Risikomanagement nach der ISO 31000

Inhaltsverzeichnis

Abbildungsverzeichnis

Abkürzungsverzeichnis

1 Einleitung
1.1 Zielsetzung
1.2 Aufbau der Arbeit

2 Grundlagen
2.1 Risikobegriff
2.2 Risikomanagement

3 Risikomanagement nach der ISO
3.1 Einordnung
3.2 Risikomanagementprozess
3.3 Anwendungsbeispiel

4 Zusammenfassung

Literaturverzeichnis

Anhang – Fehlerbaumanalyse

Abbildungsverzeichnis

Abbildung 1: Qualitätsregelkreis (PDCA-Zyklus)

Abbildung 2: Risikomanagementprozess nach ISO

Abbildung 3: Fehlerbaumanalyse einer Verbrennung beim Einlegen

Abbildung 4: Ergebnis der Risikoeinschätzung und Risikoakzeptanzkriterien zur Risiko-bewertung

Abbildung 5: Fehlerbaumanalyse Verbrennung beim Entnehmen

Abbildung 6: Fehlerbaumanalyse unterfüllte statische Dichtungsflächen

Abbildung 7: Fehlerbaumanalyse PTFE-Wellendichtring klebt nicht vollständig

Abkürzungsverzeichnis

Abbildung in dieer Leseprobe nicht enthalten

1 Einleitung

Ständig sind Entscheidungen in allen Bereichen des täglichen Lebens zu treffen, die Risiken in sich bergen. Einem breiten Spektrum von Risiken sind Organisationen ausgesetzt, die sich auf das Erreichen ihrer Zielsetzung auswirken können. Alle Prozesse werden von diesen Risiken begleitet, die sowohl im strategischen als auch im operativen Geschäft auftreten.^[1] In einem zunehmend vernetzten und schnelllebigen globalen Wirtschaftsleben gewinnt die Thematik Risikomanagement zunehmend an Bedeutung. Die Unternehmen müssen, um bestehen zu können, Risiken frühzeitig erkennen, um bei Bedarf rechtzeitig steuernd eingreifen zu können. Unternehmen sind darüber hinaus gefordert die Organisation, die Abläufe und die Instrumente des Risikomanagements beständig dahingehend zu prüfen, ob damit effizient und effektiv die Risikosituation im vorgegebenen Rahmen gehalten wird.^[2]

1.1 Zielsetzung

Ziel dieses Assignments ist es zunächst die Begriffe Risiko und Risikomanagement zu definieren und abzugrenzen. Darauf aufbauend soll der Risikomanagementprozess nach der ISO 31000 beschrieben und an einem Beispiel mit den verwendeten Methoden illustriert werden.

1.2 Aufbau der Arbeit

Nach dem einleitenden Kapitel 1 folgt in Kapitel 2 die Definition der Begriffe Risiko und Risikomanagement. Darauf aufbauend befasst sich Kapitel 3 mit dem Risikomanagement nach der ISO-Norm 31000. Zunächst wird auf die Einordnung der Norm und das Risikomanagementsystem eingegangen. Anschließend wird der Risikomanagementprozess beschrieben und deren Anwendung sowie die verwendeten Methoden anhand eines Beispiels illustriert. Im abschließenden fünften Kapitel endet die Ausarbeitung mit einer Zusammenfassung.

2 Grundlagen

2.1 Risikobegriff

Der Begriff Risiko leitet sich von „risico“ ab, der aus dem Italienischen entlehnt wurde. Dieser Begriff wurde bereits im 16. Jahrhundert für Gefahren und Wagnisse verwendet, die unvorhersehbar eintraten. Im Laufe der Zeit wurde der Risikobegriff erweitert und verändert, in der umgangssprachlichen Verwendung blieb allerdings die grundsätzliche Interpretation einer unvorhersehbaren Gefahr.^[3]

