Methoden, die Lieferketten sicherer machen

Transkript

1 Risiken managen Methoden, die Lieferketten sicherer machen Jahr für Jahr nehmen die internationalen Sicherheitsanforderungen zu. Den Unternehmen wird immer mehr bewusst, dass es ohne entsprechende Programme künftig schwierig wird, ohne Einschränkung am internationalen Handel teilzunehmen. Dabei stellt sich die Frage, wie sich das am besten umsetzen lässt und wann der richtige Zeitpunkt dafür ist. Natürlich wird es niemals absolute Sicherheit geben dies darf jedoch nicht dazu führen, den Sicherheitsanforderungen keine Beachtung zu schenken. Ohne entsprechende Maßnahmen werden sich die Unternehmen selbst vom Handel ausgrenzen. Im Falle einer Verletzung der Sicherheit eines Gliedes der Logistikkette können neben unmittelbaren Schäden (z. B. unbefugter Zugriff auf sicheres Transportgut, Verletzungen von Personen, Beschädigungen von Einrichtungen) auch mittelbare Schäden auftreten (z. B. Ausfall der Einrichtung, Verlust der Akkreditierung bzw. Zulassung, Imageverlust). Die Risikobeurteilung ist ein integraler Bestandteil des Sicherheitsmanagements in der Lieferkette gemäß ISO Darüber hinaus sind generelle Empfehlungen zur Umsetzung des Risikomanagements z. B. in ISO gegeben. Auch der AEO F oder die TAPA-Standards setzen eine Risikobeurteilung voraus und erwarten entsprechende Maßnahmen in den Unternehmen. Ziel des Risikomanagements ist es, durch eine strukturierte Betrachtung sowohl aus in der Vergangenheit beobachteten Schäden zu lernen, als auch Möglichkeiten zukünftig auftretender Gefährdungen zu identifizieren. Grundlagen der Sicherheit und der Risikoanalyse Ausgangsgröße der Risikobetrachtung ist die Gefahr, d. h. die mögliche Schadwirkung einer potenziellen Gefahrenquelle (= Gefährdung) oder der Zustand einer Ziel des Risikomanagements ist es, aus in der Vergangenheit beobachteten Schäden zu lernen und Möglichkeiten zukünftig auftretender Gefährdungen zu identifizieren. Bedrohung durch eine Gefahrenquelle. Die Bewertung von Gefahren geschieht mithilfe des Risikobegriffs. Das von einer Gefahr ausgehende Risiko ergibt sich aus der Kombination der konkreten schädigenden Auswirkung der Gefahrenquelle (= Schaden) und der Häufigkeit oder Wahrscheinlichkeit des Auftretens des zum Schaden führenden Ereignisses. Die Sicherheit eines Systems oder Prozesses in Bezug auf eine oder mehrere Gefahren ergibt sich als Komplement des mit dieser/diesen Gefahr(en) verbundenen Risikos ( Sicherheit = 1-Risiko ). Daraus ergibt sich, dass die Sicherheit verbessert werden kann, indem das Risiko dauerhaft reduziert wird. Der Risikomanagementprozess Der Risikomanagementprozess besteht aus der Sicherheitsbewertung und dem Management der im Rahmen dieser Bewertung identifizierten Maßnahmen. Die Anwendung dieses Prozesses in Bezug auf die Lieferkette (nach ISO 28001) wird am Beispiel eines Lagers beschrieben. iqoncept fotolia.com 30 Zoll.Export 06/14

2 Das gesamte Lager eines AEO-F-zertifizierten Unternehmens besteht z. B. aus einem Wareneingangsbereich, einem Transferbereich und einem gesicherten Bereich. Für die Durchführung der Sicherheitsbewertung findet hier die Fehlermodi- und Effekt-Analyse (FMEA) Anwendung. Diese Methode hat ihren Ursprung im US- Militär und findet seit langem in vielen anderen Prozess- und Transportindustrien Verbreitung zur Analyse funktionaler Sicherheit. Die hier beschriebene Variante der Prozess-FMEA wird insbesondere im Automobilbereich verbreitet angewendet (VDA Band 4, Teil 2) und wurde von den Autoren für die hier vorgestellte Verwendung in Bezug auf die Lieferkette für zivile Sicherheit (engl. security ) angepasst. Sicherheitsbewertung In Bezug