Samstag, 22. Dezember 2012

Zum neuen Jahr ...


Freitag, 23. November 2012

Risikomanagement - Vokabular des Standards ISO 31000:2009

Das Kapitel 2 des Standards ISO 31000:2009 "Risk Managemenmt - Principles and Guidelines" legt Definitionen und Semantik zu Risikomanagement fest.

Die Festlegung ist eine Empfehlung (wie der ganze Standard selbst) und keine Anforderung.

Es wird ein Vokabular von insgesamt 29 Begriffen erklärt in Form von knappen DEfinition und mit zusätzlichen Anmerkungen (im deutschen Normenentwurf auch mit deutschen / nationalen Fußoten).

Wie ist damit umzugehen?
a) Es macht viel Sinn, sich in einer Organisation auf ein festgelegtes, dokumentiertes und kommuniziertes Vokabular einzulassen.
b) Nicht alle 29 Begriffe des Normkapitels werden in einer Organisation benötigt -> Die nicht benötigten Begriffe einfach weglassen.
c) Nicht alle der 29 Begriffe werden entsprechend der Normdefinition verstanden und gebraucht -> Die entsprechenden Begriffe individuell definieren.
d) Andere als die 29 Begriffe der Normdefinition werden gebraucht und sind gebräuchlich -> Die anderen Begriffe definieren und listen.

Es macht Sinn, das eigene Vokabular zu Risikomanagement in einem WIKI zu führen.
Das gilt auch für das Management anderer Sachverhalte, z. B. Qualität, Umwelt, Energie, Information u.v.a. mehr.

PDCA - issn dat?

PDCA - die 4 Stufen des zyklischen Managementprozesses, egal was gemanagt wird ...

1. Plan: Planung
Geplant werden Ziele, Strategien und Maßnahmen.
Das Ensemble von Zielen, Strategien und Maßnahmen wird auch als Politik bezeichnet.

2. Do: Umsetzung
Umgesetzt werden Maßnahmen als Prozess oder als Projekt.
- Die Ziele werden nicht umgesetzt!
- Die Strategien (die von den Zielen abgeleitet werden) werden nicht umgesetzt!
- Die Maßnahmen (die von den Strategien abgeleitet werden) werden umgesetzt!

3. Check: Prüfung
Geprüft wird die Übereinstimmung von Ziel (gemäß Planung / Plan) und Ergebnis (gemäß Umsetzung / Do) z. B. in einem Audit und/oder mit einer Managementbewertung.
Die Prüfung / Check ergibt eine oder keine Abweichung zwischen Ziel und Ergebnis.

4. Act: Handlung
Bei einer Abweichung aus der Prüfung / Check bedarf es einer Entscheidung gefolgt von einer Handlung / Act:
- 1. Level - small act: Die Maßnahme wird verändert.
- 2. Level - medium act: Die Strategie wird verändert.
- 3. Level - big act: Das Ziel wird verändert.

So einfach ist das!

Das PDCA-Schema liegt explizit allen ISO-normierten Managementsystemen zugrunde.
Das PDCA-Schema liegt implizit vielen, sehr vielen Aktivitäten aller Art zugrunde.

Typische Probleme:
Es wird der Zyklus bereits nach Stufe 3, PDC, oder nach Stufe 2, PD oder gar nach Stufe 1, P abgebrochen.

Empfehlung:
Sprachhygiene: Ziele und Ergebnisse nicht durcheinander bringen.
Verstand: Ein Ziel ist ein Ziel und bleibt ein Ziel; insbesondere kann es nicht umgesetzt werden!
Praxis: PDCA wird im Qualitätsmanagement gepredigt. PDCA ist aber nicht auf Qualitätsmanagement beschränkt.

Mittwoch, 14. November 2012

Definition von Risiko: Neu hinterfragt

Der Standard ISO 31000:2009 definiert in der deutschen Übersetzung des DIN:

Risiko ist die Wirkung von Unsicherheit auf Ziele.

Diese Definition steht unter heftiger Kritik.
  • Anstelle des Negativworts Unsicherheit sollte ein Positivwort stehen.
  • Nicht Ziele werden durch Unsicherheit beeinflusst, sondern Ergebnisse.
  • Der Bezug zu Werten fehlt.
  • Die Schlussfolgerung "kein Risiko ohne Ziel" ist schwer zu verstehen.
Eine alternative Definition, mit der in Unternehmen eine leicht verständliche und konsensfähige Semantik vorliegt, ist:

Risiko ist die zukünftige, mögliche Auswirkung einer Gefahr auf einen Wert in der Folge eines Ereignisses.

Die Definition unterstützt das Verständnis von Risiko.
  • zukünftig: Risiko ist in der Zukunft.
  • möglich: Bringt die Ungewissheit zum Ausdruck.
  • möglich: Bringt eine (statistische) Wahrscheinlichkeit zum Ausdruck.
  • Auswirkung: kann als Messgröße verstanden werden.
  • Gefahr: erzeugt bei Anwesenheit Unsicherheit.
  • Wert: bezeichnet das gefährdete Objekt.
  • Ereignis: verknüpft ein Geschehnis mit Risiko.
Die Definition unterstützt das Verständnis von Risikomanagement.
Risiko wird reduziert durch:
  • Reduzierung des "möglich": Ungewissheit / Wahrscheinlichkeit.
  • Reduzierung der "Auswirkung".
  • Reduzierung der "Gefahr".
  • Schutz von Werten vor Gefahr.  
Risikomanagement ist durch den Bezug von Risiko auf Werte ohne weitere semantische Anstrengungen mit dem Wertemanagement zu integrieren.

  

Montag, 29. Oktober 2012

Noch eine Filmempfehlung für Risikomanager ...

Next ist ein US-amerikanischer Actionfilm aus dem Jahr 2007 von Regisseur Lee Tamahori mit Nicolas Cage in der Hauptrolle. Cris Johnson wurde mit der Fähigkeit geboren, für genau zwei Minuten in seine eigene Zukunft sehen zu können. Diese zwei Minuten hat er als Vorlaufzeit, um entgegen der Vorsehung doch noch handeln zu können und die Zukunft beeinflussen zu können.

Zwei Minuten sind eine Zeitraum, in der sich operative Handlungen der schnelleren Art entwickeln und abspielen. Ein Actionfilm ist damit vom Zeitraum einzelner Handlungen angelegt.

Im Kern geht es um die Frage, "Was würde ich anders machen, wenn ich die nächsten zwei Minuten der Zukunft kenne?".

Damit geht es um ein operatives Risikomanagement für die folgenden zwei Minuten. Höchst amüsant, auch wenn man diese zwei Minuten Vorhersehbarkeit auf sich selbst bezieht.

Dienstag, 9. Oktober 2012

Prognose und Ziel

Prognose und Ziel: Beide sind Begriffe, die sich auf einen Sachverhalt in der Zukunft beziehen.

Eine Prognose ist ein vorhergesehener Zustand eines Sachverhalts in der Zukunft.
Eine Ziel ist ein ausgewählter Zustands eines Sachverhalts in der Zukunft.

Beispiel zum Sachverhalt Jahresumsatz:
Die Prognose des Umsatzes in 2012 wird umso präziser, je näher der 31.12.2012 ist.
Das Ziel des Umsatzes in 2012 bleibt so wie es gesetzt wurde unabhängig von der zeitlichen Nähe zum 31.12.2012.

Praxis:
Das Ziel wird (oft) festgehalten, bis es erreicht oder nicht erreicht wird.
Die Prognose wird erneuert, wenn sich die Informationsgrundlage verändert hat.

Erfahrung:
Weichen Prognose und Ziel von einander ab, liegt ein Risiko vor.

Sonntag, 16. September 2012

Risikotragfähigkeit

... eigentlich ein ganz anschaulicher Begriff:

  • Welches und wie viel Risiko kann ich tragen?
Tragen heißt, ich kann es ertragen, wenn das Risikoereignis eintritt und das virtuelle Risiko zu einem realen Schaden und Verlust wird. 

Konkret wird das an einem Szenario: Ich habe 1 Euro unter einer Gewinnerwartung von 10 Euro bei einem bestimmten zukünftigen Ereignis gesetzt. Ich bin mit einem Einsatz von 1 Euro in ein Wagnis gegangen. Die Risikobewertung sagt den Verlust des Einsatzes mit einer Wahrscheinlichkeit von 95 %, so das Szenario des Ereignisses, voraus. Bei Eintritt des Schadens- und Verlustereignisses ist der 1 Euro weg.  Bei Eintritt des Gewinnfalls beträgt der Gewinn 10 Euro. 

Wenn ich ein solches mit einem Spiel verbundenes Wagnis eingehe, sollte ich den Schaden von 1 Euro tragen können. Im schlimmsten Fall (worst case) ist 1 Euro der Totalverlust aus dem Wagnis. Im besten Fall (best case) tritt ein Zugewinn von 9 Euro ein. Nach der Risikobewertung ist die Verlustwahrscheinlichkeit 95 % und die Gewinnwahrscheinlichkeit 5 %. In jedem 20 Spiel würde ich 9 Euro zugewinnen. in 19 von 20 Spielen würde ich jeweils 1 Euro verlieren.

Der Spielkick ist der, dass das nächste Spiel ein Gewinnspiel für mich sein könnte.

Die Risikotragfähigkeit ist bei einem einmaligen Spiel der Totalverlust des Wagnisses.


Dienstag, 21. August 2012

ISO 31000:2009 - Die fünf Abschnitte des Standards Risikomanagement

Die fünf Abschnitte des Standards ISO 31000:2009 Risikomanagement

Es mag ganz nützlich sein, den Inhgalt der Normabschnitte jeweils auf eine W-Frage zu reduzieren:

1. Risikomanagement: Festlegung System
    Abgrenzung des Risikomanagements  (Was ist drin? Was ist draußen?)
2. Risikomanagement: Definition Begriffe
     Regelung einer Semantik von 29 Begriffen (Was ist Risiko? Was ist ... ?)
3. Risikomanagement: Normative Grundsätze
     Aufstellen von 11 (individuellen) Geboten als Grundlage (Was ist das Fundament?)
4. Risikomanagement: Strategischer Rahmen
     Einführung und Betreiben nach dem (generischen) PDCA-Konzept (Wie sieht der Rahmen mit Planung, Durchführung, Prüfung, Verbesserung aus?)
5. Risikomanagement: Operativer Prozess
     Tagesgeschäft der Umsetzung der Strategie (Wie erfolgt die Durchführung der Maßnahmen?)

