-- WEBONDISK OK --

05307 Risiken und Chancen – HLS-Vorgabe und Normumsetzungen

Die Ermittlung von Risiken und Chancen für „beabsichtigte Ergebnisse” von Managementsystemen ist eine der wesentlichen Änderungen der neuen Normen, die auf der sogenannten High Level Structure (HLS) basieren. Was dies konkret bedeutet und welche Unterschiede bei den verschiedenen Disziplinen zu beachten sind, wird in diesem Beitrag anhand der Normen ISO 9001:2015 (QM), ISO 14001:2015 (UM), ISO 45001:2018 (SGA = Sicherheit und Gesundheit bei der Arbeit) und ISO 50001:2018 (EnM) im Detail vorgestellt. Wie man im abschließenden Vergleich sehen kann, sind die Unterschiede zum Teil beachtlich.
Arbeitshilfen:
von:

1 Einführung

Die Ermittlung von Risiken und Chancen für „beabsichtigte Ergebnisse” von Managementsystemen ist eine der wesentlichen Änderungen der neuen Normen, die auf der sogenannten High Level Structure (HLS) basieren.
Risikobasiertes Denken
Im Gegensatz zum Risikomanagementleitfaden ISO 31000 sprechen die neuen Normen lediglich von risikobasiertem Denken. Eine feinsinnige Differenzierung in Risikoidentifizierung, Risikoanalyse und Risikobewertung entfällt. Mit Ausnahme der Bewertung von SGA-Risiken (also Risiken im Rahmen einer Gefährdungsbeurteilung am Arbeitsplatz und anderen Risiken für das SGA-Managementsystem) fordert keine der hier behandelten Normen Bewertungskriterien oder eine Bewertung.
Fokus auf Maßnahmen
Vielmehr springen alle Normen direkt zu den Maßnahmen (… Risiken und Chancen bestimmen, die behandelt werden müssen.). Schon der Titel unter Abschnitt 6.1 legt den Schwerpunkt auf „Maßnahmen zum Umgang” mit Risiken und Chancen (Actions to address risks and opportunities). Aber auch, wenn keine Bewertung explizit gefordert ist, so ist es unvorstellbar, dass Maßnahmen ohne irgendeine Bewertung der Risiken und Chancen ergriffen werden, und sei es nur „akzeptabel/nicht akzeptabel.”
Kontext der Organisation
Eng verknüpft mit der Bestimmung von Risiken und Chancen ist ein weiterer neuer Abschnitt der Normen: „Kontext der Organisation (4.1)”. Hierbei geht es um das Umfeld, in dem die Organisation tätig ist und in dem sie versucht, die beabsichtigten Ergebnisse zu erreichen. Die Normen haben unter diesem Abschnitt folgende Themen zusammengefasst:
4.1 Verstehen der Organisation und ihres Kontexts
4.2 Verstehen der Erfordernisse und Erwartungen interessierter Parteien
4.3 Festlegen des Anwendungsbereichs des jeweiligen Managementsystems
4.4 Aufbau und Aufrechterhaltung des jeweiligen Managementsystems und seiner Prozesse
Die HLS-Vorgabe nimmt nun expressis verbis auf die beiden ersten Normpunkte Bezug (6.1):
„Bei Planungen für das xxxMS muss die Organisation die in 4.1 genannten Themen und die in 4.2 genannten Anforderungen berücksichtigen sowie die Risiken und Chancen bestimmen, die behandelt werden müssen, um…” (Deutsche Übersetzung des Autors in Anlehnung an ISO 9001:2015).
Risiken und Chancen bestimmen
Bei der Planung des MS müssen also die Ergebnisse aus der „Umfeldanalyse” berücksichtigt werden. Dazu gehört auch, dass Risiken und Chancen bestimmt werden. Berücksichtigen bedeutet, dass Überlegungen notwendig, Ausschlüsse aber erlaubt sind (s. Erläuterungen in den Anhängen der Normen ISO 14001, ISO 45001 und ISO 50001 zu den Begriffen „berücksichtigen” (consider) und „Rechnung tragen” (take into account)). Das heißt, Risiken und Chancen müssen nicht in Verbindung mit jedem Thema (4.1) und jeder Anforderung (4.2) bestimmt werden. Man kann dies tun, aber auch andere Lösungen sind möglich. (Beachte: ISO 14001 hat diesbezüglich andere Formulierungen.)
Nach der Identifizierung der Risiken und Chancen müssen Maßnahmen zu ihrer Steuerung geplant werden:
„Die Organisation muss planen:
a)
Maßnahmen zum Umgang mit diesen Risiken und Chancen;
b)
wie
1.
die Maßnahmen in die xxx-Prozesse integriert und umgesetzt werden;
2.
die Wirksamkeit dieser Maßnahmen bewertet wird.”
(Deutsche Übersetzung des Autors in Anlehnung an ISO 90012015).
Die betrachteten Normen nehmen die „Steuerung” von Risiken und Chancen an verschiedenen Stellen wieder auf, insbesondere unter „Betriebliche Planung und Steuerung” (Ausnahme: ISO 50001) sowie der Managementbewertung. Abbildung 1 veranschaulicht die hier dargestellten Zusammenhänge des risikobasierten Ansatzes.
Abb. 1: Zusammenhänge beim risikobasierten Ansatz am Beispiel der ISO 9001:2015

2 Was sind Risiken und Chancen?

Unter „Risiko” wird in allen Normen (inkl. HLS) die „Auswirkung von Ungewissheit” (effect of uncertainty) verstanden (z. B. ISO 9000:2015 Nr. 3.7.9). Dabei ist „Auswirkung” eine Abweichung vom Erwarteten – in positiver oder negativer Hinsicht. Unter „Ungewissheit” versteht man den Zustand des auch teilweisen Fehlens von Informationen im Hinblick auf das Verständnis eines Ereignisses oder von Wissen über ein Ereignis, seine Folgen oder seine Wahrscheinlichkeit. Eine Definition von Chancen gibt es in der HLS-Vorgabe nicht und nur vereinzelt in den anderen Normen.
Risikobegriff passt zu Volatilität
Schaut man sich die Risikodefinition an, so ist die Chance als positive Erwartungsabweichung im Risikobegriff enthalten. Dieses Verständnis von Risiko ist z. B. in der Finanzbranche üblich und wird dort als Volatilität bezeichnet. Eine positive Abweichung vom aktuellen Wert bietet Gewinnchancen, eine negative kann zu Verlusten führen. In der Praxis sehr bedeutsam sind die impliziten Volatilitäten – also die erwarteten Schwankungsbreiten, z. B. auf den amerikanischen S&P 500 (sog. VIX-Index) oder auf den deutschen Leitindex DAX (sog. VDAX-NEW). Der VDAX-NEW ist ein von der Deutschen Börse AG berechneter und veröffentlichter Volatilitätsindex. Er misst die implizite Volatilität für den DAX für den Zeitraum der nächsten 30 Tage und wird in annualisierter Form notiert.
Der Berechnung liegen die an der Terminbörse EUREX gehandelten At-the-money- und Out-of-the-money-DAX-Optionen zugrunde. Ein hoher VDAX-NEW-Wert weist auf einen unruhigen Markt hin, niedrige Werte lassen eine Entwicklung ohne starke Kursschwankungen erwarten. Der VDAX-NEW wird daher auch als „Angstbarometer” bezeichnet. Über die Richtung der Änderung, also steigende oder sinkende Kurse, gibt er grundsätzlich keinen Aufschluss, allerdings sind in schwierigen Marktphasen historische Höchststände erreicht worden. Den bislang höchsten Tagesschlusskurs erzielte der VDAX-NEW mit einem Indexstand von 83,23 Punkten auf dem Höhepunkt der Finanzkrise am 16. Oktober 2008 (Auszug Wikipedia vom 14.09.2018, ein Berechnungsbeispiel für die Schwankungsbreite findet sich auf der Webseite).
Aber Vorsicht:
Dass die Volatilität nicht immer als Risikomaß geeignet ist, zeigt sich spätestens bei einer 5 %-Festgeldanlage von über 100.000 EUR bei einer maroden Bank. Es gibt keinerlei Schwankungen im Zinssatz, aber die Anlage ist nicht risikolos.
An diesem einfachen Beispiel zeigt sich, dass die in den Normen benutze theoretische Risikodefinition nicht immer praxistauglich ist. In den meisten realen Fällen wird der Begriff Risiko mit negativen Folgen (Schäden, Verlusten) assoziiert. Steigt man tiefer in die verschiedenen Normen ein, so finden sich weitere Definitionen, die dem üblichen Verständnis von Risiken und Chancen näherkommen:
Risiken und Chancen (ISO 14001:2015 Nr. 3.2.11)potenziell ungünstige Auswirkungen (Bedrohungen) und potenziell günstige Auswirkungen (Chancen) [3]
SGA-Chancen (ISO 45001:2018 Nr. 3.22)Umstand oder Reihe von Umständen, die zur Verbesserung der SGA-Leistung führen können [5]
Interessanterweise fokussiert die Definition in der ISO 45001 auf die Umstände und weniger auf die damit verbundene Auswirkung. Es gibt aber einen Zusammenhang, denn Risiken und Chancen sind mögliche Auswirkungen bestimmter Umstände. Oft führen bestimmte Umstände zu einem Ereignis, dessen Folgen die „beabsichtigten Ergebnisse” betreffen. Daher wird folgende Definition vorgeschlagen:
Chance: Mögliche Folgen von Umständen, die sich günstig auf das Erreichen der beabsichtigten Ergebnisse auswirken.
Eine gängige Methode zur Ermittlung von Risiken und Chancen besteht daher darin, Wenn-dann-Szenarien zu bilden (sog. structered what if technique (SWIFT), z. B.:

Weiterlesen und „Praxis Energiemanagement digital“ 4 Wochen gratis testen:

  • Das komplette Know-how in Sachen Energiemanagement und Energieeffizienz
  • Zugriff auf über 150 Fachbeiträge und 80 Arbeitshilfen
  • Onlinezugriff – überall verfügbar


Sie haben schon ein Abonnement oder testen bereits? Hier anmelden

Ihre Anfrage wird bearbeitet.
AuthError LoginModal