Risikomanagement in KMU - Rheintal Interimrheintal-interim.org/wp-content/uploads/2015/06/KMU_Risiko... · VRIM-Veranstaltung zum Thema ISO 9001:2015 und Risikomanagement 16.06.2015

Euro Risk Limited© – The Risk Management Group

Risikomanagement in KMU

Gerhard SchoberSenior Risk Manager

Partner Euro Risk Ltd.

[email protected]

15.06.2015

VRIM-Veranstaltung zum Thema ISO 9001:2015 und Risikomanagement

16.06.2015 Seite 1

Euro Risk Limited© – The Risk Management Group 16.06.2015 Seite 2

Warum Risikomanagement in KMU ?

Risikomanagement sollte ein integrierter Bestandteil von

Management-Entscheidungen sein, weil das Risiko selbst ein

integrierter Bestandteil des Managements ist.

Integriertes Risikomanagement erlaubt die Sicht auf das Ganze.

Risikomanagement dient der Unternehmenssicherung

Einen Plan-B für existenzbedrohende Risiken bereit haben.


Unternehmensrisiken 2015 – Top 10

Quelle: Allianz Global Corporate & Specialty

Prozentwerte geben den Anteil aller relevanten Antworten wieder.

EMEA: 491


Typische Eigenschaften von KMU

Personenbezogenheit

Rechtliche und wirtschaftliche Selbständigkeit

Beschränkte Finanzierungmöglichkeiten

Überschaubarkeit der Unternehmensorganisation

Fokus auf bestimmte Marktsegmente

dynamisch


Anforderungen und Bedürfnisse der KMU

Wandelnde Märkte

Prozesse

Personelle Ressourcen

Angebotserstellung

Gesetzliche und behördliche Anforderungen

Nachfolge

Kapitalbeschaffung

Zertifikatspflicht

Agieren statt reagieren durch integriertes Risikomanagement


Typische Managementsysteme in KMU

QMSISO9001

ISO16949

ISO13485

UMSISO14001

OHSASBS18001

(ISO45001)

Schweiz

EKAS

IKSnach

OR 728a

mit

Risk

Management

ISMS

ISO27001

PMSPMI

IPMA

andere

SCM

KAM

DMS

Compliance

Versicherungen

… oft in Silos und Insellösungen betrieben.


Nutzen des Risikomanagement für KMU

Verbesserung des unternehmerischen Handlungsspielraums

Identifikation und Management von unternehmensübergreifenden Risiken

und Chancen

Früherkennung, Minimierung und Bewältigung von Gefahren und Risiken

Überleben der Organisation sichern

Erkennung und Wahrnehmung von Chancen für das Unternehmen

Risikokontrolle > Chancen besser wahrnehmen


Ziele des Risikomanagements

Früherkennung von Risiken

Analyse und Verständnis von Risiken

Vorbeugung (Prävention), Vermeidung, Verminderung von Risiken

Frühwarnung bei drohendem Risiko

Intervention bei eintretendem Risiko

nach ISO 31000


Was ist ein «Risiko» ?

Risiko = Auswirkungen von Unsicherheiten auf

Ziele, Tätigkeiten und Anforderungen

1. Die Auswirkungen von Risiko können positiv oder negativ sein,

2. die Unsicherheit bzw. Ungewissheit wird mit Wahrscheinlichkeiten geschätzt

bzw. ermittelt;

3. Risiko ist eine Kombination von Wahrscheinlichkeit und Auswirkung

4. Die Ziele der Organisation erstrecken sich auf die strategische Entwicklung

(z.B. Innovation, Marktstellung). Die Tätigkeiten umfassen die operativen

Aktivitäten (z.B. Produktion und Vertrieb). Die Anforderungen beziehen sich

auf Gesetze und Normen, insbesondere betreffend die Sicherheit von

Menschen, Sachen und der Umwelt

5. Risiko ist eine Folge von Ereignissen und von Entwicklungen.

(ISO 31000 / ONR 49000:2014, Ziff. 2.1.11)


Risikofelder von KMU

Umfeld

• Politik

• Gesellschaft

• Gesetze

• Umwelt

Unternehmen

• Finanzen

• Prozesse

• Personal

• Management

Markt

• Marketing

• Branche

• Kunde

• Wettbewerb

• Produkt/Leistung

FinanzenKennzahlen

Controlling

ProzesseBeschaffung (Markt, Prozess)