Der Risikobegriff ist mittlerweile in vielen Disziplinen zu finden. In der Ökonomie wird beispielsweise nicht zwischen positiven und negativen Auswirkungen eines unsicheren Ereignisses unterschieden. Beim unternehmerischen Risiko werden nicht nur die negativen Verluste, sondern auch die positiven Gewinne im Sinne einer Chance umfasst. Allgemeiner bezieht sich Risiko somit auf die zufallsbehaftete Möglichkeit der Veränderung von Werten und Zahlungen bzw. ganz direkt auf die zahlungsbedingte Veränderung. Der Umgang mit Risiken stellt auch die Grundlage der Versicherungswirtschaft dar. Außerdem wird Risiko oftmals in Verbindung mit unsicheren, d.h. zufälligen Ereignissen gesehen, weshalb Risiko Gegenstand von Betrachtungen der Statistik und Stochastik ist. Die Statistik liefert einen weiteren Risikobegriff mit der Definition des Risikos als Eintrittswahrscheinlichkeit eines Fehlers. Dies leitet wiederrum direkt zu Anwendungen in der Qualitätssicherung und im Qualitätsmanagement über. Risiko wird im Qualitätsmanagement als zweidimensionale Größe aufgefasst, die eine Kombination aus Eintrittswahrscheinlichkeit und Schadenshöhe darstellt.^[4]

2.2 Risikomanagement

Risikomanagement lässt sich als eine Prozessfolge unter Verwendung von Grundsätzen zur Kontextbildung und der nachfolgenden Beurteilung, Behandlung, Steuerung, Überwachung und Dokumentation zum Umgang mit Risiken verstehen. Durch das Risikomanagement werden Erkenntnisse über das Vorhandensein bestimmter Risiken und Handlungsempfehlungen im Umgang mit diesen geliefert. Für den Auftraggeber entstehen somit Entscheidungsoptionen. Zudem sind alle Aktivitäten nachvollziehbar und können dokumentiert werden.^[5] Als Aufgabe des Risikomanagements wird nicht das Eliminieren aller Risiken gesehen, sondern vielmehr das bewusste und zielorientierte Eingehen auf Risiken.^[6] Daraus resultiert die Reduktion der Streuung und Schwankung der Zahlungsflüsse und Gewinne, was letztlich zu einer höheren Planbarkeit und Steuerbarkeit des Unternehmens führt.^[7]

Das Risikomanagement erfordert eine Akzeptanz bei den Beteiligten. Transparenz und Kommunikationsfähigkeit zählen dabei zu unabdingbaren Voraussetzungen. Dabei muss der Prozess bewusst und offen wahrgenommen werden. Eine einheitliche Vorgabe für die Umsetzung des Risikomanagements gibt es dabei nicht, da jedes Unternehmen einmalig ist und spezifische Kriterien wie Branche, Mitarbeiter, Produkte, Prozesse, Liquidität u. a. zu berücksichtigen hat. Gleiche Aspekte lassen sich jedoch auf Projekte übertragen, die Unternehmen auf Zeit sind und von der Einmaligkeit ihrer Inhalte und Rahmenbedingungen geprägt sind. Aufbau, Ablauf, Inhalt oder Organisation können als zwingende Festlegungen daher nicht generell getroffen werden. Es ist möglich Risikomanagement unter Verwendung einfacher Checklisten bis hin zum Einsatz komplexer Rechenmodelle durchzuführen, Standardlösungen gibt es dafür nicht.^[8]

Es besteht grundsätzlich keine gesetzliche Verpflichtung zur Einführung eines Risikomanagementsystems. Es wird jedoch für die Realisierung von Investitionsobjekten in der Regel die Implementierung eines Risikomanagementsystems gefordert. Seit den 1990er Jahren galten für die Durchführung eines Risikomanagements verschiedene nationale Normen. Mit der ISO 31000:2009 (Riskmanagement – Principles and Guidelines) wurde ein Standard geschaffen, der die bis dahin vorliegenden Einzelregelungen zusammenfasst. Den Anwendern wird durch diese Norm eine allgemeine Anleitung zu den Grundsätzen und zur Implementierung eines Risikomanagements gegeben. Eine deutschsprachige Fassung der zuvor beschriebenen Norm wurde mit der ÖNORM ISO 31000:2010 verfasst.^[9]

