Risikobeherrschung durch Managementsysteme (branchenbezogene Risikonormen)

Ursprünglich wurden Risiken vorwiegend im Zusammenhang mit Technischer Produktentwicklung und Sicherheitssystemen betrachtet. Später wurden aber sowohl im technischen Bereich (IT-Sicherheit) als auch im kaufmännischen Bereich/ Bankbereich Normen für integriertes Risikomanagement entwickelt, deren Aufbau starke Ähnlichkeit mit der ISO 9001 zeigen. Diese Normen enthalten auch das bei Managementsystemen übliche PDCA- Modell. Die wesentlichen Schritte sind: Identify the risks; Assess the risks; Identify and evaluate options for the tratement of risks.

Link zu einem interessantem Beitrag über www.qm-infocenter.de QZ Jahrgang 55 (2010) Heft 12 zum Thema: Sichere Anlagen weit vor Produktionsstart Autor: K.Ammon Plato AG Lübeck
Kurzinhalt: Methode Gefahrenanalyse. Bestehende Risiken bei Neuentwicklungen müssen erkannt und minimiert werden. Dies geschieht am besten bereits in den frühesten Phasen komplexer Produkt-/ Prozessentwicklungen. Die Risikobewertung erfolgt über FMEA-Formblätter. Die Risikoauswertung/-darstellung selbst erfolgt im 3x3 Risikokataster. Bestehende/ erkannte Risiken werden nach Wirksamkeit von Maßnahmen reduziert (im Risikokataster dargestellt).

Relevante Normenbezüge:

DIN EN ISO 14121 Legt das Verfahren für die Risikobeurteilung von Maschinen fest
DIN EN ISO 12100 Legt das Verfahren zur Risikominimierung durch technische Schutzmassnahmen fest
EG Maschinenrichtlinie 2006/42/EG Richtlinie für Gesundheits- und Sicherheitsanforderungen für neue Maschinen

Informationssicherheits- Mmangementsysteme (ISMS)

Historischer Ausgangspunkt

Britische Standard BS7799
Britische Standard BS7799-2:1999

ÖNORM ISO/IEC 17799:2000

British Standard BS 7799:

Historisches:
Der Code of Practice for Information Security Management (CoP) entstand aus dem gemeinsamen Bedürfnis von Industrie und Handel nach einem IT- Sicherheitsstandard. Aufbauend auf den Shell Baseline Security Controls wurde der Code of Practice unter der leitung des Department of Trade and Indutry (UK) mit Hilfe einer gruppe von führenden Organisationen erarbeitet und im September 1993 offiziell verabschiedet. Zwei Jahre später erhielt CoP den offiziellen Status eines Britischen Standards (BS 7799). Somit konnten sich Unternehmen auch danach zertifizieren lassen. [aus Scheiber, K. (Herausgeber): "Integration von Managementsystemen; ISO 9000 Die große Revision; Wegweiser zur Umsetzung von Normforderungen"; 1999; ÖVQ / ÖQS Wien Österreichische Vereinigung für Qualitätssicherung; Bezugsquelle DQS Deutsche Gesellschaft zur Zertifizierung von Managementsystemen mbH 60433 Frankfurt a. Main August Schanz Strasse 21; Informationssicherheitsmanagementsystem S. 127 ff.].

Der Aufbau des British Standard BS 7799 enthält (bereits) alle Elemente eines Risikomanagements:

Stufe 1	Sicherheits-Politik definieren
Stufe 2	Anwendungsbereich definieren
Stufe 3	Risiko- Analyse durchführen
Stufe 4	Erkannte Risiken managen
Stufe 5	Überwachungsmassnahmen festlegen/ umsetzen
Stufe 6	Zertifizierung

British Standard BS 7799-2:1999 bzw. 2002 Information security management systems- Spezification with guidance for use

Forderungen zu den Elementen
Eine Zuordnung zu den einzelnen Elementen der ISO 9001 erweist sich als schwierig. Diese Norm enthält auch das bei Managementsystemen übliche PDCA- Modell. Die wesentlichen Schritte sind: Identify the risks; Assess the risks; Identify and evaluate options for the tratement of risks

DIN Norm DIN ISO/IEC 17799:2000
Dieser BS wurde im Jahre 2000 von der Insternationalen Norm ISO/IEC 17799:2000 abgelöst.

