Risikomanagement oder „Der alltägliche Wahnsinn“23 | 06 | 15

ISMS - Informationssicherheit

Mit der Überarbeitung der Revision von ISO 9001 ist das Thema Risiko in den Fokus gerückt. Aber auch wenn die vielen Diskussionen ein anderes Bild zeichnen: Das Thema ist nicht neu. Risiken sind eben nicht nur technische Produktrisiken. Wir alle können täglich beobachten, wie in der Öffentlichkeit mit Risiken umgegangen wird und wie unterschiedlich das Bewusstsein für die verschiedenen Arten ist.

Wie oft hören Sie im Zug, dass sich Mitreisende über Finanzen, Angebote und Personen unterhalten? Nutzen Sie selbst einen Sichtschutz, wenn Sie im Zug an Ihrem Laptop arbeiten? Achten Sie auf eine geschützte Umgebung für Ihre Unterhaltung? Vertrauliche Informationen sind oft erstaunlich leicht in Erfahrung zu bringen: Da steigt doch zum Beispiel der oberste Terror-Fahnder von Scotland Yard schon im Jahr 2009 vor laufenden Kameras aus dem Fahrzeug und hält ein gut lesbares Geheimdokument im Arm, das danach eben nicht mehr geheim war, weil die erste Seite zu gut lesbar war. Das Dramatische ist, dass sich dieses Beispiel immer und immer wieder wiederholt. Aber was lernen wir daraus?

Neben den ganz banalen Verhaltensfehlern und anderen „klassischen“ Risiken sind 2014 erstmals Risiken im Bereich der Cyberkriminalität, IT-Ausfälle, Spionage und Datenmissbrauch (siehe den aktuellen Hacker-Angriff auf den Bundestag) in die Liste der 10 größten globalen Geschäftsrisiken – das Allianz Risk Barometer – aufgenommen worden (Allianz Risk Barometer). 2015 liegen diese Risiken mit 17% der erfassten Vorgänge bereits auf Platz fünf.

Wenn wir nun über neue Chancen sprechen, die uns zum Beispiel das Thema Industrie 4.0 bietet, dann wird spätestens hier klar, mit welchen Risiken wir uns diese Chancen erkaufen.

Fangen wir aber einmal klein an und betrachten die neuen Forderungen von ISO 9001 nach einem risikobasierten Ansatz: Hier hilft ein Leitsatz, den Andreas Altena am 10. Juni den Teilnehmern in einem Erfahrungsaustausch im DGQ-Regionalkreis Darmstadt mit auf den Weg gibt:

Konzentrieren Sie sich auf Ihr Ziel und die Missionen!

Der Leitsatz ist nicht neu, er ist Teil der Spielanleitung von „Risiko“, einem weithin bekannten Gesellschaftsspiel. Aber er gilt auch in der realen Welt. Denn ohne Fokus auf ein Ziel lassen sich fast überall Risiken entdecken. Weil aber der Umgang mit Risiken einen kühlen Kopf benötigt und nicht die Basis sein soll, um Phobien zu züchten, muss man sich eben auf diejenigen Risiken konzentrieren, die unmittelbar mit dem Geschäft zu tun haben und dem geplanten Ergebnis im Weg stehen.

Auf diese Weise hilft uns der Leitsatz aus dem Spiel, den risikobasierten Ansatz der neuen Norm ISO 9001:2015 zu verstehen und ganz pragmatisch umzusetzen. Denn ein umfassendes Risikomanagement wird in der neuen Norm nicht gefordert. Organisationen, die sich erstmals systematischer mit dem Thema befassen, können mit dem risikobasierten Ansatz die ersten (fokussierten) Schritte machen. Außerdem können sie und nach und nach weitere Bausteine eines guten Risikomanagementsystems ergänzen und die vorhandenen Ansätze miteinander vernetzen.

Risikoidentifikation ist nur der erste Schritt…

…bei der Beschäftigung mit Risiken. Sie sollten sich dabei nicht verzetteln und nur die relevanten Risiken betrachten. „Denn es reicht nie, nur ein einzelnes Risiko zu betrachten“, sagt Andreas Altena. Es gilt, auch die Folgerisiken zu beachten. Methoden wie zum Beispiel eine Begehung, Web-Analyse, Risikochecklisten, aber zum Beispiel auch die Analyse der eigenen Dokumente (Welche Verträge hat Ihr Vertrieb abgeschlossen?), helfen Ihnen methodisch die wesentlichen Risiken zu ermitteln.

DGQ-Mitglieder finden eine Präsentation mit weiteren Links in der Mitgliederplattform DGQaktiv unter DGQ-Regionalkreis Darmstadt.

Veranstaltung: Risikomanagement – Anforderungen an die Zukunft am 10. Juni 2015
im DGQ-Regionalkreis Darmstadt, Hochschule Darmstadt
Referent: Andreas Altena, Geschäftsführer der Altena-TCS GmbH, Krefeld (www.altena-tcs.de),
DGQ-Mitglied und DGQ-Trainer.

Über den Autor:

Nach einer Ausbildung zum Fluggerätmechaniker und Maschinenbaustudium war Michael Weubel als Qualitätsingenieur bei einem Hersteller von Nickelbasislegierungen tätig (Schmelzbetrieb und Weiterverarbeitung von Federlegierungen und Magnetlegierungen). Nach seinem Wechsel zur Deutschen Gesellschaft für Qualität war er u.a. für die Konzeption der Lehrgänge zum Qualitätsmanagement und für die Auditorenausbildung zuständig. Ab 2002 übernahm er neben der Rolle des QMB auch Verantwortung für den Ausbau des Angebots von Inhousetrainings. Von 2009 an betreute er als Leiter Landesgeschäftsstelle Mitte die DGQ-Regionalkreise in der Region und war Ansprechpartner für DGQ-Mitgliedsunternehmen. Seine Erfahrungen, auch aus DQS-Audits, EFQM-Assessments, Training und Beratung, stellt Michael Weubel seit 2015 als Key Account Manager den Kunden der DGQ Weiterbildung GmbH zur Verfügung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.