Samstag, 17. Dezember 2011

Die Buchempfehlung für Qualitätsmanager

Unser Qualitätsverständnis ist mit unverständlichen Normen standardisiert. Qualität ist Quotenkalkül des mathematischen Quotienten aus Erfüllung und Erwartung ausgedrückt durch möglichst hochprozentige Kundenzufriedenheit, die oft nicht mehr und nicht weniger bedeutet als der relative Anteil von Kunden, der nicht reklamiert hat. Es gab einst etwas Anderes vor der Erfindung der Qualität. Man kann es mit Meisterschaft bezeichnen.

In seinem Essay Lob der Meisterschaft hat der Japaner Tanizaki Jun'ichiro  das Verständnis des Meisterhaften und Meisterlichen in Worte gefasst. Es geht um Funktion und um Perfektion. Es ist sowohl "form follows function" als auch "function follows form". Der Meister entscheidet, wie weit er Material, Design, Entwicklung, Konstruktion und Produktion als Einheit treibt bis er selbst zufrieden ist. Er setzt den Maßstab der Anforderung und er müht sich um die Erfüllung seines Maßstabs. Er ist der Meister. Solche Meisterstücke gibt es durchaus noch und wieder nicht nur im handwerklichen, sondern auch im industriellen Bereich. Nicht nur in Japan, sondern auch in Deutschland und anderswo. Manche dieser Gegenstände (Es widerstebt mir, sie Produkte zu nennen.) sind minimalistisch im Design und maximalistisch in der Funktion. Sie sind in sich selbst widerspruchsfrei und kommen mit ihrem Nutzer zu einer Einheit. Sie sind nicht mit einer Kennzahl für Qualität zu beurteilen. Sie entziehen sich erst recht einer kostenbezogenen Qualitätsmessung oder -bewertung. Sie haben keine Marktpräsenzdauer und keinen Modellzyklus, die kürzer als die gesetzliche Gewährleistungsfrist für Produkte sind. Nicht die "cost of ownership" ist ihr Kriterium, sondern der "benefit of use". Es gibt solche Gegenstände. Es gibt eine solche Selbstverwirklichung eines Meisters. Und es gibt geneigte Menschen, die solche Gegenstände und ihre Meister schätzen.

Und es gibt diesen lesenswerten Essay in deutscher Übersetzung vom Manesse Verlag. Garantiert frei von der Normensyntax und Normensemantik der DIN EN ISO 9001.

Mittwoch, 7. Dezember 2011

Die Filmempfehlung für Risikomanager

Einem geneigten Leser verdanke ich diese Filmempfehlung für Risikomanager / Risikoanalysten:

"... und dann kam Polly" / "... along came Polly" - mit Jennifer Aniston und Ben Stiller (Universal Studios, Universal City, 2004)

Bringt die treffenden Analysen über das extrem gefährliche Leben: Z. B. "Jede siebte Erdnuss an einer Bar weist Spuren von Urin auf."

Eine Empfehlung zur Fort- und Weiterbildung während der besinnlichen Jahreszeit bezüglich des Lebens - ganz ohne Testat und Zertifikat / ganz ohne ISO-Normen nur mit den ungeschriebenen Gesetzen des Lebens. Legendär die Kennzahlen zur Optionsbeurteilung von Polly und Lena mit einer Risikoanalysesoftware.

Montag, 21. November 2011

Risiko: Rohstoffverfügbarkeit

In den letzten Monaten rückten sie wiederholt in das Medieninteresse: Rohstoffe und ihre Verfügbarkeit. Aus der Sicht der Industrie und Wirtschaft geht es um
  • Mengen
  • Preise
  • Termine
sowohl für strategische Rohstoffe für neue Technologien (Stichwort: Seltene Erden) als auch für operative Rohstoffe im Sinne von Commodities (Stichwort: Öl). Risiken dieser Verfügbarkeit resultieren aus möglichen fehlenden Mengen, möglichen nicht einzuhaltenden Lieferterminen und möglichen ungeplanten Preisen.

Es sind nicht nur "Die Grenzen des Wachstums" (Meadows, 1972), deren wichtigste Aussage war, dass Ressourcen endlich sind. Die Endlichkeit der Ressourcen ist kein Risiko, sondern ein Fakt. Mit der Endlichkeit der Ressourcen werden Politik und Kriege gemacht. Neben den politischen Risiken eines Global Sourcing von Rohstoffen kommen vermehrt auch Risiken aus Preisbildungen an Rohstoffbörsen, die offensichtlich nicht mit realer Ware, sondern mit virtueller Ware handeln. Vermehrt wird Handel mit Optionen auf Ware von Marktteilnehmern getrieben, die weder Erzeuger, noch Verbraucher geschweige denn klassischer Händler sind.

Das Steinbeis-Transferzentrum CER - Chemical Economics Research - von Prof. Dr.-Ing. Rolf Jakobi nimmt sich speziell dieser Thematik an. Es ist zu finden unter: http://www.cer-stw.com/.

Sonntag, 13. November 2011

Risikomanagement: Für wen oder was und wozu warum ???

Die Antwort ist ganz einfach:
  • Risikomanagement wird für zukünftige Werte des Unternehmens gemacht, die als Ziele geplant sind, und deren Erreichen durch ungewisse und zukünftige Ereignisse unsicher ist.
  • Risikomanagement wird für die Interessierten an diesen Werten gemacht.
  • Risikomanagement schafft Gewissheit über Ungewissheit.
Es gibt viele verschiedene Werte und die entsprechenden verschiedenen Interessierten und das entsprechende verschiedene Risikomanagement.

Übrigens: Ein Sachverhalt wird erst durch einen oder mehrere Interessierte zu einem Wert für den oder die Interessierten.
Und: Ein Ziel ist nichts anderes als ein virtueller Fixpunkt in der Zukunft.

Donnerstag, 20. Oktober 2011

ρ: Wahrscheinlichkeit und φ: Häufigkeit

Zusammenhang von Wahrscheinlichkeit und Häufigkeit am Beispiel des Würfelspiels

Beim Würfelspiel liegt eine Gleichverteilung der 6 Ereignisse "1", "2", "3", "4", "5", "6" vor. Das klassische Spiel mit dem Würfel, um das Ereignis "6" (eine "6" zu würfeln) zeigt, wie Wahrscheinlichkeit und Häufigkeit zusammenhängen:
Die mittlere statistische Wahrscheinlichkeit ρ des Ereignisses "6" ist:

 ρ = 1/6 ~ 0,1667 = 16,67 %.

Die Wahrscheinlichkeit ρ bedeutet, dass der nächste Wurf mit der Wahrscheinlichkeit 1/6 zum Ereignis "6" führt. Die Wahrscheinlichkeit ρ ist eine systeminvariante und spielinvariante Größe des Würfels. Das Ergebnis gilt für jeden (idealen und nicht manupulierten) Würfel und für jedes Spiel.

Es ist damit nichts darüber ausgesagt, wie oft das Ereignis "6" in einer Minute oder in einer Stunde oder an einem Tag vorkommt. Es hat nichts damit zu tun, ob schnell (viele Ereignisse pro Zeiteinheit) oder langsam gespielt wird (wenige Ereignisse pro Zeiteinheit).

Die mittlere zeitliche Häufigkeit φ kann mit einer zusätzlichen Information berechnet werden. Die Zusatzinformation ist zum Beispiel, dass in 60 Minuten = 1 Stunde 120 Ereignisse (Es wird 120 mal gewürfelt.) stattfinden. Die mittlere zeitliche Häufigkeit φ des Ereignisses "6" ist in diesem Beispiel:

 φ = 120 * ρ = 20.

Die Häufigkeit φ bedeutet, dass das Ereignis "6" mit der Häufigkeit 20 Mal pro 60 Minuten = 20 Mal in der Stunde eintritt. Die Häufigkeit φ ist eine spielvariante Größe.
Das Ergebnis ist nur gültig für eine bestimmte Anzahl von Ereignissen pro Zeiteinheit und damit von der Geschwindigkeit des Spiels abhängig.

Diese Betrachtungen gelten nur für eine "große Anzahl" von Ereignissen entsprechend des statistischen Gesetzes der großen Zahlen.

Wahrscheinlichkeit ρ und Häufigkeit φ sind Kennzahlen des Spiels.

Freitag, 7. Oktober 2011

Risikomanagement trifft Wissensmanagement







... click on above document to enlarge ...

Abstract Beitrag zum Steinbeis Tag 2011
(Pangritz, Jan-André; Master Thesis; FFHS;
Juli 2011: "Wissensmanagement als Strategie
zur Sicherung des immateriellen Wertes
Wissen.")
     

Sonntag, 2. Oktober 2011

Carl Friedrich Gauss randomly visiting Monte Carlo running Excel normal distribution II

oder: Was geschieht, wenn zwei Risiken zusammenkommen?

