Dienstag, 29. November 2016

Integration / integriert: Risikomanagement und Qualitätsmanagement in Unternehmen

Es kommt auf die Perspektive an:

ISO 9001:2015  Qualitätsmanagement 

- Risikomanagement ist in das Qualitätsmanagement integriert.
Mit dem Plan-Do-Check-Act für die Qualität geht das Plan-Do-Check-Act für das Qualitätsrisiko. Dieses Risikomanagement hat Qualitätsrisiken zum Gegenstand. Es ist ein Qualitätsrisikomanagement.

Risikomanagement unternehmensweit

- Qualitätsmanagement ist in das unternehmensweite Risikomanagement integriert. Qualität der Produkte (Güter und Dienste) schützt das Unternehmen gegen Produkthaftungsrisiken und ist damit auch ein Teil des Compliancemanagements. Wie es ein Chief-Compliance-Officer auf den Punkt brachte: "Qualitätsmanager sind die nützlichen Idioten, die mir Produkthaftungsrisiken fernhalten!"

Mittwoch, 5. Oktober 2016

ISO 9001:2015 - Welche Risiken (und Chancen) managen?

Es besteht offenbar immer noch Ungewissheit (und damit ein Risiko!), welche Risiken nach den Anforderungen der Norm DIN EN ISO 9001:2015 gemanagt werden müssen. Die Antwort steht in der Norm (Zitat aus der DIN EN ISO 9001:2015): 

5.1.2 Kundenorientierung

Die oberste Leitung muss im Hinblick auf die Kundenorientierung Führung und Verpflichtung zeigen, indem sie sicherstellt, dass:


b) die Risiken und Chancen, die die Konformität von Produkten und Dienstleistungen beeinflussen können, sowie die Fähigkeit zur Erhöhung der Kundenzufriedenheit bestimmt und behandelt werden;

Damit ist es ganz klar: Zu managen sind Qualitätsrisiken und nichts anderes. Und Qualitätsrisiken sind dort, wo Qualitätsziele für Produkte (Güter und Dienste) sind. So einfach. Nicht ganz: Wenn es Qualitätsziele für das Qualitätsmanagementsystem (in der Folge von Normanforderungen: sh. der Titel der Norm DIN EN ISO 9001:2015 "Qualitätsmanagementsysteme - Anforderungen") gibt, dann sind auch dort Risiken, diese Ziele nicht zu erreichen. In der Ursachen-Wirkungen-Logik ziehen Risiken des Systems Risiken des Ergebnisses des Prozesses im System nach sich.

So einfach ist das!

Montag, 3. Oktober 2016


Montag, 19. September 2016

Risiko- und Chancenmanagement nach den Anforderungen der ISO 9001:2015 - Vorsicht!

Es ist erstaunlich, welche Interpretationen aus den Anforderungen der Norm DIN EN ISO 9001:2015 im Umlauf sind. Zwar steht in dieser Norm nicht explizit drin, welche Risiken gemeint sind, was aber nicht der Unsitte Vorschub leisten sollte, hier die üblichen und populären Risiken in Unternehmen und Organisationen zu beachten.

Es sollte aus dem Titel und dem Thema der Norm eindeutig sein, dass es sich um Qualitätsrisiken (und Qualitätschancen) und nur um diese handeln kann.

Für Qualitätsrisiken ist die entsprechende Qualitätsnorm zuständig.
Für Umweltrisiken ist die entsprechende Umweltnorm zuständig.
Für IT-Sicherheitsrisiken ist die entsprechende IT-Sicherheitsnorm zuständig.
Für Energierisiken ist die entsprechende Energienorm (in der kommenden Revision) zuständig.

Wenn ein Qualitätsmanager Währungsrisiken managen soll / will / kann ist das lachhafte Anmassung.

Der Qualitätsmanager managt Qualitätsrisiken, die dort und nur dort liegen, wo es Qualitätsziele gibt. Die Qualitätsziele gibt es für das Produkt (Güter und Dienste), für den Qualitätsmanagementprozess (Es gibt Anforderungen an den Prozess und damit Ziele.) und für das Qualitätsmanagementsystem (Der Normtitel sagt das explizit.).

Alles andere sind dumme Gerüchte!

Zur Rolle von Zielen im Risikomanagement.

Die ISO-Normen verbreiten leider uneinheitliche Definitionen von Risiko. So lautet die Definition der ISO 31000 von Risiko in Abschnitt 3.1:

Risiko ist die Wirkung von Ungewissheit auf Ziele.

Das ist Unsinn! Ein Ziel ist ein zukünftiger, antizipierter, vorzugswürdiger Zustand. Auf diesen virtuellen Zustand wirkt keine Umgewissheit.

Eine bessere Definition, die in vielen Unternehmen verstanden wird,  ist die folgende:

Risiko ist die Wirkung von Ungewissheit auf Ergebnisse.

Ein Ergebnis ist ein tatsächlicher (und kein virtueller) Zustand der  unter Risiken und Chabcen entstanden ist.

Diese Definition ist noch immer nicht vollständig, aber praxistauglicher als die ISO Definition der Norm ISO 31000. In dieser Definition setzen Ziele den Referenzpunkt der Messung von Risiken. Risiko hängt danach unmittelbar von dem Ziel ab. Risiko ist selbst, da in der Zukunft, eine virtuelle Größe.

Ein anspruchsvolles und ambitioniertes Ziel zu erreichen ist mit mehr Risiko verknüpft, als ein einfaches und leichtes Ziel zu erreichen. In diesem Verständnis ist Risiko die Möglichkeit, ein Ergebnis zu erreichen, dass von einem Ziel negativ abweicht. Die Möglichkeit drückt die "Ungewissheit" aus. Die Abweichung drückt die "Wirkung" aus. Womit wir bei den zwei Koordinaten der klassischen Risikomatrix sind.

Da Ziele in der Zukunft liegen, liegen auch Risiken in der Zukunft. Risiken sind damit so virtuell wie die zugehörigen geplanten Ziele. Erst wenn die Zukunft erreicht ist, und das zum Ziel gehörige Ergebnis realisiert ist, ist das Risiko kein Risiko mehr, sondern ein Schaden sofern es vom geplanten Ziel tatsächlich abweicht.

Ein weiterer Sachverhalt, der in der Zukunft liegt, ist die Prognose. Eine Prognose ist eine Vorhersage für die Zukunft. Sie kann vom Ziel abweichen. Sie ist kein Ziel und sie ist nicht das zukünftig erreiche Ergebnis.


    




Dienstag, 2. August 2016

Die Randbedingungen für Managemententscheidungen und Handlungen

Managemententscheidungen und die damit eingeleiteten Handlungen unterliegen explizit und implizit vielen Randbedingungen:


  1. Compliance: Übereinstimmung mit rechtlichen und weiteren verbindlichen Anforderungen
  2. Governance: Regelung der Verantwortung
  3. Risiko: Abwägung der Risiken und Chancen 
  4. Qualität: Anforderungen relevanter und berechtigter Art der Interessierten und Kunden
  5. Umwelt: Anforderungen aus der Perspektive der Umwelt
  6. Energie: Anforderungen aus der Forderung nach Energieeffizienz
  7. Informationssicherheit: Anforderungen an die Integrität, Vertraulichkeit und Verfügbarkeit von Information


  

Donnerstag, 7. Juli 2016

Risikobewusstsein schärfen


Donnerstag, 16. Juni 2016

Donnerstag, 19. Mai 2016

Steinbeis Consulting Tag Industrie 4.0 am 29. Juni 2016 in Stuttgart



Präsenz des Steinbeis Transferzentrums Risikomanagement zum Thema Industrie 4.0.

Management Leistung und Leidenschaft

Für das Management von Sachverhalten stellen viele ISO Normen Mindestanforderungen an das Managementsystem.
Für den zu managenden Sachverhalt hingegen gilt das Paradigma der „ständigen Verbesserung“. Das gilt für „Qualität“, „Umwelt“, „Energie“, etc.. Dieses „immer besser“ dieses Sachverhalts wird mit einer Leistungskennzahl gemessen.

