Risikomanagement nach der ISO 31000:2009. Grundlagen und Anwendungsbeispiel

Inhaltsverzeichnis

Abbildungsverzeichnis

Abkürzungsverzeichnis

1. Einleitung
1.1 Begründung der Themenstellung
1.2 Zielsetzung und Aufbau der Arbeit

2. Grundlagen und Begriffsabgrenzung
2.1 ISO 31000:2009
2.2 Risikomanagement

3. Risikomanagementprozess nach ISO 31000

4. Anwendungsbeispiel der ISO 31000 anhand eines Kleinunternehmens
4.1 Unternehmensbeschreibungen
4.2 Umsetzung der ISO 31000 an der SKM GmbH

5. Fazit und kritische Reflektion

Literaturverzeichnis

Abbildungsverzeichnis

Abbildung 1: Risikomangementprozess nach ISO 31000

Abbildung 2: Risikomatrix

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1. Einleitung

1.1 Begründung der Themenstellung

Für ein Unternehmen ist es bei jedem Vorgehen fatal zu handeln, ohne zu Beginn die Ziele und Risiken zu kennen oder zu bedenken. Das Soll-Risikomanagement eines Unternehmens baut auf diesem Grundgedanken auf und hat sich in Großunternehmen bereits weitgehend etabliert. Aber auch für kleine und mittelständische Unternehmen gewinnt das Risikomanagement zunehmend an Bedeutung und stellt ein betriebswirtschaftliches Instrument zur Risikobewältigung dar. Dieses Streben wird verstärkt durch die wachsende Zahl von Vorschriften, Regelwerken und Normen, welche auch diese Unternehmensgrößen verstärkt betreffen. Das allgemein vorherrschende Problem betreffend des Risikomanagements in Unternehmen ist, dass ohne ein einheitliches Regelwerk, jeder seine eigene Vorgehensstruktur aufbaut. Durch ein ungeregeltes Vorgehen oder einer einheitlichen Struktur, können Themen oder wichtige Risikopunkte untergehen. Auch Vergleiche von Unternehmensteilen oder Unternehmen untereinander ist in diesem Bereich schwer zu realisieren, wenn kein einheitliches Vorgehen vorliegt. Dies erschwert den Erfahrungsaustausch erheblich.^[1]

Ein weltweit geltendes Regelwerk, das eine verbindliche Leitlinie für das Risikomanagement für Unternehmensrisiken darstellt, wurde am 15. November 2009 veröffentlicht. Es handelt sich hierbei um die internationale Norm ISO 31000:2009 „Riskmanagement - Principlesandguidelines“.^[2] Diese soll nicht nur großen Organisationen helfen, die Spezialisierung des Risikomanagements zu bewältigen sondern auch KMU und ist somit unabhängig von der Unternehmensart und -größe. Denn spätestens seit den enormen internationalen wirtschaftlichen Verflechtungen tangieren die daraus resultierende Probleme nicht mehr nur international agierende Konzerne, sondern in zunehmenden Maße auch KMU.^[3] Aufgrund der Heterogenität von KMU, werden diese häufig als tragende Säule der Wirtschaft bezeichnet. Jedoch sind auch Unternehmen in dieser Größenordnung in ihrem Handeln Risiken ausgesetzt, die zu einer Minderung des Unternehmenserfolges und je nach Ausprägung der Risikofolgen mittel- bis langfristig zur Existenzbedrohung des Unternehmens führen können.^[4]

1.2 Zielsetzung und Aufbau der Arbeit

Das Ziel dieser Arbeit ist es, zum einen die Grundlagen des Risikomanagements nach der ISO 31000:2009 zu erarbeiten. Zur Verdeutlichung wird anhand eines Anwendungsbeispiels die Prozesse und Methoden illustriert. Hierzu wird ein fiktives Beispiel anhand eines Kleinunternehmens, im Bereich Maschinen. Und Metallbau, verwendet.

Die Ausarbeitung beginnt mit einem Grundlagenteil in welchem relevante Begriffe definiert und in der Bedeutung eingegrenzt werden. Darauf aufbauend erfolgt die Erarbeitung der Grundzüge der ISO 31000:2009. Im nächsten Schritt erfolgt die Herausstellung der Besonderheiten und Bedeutung des Risikomanagements für den Bereich der KMU.