Problem: Risikoaggregation - Wie groß ist das Gesamtrisiko, wenn zwei Einzelrisiken zusammenkommen?
Das aller-einfachste Beispiel: Zwei Risiken aggregieren - Risiko des Verkaufspreises; Risiko des Einkaufspreises;
Sachverhalt grundsätzlicher Art: Einkauf (en gros) und (Wieder-)Verkauf (en detail) sind jeweils mit Preisrisiken verknüpft.
Annahmen: Der Einkaufspreis einer Ware EK sei um den Mittelwert m=15 € mit einer Standardabweichung von s=3 € "normal" verteilt. Der Verkaufspreis der Ware VK sei um den Mittelwert m=20 € mit einer Standardabweichung von s=7 € "normal" verteilt.
Frage: Wie ist der Gewinn P/L=VK-EK verteilt?
Lösung: Monte Carlo Modellrechnung für P/L mit 10.000 Szenarien von "normal" verteilten Zufallsvariablen (Excel).
Ergebnis: Grafiken der EK-Verteilung, VK-Verteilung, P/L-Verteilung
Diskussion: Die Eigenschaften des Ergebnisses der Modellsimulation sind zu untersuchen und zu verstehen. Das sei dem Leser überlassen!
Bezug zu Normen: Die Norm IEC/ISO 31010:2009 Abschnitt B.25 führt Monte Carlo als eine Technik der Risikobeurteilung an.



Donnerstag, 8. September 2011

Gauß Verteilung / Gauss'sche Normalverteilung I



















Die Normalverteilung kann als ein Maßstab für die Messung einer zufälligen Größe genutzt werden. Die Messung dieser Größe (es bedarf mehrerer / vieler Messungen mehrerer / vieler Ereignisse) liefert den Mittelwert m und die Standardabweichung s dieser zufälligen Größe. Die Standardabweichung s ist eine Kennzahl für Ungewissheit.

Dienstag, 30. August 2011

Risikopolitik, Risikomanagementpolitik

Die Norm ISO 31000:2009 verwendet den Begriff "Risikomanagementpolitik". Ich bevorzuge den Begriff "Risikopolitik".

Es sollte im Unternehmen in Form einer Politik formuliert sein: Der Umgang mit Risiko. Wie für Unternehmenspolitiken üblich, gibt es drei Themenbereiche in der Risikopolitik:
  • Ziele
  • Strategien
  • Maßnahmen
In diesen drei Kategorien wird Risikomanagement geplant. Diese Planung ist der erste von vier Schritten des PDCA-Zyklus (Plan - Do - Check - Act).

Die Risikomanagementpolitik ist in der Norm ISO 31000:2009 im Abschnitt 2.4 wie folgt definiert:
"Darlegung der allgemeinen Absichten und Ausrichtungen einer Organisation im Zusammenhang mit dem Risikomanagement."

Montag, 22. August 2011

Integration Qualitäts- und Risikomanagement

Die Norm DIN EN 9100:2009 Qualitätsmanagementsysteme - Anforderungen an Organisationen der Luftfahrt, Raumfahrt und Verteidigung - zeigt einen (von mehreren möglichen) Wegen, Risikomanagement in das oder besser mit dem Qualitätsmanagement zu integrieren. Diese Norm ist formal sehr ähnlich der Norm ISO 9001:2008 aufgebaut und enthält "verschärfte" und "konkrete" Anforderungen an das Unternehmen. Dieser Weg der Integration erfolgt mit einen Risikomanagementprozess, der in den Prozess der Produktrealisierung (Kap. 7 der Norm DIN EN 9100:2009) integriert ist. Konsequenterweise ist dieses Risikomanagement zunächst sehr auf die Produktrealisierung und die entsprechende Wertschöpfung ausgerichtet. Es ist sinnvoll, an dieser Stelle einen generischen Risikomanagementprozess nach der Norm ISO 31000:2009 zu nehmen, der seinerseits von den Grundsätzen, sowohl integriert zu werden als auch Werte im Fokus zu haben, bestimmt wird. Dieses Risikomanagement wird nach der Norm ISO 31000:2009 an den Kontext der Organisation angepasst. Ein derartig integriertes Risikomanagement läßt sich natürlich mit der Zertifizierung der Norm DIN EN 9100:2009 problemlos mit zertifizieren.

Samstag, 13. August 2011

Gewissheit über Ungewissheit

Ein tibetisch/buddhistisches Kloster im Himalaya.

...
Schüler: Was ist Ungewissheit?
Meister: Das Leben, das vor Dir liegt, ist Ungewissheit.
Schüler: Kann ich Gewissheit über das Leben erlangen?
Meister: Du kannst Gewissheit über Ungewissheit erlangen.
Schüler: Wie kann ich Gewissheit über Ungewissheit erlangen?
Meister: Lebe Dein Leben.
...

Aus der Erinnerung an ein Gespräch mit einem tibetischen Mönch in Ladakh (1983).

Freitag, 5. August 2011

Wer oder was bitte ist ein Risikoeigner?

Die Norm ISO 31000 definiert den "Risikoeigner" / "risk owner" in Kapitel 2.7 als eine "Person oder Stelle mit der Verantwortung und Befugnis, hinsichtlich eines Risikos zu handeln." Zur Verantwortung und Befugnis kommt natürlich noch die Befähigung, die in der Norm an dieser Stelle nicht erwähnt wird. 

Einem Risikoeigner ist also ein möglicher, zukünftiger Unwert übertragen.

Um diese Verantwortung aus einer anderen Perspektive zu sehen:
Jeder Verantwortliche für Ziele übernimmt mit den Zielen die Verantwortung für den Prozess mit Ressourcen und Potenzialen, für das Ergebnis, für die Qualität des Ergebnisses, für das Risiko der Ergebnisse.

Das ist eine Gesamtverantwortung für Werte. Einen Risikoeigner zu definieren ist aus dieser Perspektive völlig unnötig.

Ein Abtrennen von Verantwortungen für Risiko, Qualität, usw. von der Verantwortung für Werte ist totaler Blödsinn. Ein Risikomanagement und ein Qualitätsmanagement sind nichts anderes als eine Perspektive des Wertemanagements. Manche sagen auch vornehm integriertes Risikomanagement / integriertes Qualitätsmanagement dazu.

Samstag, 30. Juli 2011

Ein und dasselbe Risikomanagement für Alle ? Nein !!!

Risikomanagement sichert das Erreichen von Zielen und damit zukünftiger Werte. Das ist die naheliegende Interpretation der Definition von Risiko nach der ISO 31000 "Risiko ist die Auswirkung von Unsicherheit auf Ziele".

Je nachdem, welche Werte einem Risikomanagement unterworfen werden, hat es andere Inhalte. Der generische Risikomanagementprozess (nach Kapitel 5 der Norm ISO 31000) ist immer derselbe. Der Rahmen (nach Kapitel 4 der Norm) mag individuell und verschieden sein. Die Grundsätze (nach Kapitel 3 der Norm) mögen individuell und verschieden sein.

So sind die Werte, die einem Risikomanagement in einer börsennotierten AG unterworfen werden die finanziellen Werte aus Sicht der Aktionäre. Die Werte, die ein ein Eigentümerunternehmer einem Risikomanagement unterwirft, werden anders priorisiert sein. Entsprechend werden diese Risikomanagements verschieden sein. Trotz einer Standardisierung durch Normen und andere Praktiken.

Freitag, 22. Juli 2011

Risikomanagement, Sicherung, Versicherung, Schutz: Alles ein und dasselbe?

  • Risikomanagement in Bezug auf geplante Ziele
  • Schutz einer betrieblichen Immobilie
  • Versicherung gegen Elementarschäden
  • Finanzrisikoprodukte zur Fixierung eines Wechselkurses
Nein! Diese Dinge gehören zwar zusammen, sind aber nicht ein- und dasselbe, sind aber auch nicht immer eindeutig und einfach voneinander abzugrenzen.

Eine klare Abgrenzung ist die folgende:

Risikomanagement sichert das Erreichen zukünftiger (imaginärer) Werte.
Versicherungen und Schutzmaßnahmen sichern gegenwärtige (reale) Werte.
Finanzrisikoprodukte sichern das Erreichen zukünftiger (imaginärer) Werte.

Natürlich lassen sich auch Versicherungen und Schutzmaßnahmen semantisch unter Risikomanagement in Bezug auf zurünftige Werte definieren. Die Sprachregelung ist flexibel.

Freitag, 15. Juli 2011

Risikokennzahlen für Anfänger

Kennzahlen bemessen einen Sachverhalt mit Zahlen. Zu einer Kennzahl gehören eine Definition und ein Messverfahren. Risikokennzahlen sind Kennzahlen für Risiko und bemessen Risiko als virtueller, möglicher Sachverhalt in der Zukunft.

Es gibt -zig Kennzahlen für Risiko, für ein Einzelrisiko oder für ein Ensemble / Portfolio von Risiken, über die bereits Enzyklopädien geschrieben sind.

Eine Kennzahl für ein Risiko einen Fehler betreffend, ist die Risikoprioritätenzahl RPZ aus der FMEA-Methodik (ISO 31010:2009 B13). Hier steht Risikomanagement im Dienst von Qualitätsmanagement.

Zwei Kennzahlen, bzw. ein Kennzahlenpaar für ein Risiko sind die beiden Koordinaten, welche die klassische zweidimensionale Risikomatrix (ISO 31010:2009 B29) aufspannen, die Auswirkung (ISO 31000:2009 2.18) als Kennzahl für den Schaden/Verlust und die Wahrscheinlichkeit als Kennzahl für die Unsicherheit/Ungewissheit (ISO 31000:2009 2.19) korreliert.

Der Auswirkung (ISO 31000:2009 2.18) kommt als Kennzahl für den Bruttoschaden ("worst case scenario") eine besondere Bedeutung bei und proviziert den Gedanken, was geschieht, wenn dieser Bruttoschaden morgen eintritt.

Anstelle der Wahrscheinlichkeit (ISO 31000:2009 2.19) wird häufig die Häufigkeit als Kennzahl für die Unsicherheit genommen (sh. Post vom 25.06.2011).

Gefragt sind oft Kennzahlen für die Gesamtheit mehrerer relevanten Risikopositionen. Diese sind nur in trivialen Fällen eine arithmetische Summe der Einzelrisiken. In realen Fällen sind es statistische Summe, die aus eine Modellannahme der Wahrscheinlichkeitsverteilungen der Einzelrisiken und ihres Zusammenwirkens durch numerische Rechnungen vom Typ Monte Carlo (ISO 31010:2009 B.25) berechnet wird. Die Kennzahl Value-at-risk ist der prominente Vertreter dieser Kategorie. Ich warne davor, diese Kennzahl zu benutzen, ohne sie zu verstehen! (Testfrage: Wie groß ist das Gesamtrisiko bestehend aus einem "großem" Risiko eines Wissensverlusts und einem "kleinen" EUR/CHF-Währungsrisiko?)

Oft wichtiger als eine absolute Kennzahl für ein Einzel- oder ein Gesamtrisiko sind relative Kennzahlen, die es gestatten, Risiken miteinander zu vergleichen, und die es ermöglichen, Änderungen von Risiken zu verfolgen.

Donnerstag, 7. Juli 2011

Steinbeis-Transferzentrum (STZ) Risikomanagement - neue Webseite

Die neue Webseite des Steinbeis-Transferzentrum Risikomanagement ist bei Google gehosted:

https://sites.google.com/site/risikomanagementsteinbeis/home

Der Grund für Google ist einfach: Simplicity als Gegenteil von Complexity!

Sonntag, 3. Juli 2011

Die deutsche und die österreichische Sprache der Norm ISO 31000 ...

Der österreichische Titel (ÖNORM ISO 31000:2010):
"Risikomanagement - Grundsätze und Richtlinien"

Der deutsche Titel (E DIN ISO 31000:2011):
"Risikomanagement - Grundsätze und Leitlinien"

... in den beiden Normtexten kommt es noch "besser" ...

Noch Fragen?

Bitte stellen Sie Ihre Fragen auf deutsch oder auf österreichisch, aber bitte nicht an mich!

Ich habe nur eine Frage:
Ist es ein Risiko, nur entweder die deutsche oder die österreichische Norm zu kennen?

Samstag, 25. Juni 2011

Denkfehler: statistische Wahrscheinlichkeit / zeitliche Häufigkeit oder Frequenz

Die statistische "%"-Denke:

Die statistische Wahrscheinlichkeit des Eintritts eines bestimmten Ereignisses von 16 2/3 % (willkürliches Beispiel) aus einem Ensemble von Ereignissen sagt aus, dass aus einer "sehr großen" Anzahl von Ereignissen "im Mittel" 16 2/3 von 100 Mal dieses bestimmte und erwartete Ereignis eintritt. Diese statistische Wahrscheinlichkeit sagt nichts darüber aus, in welchem Zeitraum diese Ereignisse eintreten. (Das hängt davon ab, wie schnell gewürfelt wird :-) !) Diese statistische Wahrscheinlichkeit sagt nicht aus, dass von den nächsten 100 Ereignissen 16 2/3 Ereignisse definitiv diese bestimmte und erwartete Eigenschaft haben.
(Das Beispiel wird konkret an dem Ereignis Würfeln mit der Erwartung des bestimmten Ereignisses eine bestrimmte Zahl zu würfeln.)


Die zeitliche "f"-Denke:

Die zeitliche Häufigkeit oder Frequenz "2 Mal pro Jahr" (willkürliches Beispiel) des Eintritts eines bestimmten Ereignisses sagt aus, wie oft in einem vorgegebenen Zeitraum dieses bestimmte, und erwartete Ereignis eintritt. Diese zeitliche Häufigkeit oder Frequenz sagt nichts darüber aus, wieviele Ereignisse das gesamte Ensemble umfasst. (Das gesamte Ensemble von Ereihnissen ist für diese Aussage nicht spezifiziert). Die zeitliche Häufigkeit oder Frequenz sagt nichts darüber aus, dass zwischen zwei Ereignissen definitiv ein zeitlicher Abstand von 6 Monaten liegt. Die zeitliche Häufigkeit oder Frequenz sagt nicht aus, dass im nächsten Jahr 2 Ereignisse definitiv eintreten.

Die zwei "Denken" sind ohne weitere Annahmen nicht ineinander umrechenbar. Das ist / wäre ein Denkfehler.

Samstag, 18. Juni 2011

Mit an Sicherheit grenzender Wahrscheinlichkeit ...

... wird es sie auch weiterhin geben:

Die wiederkehrenden Worthülsen zu Risiko:
  • das kalkulierbare / unkalkulierbare Risiko
  • das kalkulierte / unkalkulierte Risiko
  • das beherrschbare / unbeherrschbare Risiko
  • das verantwortbare / unverantwortbare Risiko
  • das tragbare / untragbare Risiko
  • das bekannte / unbekannte Risiko
  • die 100 %ige Sicherheit, die es nicht gibt
  • die Risiken aus der Ungewissheit der zukünftigen Entwicklung
  • no risk no fun
  • zu Risiken und Nebenwirkungen fragen Sie Ihren ...
Übrigens: Viele dieser Worthülsen werden als Argumente für oder gegen etwas genutzt. Das sollte nachdenklich stimmen.

Donnerstag, 9. Juni 2011

ISO 31000: Keine Anforderungen sondern Empfehlungen

Es ist eines der großen und aktuellen Missverständnisse, dass die Norm ISO 31000 Anforderungen stellt!
  • Die Norm ISO 31000 gibt Empfehlungen!
Zur Erinnerung: Die Norm ISO 9001 stellt Anforderungen!
Anforderungen stellen und Empfehlungen geben sind etwas ganz Verschiedenes:
  • Gestellten Anforderungen muss man entsprechen.
  • Gegebenen Empfehlungen sollte man folgen.
Der Unterschied wird klar, wenn man prüft, was die Folgen sind, wenn man gestellten Anforderungen nicht entspricht bzw. gegebenen Empfehlungen nicht folgt.



Semantik in Normen der ISO

Verbindlichkeit

Ausdruck
Beispiel
englischdeutschenglischdeutschNorm
requirementAnforderungshallmussISO 9001
recommendationEmpfehlungshouldsollteISO 31000

Tabelle


Natürlich kann ein Stakeholder die Anforderung stellen, dass ein Unternehmen ein Risikomanagement "entsprechend" der Norm ISO 31000 betreibt, und einen Nachweis verlangen. Dann wird es richtig interessant! Da gibt es mehrere Möglichkeiten ... .

Freitag, 3. Juni 2011

Form der Norm oder Norm der Form: Zur Integration von Managementsystemen nach ISO Normen

Die ISO 9001:2008 ("Qualitätsmanagement") hat acht Kapitel. Der Qualitätsmanagementprozess ist über vier Kapitel 5, 6, 7 und 8 beschrieben.

Die ISO 14001:2009 ("Umweltmanagement") hat vier Kapitel. Der Umweltmanagementprozess ist im Kapitel 4 beschrieben.

Die ISO 31000:2009 ("Risikomanagement") hat fünf Kapitel. Der Risikomanagementprozess ist in Kapitel 5 beschrieben.

Ganz zu schweigen davon, dass die Abbildungen in diesen Normen weder standardisiert / normiert noch "richtig gut" sind.

Zur Hilfe für die Integration bietet die ISO in aller Hilflosigkeit Korrespondenztabellen für vergleichbare Inhalte in verschiedenen Kapiteln an. So zum Beispiel den berühmten Anhang in der Norm ISO 14001:2009 - mit "informativem" Charakter zu "Korrespondenzen" zur ISO 9001:2008.

Es wäre an der Zeit, mit den kommenden Revisionen der Normen, die "Form der Norm" mit einer "Norm der Form" zu vereinheitlichen.

Nicht ganz einfach, da es ja auch noch die ISO 9000:2005 gibt, die man vor der ISO 9001:2008 lesen sollte, was keiner tut. Oder die ISO 9004:2009, die "unternehmerischte" = am meisten unternehmerische Norm der Normenreihe 900X.

Aber nützlich, da das Thema Integration wesentlich einfacher zu realisieren wäre, wenn man den Quatsch mit den Korrespondenztabellen endlich nicht mehr als Lesehilfe, Verständnishilfe oder Integrationshilfe brauchen würde.

