12605 Chancen nutzen, Risiken überwachen – Strategien und Lösungen für integrierte Managementsysteme
|
Das Thema Risiko und Chancen ist enorm wichtig für den Erfolg einer Organisation. Alle aktuellen Managementsystemnormen fordern daher Maßnahmen zum Umgang mit Risiken und Chancen.
Welche Anforderungen dies konkret sind und wie Sie diese im Rahmen eines Integrierten oder eines einzelnen Managementsystems umsetzen können, zeigt dieser Beitrag. Er erläutert, welche Zusammenhänge dabei bestehen mit dem Kontext der Organisation, den Erwartungen interessierter Parteien (Stakeholder) und den Prozessen der Organisation. Er beschreibt, welche Verbindungen zu rechtlichen Anforderungen bezüglich des Risikomanagements bestehen und welche Relevanz das Thema für die oberste Leitung einer Organisation haben sollte. Gleichzeitig zeigt er, welche Freiräume Sie im Umgang mit Risiken und Chancen haben, um normkonforme Lösungen zu finden, die gleichzeitig den Bedürfnissen Ihrer Organisation entsprechen.
Neben dem modifiziert der Beitrag die Risikoverfahren nach Nohl sowie die Fehler-Möglichkeits-Analyse (FMEA), damit sie für die normative Risiko- und Chancenbewertung genutzt werden können, unterstützt durch zwei umfangreiche Rechen-Tools zur eigenen Risiko- und Chancenbewertung. Arbeitshilfen: von: |
Motivation
Risiken gehören zum Alltag für Menschen und Organisationen. Wir versuchen durch vorsichtiges und vorausschauendes Verhalten Gefahren aus dem Weg zu gehen. Dies tun wir meist unbewusst und reflexartig auf der Grundlage von Erfahrungen aus der Vergangenheit, häufig aber auch auf der Basis einer bewussten Planung.
Risiken gehören zum Alltag für Menschen und Organisationen. Wir versuchen durch vorsichtiges und vorausschauendes Verhalten Gefahren aus dem Weg zu gehen. Dies tun wir meist unbewusst und reflexartig auf der Grundlage von Erfahrungen aus der Vergangenheit, häufig aber auch auf der Basis einer bewussten Planung.
Risiko und Chance im Managementsystem
Aus der Technik sind methodische Ansätze zur Risikoidentifikation und Risikovermeidung nicht mehr wegzudenken, sei es für den Betrieb einer Chemieanlage oder die Sicherheit eines Flugzeugs. Die Literatur zum Thema Risikomanagement könnte heute Bibliotheken füllen. Das Thema scheint für uns enorm wichtig zu sein, aber was hat das Ganze mit Managementsystemen zu tun? Die Antwort findet sich bereits in der Qualitätsnorm ISO 9001:2015. Das Erreichen oder Übertreffen eines geplanten Ergebnisses, sei es ein Produkt oder eine Dienstleistung, erfüllt das Kriterium der Qualität. Gelingt es uns nicht, das geplante Ergebnis zu erreichen, haben wir ein realisiertes Risiko, bei einem Produkt sprechen wir dann von Ausschuss oder Nacharbeit. Übertreffen wir das geplante Ergebnis, haben wir eine realisierte Chance. Auf ein Produkt bezogen hieße das, es ist besser als geplant, und wir haben einen Wettbewerbsvorteil auf dem Markt.
Aus der Technik sind methodische Ansätze zur Risikoidentifikation und Risikovermeidung nicht mehr wegzudenken, sei es für den Betrieb einer Chemieanlage oder die Sicherheit eines Flugzeugs. Die Literatur zum Thema Risikomanagement könnte heute Bibliotheken füllen. Das Thema scheint für uns enorm wichtig zu sein, aber was hat das Ganze mit Managementsystemen zu tun? Die Antwort findet sich bereits in der Qualitätsnorm ISO 9001:2015. Das Erreichen oder Übertreffen eines geplanten Ergebnisses, sei es ein Produkt oder eine Dienstleistung, erfüllt das Kriterium der Qualität. Gelingt es uns nicht, das geplante Ergebnis zu erreichen, haben wir ein realisiertes Risiko, bei einem Produkt sprechen wir dann von Ausschuss oder Nacharbeit. Übertreffen wir das geplante Ergebnis, haben wir eine realisierte Chance. Auf ein Produkt bezogen hieße das, es ist besser als geplant, und wir haben einen Wettbewerbsvorteil auf dem Markt.
Normforderung
Weil das Thema Risiko und Chancen so wichtig für den Erfolg einer Organisation ist, ist in die zertifizierbaren ISO-Normen, allen voran die ISO 9001, ein Forderungskapitel zum Umgang mit Risiken und Chancen aufgenommen worden. Seitdem müssen sich Anwender in ihrem jeweils spezifischen Managementsystem mit diesem Thema auseinandersetzen.
