Risikoanalyse für Unternehmen als Entscheidungsgrundlage für eine Managementbewertung gemäß DIN EN ISO 9001 2015

Inhaltsverzeichnis

1 Einleitung
1.1 Problemstellung der Arbeit
1.2 Ziel der Arbeit
1.3 Aufbau der Arbeit

2 Allgemeines und Definition
2.1 Risiko
2.2 Normen
2.2.1 ISO 9001
2.2.1.1 Konkrete Anforderungen Risikomanagement
2.2.1.2 Managementbewertung
2.2.2 ISO 31000
2.3 Organisatorische Voraussetzungen des Risikomanagementsystems

3 Theoretische Grundlagen
3.1 Entwicklung des Risikomanagements
3.2 Nutzen und Ziele eines Risikomanagementsystems
3.3 Wahrnehmung von Risiken
3.4 Risikomanagement für KMU
3.5 Risikomanagementprozess
3.6 Risikostrategie

4 Risikoidentifikation in der Theorie
4.1 Risikoidentifikation
4.2 Risikofrühwarnsystem

5 Risikobeurteilung in der Theorie
5.1 Risikobewertung und Risikoquantifizierung
5.2 Risikoaggregation
5.3 Risikoreporting

6 Risikosteuerung in der Theorie
6.1 Risikovermeidung
6.2 Risikoverminderung
6.3 Risikostreuung
6.4 Risikoüberwälzung auf Dritte
6.5 Risikoselbstbehalt

7 Risikobeurteilung in der Praxis
7.1 Allgemeines
7.2 Risikoinventar in der Praxis
7.3 Gewichtung der Risiken
7.4 Die Risikomatrix in der Praxis
7.5 Die Risikosteuerung in der Praxis

8 Kritische Würdigung
8.1 Zusammenfassung und Fazit
8.2 Ausblick

II Abkürzungsverzeichnis

III Abbildungsverzeichnis

IV Literaturverzeichnis

„Die Ablehnung eines Risikos ist für ein Unternehmen das größte Risiko. “

Reinhard Mohn (*1921), dt. Unternehmer u. Stifter (Bertelsmann)

Einleitung Seite 5

1 Einleitung

1.1 Problemstellung der Arbeit

Die Finanzkrise, die Wirtschaftskrise und die gestiegene Anzahl von Insolvenzen in der jüngsten Vergangenheit machen deutlich, dass dringend Maßnahmen zu treffen sind, die solche Ereignisse vermeiden. Die Einführung von Gesetzen und Normen, wie Basel II oder aber auch die ISO 31000 gegeben hier Hilfestellung bzw. klare Anforderung um gezielt mit Risiken umzugehen. Auch die ISO 9001 leistete hier mit dem prozessorien- tierten Ansatz entsprechende Vorarbeit zum Umgang mit Risiken. Aus diesem Grund war es nur eine Frage der Zeit, bis der Umgang mit Risiken explizit gefordert wurde. Diese ist Anforderung wurde mit der Revision der ISO 9001:2015 integriert. Allerdings macht die ISO 9001:2015 hierzu keine weiterführenden Aussagen zur Implementierung.

1.2 Ziel der Arbeit

Da die ISO 9001:2015 keine expliziten Angaben zum Umgang mit Risiken definiert jedoch den Umgang mit Risiken fordert ist es notwendig, aus der vorhandenen Literatur bzw. Normen wie die ISO 31000 entsprechende praxisorientierte Lösungen zu entwi- ckeln.

Ziel dieser Arbeit ist somit aus der vorhandenen Literatur eine praktische Lösung zu entwickeln, die, die Phasen des Risikomanagementprozesses beinhalten und als Einga- be zur Managementbewertung gemäß ISO 9001:2015 Verwendung finden soll. Als Ba- sis werden zunächst die entsprechenden Normen analysiert, sowie der Begriff des Risi- kos erläutert. Im Anschluss werden die Einflussfaktoren der Bewertung aufgrund der Risikowahrnehmung dargestellt und die organisatorische Struktur eines Risikomanage- mentsystems aufgezeigt.

Hierbei werden die Entwicklung sowie die Nutzen und Ziele des Risikomanagement- systems dargestellt. Anschließend werden die verschiedenen Phasen des Risikomana- gementprozesses wie Risikoidentifikation, Risikobewertung, Risikosteuerung und Kon- trolle einzeln betrachtet und konkrete praktische Vorschläge ausgearbeitet. Aufgrund des Umfangs des Themas werden die einzelnen Werkzeuge der Risikoidentifikation und der Risikobewertung nicht detailliert ausgeführt. Ebenso kann aufgrund der äußeren Rahmenbedingungen eine vollumfängliche Betrachtung und Gegenüberstellung unter- schiedlicher Methoden nicht durchgeführt werden. Jedoch wird in einem Praxisbeispiel der entsprechende Prozess durchexerziert.

