03. Dez 2018

Autor Dr. Frank Herdmann

„Drei Schritte zum effektiven und effizienten Risikomanagement nach DIN ISO 31000“

Anfang des Jahres wurde die ISO 31000:2018, die Norm für Risikomanagement, veröffentlicht. Dr. Frank Herdmann, Managing Partner von Auxilium Management Service in Berlin und Autor des druckfrischen Buches „Drei Schritte zum effektiven und effizienten Risikomanagement nach DIN ISO 31000“ erklärt im Interview mit Quality Austria, warum der Begriff Risiko so spannend in seiner Konnotation ist, warum Risikomanagement in jeder Abteilung und Hierarchieebene ungemein wichtig ist und welche drei Schritte vor allem die KMUs zu einem effektiven und effizienten Risikomanagement führen.

Quality Austria (QA): Als Unternehmer ist es unvermeidbar, sich auf Situationen einzulassen, deren Einflussfaktoren zum Teil unbekannt sind. Das Eingehen eines Risikos ist mit einem Wagnis verbunden, wodurch der Begriff Risiko als ein eher negativ konnotierter Begriff gesehen wird. Konnte die Veröffentlichung der ISO 31000 im Februar 2018 hier zu einem Umdenken anregen?

Dr. Frank Herdmann (FH): Meiner Erfahrung nach, gibt es nach wie vor zwei Lager bei den Experten:

  • das Lager derer, die sich als die Fortschrittlichen begreifen und es als unumgänglich ansehen, Risiko ausschließlich als Janusköpfig wie in der Definition in ISO 31000 (positive, negative or both) zu beschreiben, und
  • das Lager derjenigen, die aus dem natürlichen Sprachgebrauch heraus lieber zur Dualität von Risiken und Chancen (risks and opportunities in vielen Managementsystemnormen der ISO) „zurückwollen“.

Daran hat sich durch die Revision und die Veröffentlichung der Neufassung der ISO 31000 nichts geändert, denn auch die Fassung aus dem Jahr 2009 arbeitete bereits mit dem zweiseitigen Risikobegriff. Es gibt nun mal Bereiche, in denen es schwerfällt, positive Abweichungen von dem Erwarteten mit dem Wort Risiko zu belegen. Der generische Ansatz der ISO 31000 erlaubt es aber, auch in diesen Bereichen mit ihr zu arbeiten. Diese Erkenntnis ist viel wichtiger als der Richtungsstreit unter Experten und ich hoffe, dass der Fokus zukünftig auf die Gemeinsamkeiten statt der Differenzen gelegt wird. Manche Diskussion in der jüngsten Vergangenheit lassen hier eine positive Entwicklung erwarten.

 

QA: Risikomanagement soll von jedem Mitarbeiter als Teil ihrer Aufgaben verstanden sein – warum ist es nicht ausreichend, dass sich die oberste Ebene mit den Gefahren- und Chancenperspektiven im Unternehmen auseinandersetzt?

FH: Der große – schon 2009 vollzogene – Schritt der ISO 31000 lag darin, Risikomanagement aus seiner Isolierung in einem Silo zu befreien und als eines der wichtigsten Prinzipien, die Integration in alle organisatorischen Prozesse zu postulieren. Das wurde in der letzten Revision noch einmal besonders betont. Auch wenn sie dort zumeist besonders brisant sind, finden Risiken (und zwar in dem janusköpfigen Sinn) eben nicht nur auf der obersten Ebene statt, sondern im alltäglichen Geschäft auf allen Ebenen und bei allen Aktivitäten der Organisation.

Es ist daher ein absolutes Muss, dass jeder in der Organisation für den Umgang mit den Risiken in seinem Bereich verantwortlich ist. Den Risikomanager gibt es nicht – die ISO 31000 kennt nur den Risikoeigner. Das ist in der Welt der Geschäftsprozesse im Regelfall der Prozesseigner.

 

QA: In Ihrem Buch „Drei Schritte zum effektiven und effizienten Risikomanagement nach DIN ISO 31000“ – erschienen 2018 im Beuth Verlag – beschreiben Sie, wie der Name schon sagt, drei Schritte zur Implementierung eines Risikomanagements. Wie schauen diese drei Schritte in der Praxis aus, die vor allem den Kleinunternehmer überzeugen sollen.

FH: Die drei Schritte bestehen aus dem Etablieren des Rahmenwerks, dem Etablieren des Prozesses und der Implementierung und Ausführung des Prozesses. Ähnlich der zwei Lager in Bezug auf den Risikobegriff gibt es auch zwei Lager im Hinblick darauf, wie komplex man Risikomanagement gestalten muss oder sollte, damit es effektiv ist. Aus dem Blickwinkel von kleinen und mittleren Unternehmen mit begrenzten Ressourcen ist es aber überlebenswichtig, ihnen einen einfachen Zugang zum Risikomanagement zu verschaffen.