auf die Sicherheit der Lieferkette werden die einzelnen Schritte der Sicherheitsbewertung wie folgt umgesetzt. Schritt 1: Identifizierung des Umfangs der Sicherheitsbewertung (ISO 28001, Abschnitt 5.2) Zunächst ist festzulegen, welche Analyseziele erreicht werden sollen. Prinzipiell können mit der Methode viele Ziele gleichzeitig betrachtet werden. In der Praxis hat es sich bewährt, pro Analysedurchlauf nur je eine Auswahl zu fokussieren. Aufbauend auf bestehender Analyse kann dann später eine Bearbeitung mit neuen Zielen durchgeführt werden. Die Sicherheitsbewertung mittels FMEA erfolgt in einem von einem Moderator geleiteten Analyseteam. Die Analyse sollte unter Einbeziehung aller betroffenen Stellen im Unternehmen durchgeführt werden, denn diese liefern Fachkenntnisse aus unterschiedlichen Blickwinkeln. Für das in diesem Beispiel betrachtete Lager sind dies Personen im Wareneingang, Staplerfahrer, Kommissionierer, Verpacker etc. Für die zielgerichtete Durchführung der FMEA empfiehlt sich die Moderation durch einen externen Experten, welcher die Methodenkenntnis stellt und zudem einen unabhängigen Blick von außen in die Analyse einbringen kann. Dieser Moderator dokumentiert auch die Analyseergebnisse für die weitere Verwendung im Rahmen des Risikomanagements. Ausgangspunkt der Sicherheitsbewertung ist die Betrachtung der derzeitigen Sicherheitsmaßnahmen. Im Beispiel wird die als sicher geprüfte Ware unmittelbar nach der Prüfung durch den Transferbereich in den Sicherheitsbereich des Lagers verbracht. Basierend auf dieser Ausgangslage werden nun relevante Bedrohungsszenarien aufgelistet und hintereinander analysiert, bspw.: Szenario 1: Eine unentdeckte Beschädigung der bereits sicheren Ware tritt während der Verschiebung zwischen Identifizierungsstelle und Sicherheitsbereich auf. Szenario 2: Eine unentdeckte Beschädigung der sicheren Ware tritt während der Lagerung im Sicherheitsbereich auf. Im Folgenden wird das Bedrohungsszenario 1 weiter betrachtet. Es werden nun die relevanten Sicherheitsfunktionen identifiziert sowie Fehlermöglichkeiten, welche eine Verletzung dieser Funktionen zur Folge haben. Des Weiteren wird das mit diesen Fehlermöglichkeiten verbundene Risiko betrachtet. Einige Sicherheitsfunktionen in Bezug auf Szenario 1 sind: 1. Lagergut gegen unbefugten Zugriff sichern, 2. Erkennung, dass ein unbefugter Zugriff stattgefunden hat, 3. Transfer von als sicher klassifizierten Lagerguts in den sicheren Bereich. Entsprechende Fehlermöglichkeiten ( Gefahren ) bzgl. dieser Funktionen sind z. B.: Das Lagergut wird ohne Prüfung weitergeleitet. Ein unbefugter Zugriff auf das Lagergut erfolgt. Eine visuelle Erkennung des unbefugten Zugriffs erfolgt nicht. Zusätzlich sind auch Kombinationen dieser Fehlermöglichkeiten denkbar, Fokus der FMEA sind jedoch Einzelfehler. Diese Fehlermöglichkeiten werden hinsichtlich des mit ihnen verbundenen Risikos bewertet. Kennzahl zur Bewertung des von einer durch eine Fehlermöglichkeit gegebenen Gefahr ausgehenden Risikos ist die Risikoprioritätszahl (RPZ). Die Risikobewertung wird aus drei Faktoren bestimmt: Ein Analyseziel für das Beispiel Lager ist die Gewährleistung der sicheren Lagerung einer sicheren Ware (z. B. Luftfracht) bis zum Weitertransport. Fokus der nun folgenden Analyse sind also die Prozesse innerhalb des Gebäudekomplexes Lager. Schritt 2: Durchführung der Sicherheitsbewertung (ISO 28001, Abschnitt 5.3) 1 Bedeutung ( B ) 5 signifikant 10 vernachlässigbar katastrophal Skalenwert Auftretenswahrscheinlichkeit ( A ) extrem unwahrscheinlich hinreichend wahrscheinlich sehr wahrscheinlich Tab. 1: Skalen für die Risikobewertung (exemplarischer Auszug). Entdeckungsmöglichkeit ( E ) offensichtlich mit geeigneten Mitteln / vertretbarem Aufwand zu entdecken unter keinen Umständen zu entdecken Quelle: AOB GmbH 31

3 Bedeutung (= Konsequenzen) einer Fehlermöglichkeit: B, Auftretenswahrscheinlichkeit A und Entdeckungsmöglichkeit E des Fehlers (z. B., bevor das Lagergut das Lager wieder verlässt). Für jeden dieser Faktoren wird mittels einer Bewertungsskala (üblich ist z. B. 1 bis 10) ein Zahlenwert bestimmt; die Skalen sind dabei anwendungsspezifisch geeignet zu wählen. Ein Beispiel ist auszugsweise in Tab. 1 gegeben. Die Risikoprioritätszahl (RPZ) ergibt sich aus dem Produkt dieser Faktoren: RPZ = B x A x E (d. h. bei Verwendung von einer bis zehn Skalen kann die RPZ zwischen 1 und liegen). Eine hohe RPZ für die Ursache einer Fehlermöglichkeit bedeutet ein hohes mit dieser Fehlerursache assoziiertes Risiko. Angewendet auf das Beispiel resultieren alle der o. g. exemplarischen Fehlermöglichkeiten in der Verletzung der Sicherheit im Lager. Dies ist eine Konsequenz, der eine hohe Bedeutung (Abb. 1, B = 8) zugewiesen wird. Für die Fehlermöglichkeit keine visuelle Erkennung wurde eine Fehlerursache keine visuelle Erkennungsmöglichkeit ermittelt. Diese hat zunächst eine hohe Auftretenswahrscheinlichkeit (A = 8) und eine geringe Entdeckungsmöglichkeit (E = 9), womit sich für diese Fehlermöglichkeit eine recht hohe RPZ von 576 ergibt (vgl. Abb. 1). Für diese Ursache ist es sinnvoll, risikomindernde Maßnahmen zu erwägen. Schritt 3: Entwicklung eines Plans zur Gefahrenabwehr (ISO 28001, Abschnitt 5.4) Eine geeignete Gefahrenabwehr besteht aus einer sinnvollen Kombination von Maßnahmen, die zur Reduzierung der mit jeder identifizierten Fehlermöglichkeit assoziierten Risiken beitragen. Diese Risikokontrolloptionen können entweder dazu beitragen, dass die Auftretenswahrscheinlichkeit einer/ mehrerer Ursache(n) der Fehlermöglichkeit(en) verringert wird, deren Entdeckungsmöglichkeiten verbessert werden oder die Bedeutung/Konsequenzen der Fehlerfolge verringert wird/werden. Maßnahmen können entweder konstruktiver Natur sein (z. B. Designänderungen) oder operativer Natur (z. B. Prozess änderungen/ Trainingsmaßnahmen). Die Wirksamkeit einer Risikokontrolloption lässt sich durch ihren Einfluss auf die RPZ leicht ablesen. So wurden für die Ursache keine visuelle Erkennung möglich der Fehlermöglichkeit keine visuelle Erkennung (eines unbefugten Zugriffs auf das Lagergut) verschiedene mögliche Maßnahmen identifiziert: Maßnahme 1: Verwendung eines Sicherheitsklebebands, das gut erkennbar ist und beim Lösen Rückstände hinterlässt, Maßnahme 2: Verwendung von Stretch folie, Maßnahme 3: Verwendung eines Umreifungsbands, Maßnahme 4: Verwendung von Schrumpfhauben. Die Bewertung der Maßnahme 1 (vgl. Abb. 1) ergab, dass sich durch deren Umsetzung sowohl ein Vermeidungseffekt ergeben wird (daher wurde der Wert A von 8 auf 3 reduziert), als auch ein positiver Einfluss auf die Entdeckungsmöglichkeit, resultierend in einer Verbesserung des Werts für E von 9 auf 3. Insgesamt würde Maßnahme 1 nach der Umsetzung die RPZ von 576 auf 72 reduzieren. Allerdings wurde bei der Analyse angemerkt, dass dieser Effekt nur erzielt werden kann, wenn durch eine gesicherte Aufbewahrung des Sicherheitsklebebands sichergestellt wird, dass nur berechtigte/ sicherheitsausgebildete Personen darauf Zugriff haben. Aus ökonomischen Erwägungen ist es sinnvoll, analog zum hier dargestellten Beispiel zunächst die Identifikation und Bewertung der Fehlermöglichkeiten abzuschließen. Erst danach werden, beginnend mit den Fehlerursachen für welche die größten RPZ ermittelt wurden, risikomindernde Maßnahmen bestimmt und bewertet. Abb. 1: Analyse der Fehlermöglichkeit keine visuelle Erkennung eines unbefugten Zugriffs auf Lagergut. Bei der abschließenden Auswahl der Maßnahmen sollten die erwartete Risikominderung (= Nutzen) den Kosten der Umsetzung der risikomindernden Maßnahme gegenübergestellt werden. Abschließend werden die umzusetzenden Maßnahmen unter Berücksichtigung betrieblicher Anforderungen im Gefahrenabwehrplan verarbeitet. 32 Zoll.Export 06/14

4 »Die Risikobeurteilung ist ein integraler Bestandteil des Sicherheitsmanagements gemäß ISO «die Analyse mit einem interdisziplinären Team und moderiert durch einen erfahrenen Moderator durchzuführen; den im Rahmen des definierten Analyseumfangs zu betrachtenden Logistikprozess präzise zu beschreiben; Schritt 4: Umsetzung des Gefahrenabwehrplans (ISO 28001, Abschnitt 5.5) Bei der Umsetzung des Gefahrenabwehrplans sollten sowohl die zeitliche Reihenfolge abgestimmt werden als auch Verantwortlichkeiten klar definiert werden. Hierzu bieten bspw. moderne FMEA-Werkzeuge eine Möglichkeit der Maßnahmenverfolgung mittels Fristen, Verantwortlichkeiten, Erinnerungen. Management Das Management dient mitunter der Überwachung der Umsetzung der risikomindernden Maßnahmen. ISO nennt bzgl. der Umsetzung folgende Aspekte: Dokumentation/Überwachung des Sicherheitsprozesses für die Lieferkette (ISO 28001, Abschnitt 5.6), Erklärung des Abdeckungsbereichs, Sicherheitsbewertung, Plan zur Gefahrenabwehr, Trainingsprogramm. Darüber hinaus umfasst das Management auch eine regelmäßige Maßnahmenverfolgung mit dem Ziel der kontinuierlichen Verbesserung. Die hier skizzierte Prozess- FMEA ermöglicht ein systematisches Vorgehen bei der Sicherheitsbewertung, inkl. Dokumentation des Analyseprozesses und der aus der Analyse abgeleiteten Maßnahmen, welche im Gefahrenabwehrplan verarbeitet wurden. Auf diese Dokumentation kann bei einer Wiederholung der Analyse im Rahmen der kontinuierlichen Verbesserung zurückgegriffen werden. Der Erfolg der umgesetzten Maßnahmen in der Praxis kann bewertet werden und mögliche Anpassungen der Prozesse, des Gefahrenabwehrplans oder des Trainingsprogrammes können in einer Revision der bestehenden FMEA eingepflegt werden. In Kombination mit einer Ereignisanalyse ist es möglich, mittels FMEA analog des hier beschriebenen Vorgehens notwendige Maßnahmen zur Kontrolle der Ursachen nach Zwischenfällen zu identifizieren (ISO 28001, Abschnitt 5.7). Die Ergebnisse der Sicherheitsbewertung mittels FMEA sind gut dokumentiert und nachvollziehbar, daher ist es notwendig, sie gut zu schützen (ISO 28001, Abschnitt 5.8). Fazit Die FMEA kann helfen, Logistikprozesse zu verstehen und systematisch zu verbessern. Der zu betrachtende Logistikprozess wird unter Berücksichtigung aller beteiligten Stellen analysiert. Daraus ergibt sich eine relativ vollständige Betrachtung. Darüber hinaus unterstützt die Methodik die Planung von Maßnahmen im Team, unter Einbeziehung aller beteiligten Stellen. Das FMEA-Formblatt liefert eine nachvollziehbare Dokumentation der Überlegungen und Motivationen, die dem aus der FMEA abgeleiteten Gefahrenabwehrplan zugrunde liegen. Diese Dokumentation kann auch helfen, Anforderungen für die Eingangs- und Folgeglieder der Logistikkette zu definieren. Fazit: FMEA ist ein Mittel der Wahl um QM/Safetymanagement-Anforderungen, z. B. aus ISO und ISO 31000, zu adressieren. Um diese Erfolge zu erzielen, ist es notwendig, die identifizierten Fehlermöglichkeiten, -arten, -ursachen und Konsequenzen/ Bedeutungen präzise zu beschreiben und zu bewerten. Seite 41 Marcus Hellmann arbeitet als Geschäftsführer der AOB Außenwirtschafts- und Organisationsberatung GmbH und der EUWISA, Europäische Wirtschaftsund Sicherheitsakademie GmbH mit Sitz in Soest. Seine Erfahrungen beruhen auf militärischer Sicherheit und mehr als 20 Jahren Tätigkeit in Außenhandel und IT. Er ist Beauftragter, Trainer und Auditor in zahlreichen Sicherheitsstandards und Normen sowie unabhängiger EU-Validator für Luftfrachtsicherheit. Dr. Karsten Loer (CEng MIET, EUR ING) ist Trainer für technische Risikoanalysen für Systeme und Prozesse sowie Experte für die Analyse von Unfällen und Zwischenfällen in Mensch-Technik- Systemen in der Luft- und Seefahrt. In Projekten in der Luftfahrt (sieben Jahre BAE SYSTEMS DCSC, GB) und Seefahrt (neun Jahre Germanischer Lloyd-SE, Hamburg) war er u. a. als FMEA-Moderator tätig und führte Zuverlässigkeits- und Verfügbarkeitsbetrachtungen unterschiedlichster Systeme und Prozesse durch. 33

5 Arbeitshilfen Checkliste zu Risiken entlang der Lieferkette managen Mithilfe dieser Checkliste lassen sich die wesentlichen Punkte zur effektiven Durchführung der Fehlermodi- und Effekt-Analyse (FMEA) sicher in die Praxis umsetzen. Festlegen der Analyseziele: Prinzipiell können viele Ziele erreicht werden, aber pro Analysedurchlauf sollte je nur eine Auswahl fokussiert werden. Später kann aufbauend auf der bestehenden Analyse eine Bearbeitung mit neuen Zielen durchgeführt werden. Identifizierung der zu betrachtenden Systeme und Prozesse: Welche Bereiche sind relevant? Welche Arbeitsschritte müssen betrachtet werden? Zusammenstellung eines Analyseteams: Im Kernteam sollten alle betroffenen Bereiche vertreten sein. Weitere Experten können bei Bedarf für eine bestimmte Dauer hinzugezogen werden. Teamgröße in Arbeitssitzungen sollte max. acht Personen sein. Evtl. externe Expertise zur Planung/Moderation der FMEA in Anspruch nehmen? Identifizierung der zu betrachtenden Sicherheitsfunktionen: Abhängig von den Zielen sind die relevanten Sicherheitsfunktionen auszuwählen. Identifikation der (erdenklichen) Fehlermöglichkeiten und -ursachen: Wie kann die Sicherheit des betrachteten Systems/Prozessschrittes in Bezug auf relevante Sicherheitsfunktionen kompromittiert werden? Betrachtung des Umfangs möglicher Konsequenzen bei Auftreten eines identifizierten Fehlers: Welche Folgen kann das Auftreten eines Fehlers haben? ( worst case ) Betrachtung der Auftretenswahrscheinlichkeit eines möglichen Fehlers: Wie wahrscheinlich ist es, dass ein Fehler mit Worst-Case-Konsequenz auftritt? Betrachtung der Entdeckungsmöglichkeiten eines Fehlerauftretens: Ist es möglich, das Auftreten eines möglichen Fehlers infolge einer Ursache zu bemerken, bevor der Fehler in ein Glied der Logistikkette propagiert, das außerhalb unserer Kontrolle liegt? Bewertung der Fehlermöglichkeiten nach Dringlichkeit: Aus Konsequenz, Auftretenswahrscheinlichkeit und Entdeckungsmöglichkeit lässt sich das mit einem Fehler behaftete Risiko abschätzen (in Form der RPZ). Insbesondere Fehler mit hoher RPZ weiter bzgl. Risikominderung betrachten, sofern Ressourcen das zulassen. Auch Fehler mit niedrigerer RPZ weiter im Auge behalten. Identifikation von Maßnahmen zur Risikominimierung: Wie können im Falle des Auftretens eines Fehlers die möglichen Konsequenzen begrenzt werden? Maßnahmenplanung: Priorisierung der identifizierten Maßnahmen Umsetzungsplan/Gefahrenabwehrplan Erstellung von Arbeits- und Organisationsanweisungen Dokumentation der Analyse, Ergebnisse und Maßnahmenverfolgung: Wie wurde die Analyse durchgeführt? Welche Ergebnisse wurden erzielt? Fehler, Maßnahmen, ggf. im Rahmen bestehender Anforderungen aus anderen Prozessen, bzgl. der zu erbringenden Leistungen zur Zertifizierung usw. Regelmäßige Wiederholung der Analyse im Rahmen des kontinuierlichen Verbesserungsprozesses C