1.3 Aufbau der Arbeit

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1 Aufbau der Arbeit

2 Allgemeines und Definition

2.1 Risiko

Der sprachliche Ursprung des Begriffs Risiko ist in der wissenschaftlichen Welt unge- klärt. Unterschiedlichste Sprachen wie italienisch, spanisch und arabisch lassen Rück- schlüsse auf die Entstehung des Wortes Risiko zu.¹ Wir verstehen Risiko als Unsicher- heit des Ausgangs von Handlungsergebnissen für einen definierten Entscheider.²

Etymologisch lässt sich der Risikobegriff, eher auf diese negative Ausrichtung zurückverfolgen, indem in den Begriffen riza (griechisch = Wurzel, über die man stolpern kann) wie auch ris(i)co (italienisch, die Klippe, die es zu umschiffen gilt)³ die negative Seite des Wortes erklärt wird.

Dabei existieren ebenso etymologische Wurzeln des Risikobegriffs, die neben einer negativen auch eine positive Komponente betonen.

Im chinesischen gibt es nur eine Zeichenkombination für ,,Chance‘‘ und ,,Risiko‘‘. Dadurch wird ,,Risiko‘‘ und ,,Chance‘‘ immer assoziativ zusammenhängend betrachtet. Dies wird am Bild einer Medaille deutlich.

Im alemannischen Raum besteht hier keinerlei Wortverwandtschaft, höchstens durch gewonnene Lebenserfahrung bringt man diese beiden Begriffe miteinander in Verbin- dung.⁴

Auch im angloamerikanischen Raum wird hier deutlich unterschieden in Downside- Risk (Gefahren) und Upside-Risk (Chancen) oder auch "Opportunity and Risk Mana- gement".⁵

In der Entscheidungstheorie wird der Risikobegriff als Konstrukt der Standartabwei- chung von positiven als auch negativen Zielabweichungen vom Ertragswert definiert. Hier wird zudem berücksichtigt, dass alle menschlichen Tätigkeiten auf Entscheidungen beruhen, die aufgrund unvollständiger Informationen über die Auswirkung der Ent- scheidung getroffen werden. Diese Informationsdefizite vergrößern das Risiko und führen zu ungünstigen Abweichungen zwischen Planung und Realisierung.⁶

In dieser Abhandlung werden wir uns dem negativen Aspekt des Begriffs Risiko wid- men.

2.2 Normen

Unternehmen stehen in der Verantwortung, sämtliche relevanten, Gesetze und Normen zu berücksichtigen bzw. zu erfüllen.

So gibt es verschiedene Normen auf dem Gebiet des Risikomanagements die sich explizit mit Risiken beschäftigen jedoch auch ganz grundsätzliche Normen und Gesetzte welche hier eine Berücksichtigung beinhalten.⁷

Diese Normen, (oder auch auf Englisch Standards) sind in verschiedenen Teilbereichen und in der Gesellschaft verbindlich anerkannte Festlegungen, Richtlinien oder Regeln. Standards gründen im gegensatz zu Gesetzen, die das Ergebnis politischer Willensbildung sind und mit staatlicher Hoheit zwingend durchgesetzt werden können, grundsätzlich auf einen Konsens von Interessensverbänden und Freiwilligkeit. Träger der Verbreitung und Entwicklung dieser Normen sind nationale oder internationale Organisationen privaten Rechts.⁸ So deutet die Bezeichnung der Norm immer auf die Organisation hin. ( Beispiel DIN EN ISO 9001) Die Abkürzung DIN steht für Deutsche Industrie Normung, EN für Europäische Normung und ISO für International Standard Organisation somit ist die DIN EN ISO 9001 weltweit harmonisiert.

2.2.1 ISO 9001

Qualitätsmanagementsysteme — Anforderungen (ISO 9001:2015)

Für eine Organisation ist die Einführung eines Qualitätsmanagementsystems eine stra- tegische Entscheidung, die helfen kann, die Gesamtleistung der Organisation zu stei- gern und eine gute Basis für nachhaltige Entwicklungsinitiativen zu gewährleisten. Die potentiellen Vorteile welche sich aus der Umsetzung eines Qualitätsmanagementsys- tems basierend auf dieser Internationalen Norm für eine Organisation, ergeben, wie folgt:

- die Fähigkeit, beständig die Kundenanforderungen und zutreffende gesetzliche und behördliche Anforderungen erfüllenden; Produkte und Dienstleistungen zu liefern,
- das Eröffnen von Chancen um die Kundenzufriedenheit zu erhöhen;
- die Behandlung von Chancen und Risiken im Zusammenhang mit ihrem Kontext und ihren Zielen; und
- Nachweis der Konformität mit den festgelegten Anforderungen das Qualitäts- managementsystem.

Begleitet wird diese Norm von diversen weiteren Regelwerken wobei die nachfolgenden besonders relevant sind.

- DIN EN ISO 9000, Qualitätsmanagementsysteme — Grundlagen und Begriffe
- DIN EN ISO 9004, Leiten und Lenken für den nachhaltigen Erfolg einer Organi- sation — Ein Qualitätsmanagementansatz
- DIN EN ISO 19011, Leitfaden zur Auditierung von Managementsystemen

Die DIN EN ISO 9001 2015 ist bereits die vierte Überarbeitung der ISO 9001. In der Überarbeitung der Version des Jahres 2015 wurden einige Änderungen durchgeführt.

