Prof. Dr. Bruno Brühwiler, Präsident Netzwerk Risikomanagement ISO 9001:2015 UND RISIKOMANAGEMENT

Transkript

1 Prof. Dr. Bruno Brühwiler, Präsident Netzwerk Risikomanagement ISO 9001:2015 UND RISIKOMANAGEMENT

2 Wesentliche Änderungen Anwendung der High Level Structure 10 Kapitel Verstärkte Anforderungen an die oberste Leitung Risiko-basiertes Denken Berücksichtigung des Kontextes der Organisation Berücksichtigung von Kunden und interessierten Parteien

3 Gliederung in 10 Kapitel 1. Anwendungsbereich 2. Normative Verweisungen 3. Begriffe 4. Kontext der Organisation 5. Führung 6. Planung für das QMS 7. Unterstützung 8. Betrieb 9. Bewertung der Leistung 10. Verbesserung

4 Risikobasiertes Denken Risiko=Auswirkung von Unsicherheit auf ein erwartetes Ergebnis Die vorliegende Norm bringt das risikobasierte Denken noch deutlicher zum Ausdruck und bindet es in die Anforderungen an die Einführung, Verwirklichung, Aufrechterhaltung und fortlaufende Verbesserung des QMS ein. Organisationen könne sich für einen umfangreicheren risikobasierten Ansatz als in der vorliegenden Norm entscheiden. ISO enthält Leitlinien zum formellen (?) Risikomanagement, das in bestimmten Kontexten von Organisationen geeignet sein kann Seite 4

5 Seite 5

6 ISO 9001: Planung für das Qualitätsmanagementsystem 6.1. Maßnahmen zum Umgang mit Risiken und Chancen Bei Planungen für das QMS muss die Organisation die in 4.1 genannten Themen und die in 4.2. genannten Anforderungen berücksichtigen sowie die Risiken und Chancen bestimmen, die betrachtet werden müssen, um a. Sicherzustellen, dass das QMS seine beabsichtigten Ergebnisse erzielen kann b. Unerwünschte Auswirkungen zu verhindern oder zu verringern c. Fortlaufende Verbesserungen zu erreichen Die Organisation muss planen: a. Maßnahmen zum Umgang mit Risiken und Chancen

7 ISO 9001:2015..in 4.1 genannten Themen 4.1 Verstehen der Organisation und Ihres Kontextes Externe und interne Themen bestimmen, die für ihren Zweck, ihre strategische Ausrichtung relevant sind mit Auswirkung auf die beabsichtigen Ergebnisse ihres Qualitätsmanagementsystems Externe Faktoren, z.b. gesetzliche, technische, wettbewerbliche, marktübliche, kulturelle, soziale und wirtschaftliche Zusammenhänge Interne Faktoren, z.b. Themen, die sich auf Werte, Kulturwissen und Leistung der Organisation beziehen

8 ISO 9001:2015..in 4.2 genannten Anforderungen 4.2 Verstehen der Erfordernisse und Erwartungen interessierter Parteien Ziel: Bereitstellung von Produkten/Dienstleistungen, die die Anforderungen der Kunden, gesetzliche und behördliche Anforderungen erfüllen Bestimmung von Interessierten Parteien, die für das QMS relevant sind Anforderungen dieser interessierten Parteien, die für das QMS relevant sind

9 Bemerkungen aus Sicht des RM Risiko-orientiertes Denken was heisst das? Worauf bezieht sich das Risikomanagement? Wie gelangt man zu Massnahmen im Risikomanagement? ISO liefert Leitlinien zum Risikomanagement?

10 Risikomanagement auf Abwegen (1)

11 Risikomanagement auf Abwegen (2)

12 Start Kommunikation / Konsultation Rahmenbedingungen Risiken identifizieren Risiken analysieren Risiken bewerten Ja Tragbar? nein Risiken bewältigen Ende Risiken überwachen / überprüfen Seite 12

13 Wahrscheinlichkeit und Auswirkung (Risikokriterien) definieren häufig möglich selten sehr selten unwahr- scheinlich Seite 13

14 Auswirkungen von Risiken Stufe Allgemein Menschen Ansehen Zeit Finanzen Unbedeutend Gering Spürbar Kritisch katastrophal Kundenzufriedenheit, Leistungs- Fähigkeit Integrität, Gesundheit, Leib und Leben Reputation Image, Werte Zeitverzögerung eines Projektes Umsatz, Kosten, Gewinn, Eigenmittel Risikokriterien: Bezugspunkte, zu welchen die Bedeutung eines Risikos für die Organisation oder für das System bewertet wird Seite 14

15 Definition Szenario Szenario / Risikoszenario konkrete und bildhafte Darstellung eines Risikos mit Darstellung von Ursachen und Abfolgen von Ereignissen oder Entwicklungen. Das Risikoszenario zeigt auf, wie sich Chancen bzw. Bedrohungen/ Gefahren in einer Organisation oder in einem System verwirklichen können. Ein Szenario hat eine oder mehrere Ursachen und beinhaltet verschiedene Auswirkungen auf die Ziele einer Organisation, ihre Tätigkeiten und Anforderungen oder auf das Funktionieren eines Systems. Im Risikomanagement wird das Szenario oft als schlimmst möglicher, aber dennoch glaubwürdiger Fall (credible worst case) dargestellt, weil eine solche Extremsituation die Führungskräfte und die Organisation besonders schwer treffen kann. Ein Szenario ist glaubwürdig, wenn es in der menschlichen Erfahrung, im Erfahrungsbereich von Führungskräften oder von Risikoexperten auch schon vorgekommen ist und ein erneutes Eintreten nicht ausgeschlossen werden kann. Zudem gibt es Szenarien, die gemäß Expertenwissen für möglich gehalten werden und begründet sind, auch wenn sie noch nie eingetroffen sind Seite 15

16 Wahrscheinlichkeit / Häufigkeit häufig z.b. einmal pro Jahr / 100 % / 1,0 möglich z.b. einmal in 3 Jahren / 30 % / 0,3 selten z.b. einmal in 10 Jahren / 10 % / 0,1 sehr selten z.b. einmal in 30 Jahren / 3 % / 0,03 unwahrscheinlich z.b. einmal in 100 Jahren / 1 % / 0,01 häufig möglich selten sehr selten unwahrscheinlich z.b. einmal pro Woche z.b. einmal pro Monat z.b. einmal pro Quartal z.b. einmal pro Jahr z.b. einmal in 3 Jahren Seite 16

17 Top-down- und Bottom-up-Ansatz Top-down-Ansatz: Vorgehensweise bei der Risikobeurteilung, bei der die Gesamtheit der Organisation oder des Systems Gegenstand der Risikoidentifikation und der Risikoanalyse sind. Bottom-up-Ansatz: Vorgehensweise bei der Risikobeurteilung, bei der die Designund Prozess-spezifischen Einzelteile einer Organisation oder eines Systems Gegenstand der Risikoidentifikation und der Risikoanalyse sind Seite 17

18 Verpflichtung der obersten Leitung Strategisches Management Operatives Management Leistungs- Prozesse Seite 18

19 Risikokriterien für verschiedene Anwendungen Die Risiken im Internen Kontrollsystem sind in der Regel high frequency und low severity, im Gegensatz zu vielen strategischen und operationellen Risiken, die oft low frequency und high severity sind. Störungen des operationellen Ablaufs gehören nicht ins Risikomanagement, sondern ins Tagesgeschäft und ins Qualitätsmanagement Seite 19

20 Schnittstellen im Risikomanagement Quality Emergency and Crisis management management Safety management Business Continuity management Risk management Internal Control mangement Compliance management Project risk IT-Securitymanagement management

21 Schnittstelle Risikomanagement und Internes Kontrollsystem 1/100 1/30 1/10 1/3 1/1 3/1 12/1 52/1 Eintrittswahrscheinlichkeit / Häufigkeit Auswirkungen (in Mio. CHF) > Seite 21

22 Schnittstelle Risikomanagement und IKS 1/100 1/30 1/10 1/3 1/1 3/1 12/1 52/1 Eintrittswahrscheinlichkeit / Häufigkeit (high frequency low severity) Wenig interessant Kaum möglich IKS- Risiken Unternehmens Risiken (low frequency, high severity) Auswirkungen (in T / in Mio. ) > Seite 22

23 Kontrollen im IKS Die Maßnahmen im IKS sind vor allem Kontrollen. Es können folgende sein: manuelle Kontrollen, einmalig, wiederholend, Stichproben, Schlüsselkontrollen (wo die Risiken am größten sind), automatisierte, laufende Kontrollen (IT-unterstützt), Vier-Augen-Prinzip im Prozess eingebaut, Kompetenz-Abstufungen (limitierte Beträge bei Zahlungen) Eskalation bei Unregelmäßigkeiten oder außergewöhnlichen Geschäftsvorfällen Seite 23

24 Schnittstelle Risikomanagement und Qualitätsmanagement 1/100 1/30 1/10 1/3 1/1 3/1 12/1 52/1 Eintrittswahrscheinlichkeit / Häufigkeit QS und Störungen Tagesgeschäft (high frequency low severity) Wenig interessant Kaum möglich Unternehmens Risiken (low frequency, high severity) Auswirkungen (in T / in Mio. ) > Seite 24

25 Die Risikominderung dient der operationellen Sicherheit bzw. der Unternehmensentwicklung Operationelle, in der Auswirkung begrenzte Störungen gehören zum Tagesgeschäfts bzw. zum Qualitätsmanagement. Risiken mit schweren Auswirkungen (credible worst case) fliessen ins Risikomanagement ein. Die Rechtfertigung von Risikomanagement liegt in den Massnahmen der Risikominderung oder der Risikoüberwachung. Massnahmen müssen konkret und überprüfbar sein (Inhalt, Verantwortung, Termin für das Risikocontrolling) Seite 25

26 Zusammenfassung ISO 9001 verlangt einen Risiko-basierten Ansatz, auch Massnahmen, aber keine Systematik zum Risikomanagement Darin liegt nun eine grosse Versuchung, aus dem Stand heraus auch noch ein bisschen Risikomanagement zu machen. Ohne eine vertiefte Ausbildung, die u.a. auch das sinnvolle Zusammenspiel zwischen Risiko- und Qualitätsmanagement aufzeigt, wird hier viel Unsinn entstehen, der zu unnötigen Papierübungen führen dürfte, denen die Wertschöpfung fehlt.