Sorgfalt, gute Planung, Fachwissen und kommunikative Fähigkeiten müssen zusammenwirken
Kein Handeln ist ohne Risiko, aber ohne Chancen ist kein Fortschritt möglich, wobei das Ergreifen einer Chance mit Risiken verbunden sein kann. Dem Risiko aus dem Wege zu gehen ist daher nicht immer die richtige Strategie. Durch vorausschauendes Handeln versuchen wir, Risiken zu minimieren. Dabei helfen uns Erfahrung und systematisch-planerisches Handeln.
Dr. Wolfgang Kallmeyer liefert in der Fachbroschüre „Chancen nutzen, Risiken überwachen“ einen Überblick über den Stand des Wissens zum Thema „Risiken und Chancen“ aus normativer sowie rechtlicher Sicht. Hier erläutert er auch methodische Ansätze, um Risiken und Chancen zu ermitteln, zu bewerten und zu dokumentieren. QM-aktuell.de hat dem Autor einige Fragen gestellt.
qm-aktuell.de: Mit der ISO 9001:2015 hat die ISO das Thema Risiken und Chancen in ihre Managementsystemnormen aufgenommen. Heute fehlt diese Anforderung in keiner der wichtigen Zertifizierungsnormen wie ISO 14001 oder ISO 45001. Wie ist der Umsetzungstand nach ca. sechs Jahren gelebter Praxis einzuschätzen?
Da das Kapitel 6.1 „Maßnahmen zum Umgang mit Risiken und Chancen“ eines der zentralen Normenkapitel im Zertifizierungsverfahren ist, kommt kein Unternehmen um seine Behandlung herum. Die Frage ist, wie umfänglich und intensiv sich eine Organisation damit auseinandersetzt. Die Zertifizierung bewertet nur, ob eine Mindestumsetzung vorhanden ist. Wie gut geeignet und dauerhaft die Prozesse im Umgang mit Risiken und Chancen wirken, steht nicht im Fokus der Auditoren. Die Bandbreite an Lösungen, von vorbildlich bis hin zur Alibiveranstaltung für die Zertifizierungsauditoren, ist daher groß. Wichtig für den Erfolg ist, wie sich die Leitung zu diesem Thema positioniert. Normativ ist deren Beteiligung zwar nicht zwingend gefordert. Jede Unternehmensführung ist sich aber der Tatsache bewusst, dass realisierte Risiken den Erfolg der Organisation behindern oder gefährden. Gleiches gilt für nicht ergriffene Chancen. In der Praxis ist die Affinität zwischen Leitung und ISO-Normen nicht immer ausgeprägt. Bei dem Thema Risiken und Chancen besteht hinsichtlich einer Nutzen stiftenden Umsetzung noch Luft nach oben.
qm-aktuell.de: Welchen Nutzen haben die Unternehmen durch das Befassen mit ihren Risiken und Chancen gehabt und wo liegen die größten Defizite?
Mit dem Thema Risiko und Chancen musste man sich in den Unternehmen schon vor Aufnahme des Kapitels 6.1 in die ISO-Normen beschäftigen. Zumindest bei den Risiken erzwangen dies rechtliche Anforderungen (z. B. KontraG). Die Normenforderung machten den systematischen Umgang mit Risiken und Chancen unverzichtbar. Welche Risiken und Chancen betrachtet werden müssen, ist über das Kapitel 6.1 und die Verweise auf die Kapitel 4.1 und 4.2 vorgegeben. Zu den wesentlichen Feldern gehören die Risiken und Chancen, die von den Prozessen sowie den interessierten Parteien und dem Umfeld (Kontext) des Unternehmens ausgehen. Die Risiken und Chancen, die von den wesentlichen Unternehmensprozessen ausgehen, sind weitgehend erfasst und überwacht. Auch bei den interessierten Parteien, die direkte Kontakte zum Unternehmen haben, werden Risiken und Chancen regelmäßig ermittelt und nachvollziehbar dokumentiert. Weniger vollständig ist die Ermittlung bei den indirekten interessierten Parteien (z. B. Vorlieferanten von Lieferanten) und den Risiken, die aus dem Umfeld (z. B. Lieferketten) auf das Unternehmen einwirken. Ein weiterer Schwachpunkt ist die regelmäßige Erneuerung der Risiko- und Chancenbehandlung in einer sich ständig verändernden Welt. Diese erfolgt häufig nicht im gebotenen Umfang und mit der nötigen Tiefe.
qm-aktuell.de: Wo sehen Sie noch Potenzial, dieses Thema im Sinne der Norm zu verbessern, um den Nutzen für die Organisation zu erhöhen?
