Risikomanagement hilft Organisationen auf wirtschaftliche Weise Verluste zu minimieren und Chancen zu optimieren. Trotz einzelner Neuerungen (17025) schreiben die ISO-Normen keine konkreten Methoden für die Risikoermittlung und -bewertung vor. Grundsätzlich sei jedoch festzuhalten, dass das Risikomanagