Dienstag, 29. März 2011

Risikomanagement nach der ONR 49000 ! Wozu ?

Die österreichischen Normenregel ONR 49000 (eine Normenregel ist keine Norm!) empfahl und empfiehlt sich noch immer als "Umsetzung der ISO 31000 in der Praxis".

Das mag von gewissem Interesse gewesen sein, als es den Normtext der ISO 31000 noch nicht "offiziell" in deutscher Sprache gab.

Das mit der Praxis war schon immer eine etwas fragwürdige Aussage, da Risikomanagement immer in der Praxis umgesetzt wird und dabei entweder den Anforderungen einer Norm entspricht (Anforderungsnorm) oder den Grundsätzen und Leitlinien einer Norm folgt (Leitliniennorm) oder andere, kommunizierte und dokumentierte Praktiken (Standards) berücksichtigt. Umsetzung ist immer Praxis!

Die Umsetzung eines Risikomanagements bezog sich schon immer auf ein oder mehrere bestimmte Risikofelder für die es gilt, konkrete Festlegungen und Zusammenhänge zu identifizieren und zu erstellen, um die Risiken managen zu können. Risikomanagement ist vom Selbstverständnis immer integriert, was im Normtext der ISO 31000 als Grundsatz auf der Prozessebene explizit formuliert wird.

Ob die Zertifizierung der Umsetzung eines Risikomanagements einen Nutzen bringt, muss individuell und situativ betrachtet werden. Die ONR 49000 positioniert sich selbst zur Zertifizierung eines Risikomanagements. Die ISO 31000 positioniert sich selbst als nicht zur Zertifizierung vorgesehen.

Natürlich kann eine Umsetzung eines Risikomanagements nach der ISO 31000 zertifiziert werden - und wird auch zertifiziert, nämlich dort, wo es Nutzen bringt: In einem Integrierten Management. In der Praxis.

Integration / Integriertes Management / Risikomanagement / Wertemanagement

Sachlagwort und Paradigma zugleich: Integration / Integriertes Management

Ein starker Inpuls dazu geht von der ISO 31000:2009 aus. In ihrem Kapitel 3 Grundsätze formuliert sie den Grundsatz:

b) Risikomanagement ist Bestandteil aller Organisationsprozesse.

Der Grundsatz zieht implizit nach sich:
- Die ISO 31000 und damit ein Risikomanagement kann und soll nur in einem Integrierten Management / Risikomanagement erfolgen.
- Risikomanagement ist das Management der Perspektive "Risiko" aller Prozesse.
- Risikomanagement ist insbesondere das Management der Perspektive "Risiko" des Wertschöpfungsprozesses.

Risikomanagement, welches sich auf alle Prozesse (eines Unternehmens) bezieht, ist ein unternehmensweites Risiko- management / ERM - Enterprise Risk Management. Risikomanagement, welches sich auf einen Prozess (z. B. der IT-Prozess) bezieht, ist ein fokussiertes und differenziertes Risikomanagement.

... und plötzlich ist das Verständnis von Integriertem Management ganz einfach ...

... egal ob integral, integriert, integrierend, integrativ, ...

Montag, 21. März 2011

ISO 31000: Was bitte ist ein (englisch) Framework (deutsch) Rahmen ?

Nun wird ein globales Autorenteam, wie die Macher der internationalen Norm ISO 31000, wohl nie einen der renommierten Literaturpreise bekommen ...

