03. Dez. 2018

Autor Dr. Frank Herdmann

„Drei Schritte zum effektiven und effizienten Risikomanagement nach DIN ISO 31000“

Anfang des Jahres wurde die ISO 31000:2018, die Norm für Risikomanagement, veröffentlicht. Dr. Frank Herdmann, Managing Partner von Auxilium Management Service in Berlin und Autor des druckfrischen Buches „Drei Schritte zum effektiven und effizienten Risikomanagement nach DIN ISO 31000“ erklärt im Interview mit Quality Austria, warum der Begriff Risiko so spannend in seiner Konnotation ist, warum Risikomanagement in jeder Abteilung und Hierarchieebene ungemein wichtig ist und welche drei Schritte vor allem die KMUs zu einem effektiven und effizienten Risikomanagement führen.

Quality Austria (QA): Als Unternehmer ist es unvermeidbar, sich auf Situationen einzulassen, deren Einflussfaktoren zum Teil unbekannt sind. Das Eingehen eines Risikos ist mit einem Wagnis verbunden, wodurch der Begriff Risiko als ein eher negativ konnotierter Begriff gesehen wird. Konnte die Veröffentlichung der ISO 31000 im Februar 2018 hier zu einem Umdenken anregen?

Dr. Frank Herdmann (FH): Meiner Erfahrung nach, gibt es nach wie vor zwei Lager bei den Experten:

  • das Lager derer, die sich als die Fortschrittlichen begreifen und es als unumgänglich ansehen, Risiko ausschließlich als Janusköpfig wie in der Definition in ISO 31000 (positive, negative or both) zu beschreiben, und
  • das Lager derjenigen, die aus dem natürlichen Sprachgebrauch heraus lieber zur Dualität von Risiken und Chancen (risks and opportunities in vielen Managementsystemnormen der ISO) „zurückwollen“.

Daran hat sich durch die Revision und die Veröffentlichung der Neufassung der ISO 31000 nichts geändert, denn auch die Fassung aus dem Jahr 2009 arbeitete bereits mit dem zweiseitigen Risikobegriff. Es gibt nun mal Bereiche, in denen es schwerfällt, positive Abweichungen von dem Erwarteten mit dem Wort Risiko zu belegen. Der generische Ansatz der ISO 31000 erlaubt es aber, auch in diesen Bereichen mit ihr zu arbeiten. Diese Erkenntnis ist viel wichtiger als der Richtungsstreit unter Experten und ich hoffe, dass der Fokus zukünftig auf die Gemeinsamkeiten statt der Differenzen gelegt wird. Manche Diskussion in der jüngsten Vergangenheit lassen hier eine positive Entwicklung erwarten.

 

QA: Risikomanagement soll von jedem Mitarbeiter als Teil ihrer Aufgaben verstanden sein – warum ist es nicht ausreichend, dass sich die oberste Ebene mit den Gefahren- und Chancenperspektiven im Unternehmen auseinandersetzt?

FH: Der große – schon 2009 vollzogene – Schritt der ISO 31000 lag darin, Risikomanagement aus seiner Isolierung in einem Silo zu befreien und als eines der wichtigsten Prinzipien, die Integration in alle organisatorischen Prozesse zu postulieren. Das wurde in der letzten Revision noch einmal besonders betont. Auch wenn sie dort zumeist besonders brisant sind, finden Risiken (und zwar in dem janusköpfigen Sinn) eben nicht nur auf der obersten Ebene statt, sondern im alltäglichen Geschäft auf allen Ebenen und bei allen Aktivitäten der Organisation.

Es ist daher ein absolutes Muss, dass jeder in der Organisation für den Umgang mit den Risiken in seinem Bereich verantwortlich ist. Den Risikomanager gibt es nicht – die ISO 31000 kennt nur den Risikoeigner. Das ist in der Welt der Geschäftsprozesse im Regelfall der Prozesseigner.

 

QA: In Ihrem Buch „Drei Schritte zum effektiven und effizienten Risikomanagement nach DIN ISO 31000“ – erschienen 2018 im Beuth Verlag – beschreiben Sie, wie der Name schon sagt, drei Schritte zur Implementierung eines Risikomanagements. Wie schauen diese drei Schritte in der Praxis aus, die vor allem den Kleinunternehmer überzeugen sollen.

FH: Die drei Schritte bestehen aus dem Etablieren des Rahmenwerks, dem Etablieren des Prozesses und der Implementierung und Ausführung des Prozesses. Ähnlich der zwei Lager in Bezug auf den Risikobegriff gibt es auch zwei Lager im Hinblick darauf, wie komplex man Risikomanagement gestalten muss oder sollte, damit es effektiv ist. Aus dem Blickwinkel von kleinen und mittleren Unternehmen mit begrenzten Ressourcen ist es aber überlebenswichtig, ihnen einen einfachen Zugang zum Risikomanagement zu verschaffen.

