Instrumente für das risikobasierte Denken

Im Forderungskatalog der revidierten Normen ISO 9001:2015 und ISO 14001:2015 steht ein prominentes neues Kapitel. Unter 6. «Planung» steht an erster Stelle 6.1. «Massnahmen zur Behandlung von Risiken bezogen auf Gefahren und Chancen». Damit wird neu verlangt, dass ein Unternehmen, das die Normen erfüllen will, Abläufe vorzeigen kann, die dazu dienen, Chancen und Gefahren zu erkennen, deren Risiken einzuschätzen und zu bewerten und alle Massnahmen zu definieren und umzusetzen, die für eine optimale Chancennutzung bzw. Gefahrenabwendung nötig sind. Die Normierungs- wie auch die Zertifizierungs-Instanzen gehen davon aus, dass dieses Risikobasierte Denken in den Unternehmen nicht neu ist, sondern implizit schon immer vorhanden war. Neu ist aber, dass es explizit im Rahmen des Managementsystems dokumentiert werden muss. Im Folgenden werden ein paar Hilfsmittel vorgestellt, die im Unternehmen dazu dienen können, der neuen Forderung nachzukommen.

Die Stakeholderanalyse

Die Stakeholderanalsyse ist selber eine neue Forderung der revidierten Normen. Gleichzeitig ist sie ein Hilfsmittel, um die relevanten Chancen und Risiken aus den Erwartungen der Stakeholder heraus zu erkennen. Abb. 1 zeigt den Aufbau einer solchen Stakeholderanalyse. Zeilenweise werden dabei die relevanten Stakeholder identifiziert. Dabei ist an alle Anspruchsgruppen zu denken, welche a) besondere Erwartungen an die Organisation haben oder b) besondere Einflussmöglichkeiten auf die Organisation haben. Dazu gehören normalerweise die Kunden, Lieferanten, Mitarbeitenden, Shareholder, bestimmte Verbände, Interessenvertretungen, NGOs, Behörden etc. In zwei Spaltengruppen werden sodann für jeden identifizierten Stakeholder dessen Interessen und dessen Einflussmöglichkeiten notiert und daraus Chancen und Gefahren für die Organisation hergeleitet. In einer letzten Spaltengruppe werden Verhaltensmöglichkeiten gegenüber diesem Stakeholder abgeleitet. Diese Verhaltensmöglichkeiten sind Massnahmen im Sinne der Normenforderung. Damit soll der Stakeholder so beeinflusst werden, dass die ermittelten Chancen genutzt und die Gefahren abgewendet werden können.

Die Umwelt-Relevanzanalyse (im Rahmen von ISO 14001)

Mit der seit langem bekannten Umweltrelevanzanalyse (vgl. Abb. 2) werden die Bereiche der Organisation mit relevanten Wirkungen auf die Umwelt identifiziert und es wird festgestellt, in welche Umweltaspekte hinein die Wirkungen erfolgen und wie gross sie sind. Eine grosse Umweltwirkung ist immer mit Chancen und Gefahren verbunden. Ein Nichtbeherrschen der Umweltwirkung führt zum Risiko von Gesetzesverletzungen und entsprechenden staatlichen Reaktionen und/ oder Imageschädigungen. Ein gutes Beherrschen der Umweltwirkungen kann andererseits die Reputation der Organisation stärken. Die Umweltrelevanzanalyse soll beim Erarbeiten der Umweltziele und -massnahmen berücksichtigt werden, und damit auch der Umgang mit den darin identifizierten Chancen und Gefahren.