Neu sind in diesem Zusammenhang vor allem die nachstehenden Punkte:

- es wurde ein Abschnitt 4 zur Bestimmung des Kontexts der Organisation einge- fügt, der die Bestimmung der interessierten Parteien und ihrer für das Qualitäts- managementsystem relevanten Anforderungen umfasst;
- es wurde der „risikobasierte Ansatz“ hervorgehoben;
- „dokumentierte Information“ wurde als neuer Sammelbegriff der bisher bekann- ten „dokumentierten Verfahren“ und „Aufzeichnungen“ eingeführt, die Forderung nach einem Qualitätsmanagementhandbuch ist entfallen.

Der risikobasierte Ansatz ist die wesentliche Neuerung in dieser Überarbeitung.

Die Anforderungen des risikobasierten Ansatzes haben weitreichende Folgen für viele Elemente des Qualitätsmanagements. Um die Ziele des QM-Systems zu erreichen wird es zukünftig erforderlich sein, dass Unternehmen die Risiken und Chancen ("actions to address risks and opportunities") identifizieren und analysieren.

Bestimmte Komponenten dieses risikoorientierten Ansatzes wurden bereits in der Vergangenheit, implizit im Kontext der Planung angewendet. Dieser Ansatz allerdings war nicht ausnahmslos explizit bestandteil des Qualitätsmanagement-Systems.¹² Den Themen Risikomanagement sowie dem risikobasierten Ansatz wird in Zukunft eine größere Relevanz zugeordnet. So müssen Unternehmen einerseits diesen Ansatz in ihr Qualitätsmanagement-System integrieren ("integrate and implement the actions into its quality management system processes") und zum anderen die Effizienz regelmäßig messen ("evaluate the effectiveness of these actions").

Organisationen werden zukünftig nachweisen müssen, wie sie diese neue Anforderung der ISO 9001:2015 erfüllen. Eine "Risikobuchhaltung" - reine vergangenheitsorientiert wie sie häufig in Unternehmen anzutreffen ist, ist hier als Nachweis ungenügend. Der Umfang und die individuelle Umsetzung des risikobasierten Ansatzes hängen jedoch klar von den Rahmenbedingungen und der Größe des einzelnen Unternehmens ab.¹³

Die weite Verbreitung dieses Standards lässt erwarten, dass sich Qualitätsverantwortli- che künftig intensiver mit dem Thema Risikomanagement auseinandersetzen. Gleich- zeitig bietet die aktuelle ISO-9001-Revision auch die Chance für Risikomanager, Con- troller oder Revisoren sich mit dem Thema Qualitätsmanagement intensiver zu beschäf- tigen. Hier können sicherlich Synergien beim Austausch in Form von Methoden und Ansätzen genutzt werden.

Organisationen, die bereits ein effizientes und zukunftsorientiertes Risikomanagement- System eingeführt haben, können die vorhandenen Organisations- und Berichtsstruktu- ren des Unternehmens nutzen, um die Anforderungen des risikobasierten Ansatzes der ISO 9001:2015 zu erfüllen. Organisationen ohne bereits vorhandenes Risikomanage- ment-System sollten spätestens die ISO 9001 als Motivation betrachten, zukünftig in- tensiver und strukturierter über potenzielle Chancen und Risiken nachzudenken. Damit werden nicht nur die Anforderungen der ISO 9001 erfüllt, sondern vor allem die Chance genutzt das Unternehmen robuster gegen potenzielle Risikoeintritte auszurichten und im Umkehrschluss, Chancen zu nutzen.

Um mögliche potentiale effektiv zu nutzen und unnötige Parallelsysteme und überbürokratische Prozess zu vermeiden bietet es sich an das Risikomanagement soweit irgend möglich in das bestehende Qualitätsmanagementsystem zu integrieren.

In der Abbildung 2 Eine Grundidee des Prozessansatzes ), wird der Umgang von Chan- cen und Risiken bereits in der Planung (6) verankert, dargestellt. Die Überprüfung bzw.

Bewertung der Leistung (9) kann sowohl durch geeignete Instrumente erfolgen als auch durch interne Audits und die Managementbewertung.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2 Eine Grundidee des Prozessansatzes

2.2.1.1 Konkrete Anforderungen Risikomanagement

Die ISO 9001:2015 Sieht das risikobasierte Denken (siehe Abschnitt A.4) zum Errei- chen eines wirksamen Qualitätsmanagementsystems als unerlässlich an. Letzten Endes war dieses Konzept des risikobasierten Denkens bereits in früheren Ausgaben dieser Internationalen Norm enthalten, z. B. mit der Umsetzung von Präventivmaßnahmen zur Abschaffung oder Vermeidung von möglichen Nichtkonformitäten, der Analyse auftretender Nichtkonformitäten und dem Ergreifen von Korrektur und Präventionsmaßnahmen und Maßnahmen zum Verhindern des Wiederauftretens.