Übrigens: Man kann seinem Integrierten Managementsystem natürlich jetzt schon eine Struktur geben, die einfach und generisch ist; man muss dazu nicht auf die "Joint Vision" aus dem Dunstkreis der ISO für zukünftige "Management System Standards" von 2012 oder später warten! Das gibt es alles schon.

Freitag, 27. Mai 2011

Risiko bewältigen, beherrschen, steuern, behandeln, managen, ...

Der Prozessschritt der Norm ISO 31000:2009 5.5 Risikobewältigung / Risk Treatment ist in der Norm textlich nur kurz im Subkapitel 5.5.1 ausgeführt und erwähnt mehrere Möglichkeiten. Es gibt mehr oder weniger brauchbare Eselsbrücken, wie z. B. "tara" = "transfer, avoid, reduce, accept", mit denen man sich solche Eselsbrücken merken kann oder soll.

Genau genommen gibt es nur eine einzige Möglichkeit:
  • Risiko verändern
Dabei umfasst diese Veränderung alles, was zwischen und jenseits dieser folgenden zwei Eckpunkte
  • Risiko völlig auf "Null" bringen
  • Risiko nicht verändern
machbar ist. Dazu gehören auch die Möglichkeiten
  • Risiko verringern 
  • Risiko vergrößern (§)
die eben nichts anderes sind, als Risiko zu verändern.

Ob jetzt Risiko mit oder ohne Selbstbeteiligung versichert wird, ob seine Wahrscheinlichkeit reduziert wird oder seine Folge reduziert wird, ob ein (finanzielles) Sicherheitsprodukt erworben wird, welches eine (finanzielle) Unsicherheit reduziert, ob ein Risiko völlig vermieden wird: Alles passt in die Aussage: Risiko verändern.

(§) p. s. Natürlich gibt es die Möglichkeit, Risiko zu vergrößern, und das wird aucht gemacht, wenn es gute Gründe dafür gibt (aber das ist ein anderes Thema!).

Freitag, 20. Mai 2011

Was ist der generische Risikomanagementprozess ?

Wir wollen unter "generisch" so etwas wie "grundlegend" und "allgemeingültig" verstehen. Der generische Risikomanagementprozess findet sich als zugrundeliegendes Muster in allen Risikomanagementprozessen wieder. Der generische Risikomanagementprozess besteht aus drei Teilschritten.

  1. Was und in welchen Zusammenhängen ist Risiko? - context
  2. Wie wird Risiko beurteilt / bewertet / gemessen? - assessment
  3. Wie wird Risiko gesteuert / bewältigt / beherrscht? - treatment

In Schritt 1 wird "das System" festgelegt und das, was in diesem System Risiko ist.
In Schritt 2 wird eine Eigenschaft (oder mehrere Eigenschaften) von Risiko als Kriterium für seine Bedeutung ermittelt.
In Schritt 3 wird festgelegt, wie Risiko entsprechend seiner Bedeutung verändert (oder auch bewahrt) werden kann.

Diese 3 Schritte finden sich in den Kapiteln 5.3, 5.4, und 5.5 des Risikomanagementprozesses aus der Norm ISO 31000:2009. Diese 3 Schritte finden sich in allen erst zu nehmenden Konzepten eines Risikomanagementprozesses, wie  Normen (z. B. IEC 62198, ISO 14971, ISO 27005) und Standards (z. B. COSO) ohne Normstatus.

Alles andere an einem Risikomanagementprozess ist nicht generisch, sondern spezifisch. Dazu gehören auch Konzepte, wie PDCA und kvp. Dazu gehören disziplinäre Spezifizierungen. Dazu gehört die Einbindung in ein strategisches Konzept einer Risikopolitik. Dazu gehören Kommunikation und Dokumentation.

Samstag, 7. Mai 2011

Risikomanagement, Risikomanagementprozess mit PDCA und kvp

Risikomanagementprozess nach der ISO 31000 mit kvp und PDCA



Die Abbildung 2 im Normtext der ISO 31000:2009 ist eine etwas unglückliche Häufung von Text, genaugenommen von Überschriften von Sub-Kapiteln und von Sub-Sub-Kapiteln des Kapitels 4 der Norm.

In dieser Abbildung 2 ist verlorengegangen, dass dort der PDCA-Zyklus des Risikomanagements / Risikomanagementsystems beschrieben wird. Darum zeige ich hier dieselbe Abbildung nach dem Schema:

[P] der Plan ist im Wesentlichen die Risikopolitik
[D] die Umsetzung erfolgt als Risikomanagementprozess
[C] die Prüfung / Bewertung (Audit) gilt z. B. Effektivität und Effizienz
[A] die Entscheidung und Handlung (Managementbewertung) dient der Verbesserung im Sinne von kvp

PDCA sind die entsprechenden Unterkapitel 4.3, 4.4, 4.5 und 4.6 der ISO 31000:2009.

Über den Begriff des "Rahmens" habe ich mich hier am 31.03.2011 ausgelassen.

Sonntag, 1. Mai 2011

immaterielle / nicht-materielle Risiken

Was wir eh schon alle wussten, und was die Norm ISO 31000 über Risiko in etwas anderer Weise ausdrückt ...

Es gibt natürlich nicht nur finanzielle und materielle Risiken sondern auch immaterielle Risiken.

Meine Definition (... gerade noch verträglich mit der Definition von Risiko nach der Norm ISO 31000 ...):

Ein immaterielles Risiko ist möglicher und zukünftiger Verlust von immateriellem Wert bezogen auf ein geplantes immaterielles Werteziel. (kleine Hilfe: Wird das Wort "immateriell" durch "finanziell" ersetzt, ist diese Definition sofort jedem verständlich.)

Wir machen ein Budget immaterieller Werte und betrachten die Perspektive Risiko. Wie für finanzielle Werte einer Organisation ein finanzielles Budget gemacht wird, kann analog auch ein immaterielles Budget für immaterielle Werte gemacht werden.

Das mit dem Budget und dem Risiko kann man schnell und einfach mal als Gedankenspiel ansetzen für typische immaterielle Werte, wie zum Beispiel für das Wissen einer Organisation als immaterieller Wert oder für die Kultur einer Organisation als immaterieller Wert. Man bekommt aus einem solchen Gedankenspiel wichtige und neue Impulse für das Management von Wissen oder das Management von Kultur oder das Management anderer immaterieller Werte.

Samstag, 23. April 2011

Risiko in Projekten / Projektrisikomanagement

Wenn nach der ISO 31000:2009 gilt:

"Risiko ist die Wirkung von Ungewissheit auf Ziele."

Dann sind Risiken verbunden mit den Projektzielen.

Die klassischen drei Dimensionen der Projektziele sind:
  • Leistung
  • Termin
  • Kosten
Entsprechend gibt es:
  • Risiken, welche die Leistungen beeinflussen ( ... was?
  • Risiken, welche die Termine beeinflussen ( ... wann? )
  • Risiken, welche die Kosten beeinflussen ( ... wieviel? )
Diese drei Risikodimensionen sind in allen großen und kleinen Projekten zu managen. Sie sind nicht voneinander unabhängig. Sie sind - insbesondere bei großen Projekten - schwierig zu ermitteln. Über sie kann endlos diskutiert werden.
(sh. z.B. Großprojekte, wie Stuttgart 21. Scherzhafte Frage: "Hat Heiner Geißler jemals über Normen und Standards des Projektrisikomanagements gesprochen?" Ernsthafte Antwort: "Soviel zur Bedeutung von Normen zu Risikomanagement in Projekten!").

Ein Vorgehen nach Normen für Risikomanagement (z. B.: ISO 31000:2009) und für Risikomanagement in Projekten (z. B.: DIN IEC 62198:2002) ist hilfreich, oder kann hilfreich sein. Insbesondere wenn das Risikomanagement für Projekte in das unternehmensweite Risikomanagement integriert ist.

Ein Vorgehen nach Praktiken ( ... die keine Normen sind ... ) des Projektrisikomanagements ist hilfreich, oder kann hilfreich sein. Ich denke da an Praktiken des missionarischen US-amerikanischen PMI oder an Praktiken des betulichen deutschen GPM. Ich mache keines Aussage darüber, welche der Praktiken "besser" ist.

Donnerstag, 14. April 2011

IEC / ISO 31010:2009 - Risk Assessment Techniques

Die Norm beschreibt Techniken der Risikobeurteilung. Sie ist für mich unvollständig und durcheinander!

Diese Norm ist kein Werkzeuggebinde und kein Schweizermesser für Risikomanagement, sondern ein Wühltisch für Techniken, die man auch im Risikomanagement einsetzen kann (Ich sage bewusst nicht: "nutzen kann".). Weder die textliche Aufarbeitung noch die graphische Gestaltung sind aus einem Guss. Die Techniken sind in unterschiedlicher Tiefe beschrieben: Eine Anwendung der Technik in der Praxis ist mit der Darstellung zumeist nicht möglich. Die Techniken sind in verschiedener Weise bebildert: Eine Übertragung der Technik auf konkrete Fälle ist schwierig.
Zudem beschränkt sich diese Norm auf Techniken der Risikobeurteilung / Risk Assessment nach Kapitel 5.4 der Norm ISO 31000:2009. Wo sind die Techniken der Risikobewältigung / Risk Treatment nach Kapitel 5.5 der Norm ISO 31000:2009?

