2.1 Risikoanalyse im Compliance Management

Transkript

1 Ein wesentlicher Schritt bei der Erstellung eines Food Compliance Management Systems ist die Risikoanalyse, d. h. die Identifizierung und Bewertung von Food Compliance-Risiken. Die Definitionen der im ISO-Standard und darin referenzierten ISO-Standards Risk management principles and guidelines und Risk management Risk assessment techniques verwendeten Begrifflichkeiten sind nicht immer mit den Definitionen im Lebensmittelrecht identisch. Das europäische Lebensmittelrecht definiert in Artikel 3 Punkt 9 bis 14 der EG-Basis- Verordnung 178/2002 die Begriffe Risiko, Risikoanalyse (bestehend aus Risikobewertung, Risikomanagement und Risikokommunikation) und Gefahr wie folgt: Risiko eine Funktion der Wahrscheinlichkeit einer die Gesundheit beeinträchtigenden Wirkung und der Schwere dieser Wirkung als Folge der Realisierung einer Gefahr; Risikoanalyse einen Prozess aus den drei miteinander verbundenen Einzelschritten Risikobewertung, Risikomanagement und Risikokommunikation; Risikobewertung einen wissenschaftlich untermauerten Vorgang mit den vier Stufen Gefahrenidentifizierung, Gefahrenbeschreibung, Expositionsabschätzung und Risikobeschreibung; Risikomanagement den von der Risikobewertung unterschiedenen Prozess der Abwägung strategischer Alternativen in Konsultation mit den Beteiligten unter Berücksichtigung der Risikobewertung und anderer berücksichtigenswerter Faktoren und gegebenenfalls der Wahl geeigneter Präventions- und Kontrollmöglichkeiten; Risikokommunikation im Rahmen der Risikoanalyse den interaktiven Austausch von Informationen und Meinungen über Gefahren und Risiken, risikobezogene Faktoren und Risikowahrnehmung zwischen Risikobewertern, Risikomanagern, Verbrauchern, Lebensmittel- und Futtermittelunternehmen, Wissenschaftlern und anderen interessierten Kreisen einschließlich der Erläuterung von Ergebnissen der Risikobewertung und der Grundlage für Risikomanagemententscheidungen; Gefahr ein biologisches, chemisches oder physikalisches Agens in einem Lebensmittel oder Futtermittel oder einen Zustand eines Lebensmittels oder Futtermittels, der eine Gesundheitsbeeinträchtigung verursachen kann. Praxishandbuch Food Compliance GW 06/2016 1

2 Gleichzeitig wird im Lebensmittelrecht streng zwischen den Verantwortlichen und Verantwortlichkeiten für die Risikobewertung (z. B. die Europäische Behörde für Lebensmittelsicherheit, EFSA) und das Risikomanagement (z. B. die Europäische Kommission) getrennt. In einem Compliance Management System hingegen liegen die Verantwortlichkeiten für Identifizierung, Bewertung und Management von Risiken alle in der Hand des Unternehmens, selbst wenn die Bereiche auf mehrere Verantwortliche im Unternehmen aufgeteilt wurden. Im ISO-Standard wird Risiko als die Auswirkung von Unsicherheit auf Ziele, Tätigkeiten und Anforderungen definiert und dementsprechend definiert sich das (Food) Compliance-Risiko als die Auswirkung von Unsicherheit auf (Food) Compliance-Anforderungen. Generell umfasst der Begriff Risiko folgende Aspekte: Die Kombination von Wahrscheinlichkeit und Auswirkungen (diese können positiv oder negativ sein) Die Unsicherheit bzw. Ungewissheit, mit der Wahrscheinlichkeiten geschätzt bzw. ermittelt werden Die Ziele der Organisation erstrecken sich auf die strategische Entwicklung (z. B. Kundenbedürfnisse, Innovation, Marktstellung). Die Tätigkeiten umfassen die operativen Aktivitäten (z. B. Beschaffung, Produktion und Dienstleistung sowie Vertrieb). Die Anforderungen beziehen sich insbesondere auf Gesetze, Normen sowie weitere externe oder interne (freiwillige) Vorgaben, auch betreffend die Sicherheit von Menschen, Sachen und der Umwelt (siehe auch Definition Compliance-Anforderungen) Das Risiko ist eine Folge von Ereignissen (plötzlicher Eintritt einer bestimmten Kombination von Umständen) oder von Entwicklungen (allmähliche Veränderung von Umständen) Im Rahmen der Etablierung eines Food Compliance Management System sind die relevanten Food Compliance-Risiken zu identifizieren (ermitteln), zu analysieren und zu bewerten (beurteilen). 2 Praxishandbuch Food Compliance GW 06/2016