Um die Anforderungen dieser Internationalen Norm zu erfüllen wird von der Organisa- tion verlangt, dass sie Maßnahmen plant und umsetzt, mit denen Risiken und Chancen behandelt werden. Diese Behandlung von Risiken und Chancen bildet eine Grundlage für die Steigerung der Wirksamkeit des Qualitätsmanagementsystems. Es führt ebenso zum Erreichen verbesserter Ergebnisse und zur Vermeidung von negativen Auswirkun- gen. Die ISO 9001 definiert Risiko folgendermaßen ,,Risiko ist die Auswirkung von Ungewissheiten, und jede dieser Ungewissheiten kann positive oder negative Auswir- kungen besitzen´´.

Die ISO 9001:2015 verwendet den prozessorientierten Ansatz, der das Planen- Durch- führen-Prüfen-Handeln-Modell (PDCA, en: Plan-Do-Check-Act) sowie risikobasiertes Denken umfasst. Das PDCA-Modell ermöglicht einer Organisation sicherzustellen, die Prozesse gesteuert werden und dass Chancen zur Verbesserung bestimmt werden und auf diese reagiert wird. Zudem wird sichergestellt, dass angemessene Ressourcen für die Prozesse zur Verfügung stehen.¹⁸ In Abbildung 3 PDCA Zyklus ), sieht man eben- falls sehr deutlich die Verantwortung der Leitung (5 Führung) diese ist in alle Schritte des Zyklus integriert.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3 PDCA Zyklus

Eine explizite Änderung in Vergleich zur Ausgabe des Jahres 2008 findet man im Kapitel 6 Planung. Hier wird in Kapitel 6.1 und folgende explizit Maßnahmen zum Umgang mit Risiken und Chancen gefordert. Hier muss bereits in der Planung von der Organisation die Risiken bestimmt werden die einer Handlung bedürfen, um:

- zusichern zu können, dass das Qualitätsmanagementsystem seine beabsichtigten Ergebnisse erzielen kann;
- erwünschte Auswirkungen zu verstärken;
- unerwünschte Auswirkungen zu verhindern oder zu verringern;
- Verbesserung zu erreichen.

Unter 6.1.2 fordert die ISO 9001 eine Planung folgender Punkte durch die Organisation:

Maßnahmen zum Umgang diesen Risiken und Chancen. Dieser Umgang mit Risiken und Chancen muss jedoch proportional zur möglichen Auswirkung auf die Konformität von Produkten und Dienstleistungen sein.

Hierzu gibt es eine Anmerkung in der ISO 9001 welche den Umgang detaillierter be- schreibt.

ANMERKUNG 1:

Zu den Möglichkeiten zum Umgang mit Risiken kann folgendes zählen: Vermeiden von Risiken, ein Risiko auf sich zu nehmen um eine Chance wahrzunehmen, Beseitigen der Risikoquelle, Ändern der Wahrscheinlichkeit oder der Konsequenzen, Risikoteilung, oder Beibehaltung des Risikos durch eine fundierte Entscheidung.

Der prozessbasierte Ansatz ist einer der Grundgedanken der ISO 9001 dieser Grundge- danke soll auch für den Umgang mit Chancen und Risiken Verwendung finden. Hierzu soll die Anwendung des prozessorientierten Ansatzes und das risikobasierten Denkens gefördert werden. Hierfür soll die Oberste Leitung Führung und Verpflichtung zeigen.

Der Prozessansatz wird in Kapitel 4.4 das Qualitätsmanagementsystem und seine Prozesse nochmals spezifiziert. So muss gemäß 4.4.1 Die Organisation ein entsprechendes Qualitätsmanagementsystem aufbauen, verwirklichen, aufrechterhalten und fortlaufend verbessern. Dies gilt hier ebenfalls für alle Prozesse und deren Wechselwirkungen. Die Organisation ist in der Verantwortung entsprechende Prozesse zu bestimmen, welche für die Aufrechterhaltung des Qualitätsmanagementsystems benötigt werden sowie bestimmte Risiken und Chancen nach 6.1 zu behandeln.

Die Wirksamkeit der durchgeführten Maßnahmen zum Umgang mit Chancen und Risiken finden als Eingabe in die Managementbewertung Berücksichtigung.

2.2.1.2 Managementbewertung

Die In der ISO 9001 geforderte Managementbewertung stellt eine explizite Anforderung an die oberste Führung der Organisation dar.

Hier muss die oberste Leitung das Qualitätsmanagementsystem der Organisation in geplanten Abständen bewerten, um dessen fortdauernde Eignung, Angemessenheit und Wirksamkeit sowie dessen Harmonisierung mit der strategischen Ausrichtung der Organisation sicherzustellen.

Um diese Bewertung vornehmen zu können, muss der Obersten Leitung entsprechende Eingaben gemacht werden. Die Managementbewertung muss unter Erwägung der nachfolgenden Aspekte geplant und durchgeführt werden:

1) des Status von Maßnahmen vorheriger Managementbewertungen;

2) Veränderungen bei externen und internen Themen, die das Qualitätsmanagement- system betreffen;

3) Informationen über die Leistung und Wirksamkeit des Qualitätsmanagementsys- tems, einschließlich Entwicklungen bei:

a. der Kundenzufriedenheit und Rückmeldungen von relevanten interessierten Par- teien;
b. dem Umfang, in dem Qualitätsziele erfüllt wurden;
c. Prozessleistung und Konformität von Produkten und Dienstleistungen;
d. Nichtkonformitäten und Korrekturmaßnahmen;
e. Ergebnissen von Überwachungen und Messungen;
f. Auditergebnissen;
g. der Leistung von externen Anbietern;

4) der Angemessenheit von Ressourcen;

5) der Wirksamkeit von durchgeführten Maßnahmen zum Umgang mit Risiken und Chancen (siehe 6.1);

6) Möglichkeiten zur Verbesserung.