Es ist zuwenig, wenn FMEA (Abschnitt B.13) nur oberflächlich beschrieben wird.
Es ist zuwenig, wenn die klassische Risikomatrix (Abschnitt B.29) dürftig bebildert wird.
Es nett (was ist nicht alles nett :-), wenn die Einsatzbereiche von Monte Carlo (Abschnitt B.25) skizziert werden.
Es ist gefährlich, wenn nicht klar wird, ob mit Risk Indices (Abschnitt B.28) nun Kennzahlen gemeint sind oder nicht.
Bleibt der Trost, dass Brainstorming beschrieben ist (Abschnitt B.1) und man mit dieser Anleitung das Gehirn über diese Norm stürmen lassen kann.

Etwas Verständnis für die Unzulänglichkeiten dieser Norm habe ich durchaus: Es ist sehr schwer, generische Techniken für Risikomanagement zu beschreiben, wenn die aktuellen Risiken, die zu Schäden "materialisiert" sind, so verschieden sind, wie die folgenden Beispiele:
  • Verlust und Schaden aus spekulativem Finanzgeschäft
  • Verlust und Schaden infolge von Fehlern und mangelnder Qualität
  • Verlust und Schaden aus Ereignissen infolge von Naturgefahren
  • Verlust und Schaden infolge von Vorspiegelung falscher Tatsachen
u.v.a.m.

Montag, 11. April 2011

Risikomatrix - Ikone des Risikomanagements / Produkt aus dem Risikomanagementprozess

Sie hat es auf die Titelseiten von Monographien gebracht. Sie ziert Logos von spezialisierten Beratungsgesellschaften. Sie ist eine Berichtsform aus praktisch jeder Risikomanagementsoftware - was auch immer Risikomanagementsoftware ist. Sie wird von internationalen Normen (IEC / ISO 31010:2009) als Werkzeug und Methode - kritiklos - empfohlen. Die zweidimensionale Risikomatrix. Sie ist Programm und (Zwischen)- "Produkt" eines Risikomanagements zugleich. Sie ist das Ergebnis des Prozesschritts "Risiken bewerten" des Risikomanagementprozesses.

Ihr liegt das Verständnis zugrunde, Risiko kann in zwei Komponenten (Wirkungsausmass und Eintrittswahrscheinlichkeit oder Häufigkeit eines Ereignisses) zerlegt werden. Ihr liegt das Verständnis zugrunde ihre beiden Komponenten miteinander kombiniert - der Einfachheit halber miteinander multipliziert - ergeben wieder Risiko. (Ob das uneingeschränkt richtig ist oder ob es immer sinnvoll - was nichts mit richtig zu tun hat -  ist, klammere ich hier bewusst aus.)

Sie gibt es halb-quantitativ mit Bewertungen durch Worte entlang der beiden Koordinidatenachsen. Sie gibt es voll-quantitativ mit Bewertungen durch Zahlen in bester Kennzahlenmanier entlang der beiden Koordinatenachsen. Und natürlich können diese Achsen in jeder Manier von linear bis logarithmisch skaliert werden.

Sie schlägt mit ihrer Verwandtschaft zur dreidimensionalen FMEA-Matrix eine Brücke zwischen Risiko- und Qualitätsmanagement, die sehr hilfreich für das Verständnis ist.

Sie kann spielen, und tut das auch sogar in einigen der großen DAX-Unternehmen, die zentrale Rolle in der Kommunikation und in der Dokumentation von Risiken in der Praxis des Betriebs von Risikomanagement.

Ich halte mal positiv fest: An der Risikomatrix lässt sich wirklich gut über Risiko reden. Das ist nie falsch.

Dienstag, 5. April 2011

ISO 31000 - Umsetzung durch Integration; Nachweis der Umsetzung durch Zertifizierung - Zertifikat / Testierung - Testat


ISBN  3-8169-3062-4



























Ich hatte einige Anfragen zu den Themen Integration und Zertifizierung von Risikomanagement nach der ISO 31000:2009. Als eine erste Referenz kann ich auf mein aktuelles Buch verweisen, welches neben diese Themen - ergänzend zu einen Durchgang durch alle fünf Normkapitel - anspricht.

Daneben verweise ich auf einige der vorausgegangenen Posts, in denen schon "sehr viel" drin steht.

Freitag, 1. April 2011

Gewissheit über die Ungewissheit oder Gewissheit ?

Risiko ist ein Merkmal von Systemen, welches die Ungewissheit ihres Zustands in der Zukunft beschreibt. Risikomanagement sind Aktivitäten, die Risiken verändern. Der minimale generische Risikomanagementprozess hat drei Schritte:

1. Risiko definieren und identifizieren.
2. Risiko beurteilen.
3. Risiko steuern.

Der Schritt 1 identifiziert und schafft Zusammenhänge.
Der Schritt 2 schafft (mehr oder weniger) Gewissheit über die Ungewissheit.
Der Schritt 3 schafft (bei Erfolg) (mehr oder weniger) Gewissheit.

Der Risikomanagementprozess nach der Norm ISO 31000:2009 macht im Kern nichts anderes als diese drei Schritte und bringt eine Peripherie von Kommunikation, Dokumentation, Überwachung, Überprüfung, usw. mit.

Dienstag, 29. März 2011

Risikomanagement nach der ONR 49000 ! Wozu ?

Die österreichischen Normenregel ONR 49000 (eine Normenregel ist keine Norm!) empfahl und empfiehlt sich noch immer als "Umsetzung der ISO 31000 in der Praxis".

Das mag von gewissem Interesse gewesen sein, als es den Normtext der ISO 31000 noch nicht "offiziell" in deutscher Sprache gab.

Das mit der Praxis war schon immer eine etwas fragwürdige Aussage, da Risikomanagement immer in der Praxis umgesetzt wird und dabei entweder den Anforderungen einer Norm entspricht (Anforderungsnorm) oder den Grundsätzen und Leitlinien einer Norm folgt (Leitliniennorm) oder andere, kommunizierte und dokumentierte Praktiken (Standards) berücksichtigt. Umsetzung ist immer Praxis!

Die Umsetzung eines Risikomanagements bezog sich schon immer auf ein oder mehrere bestimmte Risikofelder für die es gilt, konkrete Festlegungen und Zusammenhänge zu identifizieren und zu erstellen, um die Risiken managen zu können. Risikomanagement ist vom Selbstverständnis immer integriert, was im Normtext der ISO 31000 als Grundsatz auf der Prozessebene explizit formuliert wird.

Ob die Zertifizierung der Umsetzung eines Risikomanagements einen Nutzen bringt, muss individuell und situativ betrachtet werden. Die ONR 49000 positioniert sich selbst zur Zertifizierung eines Risikomanagements. Die ISO 31000 positioniert sich selbst als nicht zur Zertifizierung vorgesehen.

Natürlich kann eine Umsetzung eines Risikomanagements nach der ISO 31000 zertifiziert werden - und wird auch zertifiziert, nämlich dort, wo es Nutzen bringt: In einem Integrierten Management. In der Praxis.

Integration / Integriertes Management / Risikomanagement / Wertemanagement

Sachlagwort und Paradigma zugleich: Integration / Integriertes Management

Ein starker Inpuls dazu geht von der ISO 31000:2009 aus. In ihrem Kapitel 3 Grundsätze formuliert sie den Grundsatz:

b) Risikomanagement ist Bestandteil aller Organisationsprozesse.

Der Grundsatz zieht implizit nach sich:
- Die ISO 31000 und damit ein Risikomanagement kann und soll nur in einem Integrierten Management / Risikomanagement erfolgen.
- Risikomanagement ist das Management der Perspektive "Risiko" aller Prozesse.
- Risikomanagement ist insbesondere das Management der Perspektive "Risiko" des Wertschöpfungsprozesses.

Risikomanagement, welches sich auf alle Prozesse (eines Unternehmens) bezieht, ist ein unternehmensweites Risiko- management / ERM - Enterprise Risk Management. Risikomanagement, welches sich auf einen Prozess (z. B. der IT-Prozess) bezieht, ist ein fokussiertes und differenziertes Risikomanagement.

... und plötzlich ist das Verständnis von Integriertem Management ganz einfach ...

... egal ob integral, integriert, integrierend, integrativ, ...

Montag, 21. März 2011

ISO 31000: Was bitte ist ein (englisch) Framework (deutsch) Rahmen ?

Nun wird ein globales Autorenteam, wie die Macher der internationalen Norm ISO 31000, wohl nie einen der renommierten Literaturpreise bekommen ...

