Bezeichnung von Risiko

Die Bezeichnung von Risiken mit Worten ist nicht einheitlich. Grundsätzlich gibt es mehrere Möglichkeiten. 

Die erste Möglichkeit benennt die ursächliche Gefahr (auch die ursächliche Gefährdung ist möglich), aus der sich über ein Risiko ein Schaden ergeben kann.

• Gewitterrisiko
• Geschwindigkeitsrisiko

Die zweite Möglichkeit benennt den bewirkten Schaden, der sich aus einer Gefahr ergeben kann:

• Infektionsrisiko
• Verlustrisiko

Die dritte Möglichkeit benenn das Ereignis, das Ursache und Wirkung zeitlich und kausal verbindet.

• Einbruchsrisiko
• Blitzschlagrisiko

Welche Bezeichnung gewählt wird, hängt von der Definition von Risiko ab. Ist die Definition auf den Schaden bezogen, liegt eine wirkungsbezogene Definition nahe.

Die Art und Wise der Bezeichnung ist nicht standardisiert. 

In der Umgangssprache ist die Bezeichnung teilweise sehr rudimentär.

Normabschnitt “Kontext” in ISO Management- / Managementsystem-Normen

Der Schlüsselabschnitt in ISO Normen bezüglich Managementsystemen ist der Abschnitt “Kontext”, die Nummer 4 in den Normen nach dem ISO Annex SL. Es ist die Verbindung zwischen der tatsächlichen, mit “Hardware” und “Software”, mit Funktionen und Personen ausgestatteten Organisation und den theoretischen, mehr oder weniger verbindlichen oder empfohlenen   Anforderungen, Leitlinien, Anleitungen und Informationen der ausgewählten Normen. 

Die relevanten Norminhalte werden in die Organization eingebracht, indem die Bestandteile der Organisation mit den Inhalten der Norm verknüpft werden. Ausgangspunkt ist immer das strategische Geschäftsmodell, die Strategy (a) der Organisation gefolgt von Compliance (b), Governance (c), Operations (d) und - “last not least” - Finance (e):

 

(a) Wie schaffen wir Werte für welche Interessierte?
(b) Was sind die unbedingten bindenden Rahmenbedingungen?
(c) Was sind die Verantwortlichkeiten für die Wertschöpfungen?
(d) Was ist das Tagesgeschäft dieser Wertschöpfungen?
(e) Wie ist die finanzielle Bilanz dieser Wertschöpfungen?

Der gobe Kontext wird dann raffiniert in Abschnitt 4 Führung und danach - ISO - Old School in den PDCA Regelkreis der Wertschöpfung als Prozess und als System gegossen. Der Regelkreis erstreckt sich über die Abschnitte (4), 5, 6, 7, 8, 9, 10 der Normen. Das ist schon alles.

Risikoeigner / risk owner: Bezeichnung misleading

Der ISO Standard 

ISO Guide 73:2009 „Risk management - Vocabulary“ definiert den Begriff „risk owner“ in Normabschnitt 3.5.1.5 risk owner 

„ person or entity with the accountability and authority to manage a risk“.

Die ISO offizielle Übersetzung des Begriffs “risk owner”findet sich in der offiziellen DIN Version der Internationalen Norm

ISO 31000:2018 im 

Normabschnitt 5.4.3 Zuweisungen von organisatorischen Rollen, Befugnissen, Verantwortlichkeiten und Rechenschaftspflichten 

“ … und sollten - die Personen mit Rechenschaftspflicht und Befugnis für das Umgehen mit Risiko (Risikoeigner) bestimmen.”

Dieser so definierte Eigner ist nicht Eigentümer des Risikos. Er ist- im Auftrag des Eigentümers des Risikos - bestimmt, mit dem Risiko umzugehen, was wohl als Risikomanagement interpretiert werden soll und kann.

In der Praxis hat jedes Risiko einen Risikoeigner und auch einen Risikoeigentümer. Wem gehört das Risiko? Wer managt das Risiko?

