Risikomanagement nach DIN ISO 9001.

Das Risikomanagement ist fester Bestandteil der
DIN ISO 9001 und der DIN ISO 14001

Bei unseren Beratungsprojekten im Risikomanagement nach DIN ISO 9001 sowie zur DIN ISO 14001 ergeben sich regelmäßig die selben drei Fragen, die für unsere Kunden wichtig sind:

• Wie umfangreich ist ein Risikomanagement einzuführen?
• Welche Risiko-Kennzahlen sind sinnvoll anzuwenden?
• Welche Vorteile ergeben sich im praktischen Alltag durch ein Risikomanagement?

Die gute Nachricht dabei ist, dass alle drei Antworten direkt miteinander zusammen hängen. Um so umfangreicher das Risikomanagement unter Anwendung mehrer Risiko-Kennzahlen umgesetzt wird, desto mehr Vorteile können aus diesem Prozess in der täglichen Geschäftspraxis gezogen werden. Der Einsatz des Risikomanagements hängt aber auch von den jeweiligen Geschäftsprozessen und deren Auswirkungen auf den Unternehmenserfolg ab. Wie dies nun im einzelnen aussieht möchte ich durch die Beantwortung der drei Frage einmal darstellen:

Wie umfangreich ist ein Risikomanagement nach DIN ISO 9001 einzuführen

Im Kapitel 6 „Planung von Maßnahmen zum Umgang mit Risiken und Chancen“ beschreiben beide Normen in gewohnt knapper Form die » Vorgaben zum Risikomanagement. Zusammengefasst heißt es darin, Unternehmen müssen bei der Planung des QM-Systems Risiken bestimmen und so behandeln, dass das QM-System seine beabsichtigen Ergebnisse erzielen kann und unerwünschte Auswirkungen verhindert werden. Dabei müssen Unternehmen Maßnahmen zum Umgang mit Risiken planen und die Wirksamkeit der Maßnahmen bewerten. Was aber genau sind denn nun Risiken zu denen Maßnahmen geplant und die Wirksamkeit der Umsetzung bewertet werden müssen? An diesem Punkt stellen sich Unternehmen die angesprochene Frage nach dem Umfang des Risikomanagement.

Grundsätzlich sind die DIN ISO Normen immer im Kontext der Unternehmensgröße, der angebotenen Dienstleistung oder ihrer jeweiligen Produkte und Komplexität ihrer Prozesse sowie der generellen bekannten Prozessrisiken auszulegen. Um also den Umgang mit Risiken planen zu können und die Wirksamkeit der Maßnahmen zu ermitteln müssen im ersten Schritt erst einmal Risiko-Bereiche festgelegt werden. Unsere Unternehmensberatung empfiehlt dabei generell die Risiko-Bereiche nach „Produkte & Prozesse“, „Markt & Kunde“, Mitarbeiter & Wissensträger“ sowie „weitere Einflüsse“ aufzuteilen. Im zweiten Schritt ist nun zu überlegen, in wie weit die nun durch verschiedene Methoden generell einmal ermittelten Risiken in statische Prozess und Umfeld-Risiken und dynamische Projekt-Risiken aufzuteilen sind. Statische Risiken können durch Maßnahmen eingedämmt oder eliminiert werden, wobei dynamische Risiken, z.B. aus Projekten, durch eine grundlegende Veränderung der Prozesse regelmäßig neu ermittelt und bewertet werden müssen. Zudem bleibt zu Beginn noch die Entscheidung, ob lediglich präventiv Risiken aufgenommen werden sollen oder auch reaktiv Schäden und Unfälle mit behandelt werden, um zukünftig eine Wiederholung auszuschließen.

Im Ergebnis wird an dieser Stelle zu Beginn ein echtes Management System implementiert, welches die oben aufgeführten Punkte behandelt und zu Beginn die jeweiligen Risiken sammelt und kategorisiert. Um abschließend Maßnahmen einleiten zu können ist es wichtig vorab die Risiken mit Risiko-Kennzahlen zu bewerten. Ein Stromausfall von einem Tag führt in unserer Unternehmensberatung zu einer anderen Risiko-Kennzahl als in einem Krankenhaus.

Welche Risiko-Kennzahlen sind sinnvoll anzuwenden

Nachdem also mögliche Risiken ermittelt und themenbezogen kategorisiert wurden, folgt nun die wichtige Ermittlung der Risiko-Kennzahlen. Erst dadurch lässt sich überhaupt eine Aussage über die Risiko-Bedrohung treffen und somit eine Beurteilung erstellen. Als mögliche Risiko-Kennzahlen kommen folgende vier in Frage: Eintrittswahrscheinlichkeit, Relevanz, Entdeckbarkeit und Beherrschbarkeit.