Andererseits habe ich in diesem Blog schon mehrfach auf die Probleme von uneindeutiger Semantik und unscharfer Übersetzung hingewiesen. Das (englische) Clause 4 Framework und das entsprechende (deutsche) Kapitel 4 Rahmen bringen im Titel die Begriffe (englisch) Framework und (deutsch) Rahmen in die Diskussion. Framework, bzw. Rahmen weden im (englischen) Clause 2 Terms and Definitions und im (deutschen) Kapitel 2 Begriffe langatmig und umständlich definiert, so dass ich auf die Wiedergabe der Definition verzichten will. Man kann Framework als Rahmen übersetzen oder als Rahmenbedingungen interpretieren. Anstelle von (englisch) Framework und (deutsch) Rahmen rücken in der praktischen Anwendung der Norm die ganz konkreten Sachverhalte Risikomanagementpolitik und Risikomanagementsystem in einander ergänzendem Verständnis in den Vordergrund. In der Logik folgt dann (englisch) Clause 5 Process und (deutsch) Kapitel 5 Prozess der Risikomanagementprozess. Der Normtext verwendet den Begriff Risikomanagementsystem explizit nie, sehr wohl aber den Begriff Risikomanagementpolitik.

Ich würde Risikopolitik gegenüber Risikomanagementpolitik den Vorzug geben. Das wäre brauchbar, denn wir reden von Unternehmenspolitik und von Qualitätspolitik, sowie von Managementsystem, Qualitätsmanagementsystem und Risikomanagementsystem.

Die deutschen Übersetzungen orientieren sich an dem Entwurf E DIN ISO 31000:2011 vom Januar 2011.

Mittwoch, 16. März 2011

ISO 31000: Zertifizierung / Testierung oder nicht ?

Die Norm ISO 31000:2009 erklärt sich selbst im Normtext Kapitel 1 Anwendungsbereich als "Diese Internationale Norm dient nicht zum Zweck einer Zertifizierung.". Das ist die eine halbe Wahrheit. An anderer Stelle (in Kapitel 3 Grundsätze) erklärt sie Risikomanagement als "b. Risikomanagement ist Bestandteil aller Organisationsprozesse". Das ist die andere halbe Wahrheit.

Daraus ergeben sich für eine Zertifizierung die folgende Praktiken:

(1) Risikomanagement nach der Norm ISO 31000 wird in einem Integrierten Managementsystem z. B. zusammen mit dem Qualitätsmanagement nach der ISO 9001 (und ggfls. mit den weiteren üblichen Verdächtigen "14001" und "18001") zertifiziert. Dieses Verfahren wird im Mittelstand bei GmbHs häufig angewandt.

(2) Risikomanagement wird vom Wirtschaftsprüfer entsprechend den standardisierten Prüfverfahren testiert. Dieses Risikomanagement kann (und soll sinnvollerweise) nach den Grundsätzen und Richtlinien der Norm ISO 31000 umgesetzt werden und muss die entsprechenden Merkmale des Prüfungsstandards enthalten. Dieses Verfahren wird bei AGs, welche Risikomanagement aus Forderungen des Aktiengesetzes und des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich betreiben, angewandt. Die meisten dieser Umsetzungen von Risikomanagement in AGs sind konform zu den Grundsätzen und Richtlinien der Norm ISO 31000 ohne dies explizit zu erwähnen. Das gilt auch für viele Umsetzungen von Risikomanagement, die vor der Veröffentlichung der Norm ISO 31000 erfolgt sind.

Gegenwärtig prüfen viele Unternehmen, welche Impulse sie aus einem Risikomanagement nach den Grundsätzen und Richtlinien der Norm ISO 31000 erhalten und ob und wie eine Zertifizierung Sinn macht.

AGs müssen aufgrund gesetzlicher Forderungen ein Risikomanagement umsetzen, welches testiert wird. Dieses Risikomanagement muss nicht explizit der Norm ISO 31000 folgen.

GmbHs können ein Risikomanagement umsetzen, welches nicht unbedingt zertifiziert werden muss. Dieses Risikomanagement muss nicht explizit der Norm ISO 31000 folgen.

Zur Erinnerung: Ein Unternmehmen muss nicht (aufgrund gesetzlicher Forderungen), kann aber (aufgrund anderer Forderungen, z. B. Markt- und Kundenforderungen) ein Qualitätsmanagement umsetzen. Ein solches Qualitätsmanagement kann bzw. muss der Norm ISO 9001 und / oder anderen branchenspezifischen Standards folgen.

Sonntag, 13. März 2011

Anfängerfehler: Operative Hektik anstelle souveräner Professionalität

Manager, die im Unternehmen den Auftrag haben, Risiko- management einzuführen, erliegen der Versuchung, in operative Hektik zu verfallen. Sie suchen eine Umsetzung eines Risikomanagements entlang des standardisierten Risikomanagementprozesses (nach der Norm ISO 31000:2009), die aus wenigen prägnanten Formblättern besteht, die ihren Höhepunkt in einer mehr oder weniger quantitativen, auf jeden Fall aber graphischen Präsentation einiger Risiken im Format der klassischen Risikomatrix (nach der Norm ISO / IEC 31010:2009) hat.

Sie vergessen, dass mit einer solchen Risikomatrix noch kein Risiko gemanagt ist.

Sie vergessen, dass eine solche Risikomatrix beziehungslos zur Unternehmenspolitik steht, da ihr keine integrierte Risikopolitik zugrunde liegt.

Sie vergessen, dass ein solches Vorgehen lediglich den Prozessschritt 5.4 Risikobeurteilung umfasst, dieser Risikomanagementprozess aber aus sieben Schritten besteht und der gesamte Risikomanagementprozess nur eines von fünf Normkapiteln der ISO 31000 ausmacht.

Sie merken nicht, dass ein solches "quick 'n' dirty" Vorgehen, sich sofort auf den operativen Risikomanagementprozess zu stürzen, selbst ein Risiko für das Unternehmen ist. Ein solches Vorgehen steht im Widerspruch zu den Grundsätzen nach Kapitel 3 und zum Rahmen nach Kapitel 4 der Norm ISO 31000:2009. Es steht darüber hinaus im Widerspruch zu allen explizit und implizit bekannten "besten Managementpraktiken".

Qualitätsmanagement ist Risikomanagement

Wenn wir uns die "medien-prominenten" Schadensfälle bei Produkten von Technologieunternehmen der letzten Jahre anschauen, dann sind sie eine Folge von mangelhafter Qualität.

Es ist offenbar ein Risiko, Qualität nicht sicherstellen zu können!

Die "Qualitätsmanagementnorm" ISO 9001:2008 behandelt das Thema der "mangelhaften Qualität" unter dem Stichwort "Fehler" und "fehlerhaftes Produkt" in den Normkapiteln 8.3 und 8.5.

Die "Risikomanagementnorm" ISO 31000:2009 erwähnt ihrerseits in ihren Normkapiteln 3 Grundsätze und 5.4.3 Risikoanalyse den Begriff Qualität bzw. Produktqualität.

Konsequenterweise ist in vielen Technologieunternehmen das Qualitätsmanagement in Bezug auf die "Produktrealisierung" (ein Begriff der Norm ISO 9001:2008) organisatorisch in das Risikomanagement eingebunden.

Qualitätsmanagement ist Risikomanagement.

Samstag, 5. März 2011

(K)ein klassisches Problem des Risikomanagements

Es sollen Risiken aggregiert werden, was auch immer Aggregieren ist. Schnell ist klar, dass Aggregieren etwas anderes ist, als Addieren. Man kann nur Äpfel und Äpfel oder Birnen und Birnen addieren, nicht aber Äpfel und Birnen, da sie "verschiedener Natur" sind.

Wie sieht das aus bei zwei (oder mehr) Risiken unterschiedlicher Natur? Ein strategisches Risiko plus ein operatives Risiko plus ein finanzielles Risiko! Gibt es dafür eine Gesamtrisiko- position? Wenn ja, gibt es dafür ein Verfahren der Aggegation? Schnell ist klar, dass es wohl auch im Verständnis von Risiko als Wirkungsausmass * Eintrittswahrscheinlichkeit des entsprechenden Ereignisses kein Verfahren nach einer Metrik im System der Grund- rechenarten sein wird, da die Eintrittswahrscheinlichkeit nur in idealen und theoretischen Fällen durch eine einzige reale Zahl darstellbar ist. In realen und praktischen Fällen muss eine Verteilungsfunktion für die Eintrittswahrscheinlichkeit her woher auch immer. Womit nicht die Frage angesprochen ist, ob und welchen Sinn es macht, Risiken "verschiedener Natur" zu aggregieren.

Die Lösung des Problems gebe ich hier nicht!

Mittwoch, 2. März 2011

Ein klassisches Problem des Risikomanagements

Der Sachverhalt ist einfach: Ein Schadensereignis zieht ein Sachadensausmass von 1.000.000 Euro nach sich und tritt gemäss früherer Erfahrungen einmal in fünf Jahren ein. Was betrachtet der Risikoverantwortliche?

a) Er "kalkuliert" damit, dass durchschnittlich ein jährlicher Schaden von 200.000 Euro eintritt.

b) Er "kalkuliert" damit, dass bereits "morgen" ein Schadensfall mit dem Ausmass 1.000.000 Euro eintritt.