Sobald diese Eingaben vorliegen kann die Oberste Leitung gemäß dem PDCA Zyklus Abbildung 3 PDCA Zyklus ) (9) Bewertung der Leistung diese Bewertung vornehmen und Verbesserungen (10) durchführen bzw. neu planen.

Interessanterweise ist zwar in Kapitel 6.1 festgelegt ist, dass die Organisation Maßnahmen zur Behandlung von Risiken planen muss, jedoch sind keine formellen Methoden für das Risikomanagement oder ein dokumentierter Risikomanagementprozess erforderlich. Somit können die Organisationen entscheiden, ob sie eine ausgedehntere Vorgehensweise für das Risikomanagement z. B. durch die Anwendung anderer Leitlinien oder Normen, entwickeln möchten oder nicht. Somit ist auch ein relativ einfacher Risikobericht als Eingabe für die Managementbewertung ausreichend.

Da nicht alle Prozesse eines Qualitätsmanagementsystems den gleichen Risikograd ver- körpern, ist im Hinblick auf die Fähigkeit der Organisation, ihre Ziele zu erreichen, und die Auswirkungen von Unsicherheiten zu managen die Betrachtung der Prozesse unterschiedlich. Die Oberste Leitung ist entsprechend den Anforderungen von 6.1 für die Anwendung des risikobasierten Denkens sowie für das Einleiten von Maßnahmen zur Behandlung eines Risikos verantwortlich, zudem muss beantwortet werden, ob doku- mentierte Informationen als Nachweis für die Bestimmung von Risiken aufzubewahren sind oder nicht.

Faktisch ist es möglich gewisse Anforderung auszuschließen. Dies kann aufgrund der Größe oder Komplexität der Organisation, dem übernommenen Managementmodell, dem Tätigkeitsbereich der Organisation und der Art der Risiken und Chancen, denen sie gegenübersteht geschehen.

In der Realität können jedoch die Anforderungen zum Umgang mit Chancen und Risi- ken nicht ausgeschlossen werden, da die Organisation nur dann entscheiden kann, dass eine Anforderung nicht relevant ist, wenn ihre Entscheidung zu keinem Misserfolg beim Erreichen der Konformität von Produkten und Dienstleistungen führt. Das wiederrum muss jedoch belegt sein, sodass sich die Organisation faktisch mit den Risiken ausei- nandersetzen muss.

2.2.2 ISO 31000

Die Initiative für die Entseelung der ISO 31000 ging 2005 von Australien aus. Der in Australien gültige den Standard AS/NZS 4360 „Risk Management‘‘ wurde zur Standar- disierung der Standardisation Community vorgeschlagen. Eine Abstimmung innerhalb der ISO Organisation führte zu dem Ergebnis, dass ein solcher Standard wünschenswert sei, der australische Standard aber nicht einfach so übernommen werden solle.

Letzten Endes entstand die ISO 3100 aus dem ISO Guide 73„Risk Management - Vocabulary - Guidelines for Use in Standards“ , dem Organizational Framework ON-R 49001 und dem Risk Management Prozess AS/NZS 4360 , zudem wurden die Priciples neu ergänzt siehe Abbildung 4 Anforderungen an die neue ISO 31000 ).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4 Anforderungen an die neue ISO 31000

Ein deutlicher Unterschied zu anderen Normen ist, dass die Iso 31000 nicht zertifizierbar ist. So versteht dich die ISO 31000 als „Guideline“, und nicht als „Requirement“. Dies soll unter anderem die Akzeptanz dieser Norm erhöhen und zugleich als Best Practice bzw. Benchmark gelten für alle Organisationen, die ein Risk Management unterhalten wollen.

Dies wird ebenfalls durch den beschriebenen Geltungs- und Anwendungsbereich der ISO 31000 deutlich. Die Internationale ISO 31000 soll als Standard generische Richtli- nien und Grundsätze zur Umsetzung eines Risikomanagements zur Verfügung stellen. Dies Richtlinien und Grundsätze können auf alle öffentlichen, privaten und gemeinschaftlichen Unternehmen, Vereinigungen, Gruppen oder Individuen angewendet wer- den.

Die ISO 31000 ist in drei Teile gegliedert: Grundsätze, Risikomanagement- Framework und Risikomanagement- Prozess.

