ISO 9001:2015 UND
Prof. Dr. Bruno Brühwiler,
Präsident Netzwerk Risikomanagement
ISO 9001:2015 UNDRISIKOMANAGEMENT
Wesentliche Änderungen
Anwendung der High Level Structure Anwendung der High Level Structure
10 Kapitel
Verstärkte Anforderungen an die oberste Leitung
Risiko-basiertes Denken
Berücksichtigung des Kontextes der Organisation
Berücksichtigung von Kunden und interessierten Berücksichtigung von Kunden und interessiertenParteien
Gliederung in 10 Kapitel
1. Anwendungsbereich
2. Normative Verweisungen2. Normative Verweisungen
3. Begriffe
4. Kontext der Organisation
5. Führung
6. Planung für das QMS
7. Unterstützung7. Unterstützung
8. Betrieb
9. Bewertung der Leistung
10. Verbesserung
Risikobasiertes Denken
Risiko=Auswirkung von Unsicherheit auf einerwartetes Ergebniserwartetes Ergebnis
Die vorliegende Norm bringt das risikobasierte Denken nochdeutlicher zum Ausdruck und bindet es in die Anforderungenan die Einführung, Verwirklichung, Aufrechterhaltung undfortlaufende Verbesserung des QMS ein.
Organisationen könne sich für einen umfangreicherenOrganisationen könne sich für einen umfangreicherenrisikobasierten Ansatz als in der vorliegenden Normentscheiden. ISO 31000 enthält Leitlinien zum formellen (?)Risikomanagement, das in bestimmten Kontexten vonOrganisationen geeignet sein kann.
15.06.2015 Seite 4
ISO 9001:20156. Planung für das Qualitätsmanagementsystem
6.1. Maßnahmen zum Umgang mit Risiken und Chancen
6.1.1 Bei Planungen für das QMS muss die Organisation die in 4.1genannten Themen und die in 4.2. genanntenAnforderungen berücksichtigen sowie die Risiken undChancen bestimmen, die betrachtet werden müssen, uma. Sicherzustellen, dass das QMS seine beabsichtigten Ergebnisse
erzielen kann
b. Unerwünschte Auswirkungen zu verhindern oder zu verringernb. Unerwünschte Auswirkungen zu verhindern oder zu verringern
c. Fortlaufende Verbesserungen zu erreichen.
6.1.2 Die Organisation muss planen:a. Maßnahmen zum Umgang mit Risiken und Chancen
ISO 9001:2015
…..in 4.1 genannten Themen…..in 4.1 genannten Themen
4.1 Verstehen der Organisation und Ihres Kontextes
Externe und interne Themen bestimmen, die für ihren Zweck,ihre strategische Ausrichtung relevant sind mit Auswirkung aufdie beabsichtigen Ergebnisse ihresQualitätsmanagementsystems Externe Faktoren, z.B. gesetzliche, technische, wettbewerbliche,
marktübliche, kulturelle, soziale und wirtschaftliche Zusammenhänge
Interne Faktoren, z.B. Themen, die sich auf Werte, Kulturwissen undLeistung der Organisation beziehen
ISO 9001:2015
…..in 4.2 genannten Anforderungen…..in 4.2 genannten Anforderungen
4.2 Verstehen der Erfordernisse und Erwartungen interessierterParteien
Ziel: Bereitstellung von Produkten/Dienstleistungen, die dieAnforderungen der Kunden, gesetzliche und behördlicheAnforderungen erfüllen…Anforderungen erfüllen…
Bestimmung von Interessierten Parteien, die für das QMS relevant sind
Anforderungen dieser interessierten Parteien, die für das QMS relevantsind
Bemerkungen aus Sicht des RM
Risiko-orientiertes Denken – was heisst das? Risiko-orientiertes Denken – was heisst das?
Worauf bezieht sich das Risikomanagement?
Wie gelangt man zu Massnahmen imRisikomanagement?
ISO 31000 liefert Leitlinien zum ISO 31000 liefert Leitlinien zumRisikomanagement?
Start
Rahmenbedingungen
Risiken identifizieren
Kom
munik
ation
/K
onsultation
Ris
iken
überw
achen
/überp
rüfe
n
Tragbar ?
Ja
nein
Risiken identifizieren
Risiken analysieren
Risiken bewerten
Kom
munik
ation
/K
onsultation
Ris
iken
überw
achen
/überp
rüfe
n
Ende
nein
Risiken bewältigen
Kom
munik
ation
/K
onsultation
Ris
iken
überw
achen
/überp
rüfe
n
15.06.2015Seite 12
Wahrscheinlichkeit und Auswirkung(Risikokriterien) definieren
häufighäufig
möglich
selten
sehr selten
unwahr-unwahr-scheinlich
15.06.2015Seite 13
Auswirkungen von Risiken
Stufe Allgemein Menschen Ansehen Zeit FinanzenStufe Allgemein Menschen Ansehen Zeit Finanzen
UnbedeutendKunden-zufrieden-heit,Leistungs-Fähigkeit
Integrität ,Gesundheit,Leib undLeben
ReputationImage ,Werte
Zeitver-zögerungeinesProjektes
Umsatz,Kosten,Gewinn,Eigenmittel
Gering
Spürbar
Kritisch
katastrophal
15.06.2015 Seite 14
Risikokriterien: Bezugspunkte, zu welchen die Bedeutung einesRisikos für die Organisation oder für das System bewertet wird.
Definition „Szenario“Szenario / Risikoszenario
konkrete und bildhafte Darstellung eines Risikos mit Darstellung von Ursachen undAbfolgen von Ereignissen oder Entwicklungen. Das Risikoszenario zeigt auf, wie sichAbfolgen von Ereignissen oder Entwicklungen. Das Risikoszenario zeigt auf, wie sichChancen bzw. Bedrohungen/ Gefahren in einer Organisation oder in einem Systemverwirklichen können.
Ein Szenario hat eine oder mehrere Ursachen und beinhaltet verschiedene Auswirkungenauf die Ziele einer Organisation, ihre Tätigkeiten und Anforderungen oder auf dasFunktionieren eines Systems.
Im Risikomanagement wird das Szenario oft als schlimmst möglicher, aber dennochglaubwürdiger Fall (credible worst case) dargestellt, weil eine solche Extremsituationdie Führungskräfte und die Organisation besonders schwer treffen kann.
15.06.2015 Seite 15
die Führungskräfte und die Organisation besonders schwer treffen kann.
Ein Szenario ist glaubwürdig, wenn es in der menschlichen Erfahrung, imErfahrungsbereich von Führungskräften oder von Risikoexperten auch schonvorgekommen ist und ein erneutes Eintreten nicht ausgeschlossen werden kann.
Zudem gibt es Szenarien, die gemäß Expertenwissen für möglich gehalten werdenund begründet sind, auch wenn sie noch nie eingetroffen sind.
Wahrscheinlichkeit / Häufigkeit
häufig z.B. einmal pro Jahr / 100 % / 1,0
möglich z.B. einmal in 3 Jahren / 30 % / 0,3 möglich z.B. einmal in 3 Jahren / 30 % / 0,3
selten z.B. einmal in 10 Jahren / 10 % / 0,1
sehr selten z.B. einmal in 30 Jahren / 3 % / 0,03
unwahrscheinlich z.B. einmal in 100 Jahren / 1 % / 0,01
häufig z.B. einmal pro Woche
möglich z.B. einmal pro Monatmöglich z.B. einmal pro Monat
selten z.B. einmal pro Quartal
sehr selten z.B. einmal pro Jahr
unwahrscheinlich z.B. einmal in 3 Jahren
15.06.2015Seite 16
Top-down- undBottom-up-Ansatz
Top-down-Ansatz:Top-down-Ansatz:Vorgehensweise bei der Risikobeurteilung, bei der die
Gesamtheit der Organisation oder des Systems Gegenstandder Risikoidentifikation und der Risikoanalyse sind.
Bottom-up-Ansatz:Vorgehensweise bei der Risikobeurteilung, bei der die Design-Vorgehensweise bei der Risikobeurteilung, bei der die Design-
und Prozess-spezifischen Einzelteile einer Organisation odereines Systems Gegenstand der Risikoidentifikation und derRisikoanalyse sind.
15.06.2015 Seite 17
Verpflichtung derobersten Leitung
StrategischesManagement
OperativesManagement
Leistungs-Prozesse
15.06.2015Seite 18
Risikokriterien für verschiedeneAnwendungen
Die Risiken im Internen Kontrollsystem sind in der Regel „highDie Risiken im Internen Kontrollsystem sind in der Regel „highfrequency“ und „low severity“, im Gegensatz zu vielenstrategischen und operationellen Risiken, die oft „lowfrequency“ und „high severity“ sind.
Störungen des operationellen Ablaufs gehören nicht insRisikomanagement, sondern ins Tagesgeschäft und insQualitätsmanagement.Qualitätsmanagement.
15.06.2015 Seite 19
Schnittstellen im Risikomanagement
Business
Riskmanagement
InternalControl
mangement
Compliance
management
Safety
Emergency
and Crisis
management
Quality
management
Business
Continuity
management
Project risk
IT-Security
management
Safety
management
Project risk
management
Schnittstelle Risikomanagementund Internes Kontrollsystem
1/1
00
1/3
01/1
01/3
1/1
3/1
12/1
52/1
Hä
ufig
ke
it1/1
00
1/3
01/1
01/3
1/1
3/1
12/1
52/1
Ein
tritts
wa
hrs
ch
ein
lich
ke
it/
Hä
ufig
ke
it
15.06.2015 Seite 21
1/1
00
1/3
01/1
01/3
1/1
3/1
12/1
52/1
Ein
tritts
wa
hrs
ch
ein
lich
ke
it
Auswirkungen (in Mio. CHF)1 3 10 30 100 300 1000 >1000
Schnittstelle Risikomanagementund IKS
1/1
00
1/3
01/1
01/3
1/1
3/1
12/1
52/1
Hä
ufig
ke
itIKS-
RisikenKaum
1/1
00
1/3
01/1
01/3
1/1
3/1
12/1
52/1
Ein
tritts
wa
hrs
ch
ein
lich
ke
it/
Hä
ufig
ke
it
Risiken(high frequency
low severity)Unter-
nehmensRisiken
möglich
Wenig
15.06.2015 Seite 22
1/1
00
1/3
01/1
01/3
1/1
3/1
12/1
52/1
Ein
tritts
wa
hrs
ch
ein
lich
ke
it
Auswirkungen (in T€ / in Mio. €)1 3 10 30 100 300 1000 >1000
(low frequency,
high severity)
Weniginteressant
Kontrollen im IKS
Die Maßnahmen im IKS sind vor allem Kontrollen.Die Maßnahmen im IKS sind vor allem Kontrollen.Es können folgende sein:
manuelle Kontrollen, einmalig, wiederholend, Stichproben,
Schlüsselkontrollen (wo die Risiken am größten sind),
automatisierte, laufende Kontrollen (IT-unterstützt),
Vier-Augen-Prinzip im Prozess eingebaut,
Kompetenz-Abstufungen (limitierte Beträge bei Zahlungen)
Eskalation bei Unregelmäßigkeiten oder außergewöhnlichenGeschäftsvorfällen.
15.06.2015 Seite 23
Schnittstelle Risikomanagementund Qualitätsmanagement
1/1
00
1/3
01/1
01/3
1/1
3/1
12/1
52/1
Hä
ufig
ke
it QS undStörungen
Kaummöglich
1/1
00
1/3
01/1
01/3
1/1
3/1
12/1
52/1
Ein
tritts
wa
hrs
ch
ein
lich
ke
it/
Hä
ufig
ke
itStörungen
Tagesgeschäft(high frequency
low severity)
Unter-nehmensRisiken
(low frequency,
möglich
Wenig
15.06.2015 Seite 24
1/1
00
1/3
01/1
01/3
1/1
3/1
12/1
52/1
Ein
tritts
wa
hrs
ch
ein
lich
ke
it
Auswirkungen (in T€ / in Mio. €)1 3 10 30 100 300 1000 >1000
(low frequency,
high severity)
Weniginteressant
Die Risikominderung dient der operationellenSicherheit bzw. der Unternehmensentwicklung
Operationelle, in der Auswirkung begrenzte Störungen gehören Operationelle, in der Auswirkung begrenzte Störungen gehörenzum Tagesgeschäfts bzw. zum Qualitätsmanagement.
Risiken mit schweren Auswirkungen (credible worst case)fliessen ins Risikomanagement ein.
Die Rechtfertigung von Risikomanagement liegt in denMassnahmen der Risikominderung oder derRisikoüberwachung.Risikoüberwachung.
Massnahmen müssen konkret und überprüfbar sein (Inhalt,Verantwortung, Termin für das Risikocontrolling).
15.06.2015 Seite 25
Zusammenfassung
ISO 9001 verlangt einen Risiko-basierten Ansatz, auch ISO 9001 verlangt einen Risiko-basierten Ansatz, auchMassnahmen, aber keine Systematik zum Risikomanagement
Darin liegt nun eine grosse Versuchung, „aus dem Standheraus“ auch noch ein bisschen Risikomanagement zumachen.
Ohne eine vertiefte Ausbildung, die u.a. auch das sinnvolleZusammenspiel zwischen Risiko- und QualitätsmanagementZusammenspiel zwischen Risiko- und Qualitätsmanagementaufzeigt, wird hier viel Unsinn entstehen, der zu unnötigenPapierübungen führen dürfte, denen die Wertschöpfung fehlt.