Relevanz und normative Grundlagen
Teil 5 von 5: Immer mehr setzt sich in der Wirtschaft das Verständnis eines umfassenden Denkens bezüglich Risiken und Chancen durch. Aktionäre, interne und externe Anspruchsgruppen (Stakeholder) wollen nicht nur Umsatz- und Gewinnsteigerungen sowie Kostenreduktionen in Betracht ziehen, sondern die Stellung des Unternehmens in der Gesellschaft auf soliden Standbeinen wissen. Die Entscheidung über steigende oder sinkende Investitionsmotivation hat bei Investoren vielfach auch einen moralischen und einen emotionalen Aspekt. Skandale, Betrügereien, Korruption, Reputationsschäden, Insiderhandel, Diskriminierung, etc. können Investoren und Anleger abschrecken. Aus diesem Grund werden Mandatsinhaber in Unternehemensverwaltungen oder gleichartiger Aufsichtsgremien geschätzt, die sich ihrer Rolle als Risiko-Träger bewusst sind und sich den damit verbundenen Verpflichtungen proaktiv stellen.
Bei den betroffenen Verwaltungs- oder Stiftungsräten wächst das Bewusstsein ihrer Haftung. Deshalb werden Aufsichtsgremien von den Organisationen vermehrt Instrumente und Managementsysteme verlangen, welche die Risikobeherrschung so weit menschlich und technisch möglich machen. Die Identifikation von Gefahren fokussiert dabei längst nicht mehr nur auf monetäre Belange, sondern vermehrt auch auf mögliche Schadenszenarien bei Infrastrukturen, Umwelteinflüssen, Prozessen und deren Ergebnissen sowie bei Dienstleistungen.
Durch die digitale Transformation eröffnen sich aber gleichzeit viele neue Risikofelder. Sich schnell ändernde Rahmenbedingungen und Technologien schaffen immer neue Einflussfaktoren, die sowohl neue Chancen eröffnen aber auch neue Gefahren bedeuten können.
Der vorliegende Blogbeitrag soll nicht den Umgang mit Risiken und Chancen erklären, sondern hauptsächlich den prozessorientierten Ansatz – den Top-Down- und Bottom-Up-Ansatz – rund um die Anforderung des „risikobasierten Denkens“ gemäss der ISO-Norm 9001:2015 beleuchten.
Integriertes Risikomanagement
Integriertes Risikomanagement (IRM) bzw. Integriertes Chancenmanagement (ICM)
Ein umfassendes Denken bezüglich Risiken und Chancen lässt sich beispielsweise innerhalb eines integrierten Managementsystems realisieren. Mit dem integrierten Managementansatz ist dabei der Bezug des Risikomanagements zu anderen Managementsystemen gemeint.
Die obige Darstellung zeigt ein Beispiel, für welche Managementaspekte das integrierte Risikomanagement zur Anwendung kommen kann (nicht abschliessend). Mit dem ICM in der Überschrift wird auf die Empfehlung hingewiesen, das chancenbasierte Denken in die Vorgänge einzubeziehen. Das IRM vereint in sich das Risikomanagement hinsichtlich strategischer und operationeller Belange einer Organisation.
Überwachung der Wirksamkeit sowie der dauerhaften Aufrechterhaltung
Durch ein nachgelagertes und unabhängiges IKS (Internes Kontroll System) können alle ergriffenen Massnahmen der Risiko- und Chancenbewältigung bezüglich ihrer dauerhaften Aufrechterhaltung und Relevanz überwacht werden.
Modulare Erweiterung um weitere Managementaspekte
Das IRM kann neben der Bewältigung von strategischen und operationellen Risiken um weitere Aspekte erweitert werden, um…:
- gegen finanzielle Bedrohungen gewappnet zu sein.
- Risiken und Chancen des „Human Factors“ (Führung und Arbeitnehmer) zu bewältigen.
- Risiken und Chancen des Projektmanagements zu bewältigen.
- Risiken und Chancen der Kommunikations- und Entscheidungsflüsse zu bewältigen.
- Risiken und Chancen der Materialflüsse zu bewältigen.
- Risiken und Chancen der Energieflüsse zu bewältigen (Energiemanagement).
- Risiken und Chancen bezüglich Kunden und Märkte zu bewältigen.
- Risiken und Chancen bezüglich Recht und Gesetz zu bewältigen (Legal Compliance).
