Montag, 14. Oktober 2019

KOMPAKT: Risiko und Risikomanagement


KOMPAKT: Risiko und Risikomanagement

Risiko ist nicht eindeutig definiert. Die vielen Definitionen von Risiko aus verschiedenen sachverständigen Quellen weichen stark voneinander ab und sind nicht alle komplementär zueinander. Selbst innerhalb der Welt der ISO / IEC Normen mit Bezug zu Risiko gibt es verschiedene Definitionen. Die zwei Definitionen (1) und (2) kommen aus praktischen Risikomanagementprojekten in Unternehmen. Die dritte Definition (3) ist aus der Norm DIN ISO 31000:2018 „Risikomanagement - Leitlinien“, Unterabschnitt 3.1, zitiert. Die vierte Definition (4) ist aus dem Prüfungsstandard PS 981 von 2017 des IDW zitiert.

(1) Risiko ist ein zukünftiger, ungewisser Schaden / Verlust aus der Wirkung einer Gefahr auf einen Wert.
(2) Risiko ist ein ungewisser negativer Wertbeitrag zu einem zukünftigen Ergebnis.
(3) Risiko ... Auswirkung von Unsicherheit auf Ziele.
(4) Risiken ... mögliche künftige Entwicklungen oder Ereignisse, die zu einer für das Unternehmen negativen (Risiko im engeren Sinne) oder positiven (Chance) Zielabweichung führen können.

Die funktionsbezogene Definition (1) zeigt Risiko in einer Ursache - Folge Beziehung zwischen Gefahr und Schaden / Verlust. Die Definition ist für Risikomanagement nützlich. Wichtig ist der Wert als Mittelpunkt der Beziehung.
Die sachbezogene Definition (2) zeigt Risiko als eine Werteposition mit besonderen Eigenschaften. Die Definition ist für Risikobewertung nützlich. Wichtig ist der Wert als Thema (z. B. in ISO Normen: Qualität, Umwelt, Sicherheit, ...) und der Wert als Kategorie (z. B. in IDW Standards: strategischer, operativer, finanzieller Wert, ...).
Die ISO Definition (3) zeigt Risiko in Verbindung mit Zielen. Die Definition ist ein Beispiel für weitere Erklärungen und Beschreibungen ein- und desselben Sachverhalts.
Die IDW Definition (4) ist prosaisch eine Beschreibung der Ungewissheit der zukünftigen Entwicklung, wobei der IDW Begriff „Zielabweichung“ eine korrektere Beschreibung des Sachverhalts ist als der ISO Begriff „Ziel“.

Aus den Definitionen (1) bis (4) von Risiko ist der Schluss zu ziehen, dass in Unternehmen nicht nur positive Werte, sondern auch ungewisse negative Werte (Risiken) einer Verantwortung unterstehen. Das trifft auch für Risiken zu, deren Ursache (Gefahr) nicht in dem Unternehmen liegt, wohl aber deren Folge (Schaden / Verlust). Die Betrachtungen zu Risiko treffen auch für Organisationen zu, die keine (finanziell gewinnorientierten) Unternehmen sind. Alle Organisationen schaffen Werte für ihre Interessierten Parteien. Alle diese Werte sind Gefahren ausgesetzt.

(a) Die qualitative Art von Risiko wird durch die zugehörigen Werte festgelegt. So gibt es entsprechend (2) Wertethemen nach ISO Normen (z. B.: Qualität, Umwelt, Energie, ...) und entsprechend (4) Wertekategorien nach IDW Standard (z. B.: strategisch, operativ, finanziell, ...).
(b) Die quantitative Größe von Risiko wird durch zwei Parameter (Größe des Schadens [nach Eintritt des Schadensfalls] und Größe der Wahrscheinlichkeit [des Eintritts des Schadensfalls]) bemessen. Die graphische Visualisierung als Risikomatrix ist die vielzitierte (sh. google Bildsuche „Risikomatrix“) Ikone des Risikomanagements.

Risikomanagement ist (... ohne für Risikomanagement weitere ISO oder nicht-ISO Quellen zu zitieren ...) das Management von Risiko einer Organisation. Die Definitionen von Risiko mit Bezug zu Werten und Zielabweichungen legen es nahe, Risikomanagement als die Perspektive des Wertemanagements einer Organisation zu verstehen, die sich den möglichen, zukünftigen negativen Werten inhaltlich, strukturell und methodisch widmet. Risiken werden im Risikomanagement als Perspektive und Teil des Wertemanagements nach Art und Größe in Bezug auf die Werte gesteuert. Die wichtigste Frage ist die nach der Art (a) und der Größe (b) von Risiken, die eine Organisation eingehen will oder muss und die sie tragen kann. Abhängig von der Rechtsform der Organisation wird Risikomanagement aus gesetzlicher oder freiwilliger Verpflichtung gemacht.