ÖNORM ISO/IEC 17799:2000

Informationstechnologie- Leitfaden für das Management der Informationssicherheit

Die Bezeichnung dieser Internationalen Norm legt nahe, dass diese aus dem British Standard BS 7799 hervorgegangen ist.

ISMS Beauftragter: ISO 27001 / Informationssicherheits - Managementbeauftragter Link zu Wikipedia BS 7799 Link zum British StandardBS 7799

Link zu it process maps ITIL- Wissen ITIL das IT Process Wiki

Kaufmännisch/ finanzielles Unternehmensrisiko

AS/NZS 4360
ISO/DIS 31000

Besonders aktuell ist Risikomanagement im Unternehmens und Bankbereich 2009/ 2010 aufgrund der Weltwirtschafts- Finanz- und Wirtschaftskrise.

Googelt man nach "Risikomanagement", so findet man vorwiegend Beiträge zum Kaufmännisch/ finanzielles Unternehmensrisiko. Einen guten Überblick bietet hierzu die Homepage des österreichischen Normungsinstituts.

Oben ausgeführte Risikobetrachtungen fließen auch in die jweiligen Sicherheitsnormen für Kaufmännisch/ finanzielle Risiken ein.

Seit Basel II und Ratingpraxis mit Überprüfung der Kreditwürdigkeit sind Unternehmen angehalten, ein Risikomanagementsystem (RMS) einzuführen.

Eine erste umfassende Norm für Risikomangement wurde 1999 für Australien und Neuseeland geschaffen.

AS/NZS 4360 "Risk Management" Ein Nachteil dieser Norm ist, dass keine Integration zu bestehenden Managementsystem ein Unternehmen besteht.

ISO/DIS 31000: Risikomanagement für Organisationen und Systeme - Anforderungen an die Qualifikation des Risikomanagers.

COSO: Enterprise Risk Management System (USA)

HB 141: Risk financing guidelines (Australien)

HB 221:2004: Business Continuity Management (Australien)

HB 240-2004: Guidelines for managing risk in outsourcing utilizing the AS/NZS 4360:2004 process (Australien)

AS / NZS 4360:1996: bzw. NZS 4360:2004 - Risk Management System

österreichisches Normungsinstitut

Integriertes Risikomanagement

Erste Norm für Integriertes Risikomanagement. Eine neue österreichische Norm schafft die Verbindung von Qualitäts- und Risikomanagement. Naheliegenderweise ist diese Norm daher ähnlich aufgebaut wie die ISO 9001.

Das österreichische Normungsinstitut hat gemeinsam mit der Swiss Association for Quality 2004 folgende Normen geschaffen, welche im Aufbau eine deutliche Ähnlichkeit zur ISO 9001 mit bekannten Elementen zeigen wie Risiko-Politik, Beauftragter der obersten Leitung, Dokumentenlenkung, Managementbewertungen, Interne Audits, Kontinuierliche Verbesserungsansätze (PDCA-Zyklus), Balanced Scorecard usw. Die Integration in ein (bestehendes) Integriertes Managhementsystem (IMS) ist daher möglich. In der bekannten Prozesslandschaft mit der Unterteilung in Führungsprozesse, Kernprozesse und Unterstützungsprozesse muss nur das Element "Risikomanagement" den Führungsprozessen zugefügt werden. Vergleiche auch Integrierte Managementsysteme.

Österreichisches Normungsinstitut
ONR 49000	Risikomanagementsystem- Begriffe und Grundlagen
ONR 49001	Elemente des Risikomanagementsystems
ONR 49002-1	Leitfaden für Risikomanagement	Gefährdungsliste: Strategische Gefahren/ Risiken für Kunden und Produkte Gefahren/ Risiken für operative Prozesse Finanzielle Gefahren/ Risiken Gefahren/ Risiken für Management, Mitarbeiter, Knor-How
ONR 49002-2
ONR 49003	Anforderungen an die Qualifikation des Risikomanagers	Wert gelegt auf Methodenkompetenz; FTA; HAZOP

nach Stottrop, J.: Normen Riskomanagement QZ Jahrgang 50 (2005) Heft 9 S.34-35

www.risikomanagement-wissen.de

In Bereichen mit hohen Risiken (z.B. Luft- und Raumfahrt, Kernkrafttechnik, Kraftfahrzeugtechnik, Medizintechnik, IT-Technik usw.) existieren meist spezielle branchenspezifische Normen zum Risikomanagement. Überhaupt wurde z.B. in der Kerntechnik schon sehr frühzeitig eine Risikotheorie /ein systematisches Risikomanagement angewandt.