Die Terminologie von „Qualitätsleistung“, „Umweltleistung“, „Energieleistung“, etc. etabliert sich derzeit.

Techniker und Ingenieure werden an der Energieleistung des Energiemanagements weiter verzweifeln. Energie ist in diesem Begriff Energie. Leistung ist in diesem Begriff nicht Energie pro Zeit, sondern eine relative Wertschöpfung. Energieleistung ist Wertschöpfung (z. B. in Stück- und Mengenzahlen oder auch in Euro) pro eingesetzter Energie (z. B. in kWh oder auch in ihrem Geldäquivalent Euro).

Dienstag, 10. Mai 2016

Alles Qualität oder was?

Vor ein paar Jahren schon haben wir „integriert“, nämlich Managementsysteme integriert. Genannt haben wir das „Qualität“. Gemeint haben wir bestimmte Werte für bestimmte Interessierte. Das Produkt haben wir Wert genannt. Der Kunde war der Interessierte an dem Wert.

Das Ganze war nicht nur ISO 9001 sondern auch ISO 9004.
Das ganze war aber auch ISO 14001 mit der Umwelt als Kunden und der Umweltintegrität als Wert, bzw. als Qualität.

Zertifizierbar war das natürlich auch. Für 9001. Für 14001. Und für andere. Etwas anstrengender für den Auditor / Zertifizierer, aber das war ok.


Irgendwie hatten wir die neue Revision der ISO Normen schon vor uns und die Integration pragmatisch und einfach umgesetzt.

Industrie 4.0: Wo anfangen?

Unternehmen setzen sich unter dem Eindruck der scheinbaren alternativlosen Zukunft mit dem Etikett 4.0 IT Ziele zur Vernetzung von alten und neuen Akteuren und Voyeuren in und um ihre Organisation.
Stattdessen sollten sie, ja müssen sie die klassischen unternehmerischen Ziele Effektivität, Effizienz, Qualität, Umsatz und Profit weiter verfolgen und nach Strategien zu deren Erreichung suchen.
4.0 ist nur eine von vielen Strategien für Unternehmen, nicht mal eine Gesamtstrategie, sondern nur eine Teilstrategie. 4.0 ist eine IT basierte Realisierung eines Workflows für ein Geschäftsmodell. In diesen Workflow sind – idealerweise – mehr und neue interessierte Parteien mit eingebunden, erhalten und erzeugen mehr und neue Information und haben teil an mehr und neuen Werten.

Der Schlüssel zu dieser Wertschöpfung ist das Geschäftsmodell. Unternehmen fangen mit 4.0 dort an, wo sie immer schon angefangen haben: Beim Kunden, beim Produkt und beim Markt und den entsprechenden zusammenhängen.

Sonntag, 17. April 2016

Industrie 4.0: Mensch oder Maschine: Wer oder was bleibt?

Die Übertragung von Arbeit! 
Nachdem der Mensch mit seiner Intelligenz seine körperliche (mechanische)  Arbeit der Maschine übertragen hat, überträgt er auch seine geistige (intellektuelle) Arbeit der Maschine. Treiber für diese Übertragung sind die Entwicklung von
  • Leistung
  • Qualität
  • Kosten
  • Gewissheit
zum Vorteil der Maschine gegenüber dem Mensch.  

Die Digitalisierung macht Information - der Gegenstand der geistigen Arbeit - in der digitalen Infrastruktur von Netzen, Computern und Maschinen verarbeitbar.

Was bleibt dem Menschen noch? 
Zunächst bleibt noch die Verantwortung für - ja für wofür eigentlich? - Werte, um der Verantwortung einen Wert zu geben. Daneben bleibt noch die Arbeit mit emotionaler und intuitiver Methodik, die (noch) nicht vollständig digitalisier- und algorithmisierbar ist. Verantwortung ist juristisch geregelt. Die Maschine, die einen Fehler macht, wird nicht verantwortlich belangt. (Der Hund, der jemanden beisst, wird nicht verantwortlich belangt.)