Beispiel Qualitätsrisikomanagement: Hat ein Wertemanagement den Wert der Qualität (gemäß ISO 9000:2015 und ISO 9001:2015) zum Gegenstand, so ist das zugehörige Risikomanagement ein Qualitätsrisikomanagement. In der Norm DIN EN ISO 9001:2015 „Qualitätsmanagementsysteme - Anforderungen“ wird ein Qualitätsmanagementsystem mit integriertem Risikomanagementsystem durch Anforderungen beschrieben. Die Beschreibung und die Anforderungen an die Perspektive des Risikomanagements sind vage und unvollständig. So wird in der Norm häufig von „Behandlung von Risiken“ und „Umgang mit Risiken“ geschrieben und selten von Risikomanagement. In Einleitung und Anhang dieser Norm wird ein sogenanntes „Risikobasiertes Denken“ nicht gefordert sondern nur beschrieben, welches wiederum in den Normabschnitten nur ein einiges Mal explizit gefordert wird.
In der Norm DIN EN ISO 14001:2015 sind die Beschreibungen und die Anforderungen bezüglich Risiko nicht konsistent mit denen aus der Norm DIN EN ISO 9001:2015.
Diese Inkonsistenz und Inkonsequenz des Integrierten Risikomanagements in den aktuellen ISO Normen mit Anforderungen an Managementsysteme führte und führt zu Missverständnissen mir diesen Revisionen der ISO Normen und zu erheblichen individuellen Aufwand in Unternehmen, diese Thematik zu klären.

Beispiel Generisches Risikomanagement: Es gibt zahlreiche Konzepte zur Planung und Umsetzung von ebenso zahlreichen Risikomanagementsystemen mit verschiedener Zielsetzung in Unternehmen. Im Folgenden wird eine entsprechende ISO Norm kurz beschrieben. Die Norm DIN ISO 31000:2018 „Risikomanagement - Leitlinien“ beschreibt Strukturen und Abläufe eines generischen Risikomanagements. Es sind in der Norm keine Werte und damit keine Risiken vorgegeben. Es ist keine Form einer Organisation vorgegeben. Diese Norm hat eine völlig andere Struktur und eine völlig andere Zielsetzung als die ISO Normen mit Anforderungen an Managementsysteme. Die Norm stellt keine Anforderungen sondern gibt Empfehlungen und ist nicht zur Zertifizierung vorgesehen. Die Norm hat eine begleítende, methodische Norm DIN EN IEC 31010:2010 „Risikomanagement - Verfahren zur Risikobeurteilung“.
(i) Die Norm kann zur Integration eines Risikomanagements in ein Wertemanagement genutzt werden. Das erfordert Anpassungen an die konkreten Werte und an die individuelle Organisation.
(ii) Die Norm kann zur Einrichtung eines Unternehmensweiten Risikomanagements genutzt werden. Es bietet sich an, die relevanten definierten und Werte- bzw. die entsprechenden Risikokategorien aus (a) zu übernehmen und mit den Wertethemen zu verbinden.
(iii) Die Norm kann zum Verbesserung eines Projektrisikomanagements genutzt werden. Sie hat z. B. eine Empfehlung im „Aktionsplan Großprojekte“ (BMVI; 12.2015) der deutschen Bundesregierung.
(iv) Die Norm kann z. B. das Risikomanagement aus der Norm ISO 9001:2015 mit dem Risikomanagement nach dem IDW PS 981:2017 verknüpfen, und Risikomanagement in den zutreffenden großen Unternehmen in der Rechtsform einer Aktiengesellschaft durchgängig von „oben nach unten“ und von „untern nach oben“ transparenter machen.

DIN ISO 31000:2018 Risikomanagement - Leitlinien: Eine Übersicht


Die Norm DIN ISO 31000:2018 Risikomanagement - Leitlinien beschreibt ein generisches und allgemeines Risikomanagement für Organisationen aller Art, für Risiken aller Art und für Situationen aller Art. Gegenüber der ersten Revision als ISO 31000:2009 wurde der Text knapper und prägnanter formuliert. Die neue Revision wurde vom DIN als nationale Norm übernommen.

