Risikomanagement - der Schlüssel für eine erfolgreiche Zukunft

Direkt zu:
Der Risikomanagementprozess - Risikomanagement in der ISO 9001:2015/ISO14001:2015 - Risiken in der Lieferkette - Unternehmenswerte schützen - Business Continuity



Globalisierung ist das Schlagwort dieses Jahrzehnts. Weltweite Chancen, Kostenvorteile und Gewinne locken. Wer bei diesem Spiel nicht mitspielen will oder kann, der gerät auf das Abstellgleis. Doch wo große Gewinne locken, da sind auch grosse Risiken nicht fern. Genau um diese und die Herausforderungen für das Qualitätsmanagement soll es hier gehen.

Klimawandel, IT-Ausfälle, spekulative Börsengeschäfte oder menschliches Versagen – die Liste potenzieller Gefahren für Unternehmen ist lang. Immer mehr Betriebe erkennen die Notwendigkeit, sich gegen globale Risiken abzusichern.

Mit dem gestiegenen Problembewusstsein haben sich auch die Instrumente und Verfahren für das Risikomanagement verbessert. Geeignete Standards oder Modelle ermöglichen es jetzt, bestimmte Risiken effektiver zu identifizieren und zu managen.

Die rechtliche Grundlage für das Risikomanagement wird durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) beschrieben. Es zwingt Organe von AGs und größeren GmbHs zu einem dokumentierten Risikomanagement. Ziel ist es, Existenz bedrohende Gefahren vom Unternehmen abzuwenden bzw. zu beherrschen.

Dazu ist es sinnvoll, einen umfassenden Ansatz zu wählen, der sämtliche auf das Unternehmen einwirkende Risiken mittels eines professionellen Risikomanagementsystems erfasst und steuert. Dieser Ansatz hilft auch dabei, das Versicherungsprogramm der Unternehmens zu optimieren.

Mit der ISO 31000 steht erstmals ein internationaler Leitfaden für das Risikomanagement zur Verfügung. Die ISO 31000 unterstützt Unternehmen unter Berücksichtigung strategischer und operativer Risiken bei der Einführung eines Risikomanagementsystems.

Ein weiterer wichtiger Aspekt ist die Risikoanalyse und Dokumentation der Prozessorganisation. Mit einem zertifizierten Managementsystem erfüllen Sie diesen Teil bereits ganz oder teilweise.

Risikomanagement ist ein fortlaufender Prozess
Planung, Umsetzung, Überwachung und Verbesserung finden kontinuierlich statt. (Demingkreis:“Plan, Do, Check, Act“). Das Risikomanagement soll über die gesamte Lebensdauer einer Organisation zur Anwendung kommen. Es soll dadurch eine neue Firmenkultur der Risikolenkung entstehen.

Der Risikomanagementprozess lässt sich zusammengefasst folgendermaßen beschreiben:

  • Indentifikation der Risiken 
  • Analyse hinsichtlich Eintrittswahrscheinlichkeiten und Auswirkungen 
  • Risikobewertung 
  • Risikobewältigung 
  • Risikoüberwachung mit Hilfe von Indikatoren (Kennzahlen)
  • Dokumentation 

Risikomanagementprozess

Risikomanagement in der ISO 9001:2015/ISO14001:2015

Grundsätzlich lässt sich sagen, dass die neu überarbeiteten Normen ISO 9001:2015/ISO14001:2015 weder formelle Methoden noch einen dokumentierten Risikomanagementprozess voraussetzen. Die ISO 9001:2015 fordert allerdings von Unternehmen und Organisationen mit Qualitätsmanagementsystemen, dass sie sich mit Risiken und Chancen befassen, und zwar mit solchen, die das Erreichen Ihrer Ziele beeinflussen können – positiv oder negativ.

Ziel ist, eventuelle Risiken durch gezielte Maßnahmen zu verringeren und Chancen aktiv zu nutzen.

Welche Risiko- und Chancenfaktoren dies im Einzelnen sind, kann das Unternehmen selbst bestimmen. Insofern hat das Unternehmen Gestaltungsfreiheit hinsichtlich der Struktur des Risikomanagements und kann selbst entscheiden, was es als sinnvoll erachtet. Geändert gegenüber den älteren Versionen hat sich allerdings auch die Rolle der Unternehmensführung, die nun eine wesentliche Rolle im Risikomanagement einnimmt. Ein Delegieren auf Qualitätsmitarbeiter ist nicht mehr möglich.

Risiken in der Lieferkette: sind Sie vorbereitet?