3 Risikomanagement nach der ISO 31000

3.1 Einordnung

Die Norm ISO 31000 stellt die einzige internationale Norm mit Bezug zum Risikomanagement dar. Deren Ursprung liegt im australischen bzw. neuseeländischen Standard AS/NZS 4360:2004 aus dem Jahr 2004 und in der österreichischen Normregel ONR 4900x „Risikomanagement für Organisationen und Systeme“. Die ONR-49000er-Reihe enthält eine deutsche Übersetzung der ISO 31000 und wird zusätzlich als Praxisanleitung genutzt.^[10]

Eine Zertifizierung des Risikomanagementsystems nach der ISO 31000:2009 kann nicht durchgeführt werden, denn die Norm enthält keine direkten Anforderungen an ein Risikomanagementsystem, sondern beschreibt Grundsätze des Risikomanagements und erläutert die Vorgehensweise. Die in der Norm beschriebenen Grundsätze und Verfahren zum Risikomanagement sollen allgemein gültig sein und können somit in allen Bereichen, in denen Risiken auftreten, angewendet werden, ohne auf spezifische Branchen und Anwendungsbereiche zu fokussieren.^[11]

Die Norm ISO 31000:2009 lässt sich grob in folgende drei Teile gliedern: die Grundsätze des Risikomanagements, die Gestaltung des Rahmens eines Risikomanagementsystems und der Risikomanagementprozess. Zu den Grundsätzen des Risikomanagements zählen unter anderem:

-Risikomanagement ist Bestandteil der Organisationsprozesse,
-Risikomanagement befasst sich ausdrücklich mit der Unsicherheit,
-Risikomanagement ist systematisch, strukturiert und zeitgerecht,
-Risikomanagement ist transparent,
-Risikomanagement ist dynamisch, iterativ und in der Lage, auf Veränderungen zu reagieren,
-Risikomanagement trägt zu kontinuierlichen Verbesserung bei.^[12]

Der Rahmen eines Risikomanagementsystems orientiert sich an dem Qualitätsregelkreis, der aus dem Qualitätsmanagement auch als Deming-Kreis oder PDCA-Zyklus bekannt ist (siehe Abbildung 1). Durch das Management der Organisation werden in der ersten Phase „Plan“ die Risikopolitik und die Ziele des Risikomanagements festgelegt. Während der zweiten Phase „Do“ stehen die verschiedenen Anwendungen des Risikomanagementprozesses im Mittelpunkt. In der anschließenden Phase „Check“ erfolgen die Auswertung und Analyse der erzielten Ergebnisse. In der abschließenden Phase „Act“ wird der neue erreichte Standard des Risikomanagementsystems definiert. An einen Regelkreis schließt ein neuer im Rahmen der kontinuierlichen Verbesserung an, der kontinuierlich durchlaufen wird.^[13]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Qualitätsregelkreis (PDCA-Zyklus)^[14]

3.2 Risikomanagementprozess

Der Risikomanagementprozess bildet den Mittelpunkt eines unternehmensweiten Risikomanagementsystems und befasst sich mit der systematischen Bewirtschaftung der Risiken.^[15] Darüber hinaus soll er ein integrierter Bestandteil des Managements sein, der in die Kultur und die Praktiken eingebunden ist und der an die Geschäftsprozesse der Organisation angepasst ist.^[16] Der Prozess umfasst die Schritte Zusammenhangherstellung, Identifikation, Analyse, Bewertung, Bewältigung sowie Kommunikation und Überwachung (siehe Abbildung 2).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Risikomanagementprozess nach ISO 31000^[17]