Als erste Maßnahme empfehle ich einen einfachen und schnellen Zugang mit dem Schwerpunkt auf dem dritten Schritt, der Implementierung und Ausfüh­rung des zuvor etablierten und maßgeschneiderten Risikomanagementprozesses. Dazu schlage ich vor, die häufig auch von KMUs schon beim Prozessdesign verwendete Ereignis gesteuerte Prozesskette (EPK) anzuwen­den. Ohne Darstellung der iterativen Natur des Risikomanagementprozesses kann man mit einem solchen Prozessdesign diesen Prozess als Schleife darstellen.

Diese Schleife sollte immer dann zur Anwendung kommen, wenn der Hauptprozess durch eine Information oder Einschätzung der Situation gestartet oder beeinflusst wird. Dann muss nämlich das Risiko beurteilt (identifiziert, analysiert und bewertet – sowie ggf. behandelt) werden, das sich aus etwaigen Unsicherheiten ergibt. Es ist unerheblich, ob es sich bei dem Hauptprozess um einen strategischen Prozess, einen Prozess der Planung, einen Geschäftsprozess oder den formfreien »Prozess« einer sonstigen Aktivität handelt.

 

QA: Wie kann das Unternehmen sicher sein, dass der implementierte Risikomanagementprozess auch effektiv ist?

FH: Alle Aktivitäten des Unternehmens unterliegen den internen Kontrollen und dazu gehört natürlich, wie in dem Buch dargestellt, auch die Interne Revision. Mit dieser findet ein wechselseitiger Abgleich statt: Die Interne Revision prüft die Anwendung der Risikomanagementschleife und alle damit verbundenen Aktivitäten im Rahmen ihrer Prüfung der Geschäftshandlungen.

Umgekehrt bilden die Ergebnisse des Risikomanagements die Grundlage der Planung der Internen Revision. Außerdem gilt es stets Folgendes zu bedenken:

  • Im Rahmen der Zertifizierung von Managementsystemen ist natürlich auch der sogenannte risikobasierte Ansatz zu auditieren.
  • Der Abschlussprüfer kann nur dann ein uneingeschränktes Testat erteilen, wenn das Risikomanagement sicherstellt, dass die Risiken des Unternehmens angemessen in den Büchern abgebildet sind.
  • Schlussendlich wird die Organisation im Rahmen des PDCA-Kreislaufs (Plan – Do – Check – Act nach Deming) seinen Risikomanagementansatz kontinuierlich verbessern und verfeinern und so einen höheren Reifegrad im Risikomanagement erreichen.

Das im Beuth Verlag erschienene Buch können Sie hier bestellen.

Ansprechperson Risiko und Sicherheit

Ihre Abfrage ergab leider kein Ergebnis. Bitte überprüfen Sie Ihre Filtereinstellungen bzw. Ihre Eingabe.

Weitere News & Events

Immer topaktuell informiert

28. Mrz 2024

ISO 14001 wird überarbeitet – was erwartet uns?

Neue Revision geplant

Mehr erfahren
26. Mrz 2024

Innovation? Sicher – und mit System

Innovationsmanagement: Kostenloses Webinar und Zertifikatslehrgang

Mehr erfahren
25. Mrz 2024

Machen Sie die Qualifikationen Ihrer Aus- und Weiter­bildungen einzigartig!

Kostenfreies Webinar mit NKS

Mehr erfahren
22. Mrz 2024

Mit System in die Zukunft

Neue qualityaustria Leistungsübersicht 2024 erschienen

Mehr erfahren
20. Mrz 2024

ESG: Must-Have mit Sinn

Warum ESG-Weiterbildung immer wichtiger wird

Mehr erfahren
19. Mrz 2024

OÖG durch Quality Austria zertifiziert

Spitalsträgerin erhält ISO 9001

Mehr erfahren
18. Mrz 2024

Qualitäts-Champion und Qualitäts-Talent ausgezeichnet

29. qualityaustria Forum:

Mehr erfahren
14. Mrz 2024

Im Spannungs­feld zwischen KI und Digitalisierung bleibt die Qualität menschlich

Das war das 29. qualityaustria Forum

Mehr erfahren
08. Mrz 2024

Wissenswertes zu Objectives & Key Results

Definitionen aus der ISO 9000:2015

Mehr erfahren
04. Mrz 2024

Clevere Energiespartipps für zu Hause und für den Arbeitsplatz

Internationaler Energiespartag: 05. März 2024

Mehr erfahren
01. Mrz 2024

Das sind die Finalist*innen unserer Qualitäts-Awards

Wer ist der oder die beste Qualitätsmanager*in des Landes?

Mehr erfahren
28. Feb 2024

Nachhaltigkeits­label am Prüfstand

Zusammenhänge verstehen, kritische Aussagen meiden & rechtssicher kommunizieren

Mehr erfahren
+43 732 34 23 22