In allen Unternehmen dürfte nach sechs Jahren Praxis eine verwendungsfähige Grundlage vorhanden sein. Die Risiko- und Chancenbewertung sollte jedoch stärker mittels nachvollziehbarer Kriterien erfolgen, die an Messgrößen (z. B. monetärer Umsatzverlust) gekoppelt sind. Die Chancenbewertungskriterien sollten sich zum einen am Nutzen orientieren, den eine realisierte Chance mit sich bringt. Zum anderen sollten die Kriterien die Realisierungsvoraussetzungen betreffen, z. B. hemmende und fördernde Faktoren bei der Realisierung der Chance. Die Bewertung sollte nicht im stillen Kämmerlein von einer Person durchgeführt werden, sondern von kleinen kompetenten Teams, um die Qualität zu erhöhen. Sorgfalt, gute Planung, Fachwissen und kommunikative Fähigkeiten müssen darin zusammenwirken. Risiken und Chancen der höchsten Prioritätsstufe sollten in Führungsrunden thematisiert werden, um das Bewusstsein für die Bedeutung des Themas zu schärfen.
qm-aktuell.de: Welche Bedeutung wird das Thema Risiken und Chancen für Managementsysteme in der Zukunft entwickeln?
Der Umgang mit diesem Thema wird noch an Bedeutung gewinnen. Das Managen von Risiken und Chancen wird in einer globalisierten Welt mit hohen wirtschaftlichen Abhängigkeiten zu einem wichtigen Erfolgs- und Misserfolgsfaktor. Deshalb entwickelt und veröffentlicht die ISO zurzeit Normen zur Behandlung spezifischer Risiken und Chancen. Dazu gehört die ISO 22301:2020 „Sicherheit und Resilienz – Business Continuity Management System“, die sich mit der Widerstandsfähigkeit von Unternehmen gegen ungeplante äußere Einflüsse beschäftigt. Diese fallen in der Regel unter die Risikokategorie. Der Behandlung von Risiken hinsichtlich der Rechtskonformität widmet sich die ISO 37301: 2021 „Compliance-Managementsysteme – Anforderungen mit Leitlinien zur Anwendung“. Sie thematisiert Haftungsrisiken für das Unternehmen und seine Führung. Die Unternehmen lernen so, sich zunehmend prozessorientiert um Risiken und Chancen zu kümmern und dies als Kernprozess zu begreifen, der genauso erfolgskritisch ist wie z. B. die Entwicklung neuer Produkte und Dienstleistungen. Der zunehmende Trend zu integrierten Systemen, bestehend aus mehreren Managementsystemen, wird auch die Bedeutung einer integrierten Betrachtung von Risiken und Chancen fördern. Viele Risikoquellen wie z. B. Compliance, Märkte und Sicherheit sind in allen Managementsystemen zu finden und können bezüglich Risiken und Chancen auch systemübergreifend behandelt werden.
qm-aktuell.de: Welche etablierten Vorgehensweisen und Methoden helfen bei der Erfassung, Bewertung und Behandlung von Risiken und Chancen?
Dafür gibt es mit dem ISO-Leitfaden 31000 im Kapitel 6 „Prozess“ praxistaugliche Vorgaben, in welchen Schritten eine Risikobeurteilung und -behandlung durchzuführen ist. In der Praxis haben sich zwei Methoden der Risikobewertung etabliert. Die Methode nach Nohl bewertet mit den beiden Kriterien Eintrittswahrscheinlichkeit und Schadensausmaß. Bei der FMEA-Methode als drittes Kriterium noch die Entdeckungswahrscheinlichkeit des Risikos (vor Realisierung) hinzu, sie berücksichtigt dabei vorhandene Risikofrühwarnmaßnahmen. Daneben findet man in der Praxis weitere unternehmensspezifische Bewertungsmethoden. Ein Risiko kommt aber selten allein, Risiken können aufgrund kausaler Ereignisse miteinander verbunden sein. Wie sie sich untereinander beeinflussen oder welche Folgenketten sie in der globalisierten Weltwirtschaft haben, wird zurzeit in der auf Einzelrisken fokussierten Risikobehandlung nicht berücksichtigt. Ein Beispiel ist der Krieg in der Ukraine. Zu den Lieferengpässen in den Wertschöpfungsketten gesellt sich eine Ernährungskrise in anderen Weltregionen. Das Verknüpfen von Einzelrisiken zu einen Risikoszenario setzt als Lösung eine EDV-Unterstützung voraus. Entsprechende Softwarepakete werden auf dem Markt angeboten.
Wolfgang Kallmeyers Publikation ist am 01. Juni 2022 erschienen. Sie ist in gedruckter Form oder als E-Book lieferbar: „Chancen nutzen, Risiken überwachen – Strategien und Lösungen für integrierte Managementsysteme„
Kontakt zu Autor: wolfgang-k.kallmeyer@t-online.de