Der Lieferantenaudit, oder auch Kundenaudit, ist eine Sonderform des Audits bestimmter Fragmente oder des gesamten Managementsystems einer Organisation. Es ist nicht zu verwechseln mit dem Audit beispielsweise eines integrierten Managementsystems (z.B. ISO 9001). Der Lieferantenaudit kann sich z.B. auf einzelne technische oder organisatorische Bereiche des Lieferanten beschränken. Hier wären zum Beispiel zu nennen: die Rückverfolgbarkeit, den Einkauf von Rohstoffen, den Fertigungstoleranzen, der Logistik oder Hygiene. Oftmals wird der Lieferantenaudit auch im Rahmen eines KVP (kontinuierlicher Verbesserungsprozess) eingesetzt. Die dabei angestrebte Verbesserung der Beziehungen zwischen Kunden und Lieferanten ist einer der Erfolgsfaktoren im „Kaizen“ geworden.

Im Januar 2011 kenterte der mit Säure beladene Tanker „Waldhof“ im Rhein. Hunderte Schiffe stauten sich zu beiden Seiten der Unglücksstelle, der Schiffsverkehr wurde erst vier Wochen später wieder uneingeschränkt freigegeben. Zahlreiche Unternehmen waren durch die Lieferverzögerungen von Betriebsunterbrechungen betroffen. Die wenigsten wurden von ihrer Versicherung entschädigt, da sie dieses Risiko nicht abgedeckt hatten. Im Zeitalter der Globalisierung wird dasjenige Unternehmen überleben, das sich die günstigsten und strategischen Absatz – und auch Beschaffungsmärkte weltweit sichert. Gerade diese Unternehmen weisen dann aber hinsichtlich ihrer Lieferketten das höchste Risiko auf, da sie i.d.R. die höchste Komplexität aufweisen. Auf der anderen Seite steigen die Risiken. Nie zuvor gab es solch zahlreiche und drastische Naturkatastrophen und politische Unruhen wie in jüngster Zeit. Und der Kapitaleinsatz und damit die Gefahr eines ausserordentlichen Verlustes steigen. Containerschiffe, Logistiklösungen und Produktionsanlagen erreichen immer neue Grössenordnungen und Automatisierungsgrade, um Effizienzsteigerungen zu garantieren. Zusammenfassend kann man sagen, dass sich am Horizont ein Risikopotential von nie dagewesenem Ausmaß zusammenbraut. Denn die Entwicklung hat eine enorme Geschwindigkeit, geht nahezu lautlos vonstatten und die Unternehmen werden sich der gewaltigen Risiken erst dann bewusst, wenn der Schadensfall bereits eingetreten ist. Vorfälle in der Textilbranche wie der Gebäudeeinsturz in Sabhar (2013), der mehr als 1000 Menschen das Leben gekostet hat, haben die Rolle von Audits entlang der Lieferkette ( supply chain ) statt lediglich der unmittelbaren Lieferanten (Tier-1-Liefernat) stärker in den Vordergrund gerückt.

Um Risiken in Chancen zu verwandeln, besteht der erste Schritt darin, die Sicherheitsrisiken der eigenen Lieferkette zu erkennen.

LRQA unterstützt Unternehmen, Risiken zu erkennen und zu beherrschen. Von der Grundlage für das Risikomanagement, der ISO 9001, über Sicherheit in der Lieferkette und Business Continuity, dem Management von Betriebsunterbrechungen, liefert LRQA mit ihrer risikobasierten Auditmethodik die richtigen Methoden und Werkzeuge.

Unternehmenswerte schützen

Um die Kapitalwerte zu schützen und den Warenfluss zu erleichtern, müssen Sie vermutlich eine Reihe von Vorgaben oder gesetzlichen Anforderungen erfüllen, beispielweise AEO, C-TPAT, ISPS oder TAPA. Auch unsichtbare Werte wie das Image/Marke oder der Wert der Firmenaktien spielen im Zeitalter globaler Vernetzung und Massenmedien eine brisante Rolle. Man denke in diesem Zusammenhang an die Unfälle in Kambodscha in der Bekleidungsindustrie und die Folgen für die Vermarktungsunternehmen in Europa und in den USA.

Erstes ISO 28000-Zertifikat weltweit

LRQA ist weltweit führend bei der Zertifizierung nach ISO 28000 (Sicherheit in der Lieferkette) sowie nach ISO 27001 (IT-Sicherheit). Hinzu kommen Lieferantenaudits, Schwachstellenanalysen (Capability Assessments) und die Ausbildung von Auditoren. Übrigens: Als erste Zertifizierungsgesellschaft weltweit hat LRQA ein Zertifikat nach ISO 28000 ausgestellt.

Business Continuity

Eine weiterer Risikoaspekt ist, dass ein Unternehmen wahrscheinlich eher indirekt von Katastrophen als direkt betroffen ist. Schon die Produktionsausfälle eines Vorlieferanten oder eines Vor-Vorlieferanten können dafür sorgen, dass ein Unternehmen die eigene Produktion nur eine gewisse Zeit aufrechthalten kann. Dann stehen die Bänder still, aber die Kosten laufen weiter. Ausschlaggebend dafür sind unterschiedliche Faktoren wie die starke Abhängigkeit von IT-gestützten Prozessen, von Öl und Rohstoffen und von den extrem störanfälligen globalen Lieferketten. Wenn Sie sich fragen, wie Sie Ihr Unternehmen möglichst effektiv gegen Ausfälle schützen können, dann gibt es eine Lösung: Business Continuity.

Ein Konzept - mehr Sicherheit 

Das Konzept des Business Continuity Management hilft, ein leistungsfähiges Notfall- und Krisenmanagement zur Bewältigung definierter Ausnahmesituationen aufzubauen und aufrechtzuerhalten. Ziel ist es, vitale Geschäftsprozesse so abzusichern, dass der Betrieb bei kritischen Zwischenfällen nicht bzw. so kurz wie möglich unterbrochen wird.

Vorteile von Business Continuity

  • keine oder deutlich kürzere Betriebsunterbrechung
  • Minimierung der Verluste durch Fixkosten
  • Minimierung von Lieferverzug oder -ausfall sowie dadurch verursachte Vertragsstrafen
  • Minimierung der Verluste auf Seiten der Kunden
  • Vermeidung bzw. Begrenzung von Imageschäden

Business Continuity Zyklus
Der Business Continuity Zyklus zeigt, wie für einen Betrieb und seine Mitarbeiter ein individueller Notfallplan erstellt wird.

Business Continuity Management bezeichnet den Aufbau eines leistungsfähigen Notfall- und Krisenmanagements, so dass wichtige Geschäftsprozesse selbst in kritischen Situationen oder Notfällen gar nicht oder nur temporär unterbrochen werden. Damit bleibt die wirtschaftliche Existenz des Unternehmens gesichert.

Der Ablauf im Einzelnen
So erstellen Sie für Ihren Betrieb und für Ihre Mitarbeiter einen individuellen Notfallplan. Machen Sie Betroffene zu Beteiligten – beziehen Sie Ihre Mitarbeiter in das System ein: 

  1. Definieren Sie BCM-Strategie und Hauptziele. 
  2. Legen Sie fest, welche Prozesse existenziell für den Erhalt des Betriebsablaufs sind und wie lange diese maximal unterbrochen werden dürfen. Setzen Sie entsprechend Prioritäten für die Wiederherstellung der Prozesse und fassen Sie diese in einem Plan zusammen.
  3. Legen Sie Schlüssel-Risiken fest und binden Sie sie in den Notfallplan ein.
  4. Erstellen Sie einen unternehmensspezifischen Handlungs- und Notfallplan, der folgende Punkte umfasst: 
    • Verantwortlichkeiten während und nach dem Zwischenfall 
    • interne und externe Kommunikation 
    • Vorgehensweise beim Verlust von Schlüsselpersonal 
  5. Kommunizieren Sie intern (Schulung der Mitarbeiter). 
  6. Testen Sie die Pläne in verschiedenen Szenarien, bezogen auf die definierten Risiken.
  7. Überprüfen Sie Ihr Business-Continuity-Konzept und überarbeiten Sie die Pläne.
  8. Kommunizieren Sie extern.

ISO 22301
Man sollte sein Business Continuity Management auf den Prüfstand stellen. Die ISO 22301 ist ein anerkanntes Zertifikat nach dem internationalen ISO-Standard. Dadurch wird gegenüber Kunden und Dritten nachgewiesen, dass ein Unternehmen Betriebsunterbrechungen managen kann. Auch die Versicherungsdeckung lässt sich hierdurch optimieren.

Risiko ist systemimmanent

Nach Kondratjew durchläuft die Weltwirtschaft immer wiederkehrende Zyklen, die gegen Ende eines Zyklus durch schwere wirtschaftliche Turbulenzen geprägt sind. Der Mechanismus eines solchen Zyklus ist immer gleich, wenn auch die Ausprägungen und Wirkungen unterschiedlich und zeitadäquat sind. So ist das Krisenjahr 2008 nach einhelliger wissenschaftlicher Meinung das Ende eines solchen Zyklus. Sicher ist also, die nächste Krise kommt.

Weiter Informationen erhalten Sie unter Lloyds Register Deutschland GmbH, Carl.Ebelshaeuser@lrqa.com, 0221- 96 75 77 05