Sonntag, 19. August 2012

(Un) Sicherheit - (noch) ein generischer Zustand - und Risikomanagement



Zitat aus dem Standard ISO 31000:2009 / 3. Grundsätze d (deutsche Übersetzung aus dem Normenentwurf DIN E 31000:2011):

3. d „Risikomanagement befasst sich ausdrücklich mit Unsicherheit.“

Die naheliegende Frage ist, ob sich Risikomanagement auch mit Sicherheit befasst, wenn es sich nach dem ISO Grundsatz ausdrücklich mit Unsicherheit befasst. Worte und Begriffe im Themenfeld Risiko sind ein beliebtes Gebiet für semantische Definitionen und Interpretationen. Verschiedene Organisationen und Institutionen werden in Verbindung mit Definitions- und Interpretations- / -Hoheit, -Autorität oder -Anmaßung gebracht.

Sicherheit ist in verschiedenen DIN-Normen durch eine negative Definition mit einer Sprachregelung hinterlegt. Danach ist Sicherheit sinngemäß wie folgt zu verstehen:

Ein Sachverhalt ist dann in einem Zustand der Sicherheit, wenn Risiken bestimmter Art und bestimmter Größe nicht vorhanden sind.

Im Zustand von Sicherheit sind die mit einem Sachverhalt verbundenen Werte sicher.
Im Zustand von Unsicherheit sind die mit einem Sachverhalt verbundenen Werte unsicher.

Offenbar ist in der Welt der Standards eine schizophrene Spaltung vorhanden:
·        Die Einen sprechen von Sicherheit.
·        Die Anderen sprechen von Risiko.
Die Einen sprechen nicht mit den Anderen.
Im Sinne von Integration sollten die Einen mit den Anderen sprechen.

Zu den populären Sicherheiten in Unternehmen gehören:
·        Revisionssicherheit
·        Rechtssicherheit
·        Produktsicherheit
·        Arbeitssicherheit
·        Kontinuitätssicherheit
·        Datensicherheit
·        Investitionssicherheit
·        u. a.

Sicherheit ist ein plakativer Begriff:
·        Sicherheitsabstand
·        Sicherheitsproblem
·        Sicherheitsdatenblatt
·        Sicherheitsschulung
·        Datensicherheit
·       
Und Versicherung von Werten gibt auch noch ...

Freitag, 3. August 2012

Irrtum: Risikomanagement ...


... managt kein Risiko!

Risikomanagement managt eine Sache oder einen Sachverhalt. Die Sache oder der Sachverhalt hat einem bestimmten Wert für eine bestimmte Interessensgruppe. Die Sache oder der Sachverhalt ist der zukünftigen und mehr oder weniger ungewissen Entwicklung ausgesetzt. Die Ungewissheit hat Risiken oder Chancen zur Wirkung.

Risikomanagement ist zielgeführtes Management einer Sache oder eines Sachverhalts mit der Perspektive auf die Eigenschaft Risiko als Kriterium.

Die Interessensgruppe, die am Wert des Sachverhalts interessiert ist, ist an dem Risiko eines Wertverlusts und der Chance eines Wertgewinns interessiert.

Sonntag, 22. Juli 2012

Was ist ein Risikomanagement nach der Norm ISO 31000:2009?

Wäre die ISO 31000:2009 eine "Anforderungsnorm" (wie die ISO 9001:2008) deren Erfüllung durch eine Zertifizierung nachzuweisen wäre, wäre ein Risikomanagement nach der ISO 31000:2009 ein Risikomanagement, welches den Inhalten (insbesondere den Anforderungen") entspricht. Jetzt enthält die ISO 31000:2009 keine Anforderungen, sondern Grundsätze und Leitlinien (in Österreich: Richtlinien), und ist nicht zur Zertifizierung vorgesehen (... kann aber zertifiziert werden ...). Die ISO 31000:2009 ist aber eine "Leitliniennorm", die keine Anforderungen stellt, sondern Leitlinien gibt. Bei einem Risikomanagement kann man durchaus auf Inhalte und Strukturen der ISO 31000:2009 zurückgreifen, braucht dies aber nicht so unbedingt zu tun. So können in Anlehnung an Abschnitt 2 "Terms and Definitions" durchaus Begriffe eines individuellen Vokabulars genutzt werden. Die vorgegebenen Begriffe sind nicht generisch. Ebenfalls können in Anlehnung an Abschnitt 3 "Principles" eigene und individuelle Grundsätze formuliert werden und die vorgeschlagenen Grundsätze entweder modifiziert oder ersetzt, oder ersatzlos gestrichen werden. Die vorgegebenen Grundsätze sind nicht generisch. Die Leitlinien des Abschnitts 4 "Framework" und des Abschnitts 5 "Process" werden, da sie generisch sind, übernommen und gegebenenfalls modifiziert.

  

Risikomanagement - Grundsätze des Standards ISO 31000:2009

Der Risikomanagementstandard ISO 31000:2009 "Risk Management - Principles and Guidelines" bringt in seinem Abschnitt 3 "Principles" einen Satz von 11 Grundsätzen mit.

Diese Grundsätze bringen Verständnis und sorgen für Unverständnis gleichermassen!

Beispiel - Abschnitt 3 h: "Risk management takes human and cultural factors into accout."
Dazu der Kommentar eines Vorstands: "Kann ich nicht brauchen; bei uns geht es um Zahlen, Daten und Fakten."

Beispiel - Abschnitt 3 b: Risk management is an integral part of all organizational processes."
Dazu der Kommentar eines Beraters: "Macht klar, dass Risk Management nur "integriert" mit den Prozessen, insbesondere den wertschöpfenden und rechnungslegenden Prozessen des Unternehmens sinnvoll ist."