Weil das Thema Risiko und Chancen so wichtig für den Erfolg einer Organisation ist, ist in die zertifizierbaren ISO-Normen, allen voran die ISO 9001, ein Forderungskapitel zum Umgang mit Risiken und Chancen aufgenommen worden. Seitdem müssen sich Anwender in ihrem jeweils spezifischen Managementsystem mit diesem Thema auseinandersetzen.
In diesem Beitrag erfahren Sie, welche Forderungen aufgrund der Normkapitel 6.1 „Maßnahmen zum Umgang mit Risiken und Chancen” der ISO-Normen 9001, 14001, 45001 und 50001 für die Organisationen bestehen. Wir erläutern Ihnen, welche Zusammenhänge es dabei mit dem Kontext der Organisation, den Erwartungen interessierter Parteien (Stakeholder) und den Prozessen der Organisation gibt, und wir zeigen ihnen, welche Verbindungen zu rechtlichen Anforderungen bezüglich des Risikomanagements es gibt.
Ermittlung und Bewertung in der Praxis
Außerdem erhalten Sie Hinweise, in welchen Schritten und mit welchen Methoden Sie die Ermittlung und Bewertung von Risiken und Chancen in der Praxis gestalten können und welche Freiräume Sie haben, um den Umgang mit Risiken und Chancen normativ korrekt und den Bedürfnissen Ihrer Organisation entsprechend umzusetzen.
Außerdem erhalten Sie Hinweise, in welchen Schritten und mit welchen Methoden Sie die Ermittlung und Bewertung von Risiken und Chancen in der Praxis gestalten können und welche Freiräume Sie haben, um den Umgang mit Risiken und Chancen normativ korrekt und den Bedürfnissen Ihrer Organisation entsprechend umzusetzen.
Sie erfahren, dass eine ursächliche Verbindung zwischen dem Thema Risiken und Chancen und den Normenforderungen der Normkapitel 4.1 „Verstehen der Organisation” sowie 4.2 „Verstehen der Erfordernisse und Erwartungen interessierter Parteien” besteht und wie sich die methodischen Ansätze zur Erfüllung aller drei Normenpunkte mittels Matrixverfahren miteinander verbinden lassen.
Wir zeigen Ihnen auch, warum das Thema Risiken und Chancen in der Organisation ein Thema für die oberste Leitung sind und warum dies wesentlich zur Absicherung des Unternehmenserfolgs beiträgt.
Zudem stellen wir Ihnen mit der Risikomatrix nach Nohl und der Fehler-Möglichkeit-Einfluss-Analyse (FMEA) zwei methodische Ansätze vor, wie Sie eine Risikoerfassung mit einer Risikobewertung und der Risikobehandlung verbinden können.
Dabei unterstützen Sie Arbeitshilfen und Beispiele, um die Bedeutung (Kritikalität) des Kontexts und der Stakeholder für eine Organisation zu ermitteln. Auf diesen Informationen können Sie dann aufbauen und die Risiko- und Chancenbewertung mittels der Nohl-Matrix oder des FMEA-Verfahrens durchführen.
1.1 Allgemeines
Erfolg oder Desaster
Dass bei allem, was wir tun, auch Risiken und Chancen (R&C) mit im Spiel sind, ist für jeden Menschen, aber auch für Organisationen keine neue Erkenntnis. Ob wir Erfolg haben oder nicht, hängt auch davon ab, ob es Einflüsse gibt, die ggf. dazu führen, dass ein vermeintlich guter Plan misslingt oder ein Projekt ein Fehlschlag wird. Es ist eine Frage der Wahrscheinlichkeit, ob ein Ereignis (positiv wie negativ) eintritt, und die genannten Einflüsse lassen sich statistisch beschreiben. Die Prognose, ob das Ereignis zu einem Erfolg oder einem Desaster wird, basiert auf der Bewertung der möglichen Auswirkungen, die dieses Ereignis hervorrufen kann. Überwiegen die Risiken, wird es ein Desaster. Überwiegen die Chancen, wird es ein Erfolg. Der Ausgang eines Vorhabens kann beeinflusst werden, indem Risiken für den Misserfolg minimiert und Chancen für den Erfolg gesteigert werden.
Dass bei allem, was wir tun, auch Risiken und Chancen (R&C) mit im Spiel sind, ist für jeden Menschen, aber auch für Organisationen keine neue Erkenntnis. Ob wir Erfolg haben oder nicht, hängt auch davon ab, ob es Einflüsse gibt, die ggf. dazu führen, dass ein vermeintlich guter Plan misslingt oder ein Projekt ein Fehlschlag wird. Es ist eine Frage der Wahrscheinlichkeit, ob ein Ereignis (positiv wie negativ) eintritt, und die genannten Einflüsse lassen sich statistisch beschreiben. Die Prognose, ob das Ereignis zu einem Erfolg oder einem Desaster wird, basiert auf der Bewertung der möglichen Auswirkungen, die dieses Ereignis hervorrufen kann. Überwiegen die Risiken, wird es ein Desaster. Überwiegen die Chancen, wird es ein Erfolg. Der Ausgang eines Vorhabens kann beeinflusst werden, indem Risiken für den Misserfolg minimiert und Chancen für den Erfolg gesteigert werden.