Auch hierbei entscheidet der Kontext der Unternehmensgröße und die Prozesskomplexität über die Auswahl der richtigen Kennzahlen. Generell gibt es ganz verschiedene Methoden, wie auf Grundlage einer Vergabe von Zahlen oder Buchstaben je Risiko-Kennzahl, eine finale Risiko-Kennziffer zur Bewertung des Risikos erfolgen kann. Der im Vorfeld festgelegte Risikomanagement-Prozess entscheidet dann, ob und wie genau je nach Ergebnis der Risiko-Kennziffer eine Maßnahme einzuleiten ist. Nach erfolgter Maßnahme ist abschließend eine erneute Risiko-Bewertung vorzunehmen. Je nach Risiko-Kategorie wird die Risiko-Bewertung in engeren oder weitläufigeren Intervallen durchgeführt. Wurde das Risikomanagement entsprechend auf die Unternehmensgröße und deren Kontext abgestimmt, ergeben sich wie folgend beschrieben Unternehmensvorteile.

Welche Vorteile ergeben sich durch ein Risikomanagement

Im Rahmen unserer ISO Beratung kann ich sagen, dass generell zu Beginn fast jeder Kunde einwendet, dass er doch bereits die Unternehmensrisiken kennt und es sich in diesem Norm Kapitel um ein wenig vorteilhaftes handelt. Ist dem wirklich so? Zudem kann ich bestätigen, dass jedes Unternehmen >50 Mitarbeiter nach Implementierung des Risikomanagement veränderte Prozesse oder Tätigkeitsschritte anwendet, da der Geschäftsführung und Unternehmensleitung nicht alle Hemmschwellen und Risiken bekannt waren.

Die gemeinschaftliche, systematische Aufnahme von Risiken und Schwachstellen in Prozessen und Unternehmensabläufen, sowie im Unternehmensumfeld fördert dem Management immer neue Erkenntnisse, die im Tagesgeschäft regelmäßig untergehen. Unter der gemeinschaftlichen Aufnahme ist die Einbeziehung aller Mitarbeiter und Abteilungen zu verstehen, denn hier wird ein neutraler und legitimer Grund geschaffen, um einmal Hindernisse, Risiken, Ärgernisse und Erschwernisse zu sammeln und zu bewerten. Im Ergebnis sparen abgebaute Risiken und Reibungspunkte Geld. Diese Ersparnis kommt nicht alleine durch die eher seltene Reduktion von Ausschuss, sondern eher durch verbesserte, schneller und effizientere Prozesse und neu gewonnene Ideen. Letztendlich ist auch die systematische Bewertung der bereits bekannten Risiken immer ein Vorteil, da hier der Rahmen geschaffen ist diese nun einmal anzugehen und abzubauen.

Welche Vorteile ergeben sich durch ein Risikomanagement

Im Rahmen unserer ISO Beratung kann ich sagen, dass generell zu Beginn fast jeder Kunde einwendet, dass er doch bereits die Unternehmensrisiken kennt und es sich in diesem Norm Kapitel um ein wenig vorteilhaftes handelt. Ist dem wirklich so? Zudem kann ich bestätigen, dass jedes Unternehmen >50 Mitarbeiter nach Implementierung des Risikomanagement veränderte Prozesse oder Tätigkeitsschritte anwendet, da der Geschäftsführung und Unternehmensleitung nicht alle Hemmschwellen und Risiken bekannt waren.

Die gemeinschaftliche, systematische Aufnahme von Risiken und Schwachstellen in Prozessen und Unternehmensabläufen, sowie im Unternehmensumfeld fördert dem Management immer neue Erkenntnisse, die im Tagesgeschäft regelmäßig untergehen. Unter der gemeinschaftlichen Aufnahme ist die Einbeziehung aller Mitarbeiter und Abteilungen zu verstehen, denn hier wird ein neutraler und legitimer Grund geschaffen, um einmal Hindernisse, Risiken, Ärgernisse und Erschwernisse zu sammeln und zu bewerten. Im Ergebnis sparen abgebaute Risiken und Reibungspunkte Geld. Diese Ersparnis kommt nicht alleine durch die eher seltene Reduktion von Ausschuss, sondern eher durch verbesserte, schneller und effizientere Prozesse und neu gewonnene Ideen. Letztendlich ist auch die systematische Bewertung der bereits bekannten Risiken immer ein Vorteil, da hier der Rahmen geschaffen ist diese nun einmal anzugehen und abzubauen.