Über alle diese 11 Grundsätze lässt sich hervorragend diskutieren. Tatsache ist: Im Gegensatz zu den Abschnitten 4 "Framework" und 5: "Process", sind die Inhalte des Abschnitts 3 nicht generisch, sondern gehen von bestimmten grundlegenden Axiomen aus, die unternehmensspezifisch sind. Nicht jedes Unternehmen will "human and cultural factors" berücksichtigen. Es mag dazu gute Gründe haben. Nichts hindert es daran, als einen seiner eigenen Grundsätze z. B. "Risk management ist based on numbers, data and facts." zu formulieren und den nicht gewünschten Grundsatz der Norm zu streichen.    

Dienstag, 10. Juli 2012

Komplexität


Komplexität ist ein Begriff für eine Eigenschaft eines Sachverhalts.
Komplexität ist uneinheitlich definiert.

Ein System, welches komplex ist:
  • hat viele Elemente, die sich verändern können
  • hat viele Beziehungen, die sich verändern können
  • ist offen oder teiloffen in Bezug auf Austausch von Elementen mit seiner Umgebung
  • ist offen oder teiloffen in Bezug auf Beziehungen zwischen System und Umgebung
  • hat eine Dynamik, die durch die Veränderung mit der Zeit gegeben ist
  • ist nicht 1:1 in Bezug auf Ursache und Wirkung, sondern n:m
  • ist nicht ohne weiteres umkehrbar nach Veränderungen
  • ist nicht linear in der Beziehung zwischen Eingabe und Ausgabe
Ein komplexes System ist nicht vollständig vorhersehbar. Seine Zustände in der Zukunft sind ungewiss. Prognosen sind nicht sicher. Für die Beschreibung derartiger Systeme wird gerne "die Ungewissheit der zukünftigen Entwicklung" formuliert, welche die Komplexität in anderen Worten zum Ausdruckt bringt.

  • Typische gering komplexe Systeme sind einfache technische Maschinen.
  • Typische komplexe Systeme sind soziale Systeme ("mehr als ein Mensch").
  • Typische hoch komplexe Systeme sind hybride Systeme ("Unternehmen als soziales + juristisches + technisches + ökonomisches System").

Komplexe Systeme bringen in Bezug auf Ziele, die in ihnen erreicht werden sollen, Risiken mit sich. Risiko ist die Wirkung von Ungewissheit (Unsicherheit) auf Ziele (nach der Definition von Risiko in der Norm ISO 31000:2009). Risikomanagement ist (auch) Komplexitätsmanagement.

Sonntag, 1. Juli 2012

Risikomatrix: Ein-, zwei-, drei- oder vierdimensional?

Die klassische Risikomatrix als mehr oder weniger quantitative Bewertung ist in Einklang mit der unternehmerischen und normierten Praxis zweidimensional: in den orthogonalen Koordinaten Eintrittswahrscheinlichkeit (eines Ereignisses) und Auswirkung (eines Ereignisses). Diese Orthogonalität legt die Bildung eines Produkts aus Eintrittswahrscheinlichkeit und Auswirkung nahe, welches eine eindimensionale Bewertung von Risiko ist.  Die FMEA-Methodik der Risikobewertung von Fehlern ist in dieser Logik eine dreidimensionale Matrix mit der Risikoprioritätenzahl aus dem Produkt dreier Bewertungen als eindimensionale Bewertung von Risiko.

Man kann - ob das sinnvoll ist oder nicht - weitere Eigenschaften von Risiko quantitativ bewerten und diese  Eigenschaften als weitere Koordinaten einer höherdimensionalen Matrix auffassen. Beispiele weiterer quantitativer Eigenschaften von Risiko können sein:
  • Die zeitlich Nähe des Risikoereignisses.
  • Das Ausmass der Vernetzung des Risikos mit anderen Risiken.
Ob Risiko mit Hilfe von ein, zwei, drei oder mehr Eigenschaften bewertet wird, ist keine Frage von richtig oder falsch. Die erste richtige Frage ist vielmehr:
  • Welche Eigenschaften eines Risikos sind erforderlich, um es beurteilen zu können? Reicht die Bewertung einer einzigen Eigenschaft, oder braucht es die Bewertung mehrerer Eigenschaften?
Die zweite richtige Frage ist:
  • Können die erforderlichen Eigenschaften mit angemessener Genauigkeit ermittelt werden?
Die dritte richtige Frage ist:
  • Ist der Aufwand der Beurteilung und der Steuerung eines Risikos angemessen in Bezug auf den Nutzen des Risikomanagements?

  

Mittwoch, 20. Juni 2012

Integriertes Risiko Management und Balanced Score Card

"Risiko ist", so die Definition der Norm ISO 31000:2009 2.1 "die Wirkung von Unsicherheit auf Ziele".
"Risikomanagement ist", so der Grundsatz 3.b der Norm ISO 31000:2009 "Bestandteil aller Organisationsprozesse."
Nichts liegt näher und nichts ist einfacher als aufgrund dieser zwei Definitionen oder zwei Grundsätze, Risikomanagement mit Hilfe des Konzepts der Balanced ScoreCard im Unternehmen zu integrieren. Bereits mit den einfachen und klassischen 4 Perspektiven nach Kaplan & Norton ist damit Risikomanagement in die entsprechenden 4 Zielkategorien integriert. Ein unternehmensweites Risikomanagement ist damit grundsätzlich angelegt.