Zielsetzung
Dies ist einer der Gründe, warum das Thema Risiken und Chancen ab 2015 mit der Revision der ISO 9001 in die ISO-Managementsystemnormen aufgenommen wurde. Die Normen wollten den Organisationen eine Hilfestellung zu spezifischen Themen wie Qualitäts- oder Umweltmanagement geben, damit diese in diesen Bereichen erfolgreich agieren können. Risiken können diesen Erfolg gefährden, und nicht ergriffene Chancen können den möglichen Erfolg schmälern. Mit dem Einsatz von entsprechenden Methoden und Werkzeugen sollen Risiken frühzeitig erkannt und minimiert sowie Chancen ergriffen werden. Ziel der Normen ist also das Managen, das proaktive Gestalten von Risiken und Chancen durch die Organisation.
Dies ist einer der Gründe, warum das Thema Risiken und Chancen ab 2015 mit der Revision der ISO 9001 in die ISO-Managementsystemnormen aufgenommen wurde. Die Normen wollten den Organisationen eine Hilfestellung zu spezifischen Themen wie Qualitäts- oder Umweltmanagement geben, damit diese in diesen Bereichen erfolgreich agieren können. Risiken können diesen Erfolg gefährden, und nicht ergriffene Chancen können den möglichen Erfolg schmälern. Mit dem Einsatz von entsprechenden Methoden und Werkzeugen sollen Risiken frühzeitig erkannt und minimiert sowie Chancen ergriffen werden. Ziel der Normen ist also das Managen, das proaktive Gestalten von Risiken und Chancen durch die Organisation.
Begriffe Risiko und Chance
Um mit Begriffen richtig umgehen zu können, muss man sie definieren.
Um mit Begriffen richtig umgehen zu können, muss man sie definieren.
Allgemein sind die Begriffe wie folgt definiert:
| Risiko: | mit einem Vorhaben, Unternehmen o. Ä. verbundenes Wagnis. Möglicher negativer Ausgang bei einer Unternehmung, mit dem Nachteile, Verluste oder Schäden verbunden sind. |
| Chance: | günstige Gelegenheit, Möglichkeit, etwas Bestimmtes zu erreichen, Aussicht auf Erfolg. |
Im Leitfaden ISO 9000:2015 „Qualitätsmanagementsysteme – Grundlagen und Begriffe” steht als Definition [1]
| Risiko: | „Auswirkung von Ungewissheit. Abweichung vom Erwarteten in positiver wie negativer Hinsicht” (Normkapitel 3.7.9) |
| Chance: | keine eigenständige Definition vorhanden |
Die ISO 9001:2015 [2] enthält keine eigene Definition, sondern verweist auf die ISO 9000:2015. Die ISO-Normen 14001:2015 [3], 45001:2018 [4] und 50001:2018 [5] übernehmen die Risikodefinition der ISO 9000. Die ISO 14001 bietet noch eine Definition für den gemeinsamen Begriff „Risiko und Chance” an: potenziell ungünstige Auswirkung (Bedrohung), potenziell günstige Auswirkung (Chance).
Der Leitfaden DIN ISO 31000:2018 „Risikomanagement – Leitlinien” [6] erweitert die Definition der ISO 9000:
| Risiko: | Auswirkung von Unsicherheit auf Ziele (wobei die Auswirkung eine positive oder negative Abweichung von der Erwartung ist) (Normkapitel 3.1)
Damit wird der Begriff Ziele in Verbindung mit Risiken gebracht. Das ist kein Widerspruch, da Ziele nur eine andere Beschreibung von geplanten Ergebnissen oder geplanten Erwartungen sind. |
1.2 Rechtliche Anforderungen an das Risikomanagement
Die rechtlichen Grundlagen eines unternehmensweiten Risikomanagements sind dem Umstand geschuldet, dass Organisationen und Unternehmen durch unzureichende Kontrolle von wirtschaftlichen Risiken in existenzielle Gefahren geraten können, die Auswirkungen auf die Gesamtwirtschaft oder auf Teile davon haben können. Voraussetzung dafür ist, dass die wirtschaftliche Bedeutung dieser Unternehmen für die Gesamtwirtschaft sehr groß ist, z. B. Banken oder Großkonzerne.
KonTraG
Große Firmenzusammenbrüche führten in den 90er-Jahren zu massiver Kritik am praktizierten Risikomanagement in deutschen Firmen. Die Folge war ein Bundesgesetz, das 1998 in Kraft trat, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) [7], [8]. Das Gesetz schuf einen grundsätzlich neuen Rahmen für die Aufsichtspflicht und das Risikomanagement in großen deutschen Unternehmen. Damit waren erweiterte Pflichten für Vorstände, Geschäftsführer, Wirtschaftsprüfer und Sicherheitsmanager verbunden. Mit dem KonTraG werden zwei grundlegende Regelungsziele verfolgt. Zum einen sollen Schwächen und Verhaltensfehler im Kontrollsystem des deutschen Aktienrechts korrigiert werden, andererseits sollte den deutschen Kapitalgesellschaften der Zugang zu den internationalen Kapitalmärkten erleichtert werden, indem deren Informationsbedürfnis Rechnung getragen wurde.
Große Firmenzusammenbrüche führten in den 90er-Jahren zu massiver Kritik am praktizierten Risikomanagement in deutschen Firmen. Die Folge war ein Bundesgesetz, das 1998 in Kraft trat, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) [7], [8]. Das Gesetz schuf einen grundsätzlich neuen Rahmen für die Aufsichtspflicht und das Risikomanagement in großen deutschen Unternehmen. Damit waren erweiterte Pflichten für Vorstände, Geschäftsführer, Wirtschaftsprüfer und Sicherheitsmanager verbunden. Mit dem KonTraG werden zwei grundlegende Regelungsziele verfolgt. Zum einen sollen Schwächen und Verhaltensfehler im Kontrollsystem des deutschen Aktienrechts korrigiert werden, andererseits sollte den deutschen Kapitalgesellschaften der Zugang zu den internationalen Kapitalmärkten erleichtert werden, indem deren Informationsbedürfnis Rechnung getragen wurde.
Früherkennungssystem für Risiken
Das KonTraG präzisiert und erweitert hauptsächlich Vorschriften des Handelsgesetzbuchs und des Aktiengesetzes. Kern des KonTraG ist eine Vorschrift, die die Unternehmensleitungen dazu zwingt, ein unternehmensweites Früherkennungssystem für Risiken einzuführen und zu betreiben sowie Aussagen zu Risiken und Risikostrukturen des Unternehmens im Lagebericht des Jahresabschlusses der Gesellschaft zu veröffentlichen. Dazu schreibt das Gesetz in § 91 Abs. 2 AktG die Einrichtung eines Überwachungssystems vor, das den Vorstand verpflichtet, geeignete Maßnahmen zu treffen, damit negative Entwicklungen, die den Fortbestand der Gesellschaft gefährden, frühzeitig erkannt werden können. Solche „bestandsgefährdenden Entwicklungen” ergeben sich meist aus Kombinationseffekten von Einzelrisiken, die in Summe dazu führen, dass eine Gefährdungslage für das Unternehmen eintritt. Aus diesem Grund sind die Unternehmen verpflichtet, regelmäßig eine Risikoanalyse inklusive einer Risikoaggregation durchzuführen.
Das KonTraG präzisiert und erweitert hauptsächlich Vorschriften des Handelsgesetzbuchs und des Aktiengesetzes. Kern des KonTraG ist eine Vorschrift, die die Unternehmensleitungen dazu zwingt, ein unternehmensweites Früherkennungssystem für Risiken einzuführen und zu betreiben sowie Aussagen zu Risiken und Risikostrukturen des Unternehmens im Lagebericht des Jahresabschlusses der Gesellschaft zu veröffentlichen. Dazu schreibt das Gesetz in § 91 Abs. 2 AktG die Einrichtung eines Überwachungssystems vor, das den Vorstand verpflichtet, geeignete Maßnahmen zu treffen, damit negative Entwicklungen, die den Fortbestand der Gesellschaft gefährden, frühzeitig erkannt werden können. Solche „bestandsgefährdenden Entwicklungen” ergeben sich meist aus Kombinationseffekten von Einzelrisiken, die in Summe dazu führen, dass eine Gefährdungslage für das Unternehmen eintritt. Aus diesem Grund sind die Unternehmen verpflichtet, regelmäßig eine Risikoanalyse inklusive einer Risikoaggregation durchzuführen.
Ausstrahlungswirkung
Das KonTraG betrifft, entgegen weit verbreiteter Meinung, nicht nur Aktiengesellschaften. Auch Kommanditgesellschaften auf Aktienbasis (KGaA) und viele größere Gesellschaften mit beschränkter Haftung (GmbH) fallen darunter – insbesondere dann, wenn in ihnen ein mitbestimmter oder fakultativer Aufsichtsrat existiert, sind diese Gesellschaften von den Vorschriften des KonTraG betroffen (Ausstrahlungswirkung).
Das KonTraG betrifft, entgegen weit verbreiteter Meinung, nicht nur Aktiengesellschaften. Auch Kommanditgesellschaften auf Aktienbasis (KGaA) und viele größere Gesellschaften mit beschränkter Haftung (GmbH) fallen darunter – insbesondere dann, wenn in ihnen ein mitbestimmter oder fakultativer Aufsichtsrat existiert, sind diese Gesellschaften von den Vorschriften des KonTraG betroffen (Ausstrahlungswirkung).