Das Szenario in Unternehmen:
Hier geht es um die Chancen und Risiken von Menschen, in der (digitalen) Zukunft Arbeit zu haben.
  • Chancen für die mit Kompetenz, Erfahrung, Intuition und Kreativität Bemittelten. Sie werden noch gebraucht.
  • Risiken für die gegenteilig Bemittelten. Sie werden nicht mehr gebraucht. 
Best Case Scenario: Neue Wertschöpfungsnetzwerke schaffen neue Arbeitsplätze in großer Zahl.
Worst Case Szenario: Neue "smarte"@ und "intelligente"@ Maschinen lösen bekannte Arbeitsmodelle auf und schaffen Arbeitplätze in großer Zahl ab.
   
@ Ist zu definieren. 

Dienstag, 29. März 2016

Zum (Un-) Verständnis von Statistik ...

Wenn man in einen Wolkenbruch geraten ist, und völlig durchnässt wurde ...
Von wie viel % der Tropfen ist man wohl getroffen worden ???

Samstag, 19. März 2016

ISO 9001:2015, ISO 31000:2009: Unglückliche ISO Definitionen von Risiko (und Chance)

Definition von Risiko ...

... in ISO 9001:2015
0. Einleitung
0.3 Prozessorientierter Ansatz
0.3.3 Risikobasiertes Denken

(A) „Risiko ist die Wirkung von Ungewissheiten und jede dieser Ungewissheiten kann positive oder negative Auswirkungen haben.“

Definition von Risiko ...

... in DIN E ISO 31000
2. Begriffe
2.1 Risiko

(B) „Risiko ist die Wirkung von Ungewissheit auf Ziele.“ 

Es ist höchst merkwürdig, dass verschiedene ISO Normen verschiedene Definitionen liefern.
Beide Definitionen (A) und (B) sind weder theoretisch fundiert noch praktisch nützlich.

zu (A):
Allein Unsicherheit bewirkt nichts. Unsicherheit löst nur eine unbedingte Beziehung zwischen Ursache und Wirkung in eine durch Unsicherheit bedingte Beziehung auf. Von Ursache ist in dieser Definition keine Rede. Allenfalls deutet diese Definition an, dass Risiko eine "zweiparametrige" Größe mit den Komponenten "Ungewissheit" und "Wirkung" ist.

zu (B):
Ziele sind imaginäre, ausgewählte, zukünftige, vorzugswürdige Zustände, auf die Ungewissheit keine Wirkung hat.

zu (A) und (B):
Ursachen haben durch Ungewissheit bedingte Wirkungen auf Ergebnisse. Ist die Ursache eine Gefahr, gibt es das Risiko einer möglichen negativen Abweichung des Ergebnisses von seinem Ziel. Ist die Ursache eine Gunst, gibt es die Chance einer möglichen positiven Abweichung des Ergebnisses von seinem Ziel.
Lassen wir die Ursache (Gefahr oder Gunst) auf einen Wert wirken, folgen daraus möglicherweise Schaden oder Nutzen bzw. möglicher Verlust oder Gewinn.

Damit sind wir bei einer Definition von Risiko (und Chance) im Bild einer Ursachen-Wirkungs-Beziehung, die durchaus in Normtexten der ISO (z. B. DIN EN ISO IEC 31010) dokumentiert sind. Warum nutzt die ISO nicht ihre eigenen Verfahren?





Samstag, 20. Februar 2016

Szenariotechnik, Szenarioanalyse



Szenarioanalyse ist ein beliebtes Vorgehen, sich die ungewisse Zukunft zu vergegenwärtigen, also in der Vorstellung in die Gegenwart zu holen. Nicht "beam me up, Scotty", eher "crystal ball gazing", eher "science fiction" als "scientific approach". 

Szenarien werden permanent generiert und kommuniziert. In der Wirtschaft in Unternehmen. In der Politik in Bezug auf die Gesellschaft.