Als erste Maßnahme empfehle ich einen einfachen und schnellen Zugang mit dem Schwerpunkt auf dem dritten Schritt, der Implementierung und Ausfüh­rung des zuvor etablierten und maßgeschneiderten Risikomanagementprozesses. Dazu schlage ich vor, die häufig auch von KMUs schon beim Prozessdesign verwendete Ereignis gesteuerte Prozesskette (EPK) anzuwen­den. Ohne Darstellung der iterativen Natur des Risikomanagementprozesses kann man mit einem solchen Prozessdesign diesen Prozess als Schleife darstellen.

Diese Schleife sollte immer dann zur Anwendung kommen, wenn der Hauptprozess durch eine Information oder Einschätzung der Situation gestartet oder beeinflusst wird. Dann muss nämlich das Risiko beurteilt (identifiziert, analysiert und bewertet – sowie ggf. behandelt) werden, das sich aus etwaigen Unsicherheiten ergibt. Es ist unerheblich, ob es sich bei dem Hauptprozess um einen strategischen Prozess, einen Prozess der Planung, einen Geschäftsprozess oder den formfreien »Prozess« einer sonstigen Aktivität handelt.

 

QA: Wie kann das Unternehmen sicher sein, dass der implementierte Risikomanagementprozess auch effektiv ist?

FH: Alle Aktivitäten des Unternehmens unterliegen den internen Kontrollen und dazu gehört natürlich, wie in dem Buch dargestellt, auch die Interne Revision. Mit dieser findet ein wechselseitiger Abgleich statt: Die Interne Revision prüft die Anwendung der Risikomanagementschleife und alle damit verbundenen Aktivitäten im Rahmen ihrer Prüfung der Geschäftshandlungen.

Umgekehrt bilden die Ergebnisse des Risikomanagements die Grundlage der Planung der Internen Revision. Außerdem gilt es stets Folgendes zu bedenken:

  • Im Rahmen der Zertifizierung von Managementsystemen ist natürlich auch der sogenannte risikobasierte Ansatz zu auditieren.
  • Der Abschlussprüfer kann nur dann ein uneingeschränktes Testat erteilen, wenn das Risikomanagement sicherstellt, dass die Risiken des Unternehmens angemessen in den Büchern abgebildet sind.
  • Schlussendlich wird die Organisation im Rahmen des PDCA-Kreislaufs (Plan – Do – Check – Act nach Deming) seinen Risikomanagementansatz kontinuierlich verbessern und verfeinern und so einen höheren Reifegrad im Risikomanagement erreichen.

Das im Beuth Verlag erschienene Buch können Sie hier bestellen.

Ansprechperson Risiko und Sicherheit

Ihre Abfrage ergab leider kein Ergebnis. Bitte überprüfen Sie Ihre Filtereinstellungen bzw. Ihre Eingabe.

Weitere News & Events

Immer topaktuell informiert

17. März 2025

­Kreislauf­wirtschaft als Schlüssel zur industriellen Zukunft Europas und Österreichs

Europäische Initiative trifft österreichische Ambitionen

Mehr erfahren
17. März 2025

Qualitäts-Champion, Qualitäts-Talent und Qualitäts-Team 2025 gekürt

Auszeichnung im Rahmen des 30. qualityaustria Forums

Mehr erfahren
13. März 2025

Mit vereinten Superkräften für den Wirtschafts­ aufschwung

Das war das 30. qualityaustria Forum

Mehr erfahren
05. März 2025

Neue Ausgabe der IATF-Zertifizierungs­vorgaben

IATF 16949 Rules 6 – Update

Mehr erfahren
04. März 2025

Sorgfaltspflicht für nachhaltige Beschaffung bleibt bestehen

Omnibus-Rechtsakt

Mehr erfahren
26. Feb. 2025

Regulierung vs. Eigenverantwortung: Wie viel Compliance braucht die Wirtschaft?

Wie können Sie als KMU ein effizientes und effektives GRC System aufbauen?

Mehr erfahren
24. Feb. 2025

Neuigkeiten aus dem Bereich IRIS

Das Qualitätsmanagementsystem für den Bahnbereich

Mehr erfahren
20. Feb. 2025

Spende der Quality Austria zum Semesterstart

Tablets für eine bessere und zeitgemäße Schulbildung

Mehr erfahren
19. Feb. 2025

Qualitäts­management und Regulierungen in der Medizin­produkte-Entwicklung

Praxis-Wissen aus erster Hand mitnehmen

Mehr erfahren
13. Feb. 2025

Vereinte Superkräfte: Gemeinsam Richtung Zukunft beim 30. qualityaustria Forum

qualityaustria Geschäftsführer im Interview

Mehr erfahren
12. Feb. 2025

Lebensmittel­sicherheitskultur: ­Der Schlüssel zur nachhaltigen Lebensmittelsicherheit

Bewusstsein für zentralen Standard schärfen

Mehr erfahren
04. Juni 2025

Event: Verleihung Staatspreis Unternehmensqualität 2025

Das Event findet am 4. Juni 2025 in Wien statt.

Mehr erfahren
+43 732 34 23 22