Andererseits habe ich in diesem Blog schon mehrfach auf die Probleme von uneindeutiger Semantik und unscharfer Übersetzung hingewiesen. Das (englische) Clause 4 Framework und das entsprechende (deutsche) Kapitel 4 Rahmen bringen im Titel die Begriffe (englisch) Framework und (deutsch) Rahmen in die Diskussion. Framework, bzw. Rahmen weden im (englischen) Clause 2 Terms and Definitions und im (deutschen) Kapitel 2 Begriffe langatmig und umständlich definiert, so dass ich auf die Wiedergabe der Definition verzichten will. Man kann Framework als Rahmen übersetzen oder als Rahmenbedingungen interpretieren. Anstelle von (englisch) Framework und (deutsch) Rahmen rücken in der praktischen Anwendung der Norm die ganz konkreten Sachverhalte Risikomanagementpolitik und Risikomanagementsystem in einander ergänzendem Verständnis in den Vordergrund. In der Logik folgt dann (englisch) Clause 5 Process und (deutsch) Kapitel 5 Prozess der Risikomanagementprozess. Der Normtext verwendet den Begriff Risikomanagementsystem explizit nie, sehr wohl aber den Begriff Risikomanagementpolitik.

Ich würde Risikopolitik gegenüber Risikomanagementpolitik den Vorzug geben. Das wäre brauchbar, denn wir reden von Unternehmenspolitik und von Qualitätspolitik, sowie von Managementsystem, Qualitätsmanagementsystem und Risikomanagementsystem.

Die deutschen Übersetzungen orientieren sich an dem Entwurf E DIN ISO 31000:2011 vom Januar 2011.

Mittwoch, 16. März 2011

ISO 31000: Zertifizierung / Testierung oder nicht ?

Die Norm ISO 31000:2009 erklärt sich selbst im Normtext Kapitel 1 Anwendungsbereich als "Diese Internationale Norm dient nicht zum Zweck einer Zertifizierung.". Das ist die eine halbe Wahrheit. An anderer Stelle (in Kapitel 3 Grundsätze) erklärt sie Risikomanagement als "b. Risikomanagement ist Bestandteil aller Organisationsprozesse". Das ist die andere halbe Wahrheit.

Daraus ergeben sich für eine Zertifizierung die folgende Praktiken:

(1) Risikomanagement nach der Norm ISO 31000 wird in einem Integrierten Managementsystem z. B. zusammen mit dem Qualitätsmanagement nach der ISO 9001 (und ggfls. mit den weiteren üblichen Verdächtigen "14001" und "18001") zertifiziert. Dieses Verfahren wird im Mittelstand bei GmbHs häufig angewandt.

(2) Risikomanagement wird vom Wirtschaftsprüfer entsprechend den standardisierten Prüfverfahren testiert. Dieses Risikomanagement kann (und soll sinnvollerweise) nach den Grundsätzen und Richtlinien der Norm ISO 31000 umgesetzt werden und muss die entsprechenden Merkmale des Prüfungsstandards enthalten. Dieses Verfahren wird bei AGs, welche Risikomanagement aus Forderungen des Aktiengesetzes und des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich betreiben, angewandt. Die meisten dieser Umsetzungen von Risikomanagement in AGs sind konform zu den Grundsätzen und Richtlinien der Norm ISO 31000 ohne dies explizit zu erwähnen. Das gilt auch für viele Umsetzungen von Risikomanagement, die vor der Veröffentlichung der Norm ISO 31000 erfolgt sind.

Gegenwärtig prüfen viele Unternehmen, welche Impulse sie aus einem Risikomanagement nach den Grundsätzen und Richtlinien der Norm ISO 31000 erhalten und ob und wie eine Zertifizierung Sinn macht.

AGs müssen aufgrund gesetzlicher Forderungen ein Risikomanagement umsetzen, welches testiert wird. Dieses Risikomanagement muss nicht explizit der Norm ISO 31000 folgen.

GmbHs können ein Risikomanagement umsetzen, welches nicht unbedingt zertifiziert werden muss. Dieses Risikomanagement muss nicht explizit der Norm ISO 31000 folgen.

Zur Erinnerung: Ein Unternmehmen muss nicht (aufgrund gesetzlicher Forderungen), kann aber (aufgrund anderer Forderungen, z. B. Markt- und Kundenforderungen) ein Qualitätsmanagement umsetzen. Ein solches Qualitätsmanagement kann bzw. muss der Norm ISO 9001 und / oder anderen branchenspezifischen Standards folgen.

Sonntag, 13. März 2011

Anfängerfehler: Operative Hektik anstelle souveräner Professionalität

Manager, die im Unternehmen den Auftrag haben, Risiko- management einzuführen, erliegen der Versuchung, in operative Hektik zu verfallen. Sie suchen eine Umsetzung eines Risikomanagements entlang des standardisierten Risikomanagementprozesses (nach der Norm ISO 31000:2009), die aus wenigen prägnanten Formblättern besteht, die ihren Höhepunkt in einer mehr oder weniger quantitativen, auf jeden Fall aber graphischen Präsentation einiger Risiken im Format der klassischen Risikomatrix (nach der Norm ISO / IEC 31010:2009) hat.

Sie vergessen, dass mit einer solchen Risikomatrix noch kein Risiko gemanagt ist.

Sie vergessen, dass eine solche Risikomatrix beziehungslos zur Unternehmenspolitik steht, da ihr keine integrierte Risikopolitik zugrunde liegt.

Sie vergessen, dass ein solches Vorgehen lediglich den Prozessschritt 5.4 Risikobeurteilung umfasst, dieser Risikomanagementprozess aber aus sieben Schritten besteht und der gesamte Risikomanagementprozess nur eines von fünf Normkapiteln der ISO 31000 ausmacht.

Sie merken nicht, dass ein solches "quick 'n' dirty" Vorgehen, sich sofort auf den operativen Risikomanagementprozess zu stürzen, selbst ein Risiko für das Unternehmen ist. Ein solches Vorgehen steht im Widerspruch zu den Grundsätzen nach Kapitel 3 und zum Rahmen nach Kapitel 4 der Norm ISO 31000:2009. Es steht darüber hinaus im Widerspruch zu allen explizit und implizit bekannten "besten Managementpraktiken".

Qualitätsmanagement ist Risikomanagement

Wenn wir uns die "medien-prominenten" Schadensfälle bei Produkten von Technologieunternehmen der letzten Jahre anschauen, dann sind sie eine Folge von mangelhafter Qualität.

Es ist offenbar ein Risiko, Qualität nicht sicherstellen zu können!

Die "Qualitätsmanagementnorm" ISO 9001:2008 behandelt das Thema der "mangelhaften Qualität" unter dem Stichwort "Fehler" und "fehlerhaftes Produkt" in den Normkapiteln 8.3 und 8.5.

Die "Risikomanagementnorm" ISO 31000:2009 erwähnt ihrerseits in ihren Normkapiteln 3 Grundsätze und 5.4.3 Risikoanalyse den Begriff Qualität bzw. Produktqualität.

Konsequenterweise ist in vielen Technologieunternehmen das Qualitätsmanagement in Bezug auf die "Produktrealisierung" (ein Begriff der Norm ISO 9001:2008) organisatorisch in das Risikomanagement eingebunden.

Qualitätsmanagement ist Risikomanagement.

Samstag, 5. März 2011

(K)ein klassisches Problem des Risikomanagements

Es sollen Risiken aggregiert werden, was auch immer Aggregieren ist. Schnell ist klar, dass Aggregieren etwas anderes ist, als Addieren. Man kann nur Äpfel und Äpfel oder Birnen und Birnen addieren, nicht aber Äpfel und Birnen, da sie "verschiedener Natur" sind.

Wie sieht das aus bei zwei (oder mehr) Risiken unterschiedlicher Natur? Ein strategisches Risiko plus ein operatives Risiko plus ein finanzielles Risiko! Gibt es dafür eine Gesamtrisiko- position? Wenn ja, gibt es dafür ein Verfahren der Aggegation? Schnell ist klar, dass es wohl auch im Verständnis von Risiko als Wirkungsausmass * Eintrittswahrscheinlichkeit des entsprechenden Ereignisses kein Verfahren nach einer Metrik im System der Grund- rechenarten sein wird, da die Eintrittswahrscheinlichkeit nur in idealen und theoretischen Fällen durch eine einzige reale Zahl darstellbar ist. In realen und praktischen Fällen muss eine Verteilungsfunktion für die Eintrittswahrscheinlichkeit her woher auch immer. Womit nicht die Frage angesprochen ist, ob und welchen Sinn es macht, Risiken "verschiedener Natur" zu aggregieren.

Die Lösung des Problems gebe ich hier nicht!

Mittwoch, 2. März 2011

Ein klassisches Problem des Risikomanagements

Der Sachverhalt ist einfach: Ein Schadensereignis zieht ein Sachadensausmass von 1.000.000 Euro nach sich und tritt gemäss früherer Erfahrungen einmal in fünf Jahren ein. Was betrachtet der Risikoverantwortliche?

a) Er "kalkuliert" damit, dass durchschnittlich ein jährlicher Schaden von 200.000 Euro eintritt.

b) Er "kalkuliert" damit, dass bereits "morgen" ein Schadensfall mit dem Ausmass 1.000.000 Euro eintritt.

Die Lösung des Problems gebe ich hier nicht!

(Risk) Management by Traffic Light

- rot - gelb - grün -

Die globalen, universellen Farben für Zustände eines Sachverhalts, z. B.: Risiko:
rot: Sachverhalts ist im roten Bereich - sofortige Handlungsnotwendigkeit (Bedrohliches Risiko wird mittels Sofortmaßnahmen gesteuert.)
gelb: Sachverhalt ist im gelben Bereich - laufende Handlungsnotwendigkeit (Relevantes Risiko wird entsprechend eines Risikoziels und einer Risikostrategie gesteuert.)
grün: Sachverhalt ist im grünen Bereich - keine Handlungsnotwendigkeit (Geringes Risiko wird überwacht.)

Die Ampelfarben sind Attribute, die Risiken priorisieren und  Handlungen fordern. Nicht mehr und nicht weniger. Ganz einfach.

(Risk) Assessment by Cockpit Navigation

Ein modernes Cockpit zur Navigation eines Mobils "zu Lande, zu Wasser oder in der Luft" zeigt aktuelle Kenngrößen, wie
  • Zeit und Ort (geographischen Koordinaten) IST,
  • [- es IST (actual time) 12:00 Uhr, ich bin in Stuttgart -]
und zukunftsbezogene Kenngrößen, wie
  • geplante Zielankunft SOLL (Zeit und Ort)
  • [- ich SOLL (planned time of arrival) um 14:00 Uhr in Frankfurt sein -]  
  • prognostizierte Zielankunft WIRD (Zeit und Ort)
  • [- es WIRD (estimated time if arrival) 14:20 Uhr, bis ich in Frankfurt bin -]
an.

Das Spannende ist das Dreieck der Navigation aus dem Ziel SOLL (in der Zukunft), der Prognose WIRD (in die Zukunft) und dem Start IST (in der Gegenwart). Die Ungewissheit steckt in der Prognose. Die Ungewissheit steckt nicht im Ziel. Das Ziel ist gewiss. Das Ziel ist nicht mehr und nicht weniger, als ein Bezugspunkt. Die Prognose ist ungewiss. Die Prognose ist eine zukunftsbezogene Abschätzung des Ergebnisses. Die Abweichung zwischen Ziel und Prognose ist eine (von mehreren) Messgrößen für das Risiko, das Ziel nicht zu erreichen. Eine zweite Messgröße (komplementär zur ersten) für das Risiko ist die Wahrscheinlichkeit, mit welcher der Eintritt der Prognose bewertet wird. Mit diesen beiden Messgrößen sind wir im bekannten Verständnis, dass Risiko eine Verknüpfung einer Abweichung von einem Ziel mit der Wahrscheinlichkeit des Eintritts dieser Abweichung ist.

Wobei das Navi wohl die Prognose der Zielerreichung als Zeitpunkt gibt (estimated time of arrival), sich bei der Wahrscheinlichkeit der Prognose zurückhält. Oder gibt es bereits die Verspätungs- durchsage "Unser Zug WIRD mit 20 minütiger Verspätung und mit 75 prozentiger Wahrscheinlichkeit in Frankfurt eintreffen." ?