Ganz allgemein kommen aber bei Risikomanagementsystemen immer die bekannten, allgemeinen Methoden jedes Risikomanagements mit dem PDAC-Zyklus zur Anwendung.

Befasst man sich eingehender mit RM, erkennt man sehr bald gravierende Unterscheidungen hinsichtlich der unterschiedlichen Stoßrichtungen.

Je nach der Art der betrachteten Risiken werden (in der Literatur) auch unterschiedliche Strategien zur Risikovermeidung/ Risikosenkung bzw. dazugehörige Ansätze bzw. Risikomanagementmodelle empfohlen.

Moderne (Risiko-) Managementsysteme sind alle auf einen PDAC-Zyklus nach Deming (Plan-Do-Check-Act) aufgebaut. Trautzdem gibt es je nach Autoren bzw Risikonorm und Branchen voneinander abweichende Ansätze.

Im Falle potenzieller, die Unternehmensexistenz gefährdende katastrohpale Risiken werden Strategien empfohlen, in denen abgestuft nach der Höhe des Risikos unterschiedliche Strategien empfohlen werden.

Normen für Risikomanagement

ISO 31000 Allgemeine Norm für Risikomanagement
ISO 14971 Norm für Risikomanagement Medizinprodukte
BS 7799-1:1999 (deutsche Übersetzung) British Standard Management von Informationssicherheit Teil 1: Leitfaden zum Management von Informationssicherheit
BS 7799-2:2002 British Standard Information security management systems- specification with guidande for use
ONR 49001 Österr. Norm für Risikomanagement

Weitere Branchennormen aus der Automobilbranche, Militärtechnik, Luft- und Raumfahrt

Man kann grundsätzlich sagen, dass Branchen mit großen potenziellen Risiken (Luft und Raumfahrttechnik, Kraftwerkstechnik insbesondere die Kernkraftwerkstechnik) schon sehr früh begonnen haben, Risiken, insbesondere Großrisiken zu quantifizieren und zu bewerten. Risiko- /Sicherheits- und Zuverlässigkeitstheorieen wurden daher maßgeblich von diesen Branchen weiterentwickelt.

Link zu www.risikomanagement-wissen.de/ISO_31000.htm

Die Behandlung von Risiko, insbesondere als Großrisiko, hat in vielen Unternehmensbereichen und Gesellschaftsbereichen Eingang gefunden. Großrisiken müssen in irgend einer Form bewertbar gemacht werden. Abschätzung von Großrisiken wie Erdbeben, Atomkraftwerke, Leitungen usw. Darüberhinaus gibt es Unternehmen potenziell in ihrer Existenz gefährdende Großrisiken.

Parallel mit dem Produkthaftungsgesetzen und den daraus für Unternehmen resultierende wirtschaftliche Bedrohungen stellt sich ebenfalls die Risikobetrachtung.

Diese Normen fordern eine entsprechende Risikoorganisation mit einem Risikomanagement und einem Risikobeauftragten.

---------------------------------------------

Strategisches Risikomanagement für anlagenintensive Industriebetriebe oder Unternehmen
(z.B. auch Unternehmen der Energiebranche, Kernkraftwerke usw.)

Durchführung einer Risikoidentifikation

Am Beginn eines sinnvollen Risikomanagements steht daher immer zuertst eine Risikobeschreibung bzw. Risikoabgrenzung. Es gilt festzustellen, welche Art von Risiken überhaupt identifiziert, betrachtet bzw. bewertet werden und welche Risiken von der Betrachtung ausgeschlossen werden.

In der betrieblichen Praxis stellt sich die immer wieder gleiche Frage, wie man (möglichst vollständig) alle potenziellen Gefährdungen (Risiken) erfassen (identifizieren) kann. Hier sind Hilfestellungen gefragt wie z.B. Checklisten Normen usw.

