News-2010, August
Über uns > News, ausgelagert
August 2010
HaWig-Interview in der Enable (Magazin für Unternehmer) der Financial Times Deutschland
Offene Baustelle im Risikomanagement
Mit ISO 31.000 wappnen sich Unternehmen gegen Risiken und hoffen, so mehr Aufträge zu bekommen. Doch es ist unklar, wie die Norm umzusetzen ist.
Mit Risiken kennt sich Harald Wideburg aus. Wideburg ist Chef der Hawig-Firmengruppe, die weltweit Industrieanlagen mit Heizungs-, Lüftungs- und Klimasystemen ausrüstet. Darunter sind auch viele Atomkraftwerke - und dort nimmt man es mit Sicherheitsfragen sehr genau. So müssen Wideburgs Leute beispielsweise testen, ob ihre Rohrhalterungen erdbebensicher sind. Auch der Schweißer, der diese Halterung später anbringt, muss seine Qualifikation belegen - Hawigs Kunden kontrollieren darüber hinaus auch die Seriosität der Organisation, die dessen Prüfungen abgenommen hat.
Schwieriger wurde es für Wideburg, wenn seine Kunden auch Absicherungen auf anderen Gebieten verlangten, beispielsweise bei den Finanzen. So wollte ein großer Kunde nur dann einen Folgeauftrag vergeben, falls Wideburg einen Bürgen vorweisen könne. Einen, der garantiert, dass die Arbeiten auch weitergehen, falls Hawig in finanzielle Schwierigkeiten gerät. Zu diesem Zeitpunkt erzielte das 70-Mitarbeiter-Unternehmen einen Großteil seiner Umsätze nur mit diesem einen Kunden. Wideburg hatte keinen Bürgen - und erhielt den Auftrag nicht. "Der Kunde hat eine Risikobilanz erstellt und kam zum Ergebnis, dass wir uns vielleicht übernehmen könnten", sagt Wideburg. Das passiert nicht noch einmal, hat sich der Chef der Firmengruppe vorgenommen. Seine Formel besteht aus drei Buchstaben und fünf Ziffern: ISO 31.000. So wie ISO 9001 zum Standard im Qualitätsmanagement wurde, soll sich die 2008 eingeführte Norm dauerhaft als ein Gütezeichen für Risikomanagement etablieren. "Das ist ein Signal, um möglichen Kunden zu zeigen: Seht her, wir sind vorbildlich aufgestellt", sagt Wideburg.
Die Normentwickler geben sich selbstbewusst. Firmen mit entsprechender Zertifizierung könnten nicht nur die Folgen der Finanzkrise besser überstehen, meint Kevin Knight, Vorsitzender der Arbeitsgruppe, die ISO 31.000 ausarbeitete. Selbst die Folgen des isländischen Vulkanausbruchs im Frühjahr hätten solche Unternehmen besser abfedern können, sagt Knight: "Überraschenderweise scheint solch ein Ereignis nicht als Risiko gesehen worden zu sein, das Fluggesellschaften und viele andere Firmen managen müssen." Große Worte, meinen Fachleute. "Keine ISO-Norm hätte die Finanzkrise oder Probleme im Luftverkehr wegen der Aschewolke verhindern können", sagt Udo Weis, Professor für Risikomanagement an der Hochschule Heidelberg. Allerdings könnten solche Ereignisse Dominoeffekte auslösen, sagt Weis: "Das ist wie ein Anstoß, der alles umkippen lässt."
Wichtig wird umfassendes Risikomanagement für Unternehmer auch, weil deutsche Richter mit zunehmender Strenge Paragraf 91 Aktiengesetz anwenden, der auch für GmbHs gilt. Danach müssen Vorstände und Geschäftsführer "geeignete Maßnahmen" treffen, um früh Entwicklungen zu erkennen, die ihr Unternehmen bedrohen. Insbesondere indem sie "ein Überwachungssystem" einrichten. Eine Aufgabe, die Unternehmen bislang meist ihren Finanz- oder Controllingabteilungen übertragen. Mit ISO 31.000 soll daraus eine "Querschnittsaufgabe" werden, heißt: Verantwortliche aller Bereiche sollen relevante Informationen miteinander austauschen, von der Qualitätssicherung über den Umweltbeauftragten bis hin zur IT.
Aber wie macht man das? Dazu lässt sich aus ISO 31.000 wenig herauslesen. "Die Norm ist abstrakt formuliert", sagt Udo Weis. Das beginnt schon beim Wort Risiko. Das sei der "Effekt der Unsicherheit auf die Erreichung der Ziele von Unternehmen", heißt es in der Norm. Konkrete Handlungsanweisungen fehlen ganz. Prüfungsanstalten wie der TÜV verwenden darum bei der Zertifizierung nach der neuen Norm als Checkliste die ONR 49.000 - eine Risikomanagementnorm, die vom Österreichischen Normungsinstitut entwickelt wurde. "Dass dieser Umweg gegangen werden muss, ist etwas unbefriedigend", sagt Claus Engler vom TÜV Süd, "aber wir rechnen noch in diesem Jahr mit einer zertifizierbaren ISO-Norm."