Der erste und wichtigste Abschnitt des Risikomanagements ist die Herstellung des Zusammenhangs. Im Rahmen dessen macht die Organisation die wesentlichen Aussagen zu Zielen des Risikomanagements und greift Sachverhalte, die sie bereits für den Rahmen des Risikomanagementsystems festgelegt hat erneut auf und bringt sie in den Zusammenhang mit dem Risikomanagementprozess.^[18]

Den Kern des Prozesses bildet die Risikobeurteilung. Unter diesem Begriff sind die drei Teilprozesse Risikoidentifikation, Risikoanalyse und Risikobewertung zusammengefasst. Im Rahmen der Risikoidentifikation soll die Organisation systematisch Risiken suchen und finden. Dabei sollen auch Risiken eingeschlossen werden, deren Merkmale und Eigenschaften zunächst nicht eindeutig qualitativ und quantitativ zu identifizieren sind. Zur Risikoanalyse gehört eine umfassende qualitative und quantitative Studie, die auf eine Ermittlung von Zahlen für die Folge und die Wahrscheinlichkeit des Risikos abzielt. Die Risikobewertung erfolgt durch einen Vergleich der qualitativen und quantitativen Parameter von Risiken mit den entsprechenden Risikokriterien der Organisation. Dadurch wird eine Priorisierung der Risiken nach den Kriterien der Organisation geschaffen.^[19]

Die Risikobewältigung stellt das eigentliche Management von Risiken dar. Hier wird das Risiko mit Maßnahmen und nach Kriterien, die vorher festgelegt worden sind, gesteuert. Dafür werden vielfach standardisierte Strategien und Methoden genutzt. Aufgrund der verschiedenen Möglichkeiten zur Risikosteuerung, kommt oft nicht nur eine Methode zum Einsatz, sondern mehrere, um die Unterschiede in der Effektivität und der Effizienz zu berücksichtigen.^[20]

Die Kommunikation soll mit allen internen und externen Stakeholdern auf allen Stufen des Risikomanagementprozesses stattfinden. Dafür sollen frühzeitig Pläne mit Sachverhalten zu Risiko, seinen Ursachen, seinen Folgen und den Maßnahmen der Risikosteuerung entwickelt werden. Damit wird eine Grundlage für Entscheidungen geschaffen und besondere Maßnahmen begründet.^[21] Die Überwachung stellt einen geplanten und strukturierten Prozess dar, der den Risikomanagementprozess begleitet. Das Ergebnis dessen ist die Gewissheit den Risikomanagementprozess bestmöglich eingerichtet zu haben und zu betreiben.^[22]

3.3 Anwendungsbeispiel

Als Beispiel für den Risikomanagementprozess dient ein Teil des Herstellungsprozesses einer Wellendichtung der Firma Dichtungssysteme GmbH bei Hamburg. Dichtungssysteme GmbH als Automobilzulieferer namhafter Automobilhersteller ist ein Entwickler und Hersteller hochwertiger Dichtungssysteme für den Antriebsstrang.

Der wesentliche Teil des Herstellungsprozesses ist die Zusammenführung aller Komponenten zu einer Wellendichtung. Diese besteht aus einem Flansch, einem PTFE-Wellendichtring und dem einzuspritzenden Elastomermaterial. Die Zusammenführung findet an einer Spritzgießmaschine statt. Der vorbehandelte und beschichtete Flansch mit vordosierter Raupe (Kleber) wird in die Werkzeugform der Spritzgießmaschine eingelegt. Auf die Raupe wird der PTFE-Wellendichtring platziert. Die Maschine wird gestartet. In der geschlossenen Werkzeugform wird nun das Elastomermaterial eingespritzt und bei ca. 185°C vulkanisiert. Nach dem Einspritzvorgang wird die fertige Wellendichtung entnommen und in einen Korb zum anschließenden Tempern gelegt.

