Das neue, normbasierte Risiko- und Krisenmanagement

Den diversen Normen zum Qualitäts- und Umweltmanagement nach ISO 9001, TS 16 949, VDA 6 bzw. 14 001 war in der Vergangenheit oft der Vorwurf gemacht worden, dass sie die qualitativen und ökologischen Themen zu sehr in den Vordergrund gestellt haben. Die Folgen davon waren, dass zwar durch jährliche Ziele Vorgaben für das Unternehmen gemacht wurden, doch blieben hierbei risikobehaftete Bereiche, wie Risikovermeidung oder Risikobewertung oft völlig vernachlässigt. Auch orientierten sich Unternehmen häufig nur an den betriebwirtschaftlichen Zahlen, ohne dabei den Gesamtansatz des Unternehmens zu betrachten.

Es gab zwar seit 2009 die Norm ISO 31000 zum Risikomanagement, die diese Aufgaben beschrieben hat, doch war sie zu wenig in die betrieblichen Abläufe integriert und wurde in der Regel nur von Konzernen und Großunternehmen angewandt.

risikomanagement

Mit der ISO 9001:2008 und den anderen Normen zum Qualitäts- und Umweltmanagement wurde dann aus dieser Ecke der erste Versuch unternommen, auch die Risikobewertung in diese Managementsysteme einzubinden. Oft blieb jedoch die Umsetzung in den Unternehmen in der Regel halbherzig und verfügte nicht über die erforderliche Dynamik. Mit den im November 2015 auch in Deutschland eingeführten neuen Normen ISO 9001 und 14 001 wurde das Risiko- und Krisenmanagement als „risikobasiertes Denken“ und damit als eigener Prozess unternehmensübergreifend eingeführt. Dabei weisen die Normen ausdrücklich darauf hin, dass „Maßnahmen geplant und umgesetzt werden, mit denen Risiken und Chancen behandelt werden“. Dies bedeutet, dass auch aus Risiken Chancen abgeleitet werden können, wenn die Bewertung zu einem positiven Ergebnis führt.

krisenmanagement

Auch wenn die Normen betonen, dass „keine formellen Methoden für das Risiko- und Krisenmanagement oder einen dokumentierten Prozess erforderlich sind“, ist das Thema doch so wichtig, dass jedes Unternehmen gleich welcher Branche gut daran tut, zum Eigennutz und für die Zertifizierungen klare Regeln und Vorgaben zu definieren. Nur so ist sichergestellt, dass die Erfassung von Risiken und Chancen auch nach Jahren noch nach dem gleichen Prozedere ablaufen wird und jedes Unternehmen frühzeitig erkennt, wann und wie auf Risiken und Krisen – insbesondere, wenn sie nicht sofort erkannt werden – zu reagieren hat.

Deshalb stellt sich sofort die Frage, wie gehe ich mit dem größten Nutzen und einem vertretbaren Aufwand für das Unternehmen vor, um ein effizientes Krisenmanagement zu etablieren, das nicht nur die internen, sondern auch die externen Risiken betrachtet?

Aus der Erfahrung treten Risiken und Krisen in folgenden sechs Risikogruppen auf:

  • Externe Risiken
  • Steuerungsrisiken
  • Finanzrisiken
  • Vertragsrisiken
  • Infrastrukturrisiken
  • Technische bzw. Umweltrisiken

Diese Gruppen sind entsprechend dem Unternehmenszweck in x-beliebige Risikoarten zu unterteilen, die in einen umfassenden Risikokatalog einfließen und hinsichtlich der Eintrittswahrscheinlichkeit und der Schadenshöhe mit definierten Bewertungsklassen zu bewerten sind. Aus der Multiplikation dieser beiden Ergebnisse ergibt sich ein Score, der die Höhe des einzelnen Risikos bewertet, um daraus die notwendigen Maßnahmen abzuleiten. Damit wird jedes Unternehmen mit einfachsten Mitteln in die Lage versetzt, Risiken und daraus abgeleitete Chancen aktiv zu steuern und ggf. frühzeitig zu korrigieren. Hierzu ist mindestens einmal jährlich unter der Verantwortung der Geschäftsführung der Erhebungs – und Bewertungsprozess durchzuführen.

Spätestens nach Ablauf der 3-jährigen Übergangszeit der neuen ISO-Normen im November 2018 muss jedes zertifizierte Unternehmen den Nachweis eines gelenkten und umgesetzten Risiko- und Krisenmanagements vorweisen können. Deshalb empfiehlt es sich, das System einzuführen, um es 2017 zertifizieren zu lassen, so dass in 2018 alle Nachweise erbracht werden können.

massnahmenliste

Neben der reinen Erfüllung der Normforderungen garantiert diese neue Methode auch, dass das Risiko- und Krisenmanagement zum Wohle des Unternehmens, der Gesellschafter oder Aktionäre nachvollziehbar gelenkt werden kann. Auch bei den Banken kann mit ermittelten positiven Ergebnissen das Rating entscheidend verbessert werden.