Der Risikomanagement- Prozess

Es ist auch nach den revidierten Normen ISO 9001 und ISO 14001 kein Erfordernis, einen formellen Risikomanagementprozess zu haben und zu benutzen. Ein formeller Risikomanagementprozess stellt aber das geforderte Identifizieren der Chancen und Gefahren und das Herleiten geeigneter Massnahmen ausserordentlich gut sicher und ist deshalb sehr empfehlenswert. In Abb. 3 ist ein Risikomanagementprozess grafisch dargestellt, der konform ist zu ISO 31000 und der sich bei uns in der Praxis sehr gut bewährt. Der Prozess ist für jede Art von Risiken geeignet – der entsprechende Perimeter und die dazu passenden Wirkkategorien müssen jeweils im Schritt «Kontext festlegen» definiert werden. Im Allgemeinen sollte eine Organisation den Prozess für ihre Strategie, ihre grossen Investitionsprojekte, ihre überlebensbedrohenden Risiken sowie eventuell für ihre Produktentwicklung und ihre Beschaffung anwenden.

Ein Risikomanagementprozess setzt voraus, dass die Organisation nebst Instrumenten zur Identifizierung von Chancen und Gefahren und nebst Methoden zur Risikoeinschätzung auch noch festlegt, wo die Grenze zur Akzeptanz von Risiken für sie liegt. Risiken müssen nicht bloss mit Massnahmen vermindert, sondern vorher noch danach bewertet werden, ob sie akzeptabel sind oder nicht. Dies und auch das Überwachen und Reviewen der erkannten und behandelten Risiken stellen gegenüber den Forderungen von ISO 9001 und ISO 14001 ein Surplus dar. Es hat aber für einen konsequenten Umgang mit Chancen und Gefahren, der auch Entscheidungsprozesse mit umfasst, grosse Vorteile.

Die Gefahrenidentifikation entlang der Balanced Scorecard (BSC)

Ein empfehlenswertes Hilfsmittel zur Identifikation und Dokumentation von Chancen und Gefahren ist eine Mindmap, deren vier Hauptäste den vier Kernbereichen der BSC zugeordnet sind. In einem Brainstorming werden diese vier Bereiche systematisch durchleuchtet und es wird nach Auslösern bzw. Begründern von Chancen und Gefahren gesucht. Dabei wird vom Allgemeinen ins Spezielle verfeinert, indem immer die Frage «was könnte da passieren» gestellt wird. Die entsprechenden Resultate werden auf der Mindmap eingetragen. Die interessanteren und potenziell bedeutsameren dieser Chancen und Gefahren kann man anschliessend betreffend Risiko einschätzen und mit Massnahmen behandeln, wenn das Risiko nicht tolerierbar ist.

Das Risk Portfolio

Das Risk Portfolio ist sehr geeignet, um Chancen und Gefahren zu klassieren, die entsprechenden Risiken einzuschätzen und daraus Massnahmen herzuleiten. Das RiskPortfolio besteht einfach aus einer Matrix, auf deren einer Achse die Eintrittswahrscheinlichkeit bzw. Häufigkeit eines Chancen- oder Gefahrenszenarios eingetragen wird. Auf der anderen Achse wird das Ausmass / die Wirkung des Chancen- oder Gefahrenszenarios eingetragen. Das Risiko eines Chancen- oder Gefahrenszenarios ergibt sich gemäss der Formel Risiko = Wahrscheinlichkeit mal Ausmass direkt aus der Position im Portfolio. Bereiche mit tolerierbarem, bedingt tolerierbarem und intolerierbarem Risiko kann man als grüne, gelbe und rote Bereiche im Risk Portfolio markieren. Szenarien, welche im intolerierbaren Bereich liegen, sind zwingend mit Massnahmen zu behandeln.

«Die Organisation legt die mit den Gefahren und Chancen verbundenen Risiken fest und stellt sicher, dass das Managementsystem die beabsichtigten Ergebnisse erreicht und nicht erwünschte Auswirkungen verhindert oder reduziert werden». Soweit die Normen. Die Instrumente, die man zu diesem Zweck einsetzen kann, stammen oft aus dem klassischen Risikomanagement. Der Zusammenbau von «sektorspezifischen » (Qualität, Umwelt …) zu integralen Managementsystemen, die das Risikomanagement beinhalten, wird dadurch bestimmt gefördert, was durchaus Sinn macht.