Samstag, 19. Mai 2012

25 Jahre ISO 9001

Vor 25 Jahren tauchte die erste Version dieser Norm für das Management von Qualität auf. Die Idee war, generische Merkmale des Managements von Unternehmen, die "gute Qualität" schaffen, als Anforderungen der Norm zu formulieren. Das war verbunden mit einem Verständnis einer "relativen Qualität" bezogen auf eine individuelle Festlegung des Unternehmens, was seine Qualität ist. Es ging und es geht nicht um dieses mythische Qualitätsverständnis eines "Made in Germany" oder "Made in Japan", genau so wenig wie um eine mythische 90 prozentige oder 99 prozentige oder 99,9 prozentige Kundenzufriedenheit als gemessene Reaktion auf die Qualität. Im Kern geht es darum, dass ein Unternehmen sich der Qualität seiner Produkte und seiner selbst bewusst ist und dafür etwas systematisches tut. Die ISO 9001 ist dafür was getan werden kann nicht mehr und nicht weniger als ein standardisiertes Angebot in Form einer Norm für das Management.

Der Kunden des ISO 9001 zertifizierten Supermarkts, der 1,25 l eines koffein-, zucker- und CO2-haltigen Getränks für 99 Cent erwirbt, hat von diesem Qualitätsmanagement eben so wenig Ahnung, wie der Käufer eines gebrauchten Turbodiesels mit TÜV und mit Qualitätsgarantie. Selbst der Einkäufer eines Konzerns sieht das Zertifikat des Zulieferers eher als formale denn als inhaltliche Qualifikation zur Lieferfähigkeit.

Älter als Qualitätsmanagement ist Risikomanagement. Anlagen von Werten auf Wagnis von Personen gab es bei den Fuggern und wahrscheinlich bereits viel früher seit mit der ungewissen Entwicklung der Zukunft ein spekulativer Umgang gepflegt wurde.

Die Normierung des Risikomanagements auf der Ebene der ISO fand für das generische und allgemeine Risikomanagement erst vor 2,5 Jahren mit der ISO 31000 statt. Spezifische Normierungen (Risikomanagement für Projekte und Produkte) gibt es auf dieser Ebene seit mehr als 10 Jahren.

Die Normen 9001 und ISO 31000 finden "aus sich heraus" nicht leicht zu einer Integration. Erst Risiko und Qualität auf Werte zu beziehen und der Verantwortung der Unternehmensleitung zu unterstellen, schafft ein einfaches Konzept für die Integration und bringt zusammen, was zusammen gehört: "Es ist ein Risiko, Qualität nicht zu managen.(Mit oder ohne Normen!)"

Donnerstag, 19. April 2012

DIN EN ISO 50001:2011


Der sichere Weg zur zertifizierfähigen Dokumentation.

Die Norm hat - wie in vielen Normen der ISO zu finden - einen sogenannten Anhang A (informativ). In einigen Normen wird dieser Anhang selten gelesen, weil er mit dem Prädikat (informativ) suggeriert, er habe nicht mit dem zertifizierfähigem Hauptteil der Norm zu tun. Bei der DIN EN ISO 50001:2001 ist dieser Anhang der Schlüssel zur einfachen Umsetzung, denn er trägt im Sinne einer selbsterfüllenden Prophezeiung den Titel "Anleitung zur Anwengung dieser Internationalen Norm":

Man baue die Energiemanagementdokumentation exakt als Spiegelbild der Norm auf und nummeriere die Abschnitte der Dokumentation wie die Abschnitte der Norm. von 1 bis 4.7.3. Man nehme den Text des jeweiligen Abschnitts des Anhangs A der Norm, formuliere das DIN Normdeutsch in journalistisches Deutsch (falls ein Journalist zur Hand) oder in dudenkonformes Deutsch (falls ein Germanist zur Hand) oder in GermanMarketSpeech (falls ein Werbetexter zur Hand) um und reichere mit einem Dutzend "energetischer" Fakten des bezogenen Unternehmens an. Fertig ist die Dokumentation. Na ja nur fast, denn es ist sehr wohl inhaltlich über Energieplanung, Energiekennzahlen, ernergetische Ausgangsbasis, Energiepolitik nicht nur nachzudenken, sondern auch zu entscheiden und zwar unternehmerisch.

p. s. Man sollte mit dieser Arbeit an der Dokumentation keinen Ingenieur oder Physiker betrauen, denn beim Normbegriff "Energieleistungskennzahl" wird deren enges Verständnis von Energie und Leistung drastisch erweitert ...   

Donnerstag, 5. April 2012

Chancenmanagement


Ist jedes Risiko zugleich eine Chance?

Ich könnte mit der statistischen Thermodynamik argumentieren,

mit Komplexität und mit Entropie, mit mehr oder weniger geordneten Zuständen, mit Konzepten der Systemtheorie. Ich würde zu dem Ergebnis kommen, Risiko und Chance sind keine entgegengesetzt symmetrischen und zusammengehörigen Paare. Also nix ist es mit dem geflügelten Wort "In jedem Risiko steckt eine Chance!"

Ich könnte mit der Norm ISO 31000:2009 argumentieren (Zitat):

2.1   risk
effect of uncertainty on objectives

NOTE 1 An effect is a deviation from the expected - positive and/or negative.