2. Grundlagen und Begriffsabgrenzung

2.1 ISO 31000:2009

Die ISO 31000:2009 ("ISO 31000") ist ein internationaler Standard, d.h. eine Norm für Managementsysteme mit Fokus Risiko. Sie wird auf die gleiche Ebene wie das Qualitätsmanagement eingestuft, ist aber nicht zertifizierungsfähig, da sie als Empfehlungsnorm ihren Zweck in der Integration von Risikomanagement in bestehende Managementsysteme sucht.^[5]

Inhaltlich baut die ISO 31000 auf zwei Entstehungselemente auf. Zum einen führen die branchenspezifischen Standards zum Bedürfnis, die allgemeinen Grundlagen und Grundsätze des Risikomanagements zu harmonisieren und zu vereinheitlichen. Zum zweitengibt es bereits bestehende Management-Systeme welche in die Beschreibung der Norm eingebunden wurden. Die Normen der ISO 9000 gehören hier zu den Standardwerken, wobei die bekannteste die Norm ISO 9001:2008 ist. Durch die Vereinigung der beiden Aspekte in der ISO 31000 ist ein branchen-übergreifender Standard zum Risikomanagement entstanden. Dieser enthält gleichzeitig einen systematischen Ansatz und umfasst damit die Eigenschaften eines Risikomanagement-Systems.^[6]

Die ISO 31000 wird begleitet von der ISO 31010:2009, einer Sammlung von Methoden-, Techniken und Werkzeugen, sowie der ISO 73:2009, dem Wörterbuch für Risikomanagement als interdisziplinäre Grundlage für die Risikokommunikation.^[7]

2.2 Risikomanagement

Das Risikomanagement bildet die Grundlage der systematischen Anwendung der ISO 31000 und setzt sich aus den Wörtern Risiko und Management zusammen. Management als Funktion definiert sich in der Literatur weitgehend homogen als die Verantwortungsübernahme der Planung, Realisierung und Kontrolle von übernommenen Aufgaben mit dem Ziel der erfolgreichen Umsetzung. Jedoch muss hierfür die beauftragte Person die Kompetenzen zur Erfüllung dieser Tätigkeit mitbringen.^[8] Risiko hingegen wird in der Literatur nicht einheitlich definiert und unterscheidet sich zudem auf das Themengebiet, auf welches der Begriff bezogen wird. Aus betriebswirtschaftlicher Sicht definiert sich Risiko als Abweichung von einem Planwert, welches zugleich das Hauptproblem darstellt, da die Planung zukunftsbezogen ist und somit eine Ungewissheit und Unsicherheit liefert.^[9]

Der zusammengesetzte Begriff des Risikomanagements findet in dieser Form seine erste Erwähnung im Zusammenhang mit Versicherungen in Großunternehmen der USA. Es umfasst die Aufgaben der Erfassung, Analyse und Bewertung von Risiken, sowie der Informationsweitergabe an die entsprechenden Entscheidungsträger und Gremien.^[10] Das zu erreichende Ziel ist die Existenzsicherung des Unternehmens in der Gegenwart und der zukünftigen Entwicklung durch Vermeidung und Minimierung von Risiken, sowie Sicherung des zukünftigen Unternehmenserfolgs.^[11]

Somit ist eine Gefahr für ein Unternehmen ungewiss, solange sie nicht wahrgenommen und eingeschätzt wird. Die Ungewissheit unterscheidet sich vom Risiko folglich durch die bewusste Wahrnehmung und Eintrittswahrscheinlichkeit.

3. Risikomanagementprozess nach ISO 31000

Die Norm teilt sich grundsätzlich in die folgenden drei praxisrelevanten Abschnitte auf:^[12]

- Grundsätze des Risikomanagements
- Rahmen des Risikomanagementsystems
- Risikomanagementprozess

Grundsätze des Risikomanagements stellen die grundsätzliche Ausrichtung der Norm und grundsätzliche Anregungen dar. Das Risikomanagementsystem zeigt den Nutzen der Norm auf. Die nachfolgende Abbildung beschreibt den idealtypischen Risikomanagementprozess nach ISO 31000 nach Kapitel 5 der Norm. Hierbei ist der Kernprozess Risikobeurteilung, beschrieben durch Risikoidentifikation, Risikoanalyse und Risikobewertung zu erkennen. Neben diesen Kernprozess sind die Nebenprozesse Überwachung und Überprüfung und Kommunikation und Konsultation notwendig.^[13]