Die Risikoidentifikation soll nicht nur die bereits bekannten Risiken erfassen (Schäden schon einmal aufgetreten oder gerade noch verhindert worden) sondern auch denkbare Schäden (Risiken) mit einschließen. Wie Hier bedarf es selbstverständnlich einer umfassenden Kenntnis der Anlagen, der betrieblichen Abläufe usw. Das gemeinsame Einbringen von Erfahrung mittels Kreativitätstechniken wie das Brainstorming ist hier sehr zu empfehlen (eine Gruppe kann bei solchen Fragestellungen in kürzester Zeit viel mehr Ergebnisse bringen als eine Einzelperson).

In der Praxis hat sich das Erstellen von Checklisten bewährt, mit deren Hilfe man vor Ort Anlagenbewertungen vornimmt. Die Checkliste kann folgende sicherheitsrelevanten Ereignisse beinhalten [Polster]:

Externe sicherheitsrelevante Ereignisse (Höhere Gewalt, Umwelt)

Erdbeben
Hochwasser, Überschwemmung der Anlage
Dammbruch
Muren, Lawinen
usw.

Allgemeine interne sicherheitsrelevante Ereignisse (Gefährdungspotenzial) in Anlagen

Brand
Explosion
Rohrleitungsbruch
Austritt gefährlicher Stoffe (Öl, Wasser, Dampf, Gas, Säuren usw.)
umherfliegende Teile
elektrische Kurzschlüsse, Störlichtbögen, Berührungsspannung usw.
Sonstige, sicherheitsrelevante Ereignisse mit potenzieller Personen- u. Umweltgefährdung
Gefährdungspotenzial durch menschliches Fehlverhalten

Spezielle interne sicherheitsrelevante Ereignisse (Gefährdungspotenzial) in Anlagen

Maschinenschaden, Produktionsaufall
Ausfall der Energieversorgung
Ausfall der Steuerungs- und Leittechnik
Ausfall der Notversorgung
Ausfall einzelner Anlagenkomponenten
usw.

Auch im Hinblick auf eine nachfolgende Bewertung ist es wichtig, die identifizierten technischen Risiken in sicherheitsrelevant (mögliche Personen- oder Umweltgefährdung) und betriebswirtschaftlich relevant zu unterscheiden.

Ereignisse mit potenzieller Gefährdung von Personen und der Umwelt
Ereignisse mit Funktionsstörung (z.B. Produktionsausfall, betriebswirtschaftlich relevantes Ereignis

Hinweis: Bei Produkten kann auch ein Funktionsausfall Sicherheitsrelevant sein.

Auf ein extrem schwieriges Gefährdungspotenzial soll noch besonders hingewiesen werden. Dies betrifft mögliches, menschliches Fehlverhalten. Dies ist extrem schwer in den Griff zu bekommen (Motivation, Schulungen usw.) GRUNDMANN verweist auf folgende Verfahren zur systematischen Analyse und Risikoidentifizierung menschlichen Fehlverhaltens:
Polster S.88

Technique of Human Error Rate Prediction (THERP)
Accident Sequence Evaluation Programm (ASEP)
Methof for Estimating Human Error Probabilities for Decision-Based-Errord (INTENT)
Human Error Assessment and Reduction Technique (HEART)

Natürlich können diese erkannten Gefährdungspotenziale in einer später noch zu besprechenden Methode bewertet werden. Die mögliche Gefährdung kann von einem rein betriebswirtschaftlichen Schaden bis zu Umweltschäden und Personenschäden gehen.

Wirtschaftlich- existenzbedrohende Risiken; Sicherheitsrisiken:
Untersucht man in (anlagenintensiven) Unternehmen, Kommunen (Gemeinden), Volkswirtschaften usw. mögliche Großrisiken hinsichtlich Eintrittswahrscheinlichkeiten und möglicher Auswirkungen. So können die Auswirkungen in Extremfällen sogar existenzbedrohend katastrophal sein. Dies gilt beispielsweise für einen SuperGAU in Kernkraftwerken, Erdbeben, Bruch von Staumauern, Flugzeugabstürzen u.a.m. Die dabei auftretende Bedrohung ist elementar, katastrophal, häufig weder von der Eintrittswahrscheinlichkeit als auch von den katastrophalen Auswirken nur annähernd fassbar und beschreibbar. Trotzdem gibt es auch für diese Bereiche den Versuch, für solch elementare Ereignisse und deren Risiko Abschätzungen und Bewertungen vorzunehmen.