Innovation/Entwicklung

Auftragsabwicklung

Service

IKT

Projektmanagement

Entsorgung

PersonalPersonalstruktur

Entwicklung, Beschaffung,

Qualifizierung

Schlüsselpersonen

Erfahrung, Know-how

ManagementGesellschafter, Share-, Stakeholder

Führung

Ziele und Strategie

Organisation, Managementsysteme


Umsetzung Risikomanagement in KMU

ISO 31000 und ONR49000

Da die ISO 31000 allgemein gehaltene

Grundsätze und Leitlinien formuliert,

sind konkretere Spezifikationen für die

Umsetzung des Risikomanagements

erforderlich. Diese sind in der ONR

49000:2014 Serie zu finden.

Die ONR 49000 Serie

„Risikomanagement für Organisationen

und Systeme“ ist ein Leitfaden für die

Umsetzung der ISO 31000

Die ISO 31000 ist darin weitgehend

wörtlich widergegeben und mit vielen

konkreten Anleitungen versehen.

ISO31000 integriert


Der Risikomanagement-Prozess

Start

Ende

Tragbar ?Ja

nein

Rahmenbedingungen

Risiken identifizieren

Risiken analysieren

Risiken bewerten

Risiken bewältigenKom

munik

ation / K

onsultation

Ris

iken ü

berw

achen /

überp

rüfe

n

nach ISO 31000



Festlegen der Rahmenbedingungen sind Vorarbeiten

Externe – Was wird erwartet, gefordert ? (Recht, Gesetz,

Kunden, Wettbewerb, Medien, Werte, …)

Interne – Was ist vorhanden, wer ist verantwortlich,

welche Massnahmen bestehen, welche Besonderheiten

verlangen Tätigkeiten ?

Risikomanagement – Welche Risikokriterien müssen

beachtet werden, um das Risiko zu bestimmen und zu

bewerten ?

Inhalte, Ziel und Zweck der Risikobeurteilung

Zeitverhältnisse und erforderliche Ressourcen

Einbezug von Risikoeignern und Experten

Wahl der Methode der Risikobeurteilung

Bestimmen der Wahrscheinlichkeit und

Auswirkungen



Methoden der Risikobeurteilung bestimmen

Kreativitätstechniken - Brainstorming, Delphi-Technik,

World Café

Szenario-Analysen i.w.S. - Root Cause Analysis,

Fehlerbaum- und Ablauf-Analyse, London Protokoll,

Worst-Case-Szenario-Analyse i.e.S.

Indikatoren-Analysen - CIRS und CBRM

Gefährdungs-Analysen - FMEA, Gefährdungsanalysen,

HAZOP, HACCP

Statistische Analysen - Standardabweichung,

Konfidenzintervall, Monte Carlo Simulation



Risiken identifizieren

Man wird in keiner Organisation alle Risiken finden!

Aber man muss in der Lage sein, die meisten und vor allem

die schwersten zu erkennen und zu analysieren.

Wichtig ist eine Systematik für die Risikoidentifikation:

z.B. eine Gefahrenliste oder ein Prozess

Gefahrenliste

Liste der Ziele, Tätigkeiten,

Anforderungen



Risiken analysieren

Ein Risiko ist in der Regel etwas Komplexes, das mit

Ursachen und Auswirkungen beschrieben werden kann. Man

spricht auch vom Risikoszenario.

Ein Risikoszenario wird oft als schlimmst-möglicher, aber

dennoch glaubwürdiger Fall dargestellt, weil die Menschen

sich dann besser vorstellen können, worum es geht

(„Credible Worst Case“).



Beispiel eines Szenarios



Risiken bewerten

Wenn die wichtigsten Risiken identifiziert sind, sie verstanden

werden, ihre Ursachen und Folgen auf die

Wahrscheinlichkeiten und Auswirkungen schliessen lassen,

dann stellt sich die Frage, ob sie akzeptierbar bzw. tolerierbar

sind oder nicht.

Je nach dem sind Massnahmen der Risikobewältigung

zwingen erforderlich oder dringend zu empfehlen.

Dazu gibt es Massnahmen auf der menschlichen und

Massnahmen auf der technischen Ebene.