Die 11 Grundsätze für das Risikomanagement lauten:

- Es schafft Werte.
- Es ist ein integrierter Teil von Organisationsprozessen.
- Es ist Teil der Entscheidungsfindung
- Es befasst sich ausdrücklich mit der Unsicherheit.
- Es ist systematisch, strukturiert und zeitgerecht.
- Es stützt auf die besten verfügbaren Informationen ab.
- Es ist maßgeschneidert.
- Es berücksichtigt Human- und Kulturfaktoren.
- Es ist transparent und umfassend.
- Es ist dynamisch, iterativ und reagiert auf Veränderungen.
- Es erleichtert kontinuierliche Verbesserung und Verstärkung der Organisation.

Das Risikomanagement-Framework

Das Risikomanagement-Framework stellt die Verpflichtung des Managements an den Anfang.

- Der Umfang des Risikomanagement- Frameworks ergibt sich aus der Risikoma- nagement-Politik, der Integration dieser in die Prozesse, die Verantwortlichkei- ten, die Ressourcen, die interne und externe Kommunikation und das Reporting.

- Nach der Umsetzung folgen die Überwachung und Bewertung sowie die konti- nuierliche Verbesserung des Risikomanagement-Frameworks. (vgl. Abbildung 6 P-D-C-A-Zyklus des Risikomanagements).

Diese Verpflichtung der Leitung wird im Top-Down Ansatz Abbildung 5 Der Top- down-Ansatz der ISO 31000), nochmals gezielt verdeutlicht. Der Top Down Ansatz (umfassender Führungsansatz), befasst sich mit den Auswirkungen, positiv oder nega- tiv, von Unsicherheit auf Ziele einer Organisation oder eines Unternehmens. Das Risi- komanagement nach ISO 31000 fokussiert nicht nur die strategischen Risiken (Produk- te, Technologien, Märkte, Kunden und die Veränderungen der Umfeldfaktoren), es be- handelt auch alle nachgelagerten Risiken auf operationeller und prozessualer Führungs- ebene.³⁷

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5 Der Top-down-Ansatz der ISO 31000 ³⁸ Der Risikomanagementprozess

Der Risikomanagement Prozess lässt sich folgendermaßen strukturieren:

- Die Wichtigkeit, den Risikomanagement- Prozess mit den internen und externen Stakeholdern abzustimmen wird durch den Kommunikation und der Informati- onsaustausch betont.
- Der Risikomanagementprozess beginnt mit dem Erstellen des Zusammenhangs. Hierzu gehört die Erarbeitung der Risikokriterien, mit denen das Risiko einge- stuft und bewertet wird. Die Risikobeurteilung umfasst die Identifikation der Ri- siken (mit Ursachen und Auswirkungen), die Analyse der Risiken (Verständnis der Risiken), die Bewertung der Risiken (Tragbarkeit von Risiken) und die Be- wältigung der Risiken. (Abbildung 6 P-D-C-A-Zyklus des Risikomanagements)
- Die Wirksamkeit des Risikomanagements wird durch die Überwachung und Überprüfung der Risiken sichergestellt.³⁹

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 6 P-D-C-A-Zyklus des Risikomanagements ⁴⁰

2.3 Organisatorische Voraussetzungen des Risikomanagementsys- tems

Um ein Risikomanagement zu implementieren sind einige organisatorische Maßnahmen zu treffen. Dies beginnt bei der Etablierung einer Risikokultur und zieht sich hin bis zu organisatorischen Veränderungen. Der Aufbau einer Risikokultur ist hier jedoch deutlich schwieriger als eine organisatorische Veränderung umzusetzen. Dieser Change Prozess benötigt Zeit, eine organisatorische Veränderung lediglich eine Festlegung und entsprechende Ressourcen. Beides jedoch bedingt sich gegenseitig.

Dabei soll das Risikomanagement, jedoch gleichzeitig auch als gesamtheitlicher Füh- rungsprozess installiert werden. Aus diesem Grund sind die Risikoprozesse als integraler Bestandteil von Führungsprozessen zu initiieren und mit klareren Verantwortlichkeiten den Handlungs- und Entscheidungsträgern zuzuordnen.⁴¹

Um diese Anforderungen zu realisieren sind ganz gezielt Führungskräfte gefragt. Führungskräfte haben die Chance ,als Vorbild und durch entsprechend offene Führungsstile die Basis für eine offene Kommunikation zu legen. Zudem sind entsprechende Kommunikation - und Austauschmöglichkeiten notwendig, um eine offene Kommunikation zwischen Mitarbeitern und Management zu etablieren. In einem solchen Umfeld trauen sich Mitarbeiter eher Risiken anzusprechen.⁴²

Zudem gibt es mehrere Möglichkeiten das Risikomanagement organisatorisch einzubinden. So weisen beispielsweise die Bereiche Controlling und Risikomanagement erhebliche Interdependenzen auf. Gegenstand des Controllings ist nach wie vor Planung bzw. Umgang mit Planabweichungen. Wenn man Risiko als Abweichung von einem geplanten Ergebnis definiert so findet man direkte Zusammenhänge dieser beiden Bereiche. Weiter Schnittmengen zeigen sich bei detaillierter Betrachtung ebenfalls. So findet sich die im Risikomanagement definierte Risikoidentifikation, (Analyse potentieller Ursachen von Planabweichungen) die Risikomessung (Die Bewertung dieser Ursachen) sowie die Risikosteuerung in beiden Bereichen wieder.⁴³