Struktur und Inhalt: Die Norm DIN ISO 31000:2018 in Abschnitt ...
(0)     zeigt in der Einleitung ein Bild 1 als informative Übersicht über die Abschnitte (4), (5) und (6).
(1)     beschreibt den Anwendungsbereich.
(2)     nennt Normative Verweisungen auf andere ISO Normen.
(3)     definiert 9 Begriffe [z. B.: 3.1 Risiko ... Auswirkung von Unsicherheit auf Ziele].
(4)     nennt 6 Grundsätze [z. B.: c) integriert, e) maßgeschneidert].
(5)     beschreibt ein allgemeines Rahmenwerk für Risikomanagement.
(6)     beschreibt den generischen Prozess des Risikomanagements.

Fakten: Die Norm DIN ISO 31000:2018 ...
·        bringt eine andere Definition für Risiko, als die Norm ISO 9001:2015 oder die ISO 9000:2015.
·        hat sechs Abschnitte und keine zehn Abschnitte (wie etwa die Norm ISO 9001:2015).
·        stellt keine Anforderungen (kein „muss“), sondern gibt Leitlinien (ein „sollte“).
·        verweist nicht auf die Normen ISO 9001/14001/usw./:2015.
·        ist nicht zur Zertifizierung eines Risikomanagementsystems vorgesehen.
·        hat als Begleitung für Verfahren der Risikobeurteilung die Norm DIN EN 31010:2010.
·        ist keine „stand-alone“ Norm, sondern wird individuell integriert und adaptiert.
·        hat eine Empfehlung im „Aktionsplan Großprojekte“ (BMVI; 12.2015) der deutschen Bundesregierung.

Interpretationen: Die Norm DIN ISO 31000:2018 ...
·        beschreibt - ohne drastische Modifizierung und Anpassung - kein unternehmensweites Risikomanagement.
·        kann, da keine Anforderungen gestellt werden, nach Struktur und Inhalt modifiziert und angepasst werden.
·        macht - trotz Mangel an Vorgaben - eine Integration mit Normen ISO 9001/14001/usw./:2015 möglich.
·        ist - sh. Struktur und Inhalt - auf einer anderen Augenhöhe als die Normen ISO 9001/14001/usw./:2015.

Vorschläge zur Nutzung: Die Norm DIN ISO 31000:2018 ...
·        kann Grundlage für ein unternehmensweites Risikomanagement sein, was signifikante Anpassung der Inhalte bedeutet.
·        kann eine Brücke bauen zwischen einem Risikomanagement nach dem Prüfungsstandard der Wirtschaftsprüfer IDW PS 981:2017 „Grundsätze ordnungsmäßiger Prüfung von Risiko-Managementsystemen“ und dem „Umgang mit“ und der „Behandlung von“ von Risiken nach Normen mit Anforderungen an Managementsysteme wie ISO 9001/14001/usw./:2015
·        kann innerhalb eines Managementsystem nach ISO Anforderungen ISO 9001/14001/usw./:2015 als Integriertes Risikomanagementsystem betrieben werden.

Abschnitt 5 Rahmenwerk: Die Norm DIN ISO 31000:2018 ...
·        stellt die PDCA Regelung des Risikomanagementprozesses (Abschnitt 6) in einem Abschnitt mit mehreren Unterabschnitten dar, was z. B. in der ISO 9001:2015 für das Qualitätsmanagement über mehrere Abschnitte erfolgt.
·        stellt die Verantwortung der Obersten Leitung der Organisation für Risiko heraus.
·        erklärt die Integration des Risikomanagements in die Organisation zu einer Bedingung für den Betrieb eines Risikomanagements.
·        verweist auf die Rolle von Information, Kommunikation und Wissen (Industrie und Business 4.0).

Abschnitt 6 Prozess: Die Norm DIN ISO 31000:2018 ...
·        legt den klassischen, generischen und ikonischen Risikomanagementprozess fest.
·        gibt keine Vorgaben für Verfahren im Risikomanagement.
·        zeigt nicht, wie der Risikomanagementprozess mit dem (z. B.) Qualitätsmanagementprozess zu integrieren ist.




Sonntag, 2. Juni 2019

StOP 1001:2020: Integriertes Wertemanagementsystem

Das Steinbeis Transferzentrum hat einen Standard für Wertemanagementsysteme geschrieben.