Die Rechtsvorschriften des KonTraG haben ihren Ursprung im Aktiengesetz (AktG), im Handelsgesetzbuch (HGB), im Publizitätsgesetz (PublG), im Genossenschaftsgesetz (GenG), sowie im Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbHG). In ihnen findet man, unabhängig vom KonTraG, in entsprechenden Paragrafen auch Forderungen die zur Erfüllung einen Risikomanagementansatz erfordern.
Identifikation und Analyse
Was verlangt der Gesetzgeber im Wesentlichen von den Unternehmen? Er verlangt ein Überwachungssystem zur Früherkennung von bestandsgefährdenden Entwicklungen (im Sinne der Identifikation und Analyse, nicht zur Vermeidung und Reduktion von Risiken) und die Schaffung von angemessenen Strukturen der Kommunikation, die ein frühes Erkennen der Risiken durch die Entscheidungsträger sicherstellen. Auf diese Weise soll rechtzeitig erkannt werden, ob und welche geeigneten Gegenmaßnahmen eingeleitet werden können.
Was verlangt der Gesetzgeber im Wesentlichen von den Unternehmen? Er verlangt ein Überwachungssystem zur Früherkennung von bestandsgefährdenden Entwicklungen (im Sinne der Identifikation und Analyse, nicht zur Vermeidung und Reduktion von Risiken) und die Schaffung von angemessenen Strukturen der Kommunikation, die ein frühes Erkennen der Risiken durch die Entscheidungsträger sicherstellen. Auf diese Weise soll rechtzeitig erkannt werden, ob und welche geeigneten Gegenmaßnahmen eingeleitet werden können.
Berichtswesen
Die Ergebnisse des vom KonTraG geforderten Überwachungssystems haben Auswirkungen auf das gesetzlich geforderte Berichtswesen der Unternehmen und auf die Prüfungsberichte der Jahresabschlüsse. Das bedeutet:
Die Ergebnisse des vom KonTraG geforderten Überwachungssystems haben Auswirkungen auf das gesetzlich geforderte Berichtswesen der Unternehmen und auf die Prüfungsberichte der Jahresabschlüsse. Das bedeutet:
| • | Der Lagebericht zum Jahresabschluss erhält einen höheren Stellenwert mit Prognosecharakter. | ||||||||
| • | Im Risikolagebericht ist nicht nur auf bestehende Risiken, sondern auch auf Risiken der künftigen Entwicklung einzugehen. | ||||||||
| • | Die Abschlussprüfer müssen in einem besonderen Teil des Prüfungsberichts
|
Wirtschaftsprüfer
Die Wirtschaftsprüfer sind verstärkt zur Risikobeurteilung verpflichtet. Die gesetzlichen Regelungen verpflichten sie und die Geschäftsführung zu einem neuen Risikobewusstsein, das weit über die summarische Prüfung des Lageberichts hinausgeht. In der Konsequenz werden Versäumnisse und Verfehlungen von Aufsichtsrat, Vorstand oder Geschäftsführung, aber auch von Abschlussprüfern vermehrt zu juristischen Haftungsfällen.
Die Wirtschaftsprüfer sind verstärkt zur Risikobeurteilung verpflichtet. Die gesetzlichen Regelungen verpflichten sie und die Geschäftsführung zu einem neuen Risikobewusstsein, das weit über die summarische Prüfung des Lageberichts hinausgeht. In der Konsequenz werden Versäumnisse und Verfehlungen von Aufsichtsrat, Vorstand oder Geschäftsführung, aber auch von Abschlussprüfern vermehrt zu juristischen Haftungsfällen.
Sarbanes-Oxley Act
Das KonTraG ist weltweit nicht das einzige Gesetz, das Unternehmen zum Risikomanagement verpflichtet. In den USA gibt es als Bundesgesetz seit 2002 den Sarbanes-Oxley Act (SOX) [9]. Auch er war eine Reaktion des Gesetzgebers auf Bilanzskandale von großen Unternehmen, die den öffentlichen Kapitalmarkt der USA in Anspruch nahmen. Das Gesetz gilt für US-amerikanische und ausländische Unternehmen, deren Wertpapiere an US-Börsen gehandelt werden, deren Wertpapiere mit Eigenkapitalcharakter in den USA außerbörslich gehandelt werden oder deren Wertpapiere in den USA öffentlich angeboten werden, sowie für deren Tochterunternehmen. Das bedeutet, dass auch ausländische Unternehmen unter das Gesetz fallen, wenn sie diese Kriterien erfüllen und in den USA Geschäfte betreiben.