Risiko: Definitionen, Erklärungen, Wahrnehmungen diesseits und jenseits von ISO und IEC

Es gibt Dutzende von Definitionen des Begriffs “Risiko” abhängig von der Wahrnehmung und der Interpretation der Sachverhalts (… wie sich Sachen zueinander verhalten …), denen wir eben diesen Begriff “Risiko” zuordnen. Es gibt keine eindeutige und verbindliche Definition des Begriffs “Risiko”. Selbst innerhalb der Familie der Normen der ISO mit Anforderungen an Managementsysteme, mit Leitlinien für Management, mit Anleitungen zu Managementsystemen, mit Informationen zu Management und Managementsystemen gibt es verschiedene Definitionen. Zwei prominente und bekannte Beispiele (1) und (2) für Definitionen zeigen dies:  

(1) ISO 9000:2015 3.7.9 Risiko ist die Wirkung von Ungewissheit

(2) ISO 31000:2018 3.1 Risiko ist die Wirkung von Ungewissheit auf Ziele

Die Definition des Begriffs “Risiko” erfolgt in der Norm ISO 9000:2015 über eine Ursache - Wirkungs - Beziehung. Risiko ist Wirkung. Ungewissheit ist Ursache.  

Die Definition des Begriffs “Risiko” in der Norm ISO 31000:2015 bezieht sich auf den Begriff  “Ziel”, mit dem die Wirkung von “Ungewissheit” einem Objekt zugeordnet wird. “Ziel” ist in der Norm ISO 9000:2015 als Begriff definiert und als Sachverhalt erklärt.

“Ungewissheit”, der selbst in diesen beiden Normen als Begriff nicht definiert und als Sachverhalt nicht erklärt.

Zwei andere Definitionen (3) und (4) kommen aus anderen Erfahrungen und Betrachtungen von Sachverhalten, der mit dem Begriff “Risiko” bezeichnet wird.

(3) Risiko ist das Szenario einer virtuellen und negativen Werteposition.

(4) Risiko ist die Verteilung eines Ergebnisses.

Eine kleine Gedankenübung:

Welche Definitionen des Begriffs “Risiko” sind mit der 2-dimensionalen Messung von Risiko für eine mehr oder weniger klassische Risikomatrix erforderlich?

Qualität und Risiko in Lieferketten / Supply Chains

 Jedes Unternehmen ist Teil einer “Lieferkette”. Die “Lieferkette” rückt in den in den letzten ein bis zwei Jahren in den Vordergrund der Interessen von Unternehmen. Die Angst vor dem “worst case scenario”, vor dem Kettenriss, macht sich breit. Die Infrastrukturen des “global sourcing & selling” scheinen eher brüchig als elastisch. Die Pandemie wirkt als Vergrößerungsglas der Schwachstellen der Ketten. Die mehr oder weniger ausgesprochenen Wirtschaftskriege, Produktembargos und Handelshemmnisse tun das Ihrige und das Übrige.  

Die “Lieferkette” wird in Deutschland danz aktuell zum Gegenstand des “Lieferkettengesetzes”, ein Compliance-Gesetz zur Vermeidung von Menschenrechtsverletzungen in globalen Wertschöpfungsketten erlassen werden. Jedes Unternehmen in einer (globalen) Lieferkette wird gezwungen, sich mit dieser Kette neu auseinanderzusetzen. 

Das Thema “Qualität” und das neue Thema “Risiko” im Zusammenhang mit der “Lieferkette” wird in Unternehmen aktuell thematisiert. 

Die Norm ISO 28001:2007 - eigentlich ein Standard jenseits des unausgesprochenen Verfallsdatums von ISO Normen stellt weder die richtigen Fragen, noch gibt sie die mehr oder weniger richtige Antworten. Sie widmet sich dem Unterthema “security management”. Nicht ausreichend für ein “Qualitätsrisikomanagement in Lieferketten.”  

In den ISO Normen zu Qualitätsmanagementsystemen und zu Risikomanagement wird nach richtungsweisenden Konzepten bei den Anforderungen, bei den Empfehlungen und in den sogenannten “informativen” Abschnitten gesucht. Vergebens.