Wirkung kann eine positive oder negative Abweichung (des erreichten Ergebnisses vom geplanten Ziel) sein. Die Norm nennt diese mögliche positive Abweichung nicht (english) "chance" und auch nicht "opportunity". Der Begriff (english) "chance" kommt im Normtext nicht in diesem Zusammenhang vor. Der Begriff (english) "opportunity" kommt im Zusammenhang mit dem Begriff (english) "risk" vor,

2.25 risk treatment
- taking or increasing risk in order to pursue an opportunity;


als eine Art Legitimation, um Risiko aufzunehmen oder zu erhöhen.

Nicht zu allen Zielen gibt es eine positive Abweichung (z. B.: Mehr als 100% Uptime eines Prozesses gibt es nicht.).

Die ISO 31000 gibt keine Grundsätze und Leitlinien eines Chancenmanagements.

Ich könnte mit der Semantik von Risiko argumentieren:

Risiko ist - im allgemeinen Sprachgebrauch - sowohl das Risiko eines Verlusts als auch die Chance auf einen Gewinn. Ein besseres, aber wenig gebräuchliches Wort dafür ist Wagnis. Ich wage einen Einsatz in der Erwartung, dass der Gewinn (und die Eintrittswahrscheinlichkeit des Gewinnereignisses) größer ist als der Verlust (und die Eintrittswahrscheinlichkeit des Verlustereignisses). Ich mache Risikomanagement, um den Verlust (und die Eintrittswahrscheinlichkeit des Verlustereignisses) zu verkleinern. Ich mache Chancenmanagement, um den Gewinn (und die Eintrittswahrscheinlichkeit des Gewinnereignisses) zu vergrößern.

Sonntag, 4. März 2012

Risikomanagementsoftware


Risikomanagementsoftware ist Software, die Risiko managt. Quatsch!
Risikomanagementsoftware ist Software, die Daten, welche Risiko darstellen, managt. Schon besser!
Risikomanagementsoftware ist Software, die einen Risikomanagementprozess abbildet. Na ja!

Risikomanagementsoftware macht, was Software macht: Typische wiederkehrende Aktivitäten, wie Dokumentation, Kommunikation, Transformation. Wir gesagt, nicht von Risiken, sondern von Daten, die Risiken darstellen.

Ist Software, die aus 2-parametrigen Risikoeinträgen eine 2-dimensionale Risikomatrix nach der Norm ISO IEC 31010 erstellt, Risikomanagementsoftware? Ja aber ...

Ist eine Excel-basierte Monte-Carlo Simulation von Marktpreisen von Produkten eine Risikomanagementsoftware? Ist eine Berechnung eines Value@Risk für ein Portfolio von Risiken eine Risikomanagementsoftware? Ja aber ...

Ist eine GRC-Lösung (Govermance, Risk, Compliance) Risikomanagementsoftware? Aber ja ...

Ist Software, welche den Risikomanagemenprozess nach der Norm ISO 31000 in einem PDCA-Zyklus modelliert, Risikomanagementsoftware? Schon ...

Wenn es um RISIKOMANAGEMENTsoftware geht, dann ist wohl die Darstellung des MANAGEMENTprozesses (Prozessmodell) und die Darstellung von RISIKO als Daten (Datenmodell) die Grundlage. Der Managementprozess sollte ein "geregelter Prozess" (z. B. nach PDCA) sein. Mit ergänzenden Modulen für Auswertungen, Berichte, Kommunikation, Terminüberwachung usw.

Welche Software die richtige Software ist?
... Es hängt - wie alles - von den Anforderungen ab.
Darum: keine Empfehlung!

Mittwoch, 22. Februar 2012

DIN EN ISO 50001:2011 / Energiemanagement - natürlich nur integriert

Die ersten Zertifizierungen von Energiemanagementsystemen EnMS nach der neuen Norm DIN EN ISO 50001:2011 „Energiemanagementsysteme - Anforderungen mit Anleitung zur Anwendung" liegen vor. Selbst erlebte Erfahrungen aus der Beratung ...

Um es auf den Punkt zu bringen:
Ein Energiemanagement nach den Anforderungen dieser Norm auf- und umzusetzen macht nur Sinn in einer Integration mindestens mit einem Umweltmanagementsystem nach der Norm DIN EN 14001:2009. Eine singuläre oder partikulare Umsetzung macht keinen Sinn.

Der Grund ist einfach:
Energieumwandlung ist in den meisten relevanten und praktischen Fällen immer mit einer Umwandlung von Stoffen und mit einem Austausch von Stoffen mit der Umwelt verbunden. Dazu kommt noch ein Energieaustausch mit der Umwelt, wenn der Wirkungsgrad der Maschine, die Energie umwandelt (z. B. ein Motor oder ein Ofen), nicht 1.0 ist (Wo ist er das schon außerhalb des Labors?). Das heißt, einen solchen Energieumwandlungsprozess zu managen bedeutet auch einen Stoffumwandlungs- und austauschprozess zu managen. Man denke nur an die Umwandlung von chemischer Energie (stoffgebunden an fossile Kohlenwasserstoffe) in thermische Energie (stoffgebunden an ein Speicher- oder Transportmedium) durch Verbrennung, die Kohlendioxid und Wasser (plus etwas schweinische Chemie i. d. Praxis) als stoffliche Produkte liefert. Die Energieumwandlung ist mit einem Stoffaustausch mit der Umwelt untrennbar verbunden. So wie die Managementsysteme zu Energie und zu Umwelt miteinander verbunden sind. Ähnliche Betrachtungen gelten für alle anderen relevanten und praktischen Energieumwandlungen. Folglich gehört zu jeder Energieplanung in einem Energiebudget  auch eine Stoffplanung in einem Stuffbudget! Das Energiebudget und das Stoffbudget sind in der Praxis nur zusammen sinnvoll zu erstellen.