- Risiken und Chancen bezüglich Verschwendungen zu bewältigen (Lean Management).
- Risiken und Chancen von Veränderungen zu bewältigen (Rückverfolgbarkeit, Integrität).
- Risiken und Chancen bezüglich Messmittel und Messressourcen zu bewältigen.
- Risiken und Chancen von Techniken / Technologien und Methoden zu bewältigen.
Top-Down- und Bottom-Up-Ansatz
Die Integration des Top-Down- und Bottom-Up-Ansatzes wird im IRM genutzt, um die risikorelevanten Verpflichtungen der obersten Leitung proaktiv zu erfüllen. Hierzu sollte das IRM Bestandteil einer guten Corporate Governance sein. Das IRM fungiert dabei als zentrales Strategie-Überwachungsinstrument für die Aufsichts- bzw. Verwaltungsgremien von Organisationen.
Im Idealfall kombiniert das IRM ein Risikomanagement für strategische Belange und ein Risikomanagement für operationelle Belange:
IRM = ERM & ORM
ERM (Enterprise Risk Management)
Als Benennung des strategischen Risikomanagements, welches hauptsächlich die unternehmerischen Risiken im Fokus hat, wird häufig der Begriff Enterprise Risk Management oder kurz ERM verwendet.
Das Risikomanagement für strategische Belange folgt dem Top-Down-Ansatz. Das bedeutet, dass nach der Risikoanalyse strategische Ziele der Risiko- und Chancenbewältigung festgelegt werden müssen.
SWOT-Analyse (IST)
Innerhalb eines ERM können beispielsweise strategische Stossrichtungen einer SWOT-Analyse unterzogen werden. Dazu werden Stärken, Schwächen, Gefahren und Chancen (engl. Strengths, Weaknesses, Opportunities und Threats – SWOT) identifiziert und bewertet. Prinzipiell sollen die Stärken und Schwächen einer Organisation (intern) sowie Gefahren und Chancen bezüglich Märkte und Gesellschaft (extern) festgehalten werden. Gemäss dem neuen St.Galler Modell wird die SWOT-Analyse auf folgende strategische Stossrichtungen angewendet:
- *Interessierte Parteien
- Kernkompetenzen
- Kooperationsfelder
- Fokus der Wertschöpfung
- Leistungsangebot
(* mögliche Szenarien finanzieller Bedrohungen einbeziehen)
Für die Erreichung von Unternehmenszielen werden Gelder und Werte zur Verfügung gestellt, welche vor Bedrohungen geschützt werden müssen. Die Geldgeber sind somit Teil der interessierten Parteien. Nachfolgend einige Beispiele finanzieller Bedrohungen:
- Risiken und Chancen des nationalen und internationalen Finanzsystems
- Liquidität und Zahlungsausfall
- Marktpreisveränderungen
- Garantien, Gewährleistungsansprüche
- Schadenersatzforderungen, versicherungstechnische Risiken
- Politische Umwälzungen und Gefahren
- Steuerliche Risiken
- Veruntreuung, Betrug
Zielsetzungen (SOLL)
Aus der SWOT-Analyse (IST-Zustände) stellt sich die Frage nach dem SOLL-Zustand. Der SOLL-Zustand stellt das zu erreichende Ziel dar.
Massnahmen festlegen und Ressourcen bereitstellen
Damit die Ziele erreicht werden können, sind entsprechende Massnahmen / Tätigkeiten notwendig, um…:
- Schwächen zu kompensieren.
- Stärken auszubauen und zielorientiert zu nutzen.
- Gefahren zu eliminieren oder zumindest beherrsch- oder tragbar zu machen.
- Chancen zu packen (Mehrwert zu generieren bzw. um den Nutzen für die Leistungsempfänger zu erhöhen).
Die festgelegten Massnahmen / Tätigkeiten werden top down festgelegt (von der obersten zur untersten Ebene). Top down werden die Ebenen durch folgende Perspektiven gebildet:
- Aus der Finanzperspektive (Budget)
- Aus der Markt- und Kundenperspektive
- Aus der Prozessperspektive
- Aus der Lern- und Mitarbeiterperspektive
Mit diesem Ansatz wird eine frühe Erkennung und Bewältigung von Risiken ermöglicht. Ebenfalls ist besonders gut ersichtlich, dass das Risikomanagement die Erreichung der Geschäftsziele unterstützt und auch die Fortführung des Unternehmens sicherstellt.