Zusammenhang herstellen

Zunächst sind von der Organisation die internen und externen Parameter, die im Rahmen ihres Risikomanagements berücksichtigt werden sollen, zu definieren. Darüber hinaus sind Rahmenbedingungen durch die Festlegung des Geltungsbereichs, der Rollen und Verantwortungen, des Detaillierungsgrades der Risikomanagement-Aktivitäten, der anzuwendenden Methoden und Instrumente. Schließlich sind die Risikokriterien zu definieren.^[23]

Risikoidentifikation

Im Rahmen einer Risikoidentifikation sollen Risiken und Gefahren dieses Herstellungsprozesses ermittelt werden. Ziel dabei ist es, möglichst alle Risiken zu identifizieren, um diese in den nächsten Schritten des Risikomanagementprozesses zu analysieren, zu bewerten und zu reduzieren^[24]. Dies findet mit dem Produktionsleiter, den Prozessingenieuren, dem Qualitätsmanagementbeauftragten (QMB), den verantwortlichen für den Fertigungsbereich sowie den Maschinenbedienern statt. Für die Risikoidentifikation eignet sich die Brainstorming-Methode, um neben den bekannten Risiken auch neue und unbekannte Risiken zu identifizieren^[25]. Brainstorming ist das freie Gespräch in einer Gruppe von Fachleuten, in dem versucht wird, in kreativer Weise alle potentiellen Fehler und Abweichungen zu identifizieren, die zu Gefahren und damit verbundenen Risiken führen können. Brainstorming stellt somit eine halbstrukturierte kreative Gruppenaktivität dar. Das wichtigste Element dabei ist, der Fantasie freien Lauf zu lassen.^[26]

Es wurden unter anderem folgende Risiken identifiziert^[27]:

-Maschinenbediener verbrennt sich beim Einlegen des Flansches an der heißen Oberfläche des Werkzeugs
-Maschinenbediener verbrennt sich beim Entnehmen der Wellendichtung am aufgeheizten Flansch
-Die statischen Dichtungsflächen auf dem Flansch sind unterfüllt
-Der PTFE-Wellendichtring klebt nicht vollständig am Flansch

Die identifizierten Risiken werden in einer Risikoliste zusammengetragen, um diese bei ähnlichen oder späteren Problemstellungen einzusetzen. Die Risikoliste wird durch mögliche Ursachen und Folgen der identifizierten Risiken in den nächsten Schritten ergänzt. Die vervollständigte Risikoliste dient dazu, Wissen über mögliche Gefährdungen, Ursachen und Folgen effektiv zu managen und so Risiken schnell und systematisch zu erkennen.^[28]

Risikoanalyse

Im Rahmen einer Risikoanalyse sollen die Ursache-Wirkungszusammenhänge für die identifizierten Risiken ermittelt und die Wahrscheinlichkeit ihres Eintretens bestimmt werden. Die Ergebnisse einer Risikoanalyse stellen eine Grundlage für die Risikobewertung und Entscheidungen über eine Risikobewältigung dar. Die Risikoanalyse-Methode Fehlerbaumanalyse (Fault Tree Analysis – FTA) wird für eine detaillierte Betrachtung der Ursache-Wirkungszusammenhänge eingesetzt.^[29] Bei der FTA werden Faktoren identifiziert und analysiert, die zu einem bestimmten unerwünschten Ereignis führen. Die ursächlichen Faktoren werden in einem Baumdiagramm als logische Beziehung zu dem auslösenden Topevent bildlich dargestellt. Dabei handelt es sich um einen systematischen Ansatz, der aber flexibel genug ist, um die Analyse einer Vielzahl an Faktoren, einschließlich der menschlichen Beziehungen, zu ermöglichen und die Anwendung des „Top-down“-Ansatzes, der implizit die Verbindung der Auswirkungen des Scheiterns direkt zum Topereignis herstellt.^[30]