3 Zur Identifizierung sind die Food Compliance-Anforderungen mit den Zielen, Tätigkeiten und Anforderungen des Unternehmens in Beziehung zu setzen, um Situationen möglicher Food Compliance-Verstöße, deren Ursachen und mögliche Konsequenzen festzustellen. Beispiel: Für ein bestimmtes Produkt soll in der Werbung die nährwertbezogene Angabe ballaststoffreich verwendet werden. Kommt bei der Produktion eine Zutat zum Einsatz, deren Zusammensetzung für diesen Claim wichtig ist aber gleichzeitig im Ballaststoffanteil stark schwanken kann, besteht somit die Möglichkeit eines Food Compliance- Verstoßes. Die Risikoidentifizierung ist daher der Prozess des Suchens, Erkennens und Aufzeichnens von Risiken. Zweck ist es, zu ermitteln, was geschehen könnte oder welche Situationen eintreten könnten, durch die das Erreichen der Ziele des Unternehmens, seine Tätigkeiten oder die Erfüllung aller relevanten Compliance-Anforderungen beeinträchtigt werden könnten. Sobald ein Risiko ermittelt und erkannt wird, hat das Unternehmen etwaige bestehende Eingriffsmöglichkeiten wie Konstruktionsmerkmale, Personen, Prozesse und Systeme zu ermitteln und zu benennen. Dies kann geschehen durch vergleichende Verfahren (z. B. Checklisten), die systematische Vorgehensweise eines Teams von Fachleuten, die systematisch und strukturiert (z. B. durch Fragebögen) ermitteln, induktive Überlegungen wie beispielsweise die Gefährdungs- und Betreibbarkeitsuntersuchung (HAZOP) oder Gefährdungsanalyse und kritische Lenkungspunkte (HACCP), unterstützende Techniken, die die Genauigkeit und Vollständigkeit der Risikoidentifizierung verbessern (z. B. Brainstorming, Delphi-Methode). Unabhängig von den angewendeten Techniken ist es wichtig, bei der Identifizierung von Risiken den menschlichen und organisatorischen Einflüssen ausreichend Beachtung zu schenken. Folglich sollte eine Abweichung der menschlichen und organisatorischen Faktoren vom erwarteten Wert ebenfalls mit in den Risikoidentifizierungsprozess aufgenommen werden. Praxishandbuch Food Compliance GW 06/2016 3

4 Bei der Analyse der Food Compliance-Risiken soll ein Verständnis für diese Risiken entwickelt werden. Dabei werden die Folgen und die zugehörigen Wahrscheinlichkeiten ermittelter und erkannter Risikoereignisse bestimmt. Es wird berücksichtigt, ob Gegenmaßnahmen vorhanden und wie wirksam diese gegebenenfalls sind. Die Folgen und deren Wahrscheinlichkeiten werden dann kombiniert und bestimmen so das Risikoniveau (z. B. hoch, mittel oder niedrig ). Beispiel: Für die Produktion einer Knabbermischung wird für Nüsse und Pistazien auf eine größere Anzahl von Lieferanten aus dem Mittleren Osten zurückgegriffen. Angenommen, in den letzten Monaten haben sich Meldungen im europäischen Schnellwarnsystem für Lebens- und Futtermittel (RASFF) über erhöhte Aflatoxinwerte in diesen Zutaten aus dem Mittleren Osten gehäuft. Wenn dem Unternehmen diese Meldungen bekannt sind (Kenntnis der erhöhten Wahrscheinlichkeit), kann es z. B. durch entsprechende Analysen (Gegenmaßnahme) das Risikoniveau der Verwendung nicht sicherer Pistazien niedrig halten. Sollte das Unternehmen das Risiko jedoch nicht einmal identifiziert haben z. B. weil es die RASFF-Meldungen nicht kennt und auch nicht von sich aus Rohstoffanalysen durchführt oder Analysenzertifikate vom Lieferanten verlangt dann wird das Risiko als mittel bis hoch zu bewerten sein. Im Detail: Die Risikoanalyse stellt eine Eingangsgröße für die Risikobewertung dar und bildet die Grundlage für Entscheidungen, ob Risiken behandelt werden müssen. Sie liefert Hinweise über die am besten geeigneten Behandlungsstrategien und Verfahren. Für ermittelte und erkannte Risikoereignisse werden die Folgen und die zugehörigen Wahrscheinlichkeiten bestimmt. Dabei wird berücksichtigt, ob Gegenmaßnahmen vorhanden und wie wirksam diese gegebenenfalls sind. Die Folgen und deren Wahrscheinlichkeiten werden dann kombiniert und bestimmen so das Risikoniveau. Die Risikoanalyse beinhaltet die Betrachtung der Risikoursachen und Risikoquellen, deren Folgen und die Wahrscheinlichkeit dafür, dass diese Folgen auch eintreten können. Dabei sind alle Faktoren mit Auswirkung auf die Folgen und Wahrscheinlichkeit zu bestimmen und bestehende Maßnahmen zur Abwehr von Risiken (Risikokontrolle) zu berücksichtigen. 4 Praxishandbuch Food Compliance GW 06/2016