Um den Punkt noch weiter zu treiben:
Eine Energieumwandlung dient einem bestimmten Zweck. Der bestimmte Zweck wirtschaftlicher Natur ist es, Werte durch Nutzen für Interessierte zu schaffen. Und schon ist die Perspektive offen für Qualitätsmanagement und natürlich für finanzielles Wertemanagement.

Es ist nicht verflixt, sondern es ist vernetzt:
Energie, Umwelt, Qualität, (finanzielle) Werte. Da bringt ein singuläres oder partikuläres Management einer dieser Sachverhalte nichts. Schon gar nicht, ein Energiemanagement nach der neuen Norm ISO 50001. Und die ISO bringt in der Norm nichts anderes mit, als nur diesen Anhang B (informativ) der Norm ISO 50001 zur Übereinstimmung einiger der üblichen bekannten und verdächtigen Normen. Gemacht offenbar nicht für die Praxis sondern für die Zertifizierung.

Um den Punkt auf den Punkt zu bringen:
Es ist ein Risiko, die Norm ISO 50001 so wie sie ist für sich einsam und allein umzusetzen! Unabhängig davon, ob der Zertifizierer PDCA und kvp nach der Deutungshoheit der Experten wiederfindet. Und noch ein Punkt auf den Punkt: Die ISO 9001:2008 hat dieses Kapitel 6 "Management von Ressourcen". Da liegt einer (von mehreren) Schlüsseln zur Integration ...

Mittwoch, 15. Februar 2012

Risikomanagement ISO 31000:2009 Anhang A (informativ)

Die Internationale Norm ISO 31000:2009 "Risikomanagement - Grundsätze und Leitlinien" hat einen interessanten Abschnitt, der sich unter dem merkwürdigen Titel "Merkmale eines erweiterten Risikomanagements" im Anhang A (informativ) verbirgt. Tatsächlich stehen dort recht klar formulierte (klarer, als in den Abschnitten 1 bis 5 der Norm) Merkmale eines Risikomanagements. Insbesondere werden dort die Konzepte der Verantwortung für Werte und der Integration auf den Punkt gebracht.

Einen solchen Anhang A (informativ) gibt es bei vielen internationalen Normen. Es lohnt sich, diese Anhänge zu lesen. Sie bringen Erkenntnisse für die praktische Anwendung und Umsetzung der Norm.

Samstag, 4. Februar 2012

Management ISO / 9001 / 14001 / 50001 / Compliance Management

Die allseits beliebten und bekannten "normierten" Managementsysteme
  • ISO 9001: Qualität
  • ISO 14001: Umwelt
  • ISO 50001: Energie 
haben zu ihrem jeweiligen spezifischen Sachverhalt, dessen Management sie standardisieren, eine Aussage zur Verantwortung für die Einhaltung von Gesetzen und gesetzesähnlichen Regularien:

ISO 9001: In Abschnitt 5 "Verantwortung der Leitung" /  5.1 "Selbstverpflichtung der Leitung" / 5.1. a) "...

ISO 14001: In Abschnitt 4. "Anforderungen an ein Umweltmanagementsystem" / 4.3 "Planung" /
4.3.2 "Rechtliche Verpflichtungen und andere Anforderungen"

ISO 50001: In Abschnitt 4. "Anforderungen" / 4.4 "Energieplanung" / 4.4.2 "Rechtliche Vorschriften und andere Anforderungen", sowie in Abschnitt 4. "Anforderungen" / 4.6 "Überprüfung der Leistung" / 4.6.2 "Bewertung der Einhaltung rechtlicher Vorschriften und andere Anforderungen"

Diese Aussagen sind Anforderungen der Normen (die Normen sind Anforderungsnormen) und begründen jeweils in den spezialisierten Managementsystemen ein ebenso spezialisiertes Compliance Management.

D. h:. Ein zertifiziertes Managementsystem zertifiziert der Organisation, dass die einschlägigen Gesetze entsprechend der einschlägigen Ausführung beachtet und / oder eingehalten werden. Das ist kein juristisch hoch belastbares Konstrukt ... / Was ist ein solches Zertifikat wert ...

Risikomanagement / ISO 31000 / Compliance Management


In den Abschnitten der Internationalen Norm ISO 31000:2009 "Risikomanagement - Grundsätze und Leitlinien", die selten oder nie gelesen werden, stehen Bezüge zu einem Compliance Management. Wenn Compliance Management als der systematische Umgang des Unternehmens mit Gesetzen und gesetzesähnlichen Regularien verstanden wird, dann steht in Abschnitt 4 "Risikomanagementrahmen" / 4.2 "Mandat und Verpflichtung":

"Die oberste Leitung sollte: - die Einhaltung rechtlicher und regulatorischer Bestimmungen gewährleisten."

Die Norm gibt damit eine Empfehlung (Die Norm ist eine Empfehlungsnorm, keine Anforderungsnorm) zu Compliance.

Das ist in der Norm der entscheidende Hinweis zu der Einhaltung rechtlicher und regulatorischer Bestimmungen. Das ist nicht viel, aber das ist immerhin ein entscheidender Satz.

positiv: Auch innerhalb von ISO-Normen für Managementsysteme gibt es Konzepte zu Compliance.
negativ: Compliance Konzepte in ISO-Normen für Managementsysteme sind weder vollständig noch gut zu finden noch als solche gekennzeichnet.