Abbildung 1: Risikomangementprozess nach ISO 31000^[14]

Abbildung in dieser Leseprobe nicht enthalten

Folgend werden die im Fokus stehenden Prozessschritte erläutert:^[15]

- Für die Erstellung des Zusammenhangs empfiehlt sich Darstellung der Wechselbeziehungen und –wirkungen innerhalb der Organisation. Zudem erfolgt die Definition von Risikokriterien.
- Der Kernprozess untergliedert sich in wie in der Abbildung gezeigt in vier Schritte und umfasst alle Schritte zur Behandlung von Risiken. Im ersten Schritt werden externe und interne Risiken erhoben. Darauf aufbauend werden eine Ursachen-Wirkungs-Analyse, und die Ermittlung der Risikohöhe, Auswirkung und Wahrscheinlichkeit des Risikoeintritts. Abschließend erfolgt die Bewertung der wesentlichen Gefahren.
- Bei der Risikobewältigung müssen anhand der Gefahreneinstufung nach Priorisierung für die aufgenommenen Punkte Maßnahmen definiert werden. Wichtig ist hierbei eine Kosten-Nutzen-Abschätzung und der Beurteilung nach der Zweckmäßigkeit.

Die Anwendungsmöglichkeiten des Risikomanagements können in drei Bereiche unterteilt werden:^[16]

- Strategischen Risikomanagement: z.B. betreffend strategischer Unternehmensziele
- Operatives Risikomanagement: z.B. Produkt- & Projektrisikomanagement
- Prozessorientiertes Risikomanagement: z.B. Arbeitssicherheit

4. Anwendungsbeispiel der ISO 31000 anhand eines Kleinunternehmens

4.1 Unternehmensbeschreibungen

Die Firma SKM GmbH wurde 2001 gegründet und ist ein Kleinunternehmen im Metall- und Maschinenbaubereich. Der Firmensitz befindet sich in Ingolstadt. SKM ist ein Akronym und die Grobdarstellung der drei Unternehmensfelder, welche aus der Schlosserei (Metallbau), der Kunstschmiede und dem Maschinenbau bestehen. Der Leitspruch „Für jeden Anspruch, oder jede Idee, eine Lösung aus einer Hand “^[17] gilt seit der Unternehmensgründung und ist das gesetzte Unternehmensleitbild. Die SKM GmbH ist nach den aktuellen Anforderungen der europäischen Union zertifiziert (DIN EN 1090-2 EXC2) und ist ein qualifizierter EU Schweißfachbetrieb. Die Fertigungshalle hat eine Größe von 850m² mit zusätzlichen Büro- und Besprechnungsräumen. Das Einsatzgebiet ist regional auf einen Umkreis von etwa 100km festgelegt. Die ausgeführten Arbeiten teilen sich in den Bereich der Werkstattfertigung und der auswertigen Montage bei diversen Kunden auf. Der Kundenkreis setzt sich aus privaten und gewerblichen Kunden zusammen. Das Leistungsspektrum geht von Anbaubalkonen, diversen Geländertypen, Kunstschmiedeteile, etc. im Privatkundenbereich, bis hin zu Sonderanlagenfertigung, Instandhaltung, Schlosserarbeiten im Baubereich, usw. für Gewerbekunden.^[18] Wie bereits im Unternehmensleitsatz genannt, wird hier eine Fertigung individuell nach Kundenwunsch erfüllt.Zum Stand dieser Arbeit sind 16 Mitarbeiter im Unternehmen beschäftigt.^[19] Das Stammpersonal setzt sich aus Bürokaufleuten, Metallbaugesellen, Auszubildenden und Metallbauhelfern zusammen

Die Einstufung in die Kategorie der Kleinunternehmen erfolgt anhand der Mitarbeiterzahl von 16 Personen und des Jahresumsatzes, welcher sich im Bereich zwischen 10 Mio. Euro/Jahr und 50 Mio. Euro/Jahr liegt.^[20]

4.2 Umsetzung der ISO 31000 an der SKM GmbH

Als Beispiel wird die Anfertigung einer Sonderanfertigung eines Montagetisches nach Kundenanforderung für die Fertigung eines Stoßfängers für die Automobilindustrie. Der Montagetisch nimmt das lackierte Bauteil auf und ist zur weiteren Kontrolle und Montage in verschiedene Dimensionen pneumatisch verstellbar.