Szenarioanalyse wird in der Norm ISO 31010 im Abschnitt B. 10 als eine Methode der Beurteilung von Risiken gelistet. Die dortigen Definitionen und Erklärungen sind etwas dürftig.

Szenarien sind bildhafte Vorstellungen von Zuständen in der Zukunft und damit von deren Ungewissheit bestimmt. Damit sind Szenarien virtuell und imaginär. Szenarioanalyse ist eine Methode des Risikomanagements. Szenarien eines Zustands können nach ihrem "Wert" und nach ihrer "Eintrittswahrscheinlichkeit beurteilt werden. Sie lassen sich mehr oder weniger quantitativ mit dem Werkzeug der Risikomatrix graphisch darstellen.

Die Abbildung zeigt eine Beurteilung von den drei typischen Szenarien

  • worst case (geringster Wert)
  • realistic case (realistischer Fall)
  • best case (höchster Wert)
eines zukünftigen Zustands. Die Wahrscheinlichkeiten der drei Fälle sind in Summe auf 1.0 normiert; eine gängige Vereinfachung, die mögliche Szenarien mit Werten zwischen den drei herausgehobenen Fällen vernachlässigt.



Mittwoch, 10. Februar 2016

Industrie 4.0: Risikomanagement

Der Unternehmer (das Kapital) hat die Schaffung und die Sicherung von Werten (Umsatz, Renditen) des Unternehmens als ein generisches Ziel.

Risiko ist der mögliche, ungeplante, unerwünschte und zukünftige Verlust von Wert. Zukünftig erreichte Ergebnisse können in diesem negativen Sinne von geplanten Zielen abweichen. Risikomanagement “managt” diese Ungewissheit der zukünftigen Entwicklung.

Der Mensch als Arbeitsverrichter in jeglichem Abschnitt der Wertschöpfung ist Ursache von Ungewissheit. Der Mensch ist ein komplexes System.
Die "gut gemachte" Maschine als Arbeitsverrichter in der Wertschöpfung bringt weniger Ungewissheit als der Mensch in das Unternehmen hinein. Die Maschine ist ein kompliziertes System.

Das gilt nicht nur für “körperliche” Verrichtungen, sondern auch für “geistige” Verrichtungen, soweit sie von der Maschine übernommen werden können.

Der Unternehmer macht ein rationales Risikomanagement, wenn er die Frage “Mensch oder Maschine?” mit “Maschine” beantwortet. Es ist Teil des Wandels des Unternehmens in einer 4.0 Strategie und bereits seit Jahrzehnten Realität auch ohne eine explizite 4.0 Strategie.

Literatur:

ISO 31000:2009 Risk Management - Principles and Guidelines
2.1 Risk
DIN EN IEC 31010:2010 Risikomanagement - Verfahren zur Risikobeurteilung
B 8.20 Beurteilung der menschlichen Zuverlässigkeit


Montag, 11. Januar 2016

Risikomanagement auf dem SchadenSymposium 2016

Auf dem SchadenSymposium 2016 am 1. und 2.  September 2016 wird Risikomanagement ein zentrales Thema sein.

Hier ist der Link zum Programm.


Zitiert aus dem Film "Collateral" mit Tom Cruise und Jamie Foxx

Vincent (Tom Cruise) zu Max (Jamie Foxx) bei ca: 59:15 min …

"Risikomanagement - mich kennt niemand und das wird sich auch nicht ändern …"

Mittwoch, 6. Januar 2016

Risikomatrix: Grundsätzlich falsch oder nur sehr vereinfacht?

Das Problem ist von bekannten Fachleuten erkannt, wird aber wenig kommuniziert.

Wenn ein Risiko bewertet wird mit
  • Eintrittswahrscheinlichkeit: 40 %
  • Schadensausmass 2.0 Mio. Euro
und entsprechend in eine Risikomatrix eingetragen wird ...

Wo sind dann die restlichen 60 % der Eintrittswahrscheinlichkeit?
Bedeutet das, mit 60 % Eintrittswahrscheinlichkeit geht alles gut mit 0.0 Euro Schaden?

Es lohnt sich, darüber nachzudenken ...