Risikomanagement. Methoden, Bedeutung und Entwicklung. Workshop beim Kundentag in Magdeburg am 26. Juni 2014

Transkript

1

2 Risikomanagement Methoden, Bedeutung und Entwicklung Workshop beim Kundentag in Magdeburg am 26. Juni 2014

3 Agenda Warum Risikomanagement? Was fordert die ISO 9001:2015? Einführung, Motivation, Begrifflichkeiten Methoden zum Vorgehen Risiko-Identifikation Risiko-Bewertung Risiko-Bewältigung Beispielhafte Forderungen Zukünftige Entwicklungen

4 Risiko-basiertes Denken ISO 9001:2015 wird einen Risiko-basierten Ansatz bei der Festlegung der organisatorischen Prozesse fordern. Risikobasiertes Denken rückt deutlich in den Vordergrund. Risiko ist definiert als: Effect of uncertainty (Auswirkung mit unsicherem Ergebnis). Dieser effect kann positiv oder negativ sein. ISO 9001:2015 wird weder eine vollständige formale Risikobewertung noch ein Risiken-Kataster fordern. ISO ( Risikomanagement Begriffe und Grundlagen ) und der ISO Guide 73 bieten gute Hilfe, werden aber nicht in der Umsetzung gefordert. Quelle: ISO/TC 176/SC 2 WG23 N065 - Presentation Risk-based thinking 4

5 Risikomanagement in der Normrevision ISO 9001 Kapitel 5, Führung. Fokussiert wird auf Konformität von Produkten und Dienstleistungen sowie die Fähigkeit Kundenzufriedenheit zu steigern. Risiken und Chancen sind zu bestimmen und zu adressieren. Kapitel 6, Planung des QMS. Die Organisation muss Risiken und Chancen bestimmen und Maßnahmen angemessen adressieren, um sicherzustellen, dass das QMS die erwarteten Ergebnisse erzielt, nicht gewünschte Effekte zu vermeiden oder zu reduzieren und eine ständige kontinuierliche Verbesserung zu erreichen Fußnote: Folgende Optionen sind möglich: Risiko-Vermeidung, Risiko als Chance sehen/akzeptieren, Risikoquelle beseitigen, Wahrscheinlichkeit des Risikos oder des Ergebnisses verändern, Risiko-Minimierung und Risiko- Teilung.

6 Risiko-basiertes Denken ISO/TC 176/SC 2 (WG23 N065) hat eine kurze Präsentation zum Thema Risiko-basiertes Denken veröffentlicht, welche auf sehr anschauliche Weise darstellt, wie die zukünftige ISO 9001:2015 Risiko definiert und anwenden wird. 6

7 Warum Risikomanagement? Risiken frühzeitig erfassen, erkennen, abschätzen geeignete Vorsorge- und Sicherungs-Maßnahmen einleiten Balance zwischen Sicherheits-, Wertschöpfungsund Ertragsinteressen schaffen finanzielle Verluste, wirtschaftliche Schwächen, Imageschäden begrenzen Chancen erkennen und nutzen

8 Motivation für Risikomanagement Quelle: Allianz Risk Barometer: Geschäftsrisiken 2014

9 Motivation für Risikomanagement Was waren respektive sind die Motivatoren für die Etablierung eines Risikomanagements bzw. Compliancemanagements in Ihrem Unternehmen? Quelle: Chancen/Risiko Radar 2013, Abbildung 2

10 Begriffsdefinitionen Risiko ist die Gefahr von Verlusten in der Zukunft, d.h. eine negative Abweichung von geplanten Zielen Risikopotential ist ein Faktor, der sich zusammensetzt aus der Möglichkeit des Eintritts eines Risikos und der zu erwartenden Schadenshöhe (Auswirkung)

11 Kunde Risikobereiche im Überblick Politisch instabiler Standort Naturgewalten wie Erdbeben Überschwemmungen Sturm, Feuer, Blitz Flugzeugabsturz Einbruch Maschinenschaden Unfälle Umwelteinwirkungen Transportschäden Einkauf Fertigung Vertrieb Personal IT Dokumente Zukaufteile Abhängigkeit von Lieferanten Sprunghafte Änderung der Lieferzeiten oder Preise Qualitäts- und Terminabweichungen Mitarbeiter Unausgewogene Altersstruktur Verlust von Know-how Komplexität Funktionsausfall Datenverlust Qualitätsabweichungen Produkthaftung Verlust technischer Unterlagen Finanzen Liquidität Währungsschwankungen Märkte und Mitbewerber