5 Für diese Analyseverfahren sind eine Reihe von verschiedenen Methoden beschrieben worden, die in komplexen Fällen auch kombiniert werden können. Diese können qualitativer, semi-quantitativer oder quantitativer Art sein, wobei der erforderliche Detaillierungsgrad von der jeweiligen Anwendung, der Verfügbarkeit zuverlässiger Daten und den Bedürfnissen der Entscheidungsprozesse im Unternehmen abhängt. Bei der qualitativen Beurteilung werden die Folgen, die Wahrscheinlichkeit und das Risikoniveau durch Signifikanzniveaus wie hoch, mittel und niedrig angegeben. Bei den semi-quantitativen Verfahren werden numerische Klassifizierungsskalen für die Folgen und die Wahrscheinlichkeit verwendet, die dann kombiniert werden und mittels einer Formel ein Risikoniveau ergeben. Die dabei verwendeten Skalen können linear oder logarithmisch sein oder andere Bezüge haben. Bei den quantitativen Verfahren werden aussagekräftige Werte für die Folgen und deren Wahrscheinlichkeiten geschätzt. Bei der Entwicklung des Kontexts werden Zahlenwerte für das Risikoniveau in spezifischen Einheiten produziert. Eine vollständige quantitative Analyse ist nicht immer möglich, z. B. wegen unzureichender Informationen über das zu untersuchende System oder die untersuchte Tätigkeit, fehlender Daten, menschlicher Einflüsse usw. oder weil der Aufwand einer quantitativen Analyse nicht gerechtfertigt oder erforderlich ist. In solchen Fällen kann eine vergleichende semiquantitative oder qualitative Einstufung der Risiken durch auf ihrem Arbeitsgebiet erfahrene Spezialisten dennoch angebracht sein. Selbst wenn eine vollständige Quantifizierung durchgeführt wurde, muss beachtet werden, dass die berechneten Risikoniveaus nur Schätzwerte sind. Daher kann ihnen keine mit der Genauigkeit der Grunddaten und Methoden unvereinbare Genauigkeit und Aussagekraft zugeschrieben werden. Letztlich werden in der Risikobewertung bzw. Risikobeurteilung geschätzte Risikoniveaus mit denjenigen Risikokriterien verglichen, die bei der Erarbeitung des Kontexts definiert wurden, um die Signifikanz sowie das Niveau und die Art des Risikos zu bestimmen. Bei der Risikobewertung verwendet man das Risikoverständnis, das man während der Risikoanalyse gewonnen hat, um über das weitere Vorgehen zu entscheiden. Bei dieser Entscheidung sind auch ethische, rechtliche, finanzielle und andere Erwägungen einschließlich der Risikowahrnehmung mit zu berücksichtigen. Praxishandbuch Food Compliance GW 06/2016 5