Um ein Risikomanagementsystem in ein Unternehmen zu integrieren muss zunächst geklärt werden, mit welcher Integrationstiefe diese Funktion eingebunden werden soll. Sowohl die Separation als auch Integration bieten konzeptionell gewisse Vorteile. Beim Integrierten Risikomanagement, ferner bekannt als dezentrales Risikomanagement, werden die bereits bestehenden Strukturen genutzt und die jeweiligen Organisationsein- heiten um die Aufgabe des Risikomanagements erweitert. Somit wird das Risikomana- gement in die Organisation eingegliedert. Die Verantwortlichkeit für das Risikomana- gement, liegt beim dezentralen Risikomanagement, bei den Entscheidungsträgern der einzelnen Organisationseinheiten. Diese sind sowohl für die Identifikation als auch für Bewertung und Steuerung der in Ihrer Organisationseinheit auftretenden Risiken ver- antwortlich. Der Nutzen hierbei, das Wegfallen eines zusätzlichen Risikocontrollings ist gleichzeitig auch die Gefahr, da es hier bedingt durch die Personalunion zu Überschät- zung, oder Ignoranz von Risiken kommen kann.

Aufgrund der geringen personellen und finanziellen Mittel die hierfür benötigt werden eignet sich dieses Konzept vornehmlich für kleine Unternehmen.⁴⁴

Beim dezentralen Risikomanagement (Konzept der Separation), werden die Entschei- dungsträger für die Risikosteuerung organisatorisch von den Risikoträgern, die vom Risiko betroffenen Einheiten, getrennt. Daraus folgt auch eine Trennung von Risiko- und Sachentscheidungen. Organisatorisch lässt sich diese Funktion in Form einer eige- nen Abteilung installieren. Diese sogenannten Risk Departments sind Stabstellen in der Organisation und unterstützen die Entscheidungsträger in den Primärfunktionen. Durch diese funktional losgelöste Einheit wird eine entsprechende Unabhängigkeit erreicht, wodurch eine Bewertung objektiv erfolgen kann. Zudem können hier entsprechende methodische Kenntnisse und Expertenwissen zum Risikomanagement kanalisiert und aggregiert werden.

Dieses Konzept ist in der Regel besonders für große Unternehmen interessant, da hier die entsprechenden Ressourcen eher vorhanden sind als bei kleinen und mittelständischen Unternehmen.⁴⁵

Die beschriebenen Unterschiede zwischen den beiden Konzepten werden in der Darstellung von Schneck, Abbildung 7 Vergleich eines zentral und eines dezentral organisierten Risikomanagements), besonders deutlich.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 7 Vergleich eines zentral und eines dezentral organisierten Risikomanage- ments ⁴⁶

In der Praxis begegnen uns immer häufiger sogenannte Mischformen aus dezentralem und zentralem Risikomanagement hier wird versucht die jeweiligen Schwächen des einzelnen Systems zu eliminieren und gleichzeitig die Stärken beider System zu nutzen. Wie beispielhaft in der folgenden Abbildung 8 Aufbau einer Mischform aus zentralem und dezentralem Risikomanagemen), zu sehen ist, koordiniert die zentrale Risikomana- gementinstitution die operativen Einheiten. Diese wiederum verantworten ihre Risiken dezentral und eigenständig.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 8 Aufbau einer Mischform aus zentralem und dezentralem Risikomanage- ment ⁴⁷

So kann das Wissen der Mitarbeiter, in den einzelnen Bereichen effizient, genutzt werden und die zentrale Organisationseinheit etwas entlastet werden. Hierbei ist, für die Identifikation, Bewertung und Steuerung strategischer Risiken die Unternehmensführung und die Leiter der Unternehmenseinheiten verantwortlich.

Um die Effizienz weiter zu steigern, ist es zudem sinnvoll, bei der Festlegung der Risikoverantwortlichen zu beachten welche Organisationseinheit die für das Risiko maßgeblich relevanten Faktoren ohnehin steuert und somit die Risikolage am besten managen und beurteilen kann.⁴⁸

[...]

---

¹ vgl. Stefanie Fiege, Risikomanagement- und Ü berwachungssystem nach KonTraG (DUV, 2006), 37, http://link.springer.com/10.1007/3-8350-5704-9.

² vgl. Walter Karten, „Existenzrisiken der Gesellschaft — Herausforderung für die Assekuranz - Springer“, 344, zugegriffen 11. Juni 2016, http://link.springer.com/article/10.1007%2FBF03187922?LI=true#page-1.

³ vgl. Roland Erben und Frank Romeike, Allein auf stürmischer See: Risikomanagement für Einsteiger (Wiley-VCH, 2003).

⁴ vgl. Martin Posth, Personalmanagement und verantwortliche Unternehmensführung - Wege der Professionalisierung: Festschrift für Hans Böhm (W. Bertelsmann Verlag, 2008), 141.

⁵ Werner Gleißner und Frank Romeike, „Prüfung des Risikomanagement durch die Interne Revision“, RiskNET, zugegriffen 11. Juni 2016, https://www.risknet.de/themen/risknews/pruefung-des- risikomanagement-durch-die-ir/180c6ee242fa3b8ccedfb1bf6d8621aa/.