Für Udo Weis ist das ein Etikettenschwindel: "Die ONR 49.000 existierte schon vor der ISO 31.000, wird jetzt aber als Handlungsanleitung dafür verkauft." Unternehmen, die das Zertifikat erhalten wollen, müssen sich darum eine eigene Anleitung basteln. Hawig-Chef Wideburg ließ sich dabei von Josef Scherer beraten. Scherer ist Professor für Risiko- und Krisenmanagement an der Fachhochschule Deggendorf und gab in diesem Jahr eine Studie über Risikomanagement bei Mittelständlern heraus. Deren Ergebnisse zeigten, dass die neue Norm keinen Grund zur Sorge gebe, sagt er. Die meisten Befragten verfügten bereits über Managementsysteme (siehe nebenstehende Grafik). Unternehmen, die schon ein Qualitätsmanagement nach ISO 9001 und ein Umweltmanagement nach ISO 14.001 besäßen, erfüllten damit bereits zwei Drittel der Bedingungen für ISO 31.000. "Der zusätzliche Aufwand hält sich in Grenzen", sagt Scherer.
Die Checkliste, die Hawig-Chef Wideburg am Ende in den Händen hielt, war geprägt von dem Motto: Doppelt hält besser. Und das in jedem Bereich: Personal, Materialfluss, Finanzen, IT. So stellte Wideburg sicher, dass es für jeden leitenden Mitarbeiter einen Ersatzmann gibt, der in dessen Themen eingearbeitet ist - und dass Vollmachten unterschrieben in der Schublade liegen. "Jeder in der Firma muss ersetzbar sein, auch ich als Chef", sagt Wideburg. Austauschbar sind aber auch Externe: Fällt ein Zulieferer aus, ist nun in einem Notfallplan aufgelistet, welcher Betrieb ihn ersetzen kann. Und für den Fall, dass Hawig Geld aufnehmen muss, hat Wideburg mit einer Bank vereinbart, dass diese ihm kurzfristig ein Darlehen gewährt.
Auch alle Daten der Firma gibt es nun in doppelter Ausführung, gespeichert auf einer externen Festplatte, die regelmäßig aktualisiert wird. Sicherheitshalber befindet sich die zudem nicht in der Firmenzentrale im oberfränkischen Heroldsbach. Dort hätten Regenfälle vor ein paar Jahren die Keller vieler Häuser geflutet, sagt Wideburg: "Unsere Firma blieb zwar verschont, aber seither haben wir dieses Risiko im Blick." Der Aufwand hat sich gelohnt. Im Mai 2010 hat der TÜV Süd Hawig die ISO-31.000-Zertifizierung verliehen. Und Harald Wideburg überlegt nun, einen neuen Geschäftszweig zu gründen: eine Beratung für Risikomanagement. Schließlich kennt er sich aus.
Genormte Qualität
Festlegen
Entwickelt werden die ISO-Normen von der International Organization for Standardization mit Sitz in Genf. 162 Staaten sind durch eine Organisation als Mitglied bei der ISO vertreten, Deutschland durch das Deutsche Institut für Normung. Seit ihrer Gründung 1947 entwickelte die ISO bereits 18.000 Normen. Eine der gängigsten davon ist ISO 9001 als Standard für Qualitätsmanagement.
Nachlesen
Seit 2008 existiert ISO 31.000 als Standard für Risikomanagement. Grundidee ist, dass dafür alle Abteilungen eines Unternehmens ihre Informationen vernetzen. Eine deutsche Übersetzung, die das Österreichische Normungsinstitut Anfang 2010 herausgegeben hat, verlegt der Beuth Verlag. Eine Übersetzung des Deutschen Instituts für Normung liegt noch nicht vor.
Auslegen
Anders als frühere Normen enthält ISO 31.000 keine konkreten Anleitungen dazu, mit welchen Maßnahmen Unternehmen die vorgegebenen Ziele erreichen können. Noch gibt es keine ergänzende Anleitung. Deutsche Prüfinstitute wie der TÜV erteilen jedoch die ISO 31.000, sobald ein Unternehmen die Voraussetzungen einer österreichischen Norm erfüllt, der ONR 49.000. Eine Orientierungshilfe soll zudem der Leitfaden "Risikomanagement nach ISO 31.000" geben, die der Risikomanagement-Professor Udo Weis nach den Vorgaben der neuen Norm entwickelt hat.
Quelle: Financial Times Deutschland (Enable Magazin), Bericht von Thoralf Schwanitz (FTD) im August 2010