StOP 1001:2020
Integriertes Wertemanagementsystem -
Grundsätze, Anforderungen, Empfehlungen, Informationen

Hrsg: Steinbeis Transferzentrum Risikomanagement; Dr. P. Meier

Der Standard ist "so etwas Ähnliches", wie die Norm ISO 9001:2018 (Qualitätsmanagement) plus die Norm ISO 31000:2018 (Risikomanagement). Wesentliche Unterschiede sind:
  • Der Standard StOP 1001 bezieht sich auf generische Werte, nicht speziell auf den Wert "Qualität, "Umwelt", "Energie", "Sicherheit", usw.
  • Der Standard StOP 1001 integriert beliebige Werte z. B. die Werte der ISO Themen oder die Werte der COSO Kategorien. Er beschreibt ein "Integriertes Wertemanagement".
  • Der Standard StOP 1001 integriert mit dem Wertemanagement ein Risikomanagement. Er beschreibt ein "Integriertes Werte- und Risikomanagement".
  • Der Standard STOP 1001 hat (beabsichtigt) Ähnlichkeiten zu den erwähnten ISO Normen und (beabsichtigt) Unterschiede zu diesen. 
  • Der Standard StOP 1001 schlägt einen Satz generischer Risikokategorien vor, der für jede Organisation, die Werte für ihre Stakeholder schafft, zutreffend ist.
  • Der Standard StOP 1001 nutzt nicht den sequentiellen PDCA-Zyklus zur Prozessregelung, sondern das schnellere parallele OODA-Konzept.
Der Standard wird voraussichtlich zum 01.01.2020 als Webseite veröffentlicht.



Monte Carlo for Entertainment: Vom mechanischen digitalen 1 bit Computer bis zu Excel

Das Thema ist Bestandteil von verschiedenen Vorlesungen und Seminaren des Autors.

Monte-Carlo und Monte-Carlo "Simulation" werden gerne als "Black Box" für Experten gesehen. Übersehen wird dabei, daß Monte-Carlo nichts anderes ist, als die Erzeugung eines "zufälligen" Ergebnisses. Monte-Carlo "Simulation" ist die Berechnung eines Sachverhalts mit diesen "zufälligen" Ergebnissen.

Wir zeigen Prinzipien und Anwendungen von Monte-Carlo:

  • Der mechanische digitale 1 bit Zufallsgenerator des "Münzwurfs".
  • Der mechanische digitale 8 bit Zufallsgenerator
  • Die Blume als Gewissheitsgenerator: Sie liebt mich, sie liebt mich nicht ...
  • Der Würfel als Zufallsgenerator und der manipulierte Würfel als Betrugsmaschine
  • Apps für Android und iOS
  • Simulationen mit Zufallszahlen
  • A little bit of Excel: A Business Case
Die nachstehende Abbildung aus den Vorlesungen / Seminaren zeigt das Prinzip des Münzwurfs.



Donnerstag, 7. März 2019

Wertminderung: Zum Verlust von Wert einer Sache mit der Zeit

Sachwerte = Werte von Sachen

(a) Sachwerte unterliegen einer "natürlichen" Wertminderung mit der Zeit.
(b) Sachwerte erfahren eine "künstliche / willkürliche" Abwertung mit der Zeit.
(c) Sachwerte haben einen Marktwert, der sich mit der Zeit ändert.
(d) Sachen können mit Werten aufgewertet werden.
(e) Sachen können durch Schäden abgewertet und entwertet werden.
(f) Sachen können durch Risiken* abgewertet und entwertet werden.

* Risiken sind zukünftige, mögliche Schäden.

Die eine Wertminderung hat mit der anderen Wertminderung nichts viel zu tun.

(a), (b), (c) und sind offenbar verschiedene Werte.

zu (a):

Materielle Sachen unterliegen in ihren Eigenschaften eine zeitliche Entwicklung. Die meisten "man-made" Sachen altern. Die Gründe der Alterung können sein:
* intrinsisch: made to last not forever; spontaner Zerfall, Degenerierung, usw. 
* extrinsisch: crack under pressure; Abnutzung, Gebrauchsspuren

Ein naturwissenschaftlich / technischer Ansatz für eine Wertminderung ist analog zum spontanen radioaktiven Zerfall (a1) und zum spontanen Übergang von thermischer Energie von einem heissen Gegenstand auf einen kalten Gegenstand (a2).

(a1) Der Zerfall ist proportional zur Menge des zerfallenden Materials.
(a2) Der Übergang ist proportional zur Differenz der Temperaturen.