ORM (Operational Risk Management)
Mit dem ORM werden operationelle Risiken überwacht. Das ORM folgt dem Bottom-Up-Ansatz.
Dieser Bottom-Up-Ansatz bedeutet, dass Risikobeurteilungen bezogen auf Vorgänge (z.B. Leistungsprozesse), Einflussfaktoren und möglichen Wirkungen (Ergebnisse wie Produkte) bis auf die Ebene der Gesamtorganisation (ERM) aggregiert werden, um strategische Massnahmen zu identifizieren.
Neben organisatorischen oder kommunikativen Schwachstellen können auch Prozesse und deren Einflussfaktoren operationelle Risiken bedeuten.
Prozess-Risiken
Für die operationellen Chancen oder Risiken knüpfen wir auch an die vorangegangenen Blogbeiträge an und betrachten den prozessorientierten Ansatz. Ein zentrales Thema innerhalb des prozessorientierten Ansatzes ist das Ursachen-Wirkungsprinzip und die darin fungierenden Einflussfaktoren.
Das risikobasierte Denken bezieht sich auf möglichst alle Einflussfaktoren eines Prozesses. Es müssen Gefahren identifiziert werden, die eine negative Zielerreichung verursachen. Ebenso müssen Chancen identifiziert werden, welche positive Zielabweichungen verursachen. Positive Zielabweichungen können umgekehrt auch Indizien für Chancenpotenziale sein. Wenn Chancen erkannt werden, dann können diese nutzenstiftend und gewinnbringend „gepackt“ werden.
Ein Prozess dient der Erzeugung von Ergebnissen / Resultaten. Ein entsprechender Prozess bzw. die darin enthaltenen Vorgänge werden durch verschiedene Faktoren beeinflusst, welche jeweils auf mögliche Risiken und Chancen untersucht werden:
1) Was getan werden soll
- Risiko das Falsche zu tun, weil der Kontext der Auftragserfüllung unvollständig ist oder fehlt -> das erwartete Ergebnis muss klar spezifiziert sein
- Chance das Richtige zu tun, damit die erwarteten Ergebnisse entstehen
2) Worauf man achten soll (Rahmenbedingungen durch Politik, Gesetze, Branche, Marktregulatoren, Standorte, Gesetzgeber, Gesellschaft, Stakeholder, etc.)
- Risiko gesetzeswidriger Vorgänge, Handlungen oder Entscheidungen
- Risiko die Änderungen von Rahmenbedingungen für Vorgänge und deren Ergebnisse zu verkennen
- Chance relevante Anforderungen an den Prozess frühzeitig miteinzubeziehen, um die erwarteten Ergebnisse zu erhalten
- Chance unternehmerische Risiken wie Fehlproduktion oder Produkthaftung zu vermeiden
3) Wonach man sich richten soll (Einhaltung / Erfüllung durch konforme Vorgänge: nach lokal oder allgemein anerkannten Normen, Richtlinien, etc.)
- Risiko, dass die Ergebnisse nicht akzeptiert werden infolge Nichtanwendung anerkannter Normen, Richtlinien etc.
- Chance der besseren Akzeptanz und Vergrösserung des Vertrauens seitens der Leistungsempfänger durch Anwendung anerkannter Methoden und Regeln
4) Wie man etwas tun soll (Methodik, die Dinge richtig zu tun unter Berücksichtigung aller Einflussfaktoren)
- Risiko der Ineffektivität als häufigste Ursache, da oft nur die Effizienz im Fokus steht
- Chance die first pass quality der erwarteten Ergebnisse durch wirksame Methoden zu verbessern
5) Womit man etwas tun soll (taugliche, valide und angemessene Ressourcen und Mittel)
- Risiko der Schadschöpfung infolge fehlender, untauglicher oder unangemessener Ressourcen (zu wenig, zu viel, etc.) oder Mittel
- Chance zur Verbesserung des Umgangs mit Ressourcen aus Perspektive der Umwelt, Sparsamkeit, Verschwendung, Ausschuss, Recycling, Finanzen, Schutz, Sicherheit, Handhabung, etc.