Wirksame Risikomanagement-Massnahmen erfordern eine

konkrete Aktion, eine für ihre Durchführung verantwortliche

Person, einen Termin und möglicherweise Ressourcen (Zeit,

Geld, Raum usw.)

Risiken bewältigen



Risiken überwachen, überprüfen

Risiken können sich laufend verändern, d.h. nicht nur

verkleinern (durch die Umsetzung von Massnahmen der

Risikobewältigung), sondern auch vergrössern (weil sich das

Umfeld oder die Organisation verändert).

Der Risikomanagement-Prozess muss sicherstellen, dass die

Risiken überwacht und die Umsetzung und Wirksamkeit der

Massnahmen laufend überprüft werden.

Interne Kommunikation: zwischen Mitarbeitenden und

Vorgesetzten, zwischen Experten und Fachleuten, zwischen

verschiedenen Management-Stufen.

Externe Kommunikation: Über das Risikomanagement kann

man berichten, aber nur wenn es vorhanden ist. Zudem gibt

es viele gesetzliche Vorschriften, die eine Berichterstattung

über Risiken und Schadenfälle vorsehen.

Risiken kommunizieren


Prozessintegration

Beispiel: Produkt-Entstehungsprozess (1/2)


Prozessintegration

Beispiel: Produkt-Entstehungsprozess (2/2)


Notfall-, Krisen und Kontinuitätsmanagement

Ein für KMU signifikant wichtiger Prozess

Das Risikomanagement setzt sich auch mit denjenigen Risiken

auseinander, die eine Organisation trotz präventiver Maßnahmen

plötzlich, unerwartet und schwer treffen können. Dies ist Aufgabe des

Notfall- und Krisenmanagement, um bei Schadenereignissen schnell und

richtig reagieren zu können. In der englischen Sprache spricht man auch

von „Response“.

Auf Notfälle und Krisen muss aber nicht nur schnell und richtig reagiert

werden; noch wichtiger ist dabei die unverzügliche Wiederherstellung von

verlorenen Betriebsfunktionen, damit so rasch wie möglich die

Wertschöpfung der Organisation wieder hergestellt wird. Man spricht

dabei vom Kontinuitätsmanagement (Business Continuity Management,

BCM) oder in der englischen Sprache auch von „Recovery“.



Teil des Risikomanagements - eine Risikomanagement-Massnahme

Risiko-

management

Notfall-,

Krisen-

& Konti-

nuitäts-

Mana-

gement

Verände-

rungen,

Entwick-

lungen

Ereignisse



Elemente des BCM



Worum geht es bei Ereignisrisiken

Ereignis

Vorbereitung Response

Recovery, Wiedererlangung Tätigkeit

Betriebsniveau 100%

Verkürzung der

Unterbrechung

Zeit


Integriertes Risikomanagement in KMU

Die Integration der Managementsysteme

QMSISO9001

ISO16949

ISO13485

UMSISO14001

OHSASBS18001

(ISO45001)

Schweiz

EKAS

IKSnach

OR 728a

ISMS

ISO27001

PMSPMI

IPMA

andere

SCM

KAM

Compliance

Versicherungen

Kontext der Organisation

Kontext: Zusammenhang von Zweck der Organisation, strategische

Ausrichtung und die verschiedenen Einflussfaktoren.

Risikomanagement – einschliesslich Notfall-, Krisen- und

Kontinuitätsmanagement als Querschnittfunktion

ISO31000 – ONR49000


Meine Erfahrungen in KMU

• Das Risikomanagement ist zu sehr finanzorientiert.

• Systemisches und strukturelles Risikomanagement ist nicht oder

nur ansatzweise vorhanden.

• Es sind zahlreiche Risikobewältigungsmassnahmen vorhanden.

Was aber fehlt ist die klare Risikolandschaft.

• Zuviele Management-Silos.

• Kein Plan-B (BCM) nach Eintreten von existenzbedrohenden

Risiken.

• Der Weg zum integrierten Risikomanagement in KMU ist nicht

so aufwändig wie es scheint.


Danke für die Aufmerksamkeit !

Documents

Risikomanagement in KMU - Rheintal Interimrheintal-interim.org/wp-content/uploads/2015/06/KMU_Risiko... · VRIM-Veranstaltung zum Thema ISO 9001:2015 und Risikomanagement 16.06.2015