Von Unternehmen verursachte Umweltschäden können hinsichtlich der monetären Auswirkungen auch große Unternehmen existenziell bedrohen. In Erinnerung sind noch Tankerunfälle oder havarierte Ölplattformen mit gigantischen Umweltauswirkungen und den entsprechenden Schadensersatzforderungen an die betroffenen Firmen.

Allgemeine Ansätze und Vorgehensmodelle des Risikomanagements bei anlagenintensiven Industrien

(hohe Gefahren von Maschinenschäden, Produktionsausfällen, Umweltauswirkungen ua.m.; in der Energiebranche z.B. Kraftwerke und Kraftwerksanlagen, Atomkraftwerke) erfordern aufgrund eines möglichen (extrem) hohen Schadensausmaßes ein besonderes Vorgehen.

HOFFMANN [] empfiehlt folgendes Vorgehen:

Risikopolitik: strategischer Umgang mit Risiken, Implementierung eines institutionalisierten Risikomanagementsystems mit einer systematischen Erfassung und Bewertung (aller) der Risiken
Risikoanalyse: Identifikation aller wesentlichen Gefährdungen (Risiken) sowie deren Ursachen; Bewertung hinsichtlich Eintrittswahrscheinlichkeit und Folgen
Bisikobewältigung: Für die erkannten Risiken Strategien zu deren Bewältigung zu entwickeln. Risikovermeidung, Gegen Risiken, die nicht vermeidbar sind, kann ich mich gegebenenfalls durch geeigneten Versicherungsschutz schützen

Risikobewältigung/ Handlungsalternativen:
Aufgrund der potenziell teilweise existenzgefährdenden Auswirkungen sind seitens der Unternehmensleitung Sinnvolle Strategieen zur Absicherung gegen (erkannte) Großrisiken festzulegen (wie z.B. Risikovermeidung, Risikostreuung, Risikobegrenzung, Risikoabwälzung durch Versicherungen usw.). Eine Differenzierung dieser Strategien innerhalb der einzelnen Unternehmensbereiche (Geschäftsfelder) ist u.U. erforderlich.

Extern induzierte Risiken sind vom Unternehmen nur schwer beeinflussbar. Solchen Risiken kann man durch geeignete Strategien wie Früherkennung möglicher Risiken, Risikobegrenzung durch Frühaufklärung oder Risikoabwälzung durch Verträge auf Geschäftspartner. Strategisches Ziel ist dabei eine breite Risikostreuung z.B. durch unterschiedliche Kundengruppen, Lieferverträge, usw. Eine weitere strategische Maßnahme ist die Schaffung eines unternehmensweiten Risikobewußtseins (Unternehmenskultur).

Für die Behandlung von unternehmensgefährdenden Großrisiken läßt sich der aus vier Phasen bestende RM- managementprozess nach HOFFMANN (Hoffmann, K.: "Risik -Management: neue Wege der betrieblichen Risikopolitik", karlsruhe, Versicherungswirtschaft, 1985) ableiten.

Die vier Phasen des Risikomanagements nach HOFFMANN

Risikoanalyse
Prüfen der Handlungsalternativen
Gestaltung der Risikopolitik
Durchführung und KOntrolle der Sicherungsmaßnahmen

(Hoffmann, K.:"Risik-Management: Neue Wege der betrieblichen Risikopolitik", Karlsruhe, Versicherungswirtschaft, 1985 zitiert bei Schmitt

Phase 1: Risikoanalyse
Phase 2: Prüfen der Handlungsalternativen
Phase 3: gestaltung der Risikopolitik
Phase 4: Durchführung und Kontrolle der Sicherungsmaßnahmen

In der ersten Phase der Risikoanalyse werden die bestehenden Risiken erfasst und bewertet. Es erfolgt die Einteilung der Risiken in existenzgefährdende Großrisiken, mittlere Riskken und Kleinrisiken. In der zweiten Phase der Prüfung der Handlungsalternativen wird geprüft, welche Strategie zur Anwendung kommen sollen. Es gilt zu entscheiden ob Risiken eher vermieden, begrenzt, aufgeteilt versichert oder aus dem Unternehmen getragen werden sollen. Aus diesen Entscheidungen leitet sich dann die Risikopolitik des Unternehmens (Phase 3) ab. In der vierten Phasen kommen die eingeleiteten Maßnahmen zur Durchführung und unterliegen einem Controling.