Integration: ISO 31000:2009 und ISO/IEC 27005:2008

Alle reden darüber. Wenige machen es. Die Integration von differenzierten und spezialisierten Risikomanagementsystemen in einem unternehmensweiten Risikomanagement, welches seinerseits in das Wertschöpfungsmanagement des Unternehmens integriert ist. Denn beim Risikomanagement geht es um die Sicherung von Werten, ganz gleich ob aktuell vorhandene oder zukünftig geplante Werte.
So ist die ISO/IEC 27005 spezialisiert und fokussiert auf Daten in einem IT-System, während die ISO 31000 integriert und generisch die Top-Level Norm für Risikomanagementsysteme ist.
Nicht zufälligerweise sind die Risikomanagementprozesse der ISO 31000 und der ISO/IEC 27005 fast identisch. Nicht zufälligerweise folgen die beiden Normen derselben Logik und Systematik. Integration hat nicht die subtilen Unterschiede, sondern die substanziellen Gleichheiten zum Gegenstand.
Ein spezialisiertes Risikomanagement nach der ISO/IEC 27005 ist in ein unternehmensweites Risikomanagement nach der ISO 31000 zwanglos zu integrieren.
Wir zeigen in einem Seminar der qSkills GmbH in Nürnberg [link zur Homepage] am 16. und 17.05.2011, wie es geht:

GRC03: Integration von Risikomanagement-Systemen ISO27005/31000

ISO 9001:2008 - Warum kein offenes und klares Bekenntnis zur Integration ?

Integration - Im Text der Norm ISO 9001:2008 liest man wenig Brauchbares. Es wird in der Einleitung Abschnitt 04 mit der Überschrift "Verträglichkeit mit anderen Managementsystemen" auf die Verträglichkeit des Qualitätsmanagements mit anderen Managementsystemen hingewiesen und darüber geschrieben, das Qualitätsmanagementsystem mit in Beziehung stehenden Managementsystemen in Einklang zu bringen. Im Anhang A 1 (informativ) wird auf "Entsprechungen zwischen ISO 9001:2008 und ISO 14001:2004" hingewiesen. Die entsprechende Tabelle ist das aktuelle Vehikel für die Integration von Qualitätsmanagement- systemen und Umweltmanagementsystemen und liegt der Zertifizierung des entsprechenden Integrierten Managementsystems zugrunde.

Integration - Im Bild der Norm sieht man Brauchbares (sh. Bild 1 aus der Norm ISO 9001:2008): Qualitätsmanagement ist eine Perspektive auf die Wertschöpfung (im Bild "Produkterstellung" genannt). Dieses Bild zeigt deutlich auf der Prozessebene, wie Qualitätsmanagement in die Prozesse der Organisation integriert ist.

Integration - Die Norm ISO 31000:2009 sagt in ihrem Clause 3 Principles unter [Zitat] "b) Risk management is an integral part of all organizational processes." Das ist ein brauchbarer und belastbarer Grundsatz, der wesentlich bestimmter ist, als die vagen Aussagen in der ISO 9001:2008.

Die ISO 9001:2008 und die ISO 31000:2009 korrespondieren in diesem hergebrachten Sinne nicht miteinander. Die Integration ist nicht mit einer Tabelle zu bewerkstelligen, sondern mit dem Verständnis, dass Risiko und Qualität zwei komplementäre Perspektiven auf die Wertschöpfung sind. Dann ist alles, wie es sein muss: Ganz einfach!

Was ist / macht eigentlich ein Risikomanager oder ein Risikomanagementbeauftragter ?

Die internationale Norm ISO 31000:2009 kennt weder einen Risikomanagementbeauftragten (wo doch die Norm ISO 9001:2008 einen Beauftragten der obersten Leitung, eben den BoL als QMB, den Qualitätsmanagementbeauftragten kennt und definiert) noch einen Risikomanager (auch die ISO 9001:2008 kennt keinen entsprechenden Qualitätsmanager). Die Normenregel ONR 49003:2010 kennt und definiert einen Risikomanager und dieser muss lediglich alle Normenregeln ONR 49000ff:2010 kennen, um sich zertifizieren zu lassen. Es gibt sie trotzdem, ob die Normen sie nun kennen oder nicht, Risikomanager (und Qualitätsmanager) und Risikomanagementbeauftragte. Ihre Rolle im Unternehmen ist festzulegen und dies nicht nach einer Norm, wenn die Norm das nicht tut, oder wenn es nicht nach einer Norm festgelegt werden soll. Ihre Kompetenz sollte im Risikomanagement liegen, aber nicht nur, denn Risikomanagement wird nach dem Stand der Technik und des Wissens "integriert" betrieben, und diese Integration - um die es in einem der folgenden Posts gehen wird - gibt Risikomanagement Sinn und Zweck.

Ein Risikomanager kann z. B. ein Experte für Risiken in einem spezifischen Kontext (Finanzen, Versicherungen, Prozesse, ... ) und ihr Management sein.
Ein Risikomanagementbeauftragter managt das Risikomanagementsystem.