- Chance um Ressourcen zu sparen, zu schonen, wieder zu verwenden oder aufzubereiten
- Chance der Risikominderung durch Bereitstellung sicherer Arbeitsmittel und einer sicheren Arbeitsumgebung (inklusive Infrastrukturen)
6) Wer etwas tun soll
- Risiko von Schaden durch unbefugte, unbefähigte oder nicht verfügbare Akteure bei Vorgängen (Human Faktor)
- Chance, Schäden durch präventive Sicherheits- und Schutzmassnahmen durch risikoorientierte Steuerung und Kontrolle und klare Zuweisung von Aufgaben, Kompetenzen und Verantwortungen vorzubeugen
- Chance personelle Ressourcen, Kooperationen oder externe Stellen gewinnbringend zu nutzen
7) Wo man etwas tun soll
- Risiko negativer Einflüsse der Umgebung oder Änderungen der Mit- oder Umweltfaktoren auf Vorgänge oder deren Ergebnisse
- Risiko negativer Einflüsse von Vorgängen oder deren Ergebnisse auf die Mit- oder Umwelt
- Chance positiver Einflüsse der Umgebung oder Ortsveränderungen auf Vorgänge oder deren Ergebnisse
- Chance positiver Einflüsse von Vorgängen oder deren Ergebnisse auf die Umgebung
- Chance, Schäden zu vermeiden durch präventive Vorsorge gegen negative Einflüsse auf und durch die Umgebung
8) Wann man etwas tun soll (richtiger Zeitpunkt, Dauer des Vorgangs)
- Risiko, dass Vorgänge oder Entscheide zu früh, zu spät oder gar nicht fallen und dadurch Schaden entsteht
- Risiko, dass Effizienz-Ziele nicht erreicht werden
- Chance, dass Vorteile und Vorsprünge auf der Zeitachse die Zielerreichung übertreffen
- Chance der Effizienz-Steigerung
9) Inputs: Supply-Chain-Risiken und -Chancen (Lieferkette)
- Risiko, dass schlechte Qualität bereits als Input in Vorgänge gelangt
- Risiko, dass schlechte Qualität unbewusst durch eigene Vorgänge transferiert wird
- Chance schlechte Qualität bei der Anlieferungen frühzeitig zu erkennen
- Chance vorgelagerte Vorgänge bezüglich Abweichungen zu korrigieren (z.B. bei Lieferanten)
10) Vorgang: Manueller oder automatisierter Vorgang unter Einfluss aller Faktoren
- Risiko von Schadschöpfung (Vorfälle, Störungen, Unfälle, Fehler, Mängel, Verschwendung, übermässige Umweltbelastung, Unzufriedenheiten, etc.)
- Risiko unstabiler Prozesse (schwankende Qualität)
- Chance zusätzliche Wertschöpfung zu ermöglichen (beispielsweise entstehende Abwärme nutzen)
- Chance um Verbesserungspotenzial bezüglich Effizienz und Effektivität auszumachen
Risiken bei (teil-)automatisierten Vorgängen
Automatisierte Vorgänge ersetzen oder ergänzen manuelle Vorgänge. Die automatisierten Vorgänge können Mechanik, Pneumatik, Hydraulik, Bertriebsstoffe (auch Gefahrenstoffe), Hardware und Software bzw. Firmware beinhalten. Für jede Komponente wiederum ist abzuklären, ob spezielle Anforderungen zum Umgang mit Risiken und möglichen Schadensszenarien bestehen (z.B. ITC- und Software-Risiken bzw. -Chancen).
Kritische Interaktionen beachten
Einflussfaktoren können auch durch verschiedene Interaktionen Risiken bergen. Beispielsweise können sich Materialien und Stoffe gegenseitig beeinflussen oder gar zu unerwünschten Reaktionen führen. Wenn beispielsweise ein Implantat (z.B. Stent) während eines Produktionsprozesses über eine Aluminiumoberfläche rutscht, bleiben mikroskopisch kleine Partikel hängen, die später im Körper zu Vergiftungen des Blutes führen können. Ebenso können Risiken für Maschinen bestehen (Machine to Machine Interface, MMI usw.). Die Grafik zeigt die verschiedenen Interaktionen gemäss 7M-Modell.
Produkt- und Dienstleistungshaftung
Prozess- oder Projektergebnisse: Produkte und Dienstleistungen
Produkte und Dienstleistungen sollten als eigenständige Risikogruppe betrachtet werden, da sie spezifische Produkt- oder Dienstleistungsrisiken beinhalten können. Deshalb müssen Produkte und Dienstleistungen spezifische Kriterien erfüllen, um den Erwartungen der Anspruchsgruppen zu genügen. Zudem müssen sie womöglich mit branchenspezifischen Standards, Gesetzen und Marktregularien konform sein.