In der Risikoidentifikation ist das Ziel die Erstellung einer Liste von Risiken und Gefahren, welches mit dem Instrument des Brainstormings effektiv gestaltet wird.^[21] Für das Brainstorming setzen sich der Ingenieur und die Monteure an einen Tisch und schreiben die möglichen Risiken und Gefahren nieder.^[22] Die daraus resultierenden Punkte sind:

1. Oberfläche der Montageauflage verursacht Kratzer auf der lackierten Bauteiloberfläche
2. Pneumatik Anschlüsse und Verbindungen können sich lösen und Beschädigungen am Bauteil oder am Montagepersonal des Auftraggebers verursachen
3. Bei den Bewegungen des Tisches besteht möglicherweise eine Quetschgefahr für das Montagepersonal des Auftraggebers.

Als nächstes erfolgt die Risikoanalyse. Hierzu kommt die Schadensanalyse zum Einsatz. Jedoch kommen nur die ersten zwei Schritte bei der Risikoanalyse zur Anwendung. Dies umfasst die Schadensbeschreibung und Bestandsaufnahme. Die weiteren Schritte werden wieder im Regelablauf der ISO 31000 aufgegriffen. Bei der Schadensfall-Analyse wird ein Schadensereignis nach Hergang, Ursachen und Auswirkungen analysiert.^[23] Die Ausarbeitung der drei Punkte aus dem Brainstorming erfolgt in Zusammenarbeit mit dem Ingenieur.

1. Oberfläche der Montageauflage verursacht Kratzer auf der lackierten Bauteiloberfläche:

- Hergang: Ablagerungen (Staub, Späne, etc.) auf der Auflage
- Ursache: Verschmutzung der Auflage
- Wirkung: Beschädigung durch Kratzer der eingelegten Bauteile

2. Pneumatik Anschlüsse und Verbindungen können sich lösen und Beschädigungen am Bauteil oder am Montagepersonal des Auftraggebers verursachen

- Hergang: Fehlerhafte Stellen / Verbindungen können sich lösen

[...]

^[1] Vgl. Mehrmann, E.; (2004); S. 40

^[2] Vgl. Brühwiler, B.; (2011); S. 17

^[3] Vgl. Stiefl, J.; (2001); S. 1

^[4] Vgl. Dingert; (2012); S. 13

^[5] Vgl. Meier, P.;(2011); S. 12

^[6] Vgl. Brühwiler, B.; Romeike, F.; (2010); S. 82 f.

^[7] Vgl. Brühwiler, B.; Romeike, F.; (2010); S. 82

^[8] Vgl. Weatherly, N. J.;(2009); S. 1 f.

^[9] Vgl. Gleißner, W.; Lienhard, H.;Ströder, D.; (2004); S. 12

^[10] Vgl. Schorcht, H.; (2004); S. 31 ff.

^[11] Vgl. Heinrich, G., et al.; (1998); S.9

^[12] Vgl. Spatzierer, K.; Käfer, R.; Illetschko, S.; (2014); S. 35

^[13] Vgl. Mohmann, M.; (2011); S. 42

^[14] Eigene Darstellung: Vgl. Mohmann, M.; (2011); S. 42

^[15] Vgl. Brühwiler, B.; Romeike, F.; (2010); S. 93 f.

^[16] Vgl. Brühwiler, B.; Romeike, F.; (2010); S. 93 f.

^[17] SKM GmbH; http://www.skm-schlosserei.de/; ( 2014); Startseite.

^[18] Vgl. SKM GmbH; http://www.skm-schlosserei.de/leistungsverzeichnis.html; (2014) S. 3 (Leistungsverzeichnis)

^[19] Vgl. SKM GmbH; http://www.skm-schlosserei.de/ueberuns.html; (2014); S. 2 (Über uns)

^[20] Vgl. europ. Kommission; http://ec.europa.eu/enterprise/policies/sme/facts-figures-analysis/sme-definition/index_de.htm; Einstufung KMU

^[21] Vgl. Müller, S.; Ensthaler, J.; Gesmann-Nuissl, D.; (2012); S. 247

^[22] Vgl. Stroebe, W.;Nijstad, A. B.; (2004); S. 2 ff.

^[23] Vgl. Müller, S.; Ensthaler, J.; Gesmann-Nuissl, D.; 2012; S. 247