6 Mögliche Entscheidungen sind: ob ein Risiko überhaupt behandelt werden muss welche Prioritäten für die Behandlungen gelten ob und welche Tätigkeiten durchgeführt werden sollten welche Vorgehensweise(n) bei Vorhandensein mehrerer Optionen eingeschlagen werden sollte(n) Die Entscheidung, ob und wie gegebenenfalls ein Risiko zu behandeln ist, kann von den Kosten und Nutzen abhängen, dieses Risiko einzugehen, bzw. den Kosten und Nutzen, verbesserte Maßnahmen zur Abwehr dieses Risikos umzusetzen. Eine übliche Vorgehensweise ist es, Risiken in drei Gruppen einzuteilen: Gruppe 1: hier ist das Risikoniveau nicht hinnehmbar, gleichgültig welcher Nutzen aus dieser Tätigkeit entsteht, und in dem eine Risikobehandlung ohne Rücksicht auf die Kosten unerlässlich ist; Gruppe 2: Kosten und Nutzen fließen in die Entscheidung mit ein und Vorteile werden gegenüber potentiellen Konsequenzen abgewogen; Gruppe 3: das Risikoniveau ist vernachlässigbar oder derart, dass keine Risikobehandlungsmaßnahmen notwendig sind. Beispiele (die Einreihung in die genannten Gruppen wird immer von der Risikoeinstellung, d. h. der Risikoaversion bzw. dem Risikoappetit, eines Unternehmens und der handelnden Personen mitbestimmt!): Gruppe 1: Im Rahmen der Einführung eines Food Compliance Management Systems wird bei der Risikoanalyse festgestellt, dass durch die Undichtigkeit einer Produktionsmaschine Mineralöl in produzierte Lebensmittel gelangen kann. Das Risikoniveau ist nicht hinnehmbar und die defekte Maschine ist umgehend zu reparieren bzw. zu ersetzen. Gruppe 2: Trotz etablierter Verfahren zur Etikettenkontrolle im Unternehmen wird in der Zutatenliste eines Produkts statt der rechtlich vorgeschriebenen Zusatzstoffkategoriebezeichnung Konservierungsstoff der Begriff Konservierungsmittel verwendet. Bei Vernichtung der mit der falschen Deklaration versehenen Verpackungen und 6 Praxishandbuch Food Compliance GW 06/2016

7 Neuproduktion mit korrekter Kennzeichnung entstehen hohe Kosten, allerdings mit dem Nutzen einer 100%-igen Food Compliance. Demgegenüber steht der finanzielle Vorteil der Weiterverwendung der Verpackungen mit falscher Deklaration gepaart mit dem Risiko z. B. einer behördlichen Beanstandung. Welche Entscheidung würden Sie treffen und warum? Gruppe 3: Im Rahmen eines Lieferanten-Audits stellen Sie fest, dass die an ihr Unternehmen gelieferten Etiketten, die normalerweise mit einer Größe von maximal 78 cm 2 spezifiziert sind, durch Produktionsschwankungen beim Lieferanten auch größer als 80 cm 2 sein können. Als Konsequenz der Überschreitung der 80 cm 2 würde sich die gesetzlich vorgeschriebene Mindestschriftgröße für die Pflichtangaben auf dem Etikett von 0,9 mm auf 1,2 mm erhöhen. Da sich ihr Unternehmen aber bereits vor einiger Zeit eine Mindestschriftgröße von 1,2 mm für Pflichtangaben auf allen Produkten als Food Compliance-Selbstverpflichtung auferlegt hat, ist das Risikoniveau vernachlässigbar und etwaige Risikobehandlungsmaßnahmen sind nicht notwendig. Praxishandbuch Food Compliance GW 06/2016 7

8

9 Literatur Literatur Weiterführende Literatur zum Thema Risikomanagement und Verfahren zur Risikobeurteilung finden sich in den entsprechenden Dokumenten der International Organization for Standardization ISO: ISO Guide 73:2009 Risk management Vocabulary ISO 31000:2009 Risk management Principles and guidelines ISO/TR 31004:2013 Risk management Guidance for the implementation of ISO IEC 31010:2009 Risk management Risk assessment techniques Während sich das Deutsche Institut für Normung (DIN) entschlossen hat, den ISO- Standard nicht in eine deutsche DIN-Norm zu übersetzen, hat das Austrian Standards Institute sowohl eine deutschsprachige Übersetzung als ÖNORM herausgegeben und eine Reihe weitere Dokumente zur ISO veröffentlicht, u. a. ÖNORM ISO 31000:2010 Risikomanagement Grundsätze und Richtlinien (ISO 31000:2009) ONR 49000: Risikomanagement für Organisationen und Systeme Begriffe und Grundlagen Umsetzung von ISO in die Praxis ONR : Risikomanagement für Organisationen und Systeme Teil 1: Leitfaden für die Einbettung des Risikomanagements ins Managementsystem Umsetzung von ISO in die Praxis ONR : Risikomanagement für Organisationen und Systeme Teil 2: Leitfaden für die Methoden der Risikobeurteilung Umsetzung von ISO in die Praxis ONR : Risikomanagement für Organisationen und Systeme Teil 3: Leitfaden für das Notfall-, Krisen- und Kontinuitätsmanagement Umsetzung von ISO in die Praxis ONR 49003: Risikomanagement für Organisationen und Systeme Anforderungen an die Qualifikation des Risikomanagers Umsetzung von ISO in die Praxis Weitere Informationen finden sich unter Praxishandbuch Food Compliance GW 06/2016 1