Beim ersten identifizierten Risiko, dass sich der Mitarbeiter beim Einlegen des Flansches an der Werkzeugoberfläche verbrennt, werden anhand der Fehlerbaumanalyse zwei Basisereignisse identifiziert: es ist keine Unterarmschutzpflicht vorgesehen oder die Spritzgießmaschine ist nicht richtig eingestellt (siehe Abbildung 3). Beim zweiten identifizierten Risiko, dass sich der Mitarbeiter beim Entnehmen des Flansches verbrennt, werden ebenfalls zwei Basisereignisse identifiziert: es wurde falsche Schutzausrüstung gekauft oder der Mitarbeiter wurde unzureichend eingewiesen (siehe Anhang Abbildung 5). Die Fehlerbaumanalyse des dritten Risikos, dass statische Dichtungsflächen unterfüllt sind, ergibt vier mögliche Basisereignisse: die Spritzgießmaschine ist falsch eingestellt, der Mitarbeiter wurde unzureichend eingewiesen, es ist kein Elastomermaterial auf Lager oder das Anlieferungsfenster für das Elastomermaterial wurde falsch terminiert (siehe Anhang Abbildung 6). Die Fehlerbaumanalyse des vierten Risikos, dass der PTFE-Wellendichtring nicht vollständig klebt, ergibt drei mögliche Basisereignisse: der Mitarbeiter wurde unzureichend eingewiesen oder die Dosieranlage ist nicht richtig eingestellt oder es sind Fehler bei der Vorbehandlung des Flansches unterlaufen (siehe Anhang Abbildung 7).

[...]

^[1] Vgl. Hoffmann, 2017, S. 1.

^[2] Vgl. Schöning, Gögüs, & Pernsteiner, 2017, S. V.

^[3] Vgl. Wälder & Wälder, 2017, S. 1.

^[4] Vgl. Wälder & Wälder, 2017, S. 1f.

^[5] Vgl. Hoffmann, 2017, S. 4.

^[6] Vgl. Eggemann & Konradt, 2000, S. 503 zitiert nach Kumpmann, 2018, S. 10.

^[7] Vgl. Amit & Wernerfelt, 1990, S. 522 zitiert nach Kumpmann, 2018, S. 10.

^[8] Vgl. Hoffmann, 2017, S. 4.

^[9] Vgl. Hoffmann, 2017, S. 7f.

^[10] Vgl. Wälder & Wälder, 2017, S. 131.

^[11] Vgl. Wälder & Wälder, 2017, S. 131.

^[12] Vgl. Wälder & Wälder, 2017, S. 132.

^[13] Vgl. Wälder & Wälder, 2017, S. 132ff.

^[14] Quelle: Eigene Darstellung in Anlehnung an Wälder & Wälder, 2017, S. 133.

^[15] (Wiederkehr & Züger, 2010)

^[16] Vgl. Meier, 2011, S. 51.

^[17] Quelle: Eigene Darstellung in Anlehnung an ISO 31000, 2018.

^[18] Vgl. Meier, 2011, S. 53.

^[19] Vgl. Meier, 2011, S. 55f.

^[20] Vgl. Meier, 2011, S. 57.

^[21] Vgl. Meier, 2011, S. 51f.

^[22] Vgl. Meier, 2011, S. 58.

^[23] Vgl. International Organisation for Standardisation (ISO), 2009, S. 15ff. zitiert nach Erben, 2015, S. 152.

^[24] Vgl. Drews & Seibold, o. J., S. 8.

^[25] Vgl. Brühwiler & Romeike, 2010, S. 97; Drews & Seibold, o. J., S. 7.

^[26] Vgl. Weis, 2009.

^[27] Im Rahmen dieser Arbeit wird die Anzahl der Risiken auf vier beschränkt.

^[28] Vgl. Drews & Seibold, o. J., S. 16.

^[29] Vgl. Drews & Seibold, o. J., S. 17.

^[30] Vgl. Weis, 2009.