Samstag, 28. Januar 2012

Qualitätsmanagement / ISO 9001 / Corporate Governance

In den Abschnitten der Internationalen Norm ISO 9001:2008, die selten oder nie gelesen werden, stehen unverhohlen rudimentäre Bezüge zu Corporate Governance. Wenn Coporate Governance als das Ensemble von normativen Grundlagen des Managements des Unternehmens verstanden wird, dann greift die Norm DIN EN ISO 9001:2008 "Qualitätsmanagementsysteme - Anforderungen"  in ihrem Abschnitt 5 "Verantwortung der Leitung" / 5.1 "Selbstverpflichtung der Leitung" ein Konzept von Corporate Governance auf. Die Norm macht Governance ohne den Begriff Governance zu erwähnen am Begriff der Verantwortung fest. Das ist kein umfassendes oder gar vollständiges Konzept, sondern nur ein kleiner, ein winziger aber wichtiger Teil von Governance. In Bezug auf Qualität ordnet dieses Konzept die Verantwortung für die Qualität der Leitung zu.


positiv: Auch innerhalb von ISO-Normen für Managementsysteme gibt es Governance Konzepte.
negativ: Governance Konzepte in ISO-Normen für Managementsysteme sind weder vollständig noch gut zu finden noch als solche gekennzeichnet.

Risikomanagement / ISO 31000 / Corporate Governance


In den Abschnitten der Internationalen Norm ISO 31000:2009 "Risikomanagement - Grundsätze und Leitlinien", die selten oder nie gelesen werden, stehen unverhohlen rudimentäte Bezüge zu Corporate Governance. Wenn Coporate Governance als das Ensemble von normativen Grundlagen des Managements des Unternehmens verstanden wird, dann stehen in Abschnitt 3 "Grundlagen" der Norm ISO 31000:2009 ein paar Fragmente, die damit zu tun haben:

Grundsatz 3h) Risikomanagement berücksichtigt Human- und Kulturfaktoren.
Grundsatz 3i) Risikomanagement ist transparent und grenzt nicht aus.

Einige weitere Grundlagen dieses Abschnitts 3 können mit Wohlwollen als Interpretation von Corporate Governance im Zusammenhang mit Risikomanagement gesehen werden.
Für ein konkretes und praktikables Ensemble von Corporate Governance Grundsätzen sind diese Grundsätze aus der Norm ISO 31000:2009 für das Unternehmen spezifisch zu formulieren.

In Abschnitt 4 "Risikomanagementrahmen" wird im Unterabschnitt 4.2 "Mandat und Verpflichtung" empfohlen, die Kultur der Organisation mit der Risikomanagementpolitik in Einklang zu bringen. Auch das ist ein Aspekt von Corporate Governance.

Im Anhang A.3.4 wird die "kontinuierliche Kommunikation" explizit als Merkmal von einer guten Führung (Governance) empfohlen. Der Begriff "Governance" wird explizit genannt und auf deutsch mit "guter Führung" übersetzt.

Und last not least: Überall, wo auf Verantwortung verwiesen wird, geht es um Corporate Governance.

positiv: Auch innerhalb von ISO-Normen für Managementsysteme gibt es Governance Konzepte.
negativ: Governance Konzepte in ISO-Normen für Managementsysteme sind weder vollständig noch gut zu finden noch als solche gekennzeichnet.

Dienstag, 10. Januar 2012

Risikomanagement Seminare Steinbeis-Transferzentrum Risikomanagement

Ich biete über mein Steinbeis-Transferzentrum Risikomanagement im Jahr 2012 die folgenden Seminare an:

Generische Grundlagen:
- S01 Konzepte Risikomanagement

Unternehmerische Praxis:
- S02 Umsetzungen Risikomanagement

Neue Impulse:
- S03 Qualitätsmanagement
- S04 Projektmanagement
- S05 Innovationsmanagement
- S06 Wissensmanagement
- S07 Krisenkommunikation
- S08 Balanced Score Card
- S09 Norm DIN EN 9100
- S10 Integration
- S11 Norm ISO 31000

Weitere Informationen:
> Link zur den Seminaren: <

Weitere Themen, z. B.:
- Informationssicherheit (Normen IEC ISO 2700X)
- Risiken Medizinprodukte (Normen DIN EN ISO 14971 / DIN EN ISO 13485)
- Risikobeurteilung mit MS Excel (z. B.: Monte Carlo Modellrechnungen)
sind auf Anfrage möglich.

Dienstag, 3. Januar 2012

Risiko ist die Wirkung von Unsicherheit auf Ziele ...

... so die Definition nach Abschnitt 2.1 der Internationalen Norm ISO 31000:2009.

Die erste logische Folge dieser Definition ist:
  • Es gibt kein Risiko, wenn es kein Ziel gibt.
Die zweite logische Folge dieser Definition ist:
  • Ein Ziel ohne Prozess oder Projekt (die zu einem Ziel führen) ist sinnlos.
Die Definition von Risiko braucht das Konzept des Ziels und das Konzept des Prozesses oder des Projekts. Ziel, Prozess oder Projekt und Risiko stehen unter einer Verantwortung, die im theoretischen Idealfall Eine Person als Zieleigner, Prozess- oder Projekteigner und Risikoeigner (definiert in der internationalen Norm ISO 31000:2009) ist. Die Definition rückt Ziele in die Mittelpunkt der Führung des Unternehmens. Ziele sind Führungsgrößen für Prozesse.