Wir setzen die These, dass die Wertminderung proportional zur Wertmenge ist. Wir setzen den Anfangswert auf 100 %. 

Das entsprechende Wertminderungsgesetz hat die mathematische Form:

N(t) = N(0) * exp [-k*t]

N(0) = 100 % Anfangswert
t = laufende Zeit / Zeitvariable
N(t) = Zeitwert zur Zeit t
k = Zerfallskonstante
k(1/2) = Halbwertszeit ln [(1/2) / k]





Die Zeitverlaufskurve hat folgende Eigenschaft:
- Anfang bei 100 %
- charakteristischer Punkt ist die Halbwertszeit von 50 %
- Ende von 0 % ist mathematisch im Unendlichen

Die Anwendung dieses Modells für Wertminderung und Wertverlust mit der ist genau so willkürlich, wie für andere Modelle. 

Die Anwendung dieses Modells hat eine Plausibilität. Die Plausibilität ist die, dass Materialeigenschaften tatsächlich eher exponentiellen als linearen Verlust erleiden.

In Bezug auf materielle Produkte aus mehreren / vielen Materialien bzw. Komponenten haben die einzelnen Komponenten verschiedene Halbwertszeiten oder in anderen Worten verschiedene Lebenszeiten.   




Montag, 11. Februar 2019

Des-Integriertes Risikomanagement der ISO Normen zu Management / Managementsystemen


Des-Integriertes Risikomanagement ... des-aströs !!!

Was ist los mit dem ISO Risikomanagement?

Die Norm DIN ISO 31000:2018 „Risikomanagement - Leitlinien“ ist ein trauriges Kapitel, genauer ist traurige sieben Kapitel. Formal stellt die Norm keine Anforderung („muss“) an Risikomanagementsysteme, sondern gibt Leitlinien („sollte“) Risikomanagement. Von ISO Managementsystem keine Spur, beschreibt sie zwar (als Leitlinie ???) einen Risikomanagementprozess, welcher aber nicht ISO-typisch einer Regelung nach dem PDCA Konzept unterliegt. Daher kann sie auch nicht als Norm für ein Risikomanagementsystem in eine Norm für Wertemanagementsysteme (z. B. DIN EN ISO 9001:2015) integriert werden. Anforderungen sind etwas völlig anderes als Leitlinien.

Die Norm DIN ISO 9001:2015 „Qualitätsmanagementsysteme - Anforderungen“ enthält von Hause aus ein Integriertes Risikomanagement, welches aber kein vollständiges ISO Managementsystem ist sondern nur ein Fragment eines solchen. Das ist damit belegt, dass die Norm ISO 9001:2015 nicht in allen Kapiteln 5 bis 10 Anforderungen an den Umgang mit oder die Behandlung von Risiken (und Chancen) stellt, was gleichbedeutend ist, dass dieses Fragment eines Risikomanagementsystems nicht dem geregelten Prozess nach dem PDCA Paradigma der ISO folgt.

Die Normen DIN ISO 31000:2018 und DIN EN ISO 9001:2015 sind nicht auf gleicher Augenhöhe. Beide Normen zusammen beschreiben kein Integriertes, sondern ein Des-Integriertes Risikomanagement.

Was kann getan werden?

(i)     Die Norm DIN ISO 9001:2015 mit ein paar wenigen zusätzlichen Anforderungen an den Umgang mit Risiken (und Chancen) aufrüsten, sodass Risikomanagement ein vollständig integriertes vollständiges Risikomanagementsystem wird. Aber nur für den Themenbereich „Qualität“. Der erweiterte Normtext ist dann formal keine ISO Norm mehr. Er enthält aber den Text und die Struktur der Norm DIN ISO 9001:2015.
(ii)    Die Norm DIN ISO 31000:2018 aufrüsten und umbauen zu einer Norm mit Anforderungen an Risikomanagementsysteme. Der Themenbereich kann dann frei gewählt werden. Der erweiterte Normtext ist dann formal keine ISO Norm mehr. Er stammt lediglich vom Text der Norm DIN ISO 31000:2018 ab.
(iii)  Die Anforderungen der Norm DIN ISO 31000:2018 in die Norm DIN ISO 9001:2015 aufnehmen. Damit werden Anforderungen (Managementsystem: ISO 9001) um Leitlinien (Management: ISO 31000) erweitert. Das ist keine saubere Integration, sondern eine unsaubere Erweiterung.

Ein Quick-Fix der ISO ist nicht verfügbar.