Das KonTraG ist weltweit nicht das einzige Gesetz, das Unternehmen zum Risikomanagement verpflichtet. In den USA gibt es als Bundesgesetz seit 2002 den Sarbanes-Oxley Act (SOX) [9]. Auch er war eine Reaktion des Gesetzgebers auf Bilanzskandale von großen Unternehmen, die den öffentlichen Kapitalmarkt der USA in Anspruch nahmen. Das Gesetz gilt für US-amerikanische und ausländische Unternehmen, deren Wertpapiere an US-Börsen gehandelt werden, deren Wertpapiere mit Eigenkapitalcharakter in den USA außerbörslich gehandelt werden oder deren Wertpapiere in den USA öffentlich angeboten werden, sowie für deren Tochterunternehmen. Das bedeutet, dass auch ausländische Unternehmen unter das Gesetz fallen, wenn sie diese Kriterien erfüllen und in den USA Geschäfte betreiben.
Internes Kontrollsystem
Für an US-Börsen notierte Unternehmen bedeutet der Sarbanes-Oxley Act einen erheblichen Eingriff in die unternehmerische Freiheit und die internen Abläufe. Dabei stehen die Regelungen um die Implementierung und Evaluierung eines internen Kontrollsystems (IKS) im Vordergrund. Dieses Kontrollsystem basiert auf den wesentlichen Elementen des Risikomanagements. Es soll vornehmlich die Ordnungsmäßigkeit der Finanzberichterstattung sicherstellen. Nicht zuletzt wegen der erhöhten Haftungsanforderungen an das Management bzgl. der Korrektheit der Finanzberichterstattung rückt die Effektivität des IKS in den Fokus des Managements. Ein gut funktionierendes IKS liegt also im fundamentalen Interesse der Unternehmensführung.
Für an US-Börsen notierte Unternehmen bedeutet der Sarbanes-Oxley Act einen erheblichen Eingriff in die unternehmerische Freiheit und die internen Abläufe. Dabei stehen die Regelungen um die Implementierung und Evaluierung eines internen Kontrollsystems (IKS) im Vordergrund. Dieses Kontrollsystem basiert auf den wesentlichen Elementen des Risikomanagements. Es soll vornehmlich die Ordnungsmäßigkeit der Finanzberichterstattung sicherstellen. Nicht zuletzt wegen der erhöhten Haftungsanforderungen an das Management bzgl. der Korrektheit der Finanzberichterstattung rückt die Effektivität des IKS in den Fokus des Managements. Ein gut funktionierendes IKS liegt also im fundamentalen Interesse der Unternehmensführung.
KonTraG und SOX haben hinsichtlich des geforderten Risikomanagements ihren Schwerpunkt bei den finanzwirtschaftlichen Themen. Diese stellen natürlich nicht alle existenzbedrohenden Risiken in einem Unternehmen dar.
EuroSOX
Inzwischen gibt es auch entsprechende Richtlinien der Europäischen Gemeinschaft, die umgangssprachlich unter dem Begriff EuroSOX bekannt sind und vergleichbare Regelungen wie den Sarbanes-Oxley Act enthalten.
Inzwischen gibt es auch entsprechende Richtlinien der Europäischen Gemeinschaft, die umgangssprachlich unter dem Begriff EuroSOX bekannt sind und vergleichbare Regelungen wie den Sarbanes-Oxley Act enthalten.
Störfallverordnung
Auch im Umweltrecht gibt es Vorgaben, die ein Risikomanagement erfordern. Eine der wichtigen Rechtsvorschriften dazu ist die aus dem Immissionsschutzrecht abgeleitete Störfallverordnung. Nach § 3 „Allgemeine Betreiberpflichten” (1) hat der Betreiber die nach Art und Ausmaß der möglichen Gefahren erforderlichen Vorkehrungen zu treffen, um Störfälle zu verhindern. Der Betreiber hat vor Inbetriebnahme ein schriftliches Konzept zur Verhinderung von Störfällen auszuarbeiten und es der zuständigen Behörde auf Verlangen vorzulegen (§ 8 (1)).
Auch im Umweltrecht gibt es Vorgaben, die ein Risikomanagement erfordern. Eine der wichtigen Rechtsvorschriften dazu ist die aus dem Immissionsschutzrecht abgeleitete Störfallverordnung. Nach § 3 „Allgemeine Betreiberpflichten” (1) hat der Betreiber die nach Art und Ausmaß der möglichen Gefahren erforderlichen Vorkehrungen zu treffen, um Störfälle zu verhindern. Der Betreiber hat vor Inbetriebnahme ein schriftliches Konzept zur Verhinderung von Störfällen auszuarbeiten und es der zuständigen Behörde auf Verlangen vorzulegen (§ 8 (1)).
PAAG-Verfahren
Für Betriebsbereiche der oberen Sicherheitsklasse hat der Betreiber einen Sicherheitsbericht gemäß § 9 zu erstellen, in dem er ein Konzept zur Verhinderung von Störfällen darlegt und nachweist, dass ein Sicherheitsmanagementsystem zu seiner Anwendung vorhanden ist. Grundlage der Risikobeurteilung ist häufig das international anerkannte PAAG-/HAZOP-Verfahren. PAAG [10] steht für
Für Betriebsbereiche der oberen Sicherheitsklasse hat der Betreiber einen Sicherheitsbericht gemäß § 9 zu erstellen, in dem er ein Konzept zur Verhinderung von Störfällen darlegt und nachweist, dass ein Sicherheitsmanagementsystem zu seiner Anwendung vorhanden ist. Grundlage der Risikobeurteilung ist häufig das international anerkannte PAAG-/HAZOP-Verfahren. PAAG [10] steht für
| P | Prognose (systematische Suche aller möglicher Abweichungen und Störungen), |
| A | Auffinden der Ursachen (Ermitteln der Ursachen innerhalb des untersuchten Systems), |
| A | Abschätzen der Auswirkungen (Ermitteln der logischen Folgen der Abweichung), |
| G | Gegenmaßnahmen (Bewerten vorhandener Maßnahmen und Entscheidung über angemessene weitere Maßnahmen). |
HAZOP-Verfahren
Vergleichbares leistet das HAZOP-Verfahren (von englisch Hazard and Operability) [11]. Ziel von PAAG/HAZOP ist es, mögliche Abweichungen vom bestimmungsgemäßen Betrieb eines (technischen) Systems aufzudecken, die jeweiligen Ursachen und Auswirkungen zu benennen (und gegebenenfalls zu bewerten) sowie geeignete Maßnahmen zur Verhinderung der Szenarien festzulegen. Darüber hinaus gibt es im Umweltrecht noch weitere Rechtsvorschriften, die zur Verhinderung von Gefahrenlagen ein Risikomanagement zu seiner Bewältigung fordern.
Vergleichbares leistet das HAZOP-Verfahren (von englisch Hazard and Operability) [11]. Ziel von PAAG/HAZOP ist es, mögliche Abweichungen vom bestimmungsgemäßen Betrieb eines (technischen) Systems aufzudecken, die jeweiligen Ursachen und Auswirkungen zu benennen (und gegebenenfalls zu bewerten) sowie geeignete Maßnahmen zur Verhinderung der Szenarien festzulegen. Darüber hinaus gibt es im Umweltrecht noch weitere Rechtsvorschriften, die zur Verhinderung von Gefahrenlagen ein Risikomanagement zu seiner Bewältigung fordern.
Arbeitsschutz
Neben dem Umweltrecht enthält auch das Arbeitsschutzrecht Anforderungen nach Risikomanagementansätzen, um gefährliche Situationen für Menschen zu vermeiden. Gemäß § 3 des Arbeitsschutzgesetzes „Grundpflichten des Arbeitgebers” ist dieser verpflichtet, die erforderlichen Maßnahmen des Arbeitsschutzes unter Berücksichtigung der Umstände zu treffen, die die Sicherheit und Gesundheit der Beschäftigten bei der Arbeit beeinflussen. Dazu gehören auch die nach § 5 durchzuführende Ermittlung der mit der Arbeit verbundenen Gefährdung (Gefährdungs-/Sicherheitsbeurteilung) und die daraus abzuleitende Bewertung, ob Schutzmaßnahmen benötigt werden. Im Fall einer bewerteten Schutznotwendigkeit sind diese zu ergreifen und umzusetzen. Der Arbeitgeber hat die Maßnahmen auf ihre Wirksamkeit zu überprüfen und erforderlichenfalls an sich ändernde Gegebenheiten anzupassen. Die Risikobeurteilung erfolgt häufig gemäß der Risikomatrix nach Nohl.
Neben dem Umweltrecht enthält auch das Arbeitsschutzrecht Anforderungen nach Risikomanagementansätzen, um gefährliche Situationen für Menschen zu vermeiden. Gemäß § 3 des Arbeitsschutzgesetzes „Grundpflichten des Arbeitgebers” ist dieser verpflichtet, die erforderlichen Maßnahmen des Arbeitsschutzes unter Berücksichtigung der Umstände zu treffen, die die Sicherheit und Gesundheit der Beschäftigten bei der Arbeit beeinflussen. Dazu gehören auch die nach § 5 durchzuführende Ermittlung der mit der Arbeit verbundenen Gefährdung (Gefährdungs-/Sicherheitsbeurteilung) und die daraus abzuleitende Bewertung, ob Schutzmaßnahmen benötigt werden. Im Fall einer bewerteten Schutznotwendigkeit sind diese zu ergreifen und umzusetzen. Der Arbeitgeber hat die Maßnahmen auf ihre Wirksamkeit zu überprüfen und erforderlichenfalls an sich ändernde Gegebenheiten anzupassen. Die Risikobeurteilung erfolgt häufig gemäß der Risikomatrix nach Nohl.
ALARP-Verfahren
Im englischen Sprachraum ist als vergleichbare Methode das ALARP-Verfahren (as low as reasonably practicable) bekannt. Das ALARP-Verfahren besagt, dass Risiken auf ein Maß reduziert werden sollen, das den höchsten Grad an Sicherheit garantiert, der vernünftigerweise praktikabel ist (d. h. finanziell und/oder technisch mit vertretbarem Aufwand realisierbar ist).
Im englischen Sprachraum ist als vergleichbare Methode das ALARP-Verfahren (as low as reasonably practicable) bekannt. Das ALARP-Verfahren besagt, dass Risiken auf ein Maß reduziert werden sollen, das den höchsten Grad an Sicherheit garantiert, der vernünftigerweise praktikabel ist (d. h. finanziell und/oder technisch mit vertretbarem Aufwand realisierbar ist).
Lieferkettensorgfaltsgesetz
Überall dort, wo durch Handlungen oder die Nutzung von Produkten/Equipment Gefahren auftreten können, die Leib und Leben und andere Schutzgüter (z. B. Umwelt, Sachgüter, Fauna und Flora) bedrohen, ist auch die Forderung nach einem vorbeugenden Risikoansatz nicht weit. Aber nicht nur Produkte erzeugen für Unternehmen die Pflicht, Verantwortung im Sinne der Risikoabwägung zu übernehmen, sondern der Gesetzgeber erweitert den risikobasierten Ansatz über das eigene Unternehmen hinaus. Das neue Lieferkettensorgfaltsgesetz verpflichtet die größeren Unternehmen in Deutschland, den Schutz von Menschenrechten, Umwelt sowie Sicherheit und Gesundheit in der eigenen Lieferkette abgestuft (unmittelbar und mittelbar) abzusichern. Daraus ergibt sich die Pflicht zum Risikomanagement, um nachteilige Auswirkungen bei Menschenrechten, Sicherheitsstandards etc. in der Lieferkette zu erkennen und ein Vorgehen zur Behandlung der potenziellen Gefährdungen zu etablieren.
Überall dort, wo durch Handlungen oder die Nutzung von Produkten/Equipment Gefahren auftreten können, die Leib und Leben und andere Schutzgüter (z. B. Umwelt, Sachgüter, Fauna und Flora) bedrohen, ist auch die Forderung nach einem vorbeugenden Risikoansatz nicht weit. Aber nicht nur Produkte erzeugen für Unternehmen die Pflicht, Verantwortung im Sinne der Risikoabwägung zu übernehmen, sondern der Gesetzgeber erweitert den risikobasierten Ansatz über das eigene Unternehmen hinaus. Das neue Lieferkettensorgfaltsgesetz verpflichtet die größeren Unternehmen in Deutschland, den Schutz von Menschenrechten, Umwelt sowie Sicherheit und Gesundheit in der eigenen Lieferkette abgestuft (unmittelbar und mittelbar) abzusichern. Daraus ergibt sich die Pflicht zum Risikomanagement, um nachteilige Auswirkungen bei Menschenrechten, Sicherheitsstandards etc. in der Lieferkette zu erkennen und ein Vorgehen zur Behandlung der potenziellen Gefährdungen zu etablieren.
1.3 Normative Anforderungen zum Risiko- und Chancenmanagement
Übereinstimmungen und Unterschiede im IMS
Alle vier Normen des betrachteten IMS (ISO 9001, 14001, 45001 und 50001) enthalten die Anforderung, sich mit den themenspezifischen Risiken und Chancen der Einzelnormen auseinanderzusetzen. Betrachtet man die einzelnen Normen ISO 9001, 14001, 45001 und 50001, so zeigt sich im Normkapitel 6.1/6.1.1 nur auf den ersten Blick in Bezug auf die Forderung nach einer Risiko- und Chancenbetrachtung eine grundsätzliche Übereinstimmung. Schaut man in die Detailforderungen, werden normenspezifische Unterschiede an vielen Stellen deutlich.
Alle vier Normen des betrachteten IMS (ISO 9001, 14001, 45001 und 50001) enthalten die Anforderung, sich mit den themenspezifischen Risiken und Chancen der Einzelnormen auseinanderzusetzen. Betrachtet man die einzelnen Normen ISO 9001, 14001, 45001 und 50001, so zeigt sich im Normkapitel 6.1/6.1.1 nur auf den ersten Blick in Bezug auf die Forderung nach einer Risiko- und Chancenbetrachtung eine grundsätzliche Übereinstimmung. Schaut man in die Detailforderungen, werden normenspezifische Unterschiede an vielen Stellen deutlich.
Die Details der normenspezifischen Unterschiede können Sie der Verweismatrix „Normenforderungen an Risiken und Chancen ISO 9001/14001/45001/50001” in der beigefügten Arbeitshilfe entnehmen[
12605_01.xlsx]
12605_01.xlsx]