Die Lösung des Problems gebe ich hier nicht!

(Risk) Management by Traffic Light

- rot - gelb - grün -

Die globalen, universellen Farben für Zustände eines Sachverhalts, z. B.: Risiko:
rot: Sachverhalts ist im roten Bereich - sofortige Handlungsnotwendigkeit (Bedrohliches Risiko wird mittels Sofortmaßnahmen gesteuert.)
gelb: Sachverhalt ist im gelben Bereich - laufende Handlungsnotwendigkeit (Relevantes Risiko wird entsprechend eines Risikoziels und einer Risikostrategie gesteuert.)
grün: Sachverhalt ist im grünen Bereich - keine Handlungsnotwendigkeit (Geringes Risiko wird überwacht.)

Die Ampelfarben sind Attribute, die Risiken priorisieren und  Handlungen fordern. Nicht mehr und nicht weniger. Ganz einfach.

(Risk) Assessment by Cockpit Navigation

Ein modernes Cockpit zur Navigation eines Mobils "zu Lande, zu Wasser oder in der Luft" zeigt aktuelle Kenngrößen, wie
  • Zeit und Ort (geographischen Koordinaten) IST,
  • [- es IST (actual time) 12:00 Uhr, ich bin in Stuttgart -]
und zukunftsbezogene Kenngrößen, wie
  • geplante Zielankunft SOLL (Zeit und Ort)
  • [- ich SOLL (planned time of arrival) um 14:00 Uhr in Frankfurt sein -]  
  • prognostizierte Zielankunft WIRD (Zeit und Ort)
  • [- es WIRD (estimated time if arrival) 14:20 Uhr, bis ich in Frankfurt bin -]
an.

Das Spannende ist das Dreieck der Navigation aus dem Ziel SOLL (in der Zukunft), der Prognose WIRD (in die Zukunft) und dem Start IST (in der Gegenwart). Die Ungewissheit steckt in der Prognose. Die Ungewissheit steckt nicht im Ziel. Das Ziel ist gewiss. Das Ziel ist nicht mehr und nicht weniger, als ein Bezugspunkt. Die Prognose ist ungewiss. Die Prognose ist eine zukunftsbezogene Abschätzung des Ergebnisses. Die Abweichung zwischen Ziel und Prognose ist eine (von mehreren) Messgrößen für das Risiko, das Ziel nicht zu erreichen. Eine zweite Messgröße (komplementär zur ersten) für das Risiko ist die Wahrscheinlichkeit, mit welcher der Eintritt der Prognose bewertet wird. Mit diesen beiden Messgrößen sind wir im bekannten Verständnis, dass Risiko eine Verknüpfung einer Abweichung von einem Ziel mit der Wahrscheinlichkeit des Eintritts dieser Abweichung ist.

Wobei das Navi wohl die Prognose der Zielerreichung als Zeitpunkt gibt (estimated time of arrival), sich bei der Wahrscheinlichkeit der Prognose zurückhält. Oder gibt es bereits die Verspätungs- durchsage "Unser Zug WIRD mit 20 minütiger Verspätung und mit 75 prozentiger Wahrscheinlichkeit in Frankfurt eintreffen." ?

Sonntag, 27. Februar 2011

Integration: ISO 31000:2009 und ISO/IEC 27005:2008

Alle reden darüber. Wenige machen es. Die Integration von differenzierten und spezialisierten Risikomanagementsystemen in einem unternehmensweiten Risikomanagement, welches seinerseits in das Wertschöpfungsmanagement des Unternehmens integriert ist. Denn beim Risikomanagement geht es um die Sicherung von Werten, ganz gleich ob aktuell vorhandene oder zukünftig geplante Werte.
So ist die ISO/IEC 27005 spezialisiert und fokussiert auf Daten in einem IT-System, während die ISO 31000 integriert und generisch die Top-Level Norm für Risikomanagementsysteme ist.
Nicht zufälligerweise sind die Risikomanagementprozesse der ISO 31000 und der ISO/IEC 27005 fast identisch. Nicht zufälligerweise folgen die beiden Normen derselben Logik und Systematik. Integration hat nicht die subtilen Unterschiede, sondern die substanziellen Gleichheiten zum Gegenstand.
Ein spezialisiertes Risikomanagement nach der ISO/IEC 27005 ist in ein unternehmensweites Risikomanagement nach der ISO 31000 zwanglos zu integrieren.
Wir zeigen in einem Seminar der qSkills GmbH in Nürnberg [link zur Homepage] am 16. und 17.05.2011, wie es geht:

GRC03: Integration von Risikomanagement-Systemen ISO27005/31000


Freitag, 25. Februar 2011

ISO 9001:2008 - Warum kein offenes und klares Bekenntnis zur Integration ?

Integration - Im Text der Norm ISO 9001:2008 liest man wenig Brauchbares. Es wird in der Einleitung Abschnitt 04 mit der Überschrift "Verträglichkeit mit anderen Managementsystemen" auf die Verträglichkeit des Qualitätsmanagements mit anderen Managementsystemen hingewiesen und darüber geschrieben, das Qualitätsmanagementsystem mit in Beziehung stehenden Managementsystemen in Einklang zu bringen. Im Anhang A 1 (informativ) wird auf "Entsprechungen zwischen ISO 9001:2008 und ISO 14001:2004" hingewiesen. Die entsprechende Tabelle ist das aktuelle Vehikel für die Integration von Qualitätsmanagement- systemen und Umweltmanagementsystemen und liegt der Zertifizierung des entsprechenden Integrierten Managementsystems zugrunde.

Integration - Im Bild der Norm sieht man Brauchbares (sh. Bild 1 aus der Norm ISO 9001:2008): Qualitätsmanagement ist eine Perspektive auf die Wertschöpfung (im Bild "Produkterstellung" genannt). Dieses Bild zeigt deutlich auf der Prozessebene, wie Qualitätsmanagement in die Prozesse der Organisation integriert ist.

Integration - Die Norm ISO 31000:2009 sagt in ihrem Clause 3 Principles unter [Zitat] "b) Risk management is an integral part of all organizational processes." Das ist ein brauchbarer und belastbarer Grundsatz, der wesentlich bestimmter ist, als die vagen Aussagen in der ISO 9001:2008.

Die ISO 9001:2008 und die ISO 31000:2009 korrespondieren in diesem hergebrachten Sinne nicht miteinander. Die Integration ist nicht mit einer Tabelle zu bewerkstelligen, sondern mit dem Verständnis, dass Risiko und Qualität zwei komplementäre Perspektiven auf die Wertschöpfung sind. Dann ist alles, wie es sein muss: Ganz einfach!

Dienstag, 22. Februar 2011

Was ist / macht eigentlich ein Risikomanager oder ein Risikomanagementbeauftragter ?

Die internationale Norm ISO 31000:2009 kennt weder einen Risikomanagementbeauftragten (wo doch die Norm ISO 9001:2008 einen Beauftragten der obersten Leitung, eben den BoL als QMB, den Qualitätsmanagementbeauftragten kennt und definiert) noch einen Risikomanager (auch die ISO 9001:2008 kennt keinen entsprechenden Qualitätsmanager). Die Normenregel ONR 49003:2010 kennt und definiert einen Risikomanager und dieser muss lediglich alle Normenregeln ONR 49000ff:2010 kennen, um sich zertifizieren zu lassen. Es gibt sie trotzdem, ob die Normen sie nun kennen oder nicht, Risikomanager (und Qualitätsmanager) und Risikomanagementbeauftragte. Ihre Rolle im Unternehmen ist festzulegen und dies nicht nach einer Norm, wenn die Norm das nicht tut, oder wenn es nicht nach einer Norm festgelegt werden soll. Ihre Kompetenz sollte im Risikomanagement liegen, aber nicht nur, denn Risikomanagement wird nach dem Stand der Technik und des Wissens "integriert" betrieben, und diese Integration - um die es in einem der folgenden Posts gehen wird - gibt Risikomanagement Sinn und Zweck.

Ein Risikomanager kann z. B. ein Experte für Risiken in einem spezifischen Kontext (Finanzen, Versicherungen, Prozesse, ... ) und ihr Management sein.
Ein Risikomanagementbeauftragter managt das Risikomanagementsystem.

Ob ein Risikomanager, ein Risikomanagementbeauftragter Risiken in ihre Verantwortung übernehmen??? Dazu wird etwas in einem der folgenden Posts geschrieben. Und dann gibt es noch einige wenige CROs, Chief Risk Officers, welche die Krise irgendwie überlebt haben. Aber auch das ist eine andere Geschichte.

Es gibt Kurse und Seminare, die zu einem Abschluss (was auch immer das heißt!) "Risikomanager" führen, die auch mit einem Zertifikat kommen. Es gibt ganze Studiengänge oder Module eines MBA Studiengangs (der Blogger lehrt aktuell einen solchen an der Fernfachhochschule der Schweiz [link zur Homepage] !) die dies tun. Dazu muss eine selbst erfahrene Praxis kommen und ein gutes Verständnis der Sachverhalte, die mit Risikomanagement aus der negativen Perspektive möglichen Schadens und Verlusts gemanagt werden.