Ob ein Risikomanager, ein Risikomanagementbeauftragter Risiken in ihre Verantwortung übernehmen??? Dazu wird etwas in einem der folgenden Posts geschrieben. Und dann gibt es noch einige wenige CROs, Chief Risk Officers, welche die Krise irgendwie überlebt haben. Aber auch das ist eine andere Geschichte.

Es gibt Kurse und Seminare, die zu einem Abschluss (was auch immer das heißt!) "Risikomanager" führen, die auch mit einem Zertifikat kommen. Es gibt ganze Studiengänge oder Module eines MBA Studiengangs (der Blogger lehrt aktuell einen solchen an der Fernfachhochschule der Schweiz [link zur Homepage] !) die dies tun. Dazu muss eine selbst erfahrene Praxis kommen und ein gutes Verständnis der Sachverhalte, die mit Risikomanagement aus der negativen Perspektive möglichen Schadens und Verlusts gemanagt werden.

Am 24.-26.03. und am 13.-14.05.2011 findet ein entsprechender Kurs des Bloggers bei der Technischen Akademie in Esslingen [link zur Homepage] statt. Der Kursinhalt entspricht etwa dem Inhalt des aktuellen Buches Peter Meier: "Risikomanagement nach der internationalen Norm ISO 31000:2009 - Konzept und Umsetzung im Unternehmen"; Expert Verlag, Renningen [link zur Homepage], 2011 (ISBN 3-8169-3062-4)

Ausländische Automobilhersteller in der Risikofalle der US-amerikanischen Justizpraktiken

Prof. Dr.-Ing. Rolf Jakobi, Steinbeis in Zürich, bringt es auf den Punkt [Auszug aus einem Gesprächsprotokoll vom 15.02.2011]:
"Ausländische Automobilhersteller haben in den USA kein Qualitätsrisiko, sondern ein Justizrisiko. Nachdem die NASA vermeintliche Qualitätsmängel bei TOYOTA ausgeschlossen, und Fahrer- / Bedienungsfehler als Ursache identifiziert hat, reduzieren sich die in letzter Zeit häufigen Vorkommnisse auf ein typisch US-amerikanisches Justizbusiness nach folgendem Muster: Ein paar tragische Ereignisse suchen, finden - die Verantwortung dem (ausländischen) Hersteller unterstellen - eine Medienkampagne starten - Politiker einspannen - Zwangsgelder erheben - Sammelklage einreichen - aussergerichtliche schnelle Einigung im Vergleich anstreben. Der (ausländische) Automobilhersteller hat einen finanziellen und einen immateriellen Schaden seines Image. Verdient haben - risikolos - US-amerikanische Anwaltskanzleien."

In solchen Krisensitationen reagieren selbst Weltkonzerne, wie TOYOTA, unprofessionell und scheinen weder die Geschäftskultur, die Justizpraktiken und die öffentliche Meinungsbildung zu verstehen. Sie kennen die Risiken ihres Auslandsgeschäfts nicht und tappen in die Risikofalle, nicht in die Qualitätsfalle. Sie haben noch nicht realisiert, daß ein Wirtschaftskrieg mit vielen Waffen geführt wird. Sie haben nicht die Erkenntnis, daß nicht nur China, sondern auch die USA ein Hochrisikoland für ausländische Unternehmen ist.

Don't let me be misunderstood - zur Semantik der Begriffe

Die aktuellen Übersetzungen der Norm ISO 31000:2009 in die deutsche Sprache offenbaren das ganze Drama. Reden und Schreiben über Management ist zu einem Nicht-Dialog über Syntax und Semantik von Worten und Sätzen verkommen.

Bereits innerhalb einer Sprache wird je nach Diziplin im Hintergrund unter (englisch) "likelihood" und "probability" ganz etwas anderes verstanden.

Der Begriff (englisch) "uncertainty" wird mal als (deutsch) "Ungewissheit", mal als (deutsch) "Unsicherheit" übersetzt.

Und ob (englisch) "Risk treatment" als (deutsch) "Risikobehandlung", "Risikobewältigung", "Risikobeherrschung", "Risikosteuerung" oder nicht doch als "Risikomanagement" übersetzt werden sollte, macht den Risikomanager, der kein neusprachlicher Philologe ist, ratlos.

Risikomanagement darf nicht an seiner eigenen Semantik und Syntax scheitern. Trotz Wörterbuch in Clause 2 "Terms and Definitions" der ISO 31000:2009 kann die Norm das Problem nicht lösen! Das Problem ist nur in der Praxis zu lösen.

Der Risikomanagementprozess ist in der ISO 31000:2009 suboptimal dargestellt

Risikomanagementprozess gegenüber der ISO 31000 Abbildung vollständig!






Die ISO 31000:2009 ist in der englischen Originalversion der Norm kein Vergnügen zu lesen und zu betrachten. Die Abbildung "Figure 3 - Risk management process" in Clause 3 "Process" der Norm zeigt lediglich fünf der sieben Prozessschritte des (viel zu) vielzitierten Risikomanagementprozesses. Der erste Prozessschritt nach Clause 6.1 "General" ist geschenkt. Aber der siebte Prozessschritt nach Clause  5.7 "Recording the risk management process" ist nicht mit abgebildet, obwohl er im Text ausführlich beschrieben wird. 
Die Abbildung hier zeigt alle sieben Prozessschritte 5.1 - 5.7 der Gliederungsebene 1 des Normkapitels 5. Die Abbildung unterscheidet zwischen drei Schritten im Zentrum des  Risikomanagements 5.3 bis 5.5 und zwischen vier Schritten 5.1, 5.2, 5.6 und 5.7 in der Peripherie des Risikomanagements. Die deutschen Begriffe entsprechen der vorläufigen deutschen Version der DIN (Stand: 01.02.2011).

Eine allgemeine Bemerkung zu solchen Abbildungen von Prozessen: Die Abbildungen von Prozessen in Normtexten von ISO, DIN, BSI usw. folgen in den meisten Fällen nicht ihrer eigenen standardisierten Symbolik für Prozesse! Was unter einem "Pfeil" oder einem "Kästchen" verstanden werden soll und verstanden wird, ist in solchen Abbildungen nicht standardisiert. Das ist schlecht!  

(vergl.: P. Meier, Die Umsetzung des Risikomanagements in der Praxis, Der Qualitätsmanagement-Berater, TÜV-Media, Köln [link zur Homepage], 2011 - im Druck)

Von der Ungewissheit zur Wahrscheinlichkeit

Die Praxis des Gebrauchs der Begriffe zum Thema Risiko ist oberflächlich und fahrlässig (und damit in bestimmten Zusammenhängen selbst ein Risiko).

Das beginnt mit dem Begriff "Ungewissheit", den auch die Norm ISO 31000:2009 in ihrer Definition von Risiko aufgreift.

Sehr schnell, zu schnell wird dann über Wahrscheinlichkeit (des Eintretens eines Ereignisses) in Prozent oder über Häufigkeit (des Eintretens eines Ereignisses) in Frequenz nicht nur geredet, sondern gerechnet.

Beim Rechnen mit Wahrscheinlichkeiten oder mit Frequenzen ist man in der Metrik des Systems der Zahlen und nutzt die 4 Grundrechenarten und mehr. Man hat damit den Forderungen nach Objektivierung und Transparenz genügen getan. Man arbeitet nach dem Paradigma "if-then-else".

Vergessen, oder nie gestellt ist die Frage, ob die Ungewissheit eines Ereignisses zutreffend mit Zahlen und ihrer Metrik beschrieben und bewertet werden kann.

Ungewissheit ist ein psychologischer Sachverhalt, der Wirkungen in der Zukunft hat.
Wahrscheinlichkeit und Häufigkeit sind mathematisch-statistische Sachverhalte, die als Modell eine Wirklichkeit beschreiben und bewerten sollen.

Und noch etwas: Wahrscheinlichkeit und Häufigkeit sind unterschiedliche Modelle für Ungewissheit. Sie sind nicht ohne weiteres austauschbar oder ineinander umrechenbar. Was oft gemacht wird.

Die Semantik der aktuellen Definition von Risiko nach der ISO 31000:2009

Nach der neuen internationalen Norm ISO 31000:2009 ist Risiko
"die Wirkung von Unsicherheit auf Ziele".

Diese Definition von Risiko ist falsch!

Ein Ziel ist ein Ziel ist ein Ziel - ein imaginärer Sachverhalt in der Zukunft, der konkret und mit Gewissheit beschrieben wird. Ungewissheit ist Ungewissheit der Zukunft. Ein Ziel erfährt durch Ungewissheit keine Wirkung. Nicht das Ziel in der Zukunft ist ungewiss, sondern das Ergebnis in der Zukunft ist ungewiss. Durch die Wirkung von ungewissen Ereignissen in der Zukunft.

Beispiel:
Das Ziel, im Kalenderjahr bis zum 31.12.2011 1.000.000 € Umsatz erwirtschaftet zu haben ist gewiss. Das Ergebnis, das zum 31.12.2011 erwirtschaftet wird, ist ungewiss.

Risiko ist eine ungewisse Abweichung zwischen dem für die Zukunft geplanten Ziel und dem in der Zukunft erreichten Ergebnis. Ursache für diese Abweichung sind zukünftige und ungewisse Ereignisse, die auf das zukünftige Ergebnis mit Ungewissheit wirken. Die zwei Größen "Abweichung" und "Ungewissheit" gehen zusammen in die Vorstellung von Risiko ein.

Die richtige Definition von Risiko
"ist die Wirkung von Ungewissheit in der Zukunft auf Ergebnisse"

braucht Ziele als feste Bezugspunkte, um Abweichungen der Ergebnisse aus der Wirkung von Ungewissheit festlegen zu können.

Das deutschsprachige Zitat bezieht sich auf die deutsche Übersetzung E DIN ISO 31000 von Januar 2011.