12 Risikoidentifikation - Herausforderungen Unzureichende Risikokultur Vielfalt der identifizierten Risiken Zielkonflikt zwischen vollständiger und wirtschaftlicher Risikoerhebung Ausgeprägtes Abteilungsdenken Fehlende Methoden- und Fachkompetenz

13 Methoden und Techniken, um Risiken zu identifizieren Besichtigung/Begehung Kreativitätstechniken (z.b. Brainstorming, Reizwortanalyse) Risikochecklisten/-kataloge Dokumentenanalyse Experten- und Mitarbeiterbefragung, z.b. Interviews, Workshops, schriftliche Befragung mittels Risikoidentifikationsbogen Unternehmens- und Umweltanalysen Früherkennungssysteme Prozess- und Systemanalyse

14 Risiko-Identifikation: Gruppen Für jeden Bereich werden Risikogruppen definiert, z.b.: Markt-Risiken Finanzielle / wirtschaftliche Risiken Strategische Risiken Dienstleistungs- / Produktions-Risiken Personal-Risiken Rechtliche Risiken Umfeld-Risiken Technische, Daten- und Informationssicherheits- Risiken

15 Gruppenarbeit Identifizieren Sie mögliche Risiken zu der Ihnen vorgegebenen Risikogruppe. Benennen Sie die drei aus Ihrer Sicht wichtigsten Risiken.

16 Risiko-Bewertung Grundsätzlich werden qualifizierbare und quantifizierbare Risiken unterschieden. quantifizierbare Risiken führen zu einem messbaren Vermögensschaden, bei qualifizierbaren Risiken handelt es sich um weiche Faktoren wie z. B. Mitarbeiter- oder Kundenzufriedenheit. Im Folgenden beschreiben wir ein beispielhaftes Vorgehen.

17 Risiko-Bewertung Einschätzen des Höchstschadens (HS) Einstufung Definition (HS) 1 unbedeutsames Risiko, das weder das Jahresergebnis noch die Arbeit spürbar beeinflusst Schadenshöhe in Tsd. bis 5 2 mittleres Risiko schwerwiegendes Risiko bestandsgefährdendes Risiko = unternehmensspezifisch! mehr als 100

18 Risiko-Bewertung Einschätzen der Eintrittswahrscheinlichkeit (EW) Einstufung Potentielle Häufigkeit Wahrscheinlichkeit 1 1x in 100 Jahren unwahrscheinlich 2 1x in 10 Jahren möglich 3 1x in 5 Jahren wahrscheinlich 4 1x pro Jahr sehr wahrscheinlich

19 Systematik für ein Klassifikationssystem Beispiel Risikoklasse Besonders hohes Risiko, existenzgefährdend Hohes Risiko, erhebliche Auswirkungen auf Jahresergebnis Mittleres Risiko, negative Auswirkungen auf das Jahresergebnis Normales Risiko, im Jahresablauf zu bewältigen Geringes Risiko, in den üblichen Abläufen berücksichtigt

20 Eintrittswahrscheinlichkeit Risikomatrizen Schadenshöhe

21 Eintrittswahrscheinlichkeit Risikomatrizen Schadenshöhe

22 Risiko-Bewältigung Folgende Alternativen stehen zur Verfügung: Risikovermeidung Risikoüberwälzung (z. B.: Versicherungen, Outsourcing, Vertragswesen) Risikoreduzierung (z. B.: Funktionstrennung, Vier-Augen-Prinzip, Zugriffsbeschränkung) Risikoakzeptanz (mit ständiger Überwachung) Was ist zu tun? Definition von Vorbeugungsmaßnahmen Definition von Korrekturmaßnahmen (z.b. Notfallpläne)

23 Beispielhafte Forderungen Gesetzliche und behördliche Anforderungen, z. B. KonTraG, BDSG, AGG etc. ISO/IEC seit 2005 (Informationssicherheit) ISO/IEC (Service-Management) ISO (Gesundheitswesen) ISO ISO 9001:2015

24 Zusammenfassung der zukünftigen Entwicklung ISO 9001-Anforderungen Entwicklungen von Risiken (Quelle: Risikobarometer (Neue Risiken) Entwicklung rund um die NSA und Edward Snowden

25 DAS Angebote zum Thema Risikomanagement Webinare nächster Termin: 1.Juli 2014 Workshops nächste Termine: 9. Oktober und 21. November 2014 Ihr Workshop Moderator Andreas Ritter Ihr Webinar und Workshop Moderator Andreas Altena

26 Bei Fragen zu Webinaren, öffentlichen Workshops und Inhouse-Veranstaltungen zum Thema Risikomanagement wenden Sie sich bitte an: Ute Kirsch, Leiterin DQS Audit Services Tel. 069/ oder schauen Sie in unser Internet: