close

Anmelden

Neues Passwort anfordern?

Anmeldung mit OpenID

D Was bringen die neuen Normen? - bei dbc-consult

EinbettenHerunterladen
08_mq_6_06_kuhn
24.5.2006
10:56 Uhr
Seite 8
MQ Business Excellence
Risikomanagement für Unternehmen
Was bringen die neuen
Normen?
Von Heinrich Kuhn
Die aktuelle Diskussion im Risikomanagement konzentriert sich auf integrierte Lösungen. Denn noch beschränken
sich die Aktivitäten in den Unternehmen
weitgehend spezialisiert auf Finanzrisiken, Gefahren im Versicherungsbereich und IT-Risiken. Ziel sollte aber
ein umfassendes unternehmerisches
Risikomanagement-System sein.
D
er Erfolg eines Risikomanagement-Systems ist von verschiedenen Faktoren abhängig. Einer
der Schlüsselfaktoren ist, dass ein Risikomanagement-System in die bestehenden Steuerungsprozesse eines
Unternehmens integriert ist. Zwei
KPMG-Studien zeigen aber, dass dies
erst ansatzweise der Fall ist: Die Studie zum «Risikomanagement in deutschen Unternehmen» hält fest, dass
«für ein betriebswirtschaftlich sinnvolles Konzept zur Integration von
Risikomanagement noch viele Faktoren fehlen» (KPMG, 2003, p. 16). Eine
Parallelstudie «Risikomanagement:
Eine Erhebung in der Schweizer Wirtschaft» kommt zum Ergebnis, dass
«nur 30 Prozent der … Unternehmen
über ein umfassendes und integriertes (Risikomanagement-)System verfügen» (KPMG, 2004, p. 7). Das Risikomanagement hat eine längere Geschichte.
■ Heinrich Kuhn, Prof., Leiter des Kompetenzzentrums für Sicherheit und Risikoprävention (KSR)
der Zürcher Hochschule Winterthur, Mitglied des
Technischen Komitees (INB/ TK 198) der Schweizerischen Normen-Vereinigung SNV zur Erarbeitung der
ISO 25700, Mitglied des INB/TK der SNV zum
Schwerpunkt «Nanotechnologien», CH-8401 Winterthur,
Tel. +41 (0)52 267 77 30, heinrich.kuhn@zhwin.ch,
www.zhwin.ch/risiko
8
SafetyAnsatz
allein
trägt nicht
stellen zu anderen Managementsystemen wie zum Beispiel QM,
UMS, IT. Seit einigen Jahren existieren nationale Standards, die solche
Anforderungen, die an ein Integriertes Risikomanagement-System gestellt werden, auch umsetzen können. Zwei dieser Standards und eine
neue ISO-Norm zum Risikomanagement sollen im Folgenden kurz vorgestellt werden.
Ein Blick zurück
Zu Beginn des 20. Jahrhunderts bis
in die 50er-Jahre war vor allem das
versicherungstechnisch orientierte
Risikomanagement die treibende
Kraft: Fragen, welche Risiken mit welchen Prämien versicherbar sind und
bei welchen Risiken ein Deckungsausschluss zu empfehlen sei, standen
im Zentrum.
Ab den 60er-Jahren waren es
zum einen Analysemethoden des
Qualitätsmanagements wie zum Beispiel die FMEA (Failure Mode and
Effects Analysis), die das Risikomanagement vorantrieben, zum
andern waren es Standards wie der
MIL-STD-882 (System Safety Program
Requirements), der 1969 in seiner
ersten Fassung veröffentlicht wurde
und eine sehr grosse Wirkung entfaltete. In den folgenden Jahrzehnten
entstanden eine grössere Anzahl an
Normen und Standards (Kasten
«Meilensteine»). Die Auswahl von
Normen und Standards zeigt eine
wichtige Problematik auf, mit der das
Risikomanagement immer wieder
konfrontiert war. Die Normen und
Standards
– orientieren sich stark an analytischen Methoden,
– decken nur gewisse spezifische
Anwendungsbereiche ab,
– sind oft von einem Safety-Ansatz
dominiert.
Standard:
ON-Regel 49000 – 49003
Die ONR 49000 – 49003 wurde vom
Österreichischen Normungsinstitut,
in Zusammenarbeit mit der Fachgruppe Risikomanagement der SAQ
(Swiss Association for Quality) entwickelt und Anfang 2004 publiziert. Der Standard besteht aus fünf
Dokumenten zum «Risikomanagement für Organisationen und Systeme»:
– ONR 49000: Begriffe und Grundlagen.
– ONR 49001: Elemente des Risikomanagement-Systems.
Integrierte Sicht und
Umsetzung
Was aber fehlte, war ein integriertes Risikomanagement-System, das
sämtliche Unternehmensprozesse
erfassen und auch steuern kann, unter Einbezug von wichtigen Schnitt-
Alle Aktivitäten im Unternehmen erfassen
MQ Management und Qualität 6/2006
08_mq_6_06_kuhn
24.5.2006
10:56 Uhr
Seite 9
MQ Business Excellence
Archivbild
– ONR 49002-1: Leitfaden für das
Risikomanagement.
– ONR 49002-2: Leitfaden für die
Einbettung des Risikomanagements in das Managementsystem.