Nur durch die Vollständigkeit aller geforderten Kriterien kann eine Spezifikation des Produktes oder der Dienstleistung erstellt werden, die mit allen Anforderungen konform ist.
Aus diesem Grund bestehen für Produkte und Dienstleistungen spezifische Standards des Risikomanagements. Beispielsweise regelt die Norm ISO 14971 die Anwendung des Risikomanagements auf Medizinprodukte.
Chancen: Wenn erwartete Ergebnisse bezüglich obengenannten Erfüllungskriterien vor der Inverkehrbringung im Markt validiert, verifiziert oder auditiert werden, dann können viele Probleme auf dem Markt präventiv vermieden werden. Bei diesem Vorgehen spricht man von einer risikobasierten „Offline-Entwicklung“.
Normen für Risiko-Management
Um Risiken und Chancen von Umständen, Vorgängen, Managementelementen, Mitteln und Stoffen sowie den daraus entstehenden Produkten oder Dienstleistungen konform zu bewältigen, stehen spezifische und anerkannte Regeln zur Verfügung, wonach sich der verantwortliche Risiko-Manager richten kann:
- ISO 31000 Risikomanagement – Grundsätze und Leitlinien
- ONR 49000 Serie Risikomanagement für Organisationen und Systeme
- ISO 12100 Risikomanagement und Sicherheit von Maschinen
- ISO/TS 12901 Risikomanagement Nanotechnologien
- ISO 13022 Risikomanagement Medizinprodukte mit lebenden Körperzellen
- ISO 14971 Risikomanagement bei Medizinprodukten
- ISO 16085 Risikomanagement bei System- u. Software-Engineering
- ISO/IEC 27005 Risikomanagement bei IT-Sicherheitsverfahren
- IEC 62198 Risikomanagement Projekte
- IEC 80001 Risikomanagement für IT-Netzwerke mit Medizinprodukten
Hinweis zur ISO 31000: Weil dieser Standard einen Teil des Strategieprozesses ist, werden operationelle Risiken nicht in erster Linie behandelt. Entsprechend spielt im ERM das Management als Risikoeigner eine wichtige Rolle. Es empfiehlt sich, ISO 31000 für Organisationen zu nutzen, welche ein Enterprise Risk Management einführen und betreiben wollen.
IOZ-Lösungen für Risikomanagement
Die IOZ bietet verschieden Lösungen rund um das Risiko- und Chancenmanagement. Der Umgang mit Risiken und Chancen hinsichtlich verschiedener Aspekte (Strategie, Qualität, Umwelt, Arbeitssicherheit, etc.) kann modular in bestehende Managementsysteme integriert werden. Die Integration des risiko- und chancenbasierten Denkens im digitalen Arbeitsplatz bedeutet für alle Beteiligten und Betroffen eine erhebliche Steigerung von Sicherheit und Nutzen:
- Zielorientierte und fortschrittliche Politik, Führung und Aufsicht für das Unternehmen
- Im Extremfall sind Instrumente zur Fortführung der Unternehmung und zum Schutz der Vermögenswerte einsetzbar (allenfalls Krisenmanagement – KriMA)
- Gesetzliche und regulatorische Anforderungen werden verlässlich erfüllt
- Auf Gefahren und Gefährdungen, aber auch auf sich bietende Chancen kann frühzeitig reagiert werden
- Sicherheit für Personen, Lebewesen, Organisation und Sachwerte
- Das Ergreifen von sich bietenden Chancen bietet Mehrwert
- Erhöhte Vertrauensbasis für interne und externe Parteien
- Optimierter Umgang mit eintretenden Ereignissen
Weitere Blogbeiträge über die neue ISO-Reihe
Dies ist der fünfte und letzte Beitrag unserer 5-teiligen Blogreihe zum Thema „Neue ISO-Normen“. Die anderen 4 Beiträge finden Sie hier:
1. Beitrag: praxisnah und modular
2. Beitrag: PDCA-Regelkreis
3. Beitrag: Rollenkonzept mit AKV-Methodik
4. Beitrag: Wissen der Organisation
Beitrag teilen