Vorausschauendes Risikomanagement mit ISO 9001:2015: Gefahr erkannt, Gefahr gebannt

Im Jahr 2015 wurde die Qualitätsnorm 9001:2008 der International Organization for Standardization (ISO) revidiert und es folgte der Beschluss, eine neue Version der Richtlinie auszuarbeiten. Am 14. September 2018 endet die Übergangsfrist für Unternehmen: Bis dahin müssen sie die neue Zertifizierung ISO 9001:2015 vorweisen, alte Zertifikate verlieren ihre Gültigkeit. Die Norm beschäftigt sich neuerdings auch mit dem betrieblichen Risikomanagement.

»Gerade kleine und mittelständische Unternehmen (KMUs) tun sich häufig noch schwer damit, mögliche Gefahren und Chancen zu identifizieren, zu analysieren und zu bewerten. Auch im Anschluss entsprechende Gegenmaßnahmen zu planen, diese umzusetzen und im Nachgang zu kontrollieren, stellt für Betriebe eine große Herausforderung dar«, erklärt Georg Hünnemeyer, Systems Engineer und Geschäftsführer der Hünnemeyer Consulting GmbH.

»Unternehmen sollten Risiken immer im Systemkontext betrachten und anhand ihrer aktuellen Projektlage bewerten, hier gilt es langfristig zu planen und dementsprechend auch zu handeln.«

 

Schritt für Schritt

Die Norm wurde unter anderem angepasst, um auch KMUs stärker für das Thema Risikomanagement zu sensibilisieren. Bislang legte gerade der Mittelstand seinen Fokus weniger auf risikobasiertes Denken und Handeln – strukturierte Systeme zum Umgang mit Gefahrenquellen finden sich eher in Großunternehmen. Vor der Einführung einer ISO-gerechten Strategie sollten Entscheider in KMUs ausloten, welche Instrumente zur Umsetzung des neuen Vorgehens notwendig und sinnvoll sind – dieser Schritt ist erfolgsentscheidend für das gesamte Vorhaben.

»Mittelständischen Unternehmen stehen in der Regel weit weniger Ressourcen zur Verfügung als Konzernen, beispielsweise im personellen Bereich«, so Hünnemeyer. »Ein gelungenes Risikomanagement umfasst die Identifikation, Analyse, Bewertung und schließlich auch Kontrolle jedes Risikos über den gesamten Prozessverlauf. Oft scheitern Betriebe schon am ersten Schritt, weil ihnen das Abwägen der möglichen Gefahren schwerfällt oder am Ende sogar gar nicht gelingt. Die systemische Erfassung der Risiken aus der Sicht des Systems Engineering ergibt eine holistische Sicht auf die Wagnisse in der Entwicklung der Geschäftsprozesse. Dies stellt sicher, dass die Gefährdungen erkannt und beurteilt werden können.«

 

Keine Angst vor den Kosten

In vielen Fällen fürchten Unternehmen den finanziellen Aufwand, der durch die Einführung eines Risikomanagementsystems anfallen könnte. Dem gegenüber steht die Kosteneinsparung, die sich durch die Vermeidung von Ausfällen und Schäden ergibt. Eine Studie zur Einführung der Strategie im Mittelstand hat dies bestätigt: Ein großer Teil der Unternehmen, die das System bereits etabliert haben, konnte ein effektives Frühwarnsystem für alle anstehenden Risiken schaffen und so rechtzeitig Gegenmaßnahmen in die Wege leiten [1]. Auf diese Weise wird Transparenz geschaffen und der Risikostatus bleibt permanent im Blick. Die Investitionen und der Aufwand zur Umsetzung der Strategie werden auf die einzelnen Abteilungen, und infolgedessen die vorhandenen Ressourcen, verteilt.

»Der Ansatz des Systems Engineering, das Unternehmen als ein System zu erfassen und zu beschreiben, verringert den Aufwand für das Risikomanagement und erhöht gleichzeitig die Transparenz der Abläufe im Betrieb«, weiß Hünnemeyer. »Systems-Engineering-Ansätze für KMUs haben sich etabliert und helfen, die notwendigen Schritte in der Organisation und in den Abläufen sicherzustellen.«

 

Chance erkennen und ergreifen

Als größte Furcht der Unternehmen wurden in der Studie der Ausfall von EDV/IT oder Cyberattacken ermittelt. Des Weiteren sehen sie Unterbrechungen in der Logistikkette als Gefahr, die durch die Abhängigkeit von Lieferanten entstehen und zu einem Verzug beim Warenversand führen können. Maschinenausfälle und Produktrückrufe nehmen die Betriebe ebenfalls als drohendes Risiko wahr.

»KMUs sollten die Revision der Qualitätsnorm als Chance sehen. ISO 9001:2015 hilft dabei, Schwachstellen im eigenen Unternehmen auszumachen und darauf entsprechend zu reagieren«, so Hünnemeyer. »Die Industrie 4.0 zwingt Betriebe, sich an die komplexer werdenden Geschäftsprozesse anzupassen. Natürlich gehen damit zahlreiche Gefahren einher. Diese zu kennen, zu steuern und entsprechende Maßnahmen zu ergreifen – das ist der Mehrwert, den Risikomanagement KMUs bietet.«

[1] Gossler, Gobert & Wolters Gruppe (GGW Gruppe): Mittelstand zögert bei der Einführung von Risikomanagement (2016).
Weitere Informationen unter www.huennemeyer.eu

 


 

Professionelles Risikomanagement in Projekten: Risiken in Projekten erkennen und bewältigen

Praxistipps für das IT-Risikomanagement

Risikomanagement als Wettbewerbsvorteil – Jeder ist seines Glückes Schmied

Status Quo des Risikomanagements

Banken fehlen Daten und Analysetools für effektives Risikomanagement

Risikomanagement – IT-Dienstleister einbeziehen

IT Security Benchmark – IT-Fitness im Test: Höchste Informations­sicherheit zum besten Preis

Weitere Artikel zu