– ONR 49003: Anforderungen an die
Qualifikation des Risikomanagers.
Die ONR 49000ff. wird vor allem im
deutschsprachigen Raum eingesetzt.
Dieser Standard liegt inzwischen
auch in einer englischen Version vor,
so dass es möglich ist, ihn auch in
einem internationalen Umfeld zu
verwenden. Die ONR 49000ff. ist ein
qualitativ hoch stehender und wertvoller Beitrag, der wichtige Problemstellungen des Integrierten Risikomanagements löst. Besonders hervorzuheben ist die Integration zwischen Risikomanagement- und Unternehmensprozessen.
Ausbildungsangebote zu diesem Standard, inkl. der Zertifizierungsmöglichkeit, bieten zum Beispiel der TÜV in Deutschland, das Sicherheitsinstitut in der Schweiz und
auch das Österreichische Normungsinstitut an.
fassen
MQ Management und Qualität 6/2006
ISO 25700 in Vorbereitung
In den letzten zehn Jahren entstanden verschiedene nationale Risikomanagement Standards, zum Beispiel in Kanada, Grossbritannien, Japan, Australien und Neuseeland. Die
meisten haben das Ziel, den jeweiligen RM-Ansatz möglichst umfassend
zu verankern. Unter diesen Publikationen kommt dem Standard von
Australien und Neuseeland, dem
AS/NZS 4360:2004, eine wichtige Bedeutung zu.
Zur Zeit ist eine internationale
Risikomanagement-Norm, die ISO
25700 mit dem Titel «Risk Management – Guidelines for principles and
implementation of risk management», in Vorbereitung. Ausgangsdokument und insofern eine wichtige
Arbeitsgrundlage ist die AS/NZS
4360:2004. Selbstverständlich wird
dieser nationale Standard nicht 1:1
übernommen. Da die AS/NZS 4360:
2004 nach Meinung vieler Fachleute
der zur Zeit beste nationale RM-Standard ist, ist aber zu vermuten, dass
wichtige Charakteristika wie Ziele,
Inhalte und Struktur des australischen Standards auch in der kommenden Risikomanagement-Norm
ISO 25700 erhalten bleiben. Anpassungen wird es sicher geben, so zu
Beispiel im Bereich der ISO-Terminologie und auch im Zusammenhang
mit der Kompatibilitäts-Überprüfung
bez. anderer ISO-Normen (ISO 9000,
ISO 14000). Ausserdem haben alle
Länder, die in diesem Normierungsprozess mitarbeiten, selbstverständlich die Gelegenheit, Änderungsanträge einzubringen. Das Ziel dieses
Normierungsprozesses ist, mit der
ISO 25700 eine Norm zu entwickeln,
die einen generischen RM-Ansatz
hat. Das heisst, eine Norm mit einer
Art Dachfunktion, unter der alle anderen Normen und Standards situiert
werden können.
Der Vorsitz in diesem Normierungsprozess liegt bei Australien, und
das Sekretariat wird von Japan geführt. Die Roadmap sieht vor, dass
nach den ersten zwei internationalen
Treffen in Tokio und Sydney das
Meilensteine der Vergangenheit
Die grosse Anzahl an Normen und Standards kann in vier Gruppen eingeteilt werden:
Methoden der Risikoanalyse
– Analysis techniques for system reliability – Procedure for failure mode and effects analysis (FMEA) (IEC 60812)
– Ereignisablaufanalyse – Verfahren, graphische Symbole und Auswertung (DIN 25419)
– Fehlerbaumanalyse (DIN 25424 – 1/2)
– Hazard and operability studies (HAZOP studies) – Application guide
(IEC 61882)
Spezifische Bereiche
– Sicherheit von Maschinen – Leitsätze zur Risikobeurteilung (EN 1050)
– Erdöl- und Erdgasindustrie – Offshore-Produktionsanlagen – Leitfaden
für Hilfsmittel und Verfahren zur Gefahrenerkennung und Risk Space
Systems – Risk Management (ISO 17666)
– Risk analysis methodology – Lifts (elevators), escalators and passenger conveyors (ISO/TS 14798)
– Medizinprodukte – Anwendung des Risikomanagements auf Medizinprodukte (EN ISO 14971)
Safety Management
– Guidelines on Occupational Safety and Health Management Systems, International Labour Office (ILO-OSH 2001)
– Occupational Health and Safety Management System – Specification
(OHSMS 18001/18002)
– Safety aspects – Guidelines for their inclusion in International Standards (ISO/IEC Guide 51)
Grundlagen der Normierung
– Guidelines for the justification and development of management system standards (ISO/IEC Guide 72)
– Risk management – Vocabulary – Guidelines for use in International
Standards (ISO/IEC Guide 73)
– Statistics, Vocabulary and symbols – Part 1: Probability and general
statistical terms (ISO 3534-1)
nächste Treffen in Wien stattfinden
wird. Im Jahr 2008 soll die neue Norm