⁶ vgl. Werner Gleißner, Frank Romeike, und Heike Ahrens-Freudenberg, Praxishandbuch Risikomanagement (Berlin: Schmidt, 2015), 20.

⁷ vgl. R.Woll, „Risikomanagement - Aufgabe für das Qualitätswesen in klein- und mittelständischen Unternehmen (KMU)?““, 3, zugegriffen 11. Juni 2016, http://www.dgq.de/dateien/dgq-RK.pdf.

⁸ vgl. Bruno Brühwiler und Frank Romeike, Praxisleitfaden Risikomanagement: ISO 31000 und ONR 49000 sicher anwenden (Erich Schmidt Verlag GmbH & Co KG, 2010), 81.

⁹ vgl. DIN EN ISO 9001_2015-11, o. J., 8.

¹⁰ Ebd., 5.

¹¹ Ebd., 3.

¹² vgl. Frank Romeike, „ISO 9001/2015: Risikobasierter Ansatz im Qualitätsmanagement“, RiskNET, zugegriffen 12. Juni 2016, https://www.risknet.de/themen/risknews/iso-90012015-risikobasierter-ansatz- im-qualitaetsmanagement/cd94243e0d2cad091406fde46e0c0301/.

¹³ vgl. ebd.

¹⁴ vgl. Roland Erben und Dirk Vogel, „Qualitäts- und Risikomanagement wachsen weiter zusammen - ISO 9001 Rev. 2015“, CONTROLLER Magazin, Nr. 3 (2016): 24.

¹⁵ vgl. Romeike, ISO 9001/2015“.

¹⁶ Frank Bünting u. a., „QM wird Chefsache!“, QZ Qualität und Zuverlässigkeit, Nr. 7 (2014): 22.

¹⁷ vgl. DIN EN ISO 9001_2015-11, 15.

¹⁸ vgl. ebd., 9.

¹⁹ Ebd., 13.

²⁰ vgl. ebd., 23.

²¹ vgl. ebd., 24.

²² Ebd.

²³ vgl. ebd., 21.

²⁴ vgl. ebd., 20.

²⁵ vgl. ebd., 47.

²⁶ Ebd., 46-47.

²⁷ vgl. ebd., 53-54.

²⁸ vgl. ebd.

²⁹ vgl. ebd., 54.

³⁰ vgl. Bruno Brühwiler, „Die neue internationale Norm ISO 31000 Risk Management“, Euro Risk Limited © - The Risk Management Group, o. J., 2.

³¹ vgl. Brühwiler, „Die neue internationale Norm ISO 31000 Risk Management“.

³² vgl. Brühwiler und Romeike, Praxisleitfaden Risikomanagement, 118.

³³ vgl. Brühwiler, „Die neue internationale Norm ISO 31000 Risk Management“.

³⁴ vgl. Bruno Brühwiler, „Neue Standards im Risikomanagement“, MQ Management und Qualität, Mai 2008, http://www.saq.ch/fileadmin/user_upload/mq/downloads/mq_2008_05_bruehwiler.pdf.

³⁵ frei übersetzt nach Brühwiler, „Die neue internationale Norm ISO 31000 Risk Management“.

³⁶ vgl. Brühwiler, „Neue Standards im Risikomanagement“.

³⁷ vgl. Bruno Brühwiler, „RiskNET Kolumne Februar 2009 - RiskNET - The Risk Management Net- work“, zugegriffen 8. Juli 2016, https://www.risknet.de/2009/februar-2009/.

³⁸ Ebd.

³⁹ vgl. ebd.

⁴⁰ Ebd.

⁴¹ vgl. Martin Schütz, „Risikomanagement im öffentlichen Sektor“, 24. April 2006, 4, http://www.ubszm.ch/uploads/MRM060421SzM01_1_00_Risikomanagement_im_oeffentlichen_Sektor. pdf.

⁴² vgl. PricewaterhouseCoopers, „Studie offenbart Mängel im Risikomanagement deutscher Unterneh- men“, PwC, zugegriffen 18. Juni 2016, http://www.pwc.de/de/risiko-management/studie-offenbart- maengel-im-risikomanagement-deutscher-unternehmen.html.

⁴³ vgl. Nils Olaf Angermüller und Werner Gleißner, „Verbindung von Controlling und Risikomanage- ment: Eine empirische Studie der Gegebenheiten bei H-DAX Unternehmen““ (Verlag C.H. Beck oHG, München), 308, zugegriffen 18. Juni 2016, http://www.werner- gleissner.de/site/publikationen/WernerGleissner_offiziell-Nr-925-Verbindung-von-Controlling-und- Risikomanagement.pdf.

⁴⁴ vgl. Ottmar Schneck, Risikomanagement: Grundlagen, Instrumente, Fallbeispiele, 1. Aufl, WILEY Klartext (Weinheim: Wiley-VCH, 2010), 81.

⁴⁵ vgl. ebd., 81-82.

⁴⁶ vgl. ebd., 82.

⁴⁷ vgl. ebd., 84.

⁴⁸ vgl. ebd.