Am 24.-26.03. und am 13.-14.05.2011 findet ein entsprechender Kurs des Bloggers bei der Technischen Akademie in Esslingen [link zur Homepage] statt. Der Kursinhalt entspricht etwa dem Inhalt des aktuellen Buches Peter Meier: "Risikomanagement nach der internationalen Norm ISO 31000:2009 - Konzept und Umsetzung im Unternehmen"; Expert Verlag, Renningen [link zur Homepage], 2011 (ISBN 3-8169-3062-4)

Montag, 21. Februar 2011

Ausländische Automobilhersteller in der Risikofalle der US-amerikanischen Justizpraktiken

Prof. Dr.-Ing. Rolf Jakobi, Steinbeis in Zürich, bringt es auf den Punkt [Auszug aus einem Gesprächsprotokoll vom 15.02.2011]:
"Ausländische Automobilhersteller haben in den USA kein Qualitätsrisiko, sondern ein Justizrisiko. Nachdem die NASA vermeintliche Qualitätsmängel bei TOYOTA ausgeschlossen, und Fahrer- / Bedienungsfehler als Ursache identifiziert hat, reduzieren sich die in letzter Zeit häufigen Vorkommnisse auf ein typisch US-amerikanisches Justizbusiness nach folgendem Muster: Ein paar tragische Ereignisse suchen, finden - die Verantwortung dem (ausländischen) Hersteller unterstellen - eine Medienkampagne starten - Politiker einspannen - Zwangsgelder erheben - Sammelklage einreichen - aussergerichtliche schnelle Einigung im Vergleich anstreben. Der (ausländische) Automobilhersteller hat einen finanziellen und einen immateriellen Schaden seines Image. Verdient haben - risikolos - US-amerikanische Anwaltskanzleien."

In solchen Krisensitationen reagieren selbst Weltkonzerne, wie TOYOTA, unprofessionell und scheinen weder die Geschäftskultur, die Justizpraktiken und die öffentliche Meinungsbildung zu verstehen. Sie kennen die Risiken ihres Auslandsgeschäfts nicht und tappen in die Risikofalle, nicht in die Qualitätsfalle. Sie haben noch nicht realisiert, daß ein Wirtschaftskrieg mit vielen Waffen geführt wird. Sie haben nicht die Erkenntnis, daß nicht nur China, sondern auch die USA ein Hochrisikoland für ausländische Unternehmen ist.

Sonntag, 20. Februar 2011

Don't let me be misunderstood - zur Semantik der Begriffe

Die aktuellen Übersetzungen der Norm ISO 31000:2009 in die deutsche Sprache offenbaren das ganze Drama. Reden und Schreiben über Management ist zu einem Nicht-Dialog über Syntax und Semantik von Worten und Sätzen verkommen.

Bereits innerhalb einer Sprache wird je nach Diziplin im Hintergrund unter (englisch) "likelihood" und "probability" ganz etwas anderes verstanden.

Der Begriff (englisch) "uncertainty" wird mal als (deutsch) "Ungewissheit", mal als (deutsch) "Unsicherheit" übersetzt.

Und ob (englisch) "Risk treatment" als (deutsch) "Risikobehandlung", "Risikobewältigung", "Risikobeherrschung", "Risikosteuerung" oder nicht doch als "Risikomanagement" übersetzt werden sollte, macht den Risikomanager, der kein neusprachlicher Philologe ist, ratlos.

Risikomanagement darf nicht an seiner eigenen Semantik und Syntax scheitern. Trotz Wörterbuch in Clause 2 "Terms and Definitions" der ISO 31000:2009 kann die Norm das Problem nicht lösen! Das Problem ist nur in der Praxis zu lösen.

Der Risikomanagementprozess ist in der ISO 31000:2009 suboptimal dargestellt

Risikomanagementprozess gegenüber der ISO 31000 Abbildung vollständig!




Die ISO 31000:2009 ist in der englischen Originalversion der Norm kein Vergnügen zu lesen und zu betrachten. Die Abbildung "Figure 3 - Risk management process" in Clause 3 "Process" der Norm zeigt lediglich fünf der sieben Prozessschritte des (viel zu) vielzitierten Risikomanagementprozesses. Der erste Prozessschritt nach Clause 6.1 "General" ist geschenkt. Aber der siebte Prozessschritt nach Clause  5.7 "Recording the risk management process" ist nicht mit abgebildet, obwohl er im Text ausführlich beschrieben wird. 
Die Abbildung hier zeigt alle sieben Prozessschritte 5.1 - 5.7 der Gliederungsebene 1 des Normkapitels 5. Die Abbildung unterscheidet zwischen drei Schritten im Zentrum des  Risikomanagements 5.3 bis 5.5 und zwischen vier Schritten 5.1, 5.2, 5.6 und 5.7 in der Peripherie des Risikomanagements. Die deutschen Begriffe entsprechen der vorläufigen deutschen Version der DIN (Stand: 01.02.2011).

Eine allgemeine Bemerkung zu solchen Abbildungen von Prozessen: Die Abbildungen von Prozessen in Normtexten von ISO, DIN, BSI usw. folgen in den meisten Fällen nicht ihrer eigenen standardisierten Symbolik für Prozesse! Was unter einem "Pfeil" oder einem "Kästchen" verstanden werden soll und verstanden wird, ist in solchen Abbildungen nicht standardisiert. Das ist schlecht!  

(vergl.: P. Meier, Die Umsetzung des Risikomanagements in der Praxis, Der Qualitätsmanagement-Berater, TÜV-Media, Köln [link zur Homepage], 2011 - im Druck)

Von der Ungewissheit zur Wahrscheinlichkeit

Die Praxis des Gebrauchs der Begriffe zum Thema Risiko ist oberflächlich und fahrlässig (und damit in bestimmten Zusammenhängen selbst ein Risiko).

Das beginnt mit dem Begriff "Ungewissheit", den auch die Norm ISO 31000:2009 in ihrer Definition von Risiko aufgreift.

Sehr schnell, zu schnell wird dann über Wahrscheinlichkeit (des Eintretens eines Ereignisses) in Prozent oder über Häufigkeit (des Eintretens eines Ereignisses) in Frequenz nicht nur geredet, sondern gerechnet.

Beim Rechnen mit Wahrscheinlichkeiten oder mit Frequenzen ist man in der Metrik des Systems der Zahlen und nutzt die 4 Grundrechenarten und mehr. Man hat damit den Forderungen nach Objektivierung und Transparenz genügen getan. Man arbeitet nach dem Paradigma "if-then-else".

Vergessen, oder nie gestellt ist die Frage, ob die Ungewissheit eines Ereignisses zutreffend mit Zahlen und ihrer Metrik beschrieben und bewertet werden kann.

Ungewissheit ist ein psychologischer Sachverhalt, der Wirkungen in der Zukunft hat.
Wahrscheinlichkeit und Häufigkeit sind mathematisch-statistische Sachverhalte, die als Modell eine Wirklichkeit beschreiben und bewerten sollen.

Und noch etwas: Wahrscheinlichkeit und Häufigkeit sind unterschiedliche Modelle für Ungewissheit. Sie sind nicht ohne weiteres austauschbar oder ineinander umrechenbar. Was oft gemacht wird.

Die Semantik der aktuellen Definition von Risiko nach der ISO 31000:2009

Nach der neuen internationalen Norm ISO 31000:2009 ist Risiko
"die Wirkung von Unsicherheit auf Ziele".

Diese Definition von Risiko ist falsch!

Ein Ziel ist ein Ziel ist ein Ziel - ein imaginärer Sachverhalt in der Zukunft, der konkret und mit Gewissheit beschrieben wird. Ungewissheit ist Ungewissheit der Zukunft. Ein Ziel erfährt durch Ungewissheit keine Wirkung. Nicht das Ziel in der Zukunft ist ungewiss, sondern das Ergebnis in der Zukunft ist ungewiss. Durch die Wirkung von ungewissen Ereignissen in der Zukunft.

Beispiel:
Das Ziel, im Kalenderjahr bis zum 31.12.2011 1.000.000 € Umsatz erwirtschaftet zu haben ist gewiss. Das Ergebnis, das zum 31.12.2011 erwirtschaftet wird, ist ungewiss.

Risiko ist eine ungewisse Abweichung zwischen dem für die Zukunft geplanten Ziel und dem in der Zukunft erreichten Ergebnis. Ursache für diese Abweichung sind zukünftige und ungewisse Ereignisse, die auf das zukünftige Ergebnis mit Ungewissheit wirken. Die zwei Größen "Abweichung" und "Ungewissheit" gehen zusammen in die Vorstellung von Risiko ein.

Die richtige Definition von Risiko
"ist die Wirkung von Ungewissheit in der Zukunft auf Ergebnisse"

braucht Ziele als feste Bezugspunkte, um Abweichungen der Ergebnisse aus der Wirkung von Ungewissheit festlegen zu können.

Das deutschsprachige Zitat bezieht sich auf die deutsche Übersetzung E DIN ISO 31000 von Januar 2011.