 

Die klassische Norm ISO 9001:2015 mit Anforderungen an Qualitätsmanagementsysteme kann in den Kontext (Normkapitel 4. Kontext der Organisation”) der Lieferkette gebracht werden. Dazu braucht es eine produktbezogene Definition von Qualität, welche über die Definition in der Norm ISO 9000:2015 hinausgeht. Dazu braucht es eine unternehmerische Definition von Risiko, welche die belastungschwachen Definitionen von Risiko in den Normen ISO 9000:2015 und ISO 31000:2018 endlich vergessen lässt. Dazu braucht es “etwas mehr” Risikomanagement in der Norm ISO 9001:2015 als das informative “Risikobasierte Denken”, nämlich so etwas, wie eine Integration von Qualität und Risiko oder Risiko und Qualität. Das läuft auf eine etwas kreative Nutzung der Norm ISO 9001:2015 mit der Norm ISO 31000:2018 als Impulsgeber hinaus.

Was es noch braucht, wo diese genannten zwei ISO Normen wirklich “alt aussehen” sind einige wenige klare Anforderungen an die Informationsinfrastruktur, die Liefer- und Wertschöpfungsketten begleiten. Dazu braucht man nicht ewig auf die nächsten Revisionen dieser Normen zu warten, sondern kann sie mit etwas erfahrungs-bewährten 4.0 Konzepten selbst aktualisieren. Eine ISO Norm mit Anforderungen an Managementsysteme ist ein Mindeststandard. Warum nicht mit ein paar eigenen Anforderungen an Managementsysteme nachlegen?  

Ein wenig Denken ist angesagt. Der externe Auditor wird es danken!

ISO 9001:2015 - Over-aged and under-performing

Die Internationale Norm ISO 9001:2015 ist in die Jahre gekommen. Organisationen waren bei ihrer Umsetzung, die nichts anderes ist, als die Norm in den Kontext, in die Zusammenhänge durch die paar wenigen Anforderungen und Informationen, die sich auf den Sachverhalt “Risiko”, auf seine Wahrnehmung, seine Interpretation und seine Definition beziehen, überfordert. Wohl durch die in verschiedenen Standards inkonsistente Definition, wohl durch nicht-unternehmerische(n) Definition(en), wohl durch widersprüchliche Beratungen und widersprüchliche externe Auditierungen. 

Die ISO 9001:2015 fordert kein Qualitätsmanagement mit Integriertem Risikomanagement. Die ISO 9001:2015 fordert ein Qualitätsmanagement mit bestimmten Merkmalen von denen sich eine Handvoll auf Risiko und Chance beziehen. Dazu kommen ein paar Informationen zu “Risikobasiertem Denken” in der Einleitung und im Anhang, die selten gelesen und beachtet werden, da sie keine Anforderungen enthalten.

Ich wünsche mit für die nächste Revision:

1. Eine unternehmerischere Definition des Begriffs “Risiko” (ISO 9000:2015 Normabschnitt 3.7.9 “risk”)
2. Eine genauer festgelegte Integration von Risikomanagement in das oder besser mit dem Qualitätsmanagement. 
3. Eine dem 4.0 Konzept angepasste Berücksichtigung von “Information” (ISO 9000:2015 Normabschnitt 3.8.2 “information”) und Infrastruktur (ISO 9000:2015 Normabschnitt 3.5.2 “infrastructure”) für Information.
4. Eine Erweiterung der Definition des Begriffs “Qualität” (sh. ISO 9000:2015 Normabschnitt 3.6.2 “quality”) nicht nur bezogen auf “inhärente Merkmale” eines “Objekts”, sondern auf “extrinsische Merkmale” eines “Produkts” (sh. ISO 9000:2015 Normabschnitt 3.7.6 “product”) bzw. eines Services (sh. ISO 9000:2015 Normabschnitt 3.7.7 “service”) der natürlich auch ein Produkt ist.

Fußnote / Meinung des Autors: Eine lächerlichere Definition des Begriffs “information” in ISO 9000:2015 3.8.2 als “meaningful data” ist wohl schwierig zu finden!