veröffentlicht werden. Dann wird
erstmals eine Norm vorliegen, die im
internationalen Kontext die Anforderungen an ein Integriertes Risikomanagement gut erfüllen wird.
Neuer Denkansatz:
AS/NZS 4360:2004
Literatur
KPMG-Studie «Risikomanagement 2004»,
www.kpmg.ch/studien.
KPMG-Studie «Risikomanagement in deutschen
Unternehmen», 2003,
www.kpmg.de/library/pdf.
Da die ISO 25700 erst 2008 publiziert
werden wird, ist es sinnvoll, sich das
Ausgangsdokument dieser neuen
Norm zu vergegenwärtigen, um
einen Eindruck von diesem nationalen Standard zu bekommen (Grafik
auf Seite 10).
Als Erstes fällt bei der AS/NZS
4360:2004 auf, dass diesem Standard
ein sehr umfassender, unternehmensorientierter RM-Ansatz zu Grunde
liegt: Nicht nur Risikopotenziale,
sondern auch die Chancenpotenziale
9
08_mq_6_06_kuhn
24.5.2006
10:56 Uhr
Seite 10
MQ Business Excellence
RM-Prozess nach AS/NZS 4360
ESTABLISH THE CONTEXT
– The Internal Context
– The External Context
– The Risk Management Context
– Develop Criteria
– Define the Structure
IDENTIFY RISKS
ANALYSE RISKS
Identify existing controls
Determine
consequences
Determine
likelihood
Determine level of Risk
EVALUATE RISKS
– Compare against criteria
– Set priorities
Treat
Risk
No
Yes
TREAT RISKS
– Identify options
– Assess options
– Prepare and implement
treatment plans
– Analyse and evaluate residual risk
Quelle: AS/NZS 4360:2004 / HB 436:2004, p. 17
sollen gleichermassen erfasst, analysiert und in die unternehmerischen
Entscheidungsprozesse miteinbezogen werden. Neben dem Risiko-
MONITOR AND REVIEW
COMMUNICATE AND CONSULT
– What can happen?
– When and where?
– How and why?
management steht gleichwertig ein
Chancenmanagement und nur in der
Synthese beider Ansätze ergibt sich
eine verlässliche Grundlage für Unternehmen. Dieser Perspektivenwechsel, weg von den «reinen Risiken» (pure risk) – eine Risikodefinition, die im Safety-Management regelmässig verwendet wird – hin zur Perspektive der «spekulativen Risiken»
(speculative risk), ermöglicht eine
unternehmensorientierte Neuausrichtung des Risikomanagements.
Als Zweites zeigt sich, dass der
Erfassungshorizont des RM-Systems
sehr breit gewählt ist. Das Risikomanagement ist nach AS/NZS 4360 ein
Ansatz,
– der sich auf alle Risikotypen anwenden lässt.
– der sich auf alle (unternehmerischen) Organisationsformen anwenden lässt, unabhängig ihres
Typus, ihrer Grösse, ihrer Aktivitäten und ihres lokalen Umfeldes.
Als Drittes zeigt sich, dass der klassische RM-Prozess doppelt eingebettet
wird. Es sind insgesamt fünf Stufen,
die zum RM-Prozess gehören:
1. Establish the context
2. Identify the risk
3. Analyse the risk
4. Evaluate the risk
5. Treat the risk
Die Stufen (2) bis (5) gehören zu jedem klassischen RM-Prozess. Beim
ersten Prozessschritt (Establish the
context) allerdings, der das Ziel hat,
die Risikostrategie festzulegen, zeigt
sich, dass neben dem «Internal Context», der sich vor allem am Unternehmen orientiert, auch der «External Context» berücksichtigt wird. Dies
sind zum Beispiel all jene Personen
und Gruppen, die in einem gesellschaftspolitischen und wirtschaftlichen Umfeld durch die Risiken eines
Unternehmens betroffen sein können.
Dieser Context-Bezug bildet
sich auch auf der Ebene «Communicate and consult» ab. Diese Ebene interagiert mit dem ganzen RM-Prozess. Eine andere Parallelebene ist
«Monitor and Review», die ebenfalls
den ganzen RM-Prozess durchdringt.
Darunter fallen unter anderem Kontrolle und Dokumentation wichtiger
Geschäftsprozesse. Die Stärke des
Standards AS/NZS 4360 liegt darin,
dass er den Risikomanagement-Prozess in die Unternehmensprozesse
einbettet und auch den externen
Kontext – durch den Einbezug der
Stakeholder-Interessen – gut berücksichtigt.
Zusammenfassend kann festgehalten werden, dass die AS/NZS
4360:2400 ein Standard ist, der im Risikomanagement einen neuen Denkansatz repräsentiert. Die Chancen
stehen gut, dass auch die neue ISONorm 25700 diesen proaktiven und
integrativen Ansatz aufweisen wird –
und somit das Integrative Risikomanagement in Zukunft immer mehr zu
einer Selbstverständlichkeit wird. ■
Anzeige
10
MQ Management und Qualität 6/2006
Document
Kategorie
Kunst und Fotos
Seitenansichten
2
Dateigröße
159 KB
Tags
1/--Seiten
melden