lufteinschlüsse

[...]

---

¹ Vgl. (Seibold & Drews, o.J., S. 1-5)

² Vgl. (Brauweiler, 2019, S. 1-3)

³ Vgl. (Schmid, o.J.)

⁴ Vgl. (Thom, 2020)

⁵ Vgl. (Löchte, 2019)

⁶ Vgl. (Seibold & Drews, o.J., S. 31)

⁷ Vgl. (Seibold & Drews, o.J., S. 76)

⁸ Vgl. (Romeike, o.J.)

⁹ Vgl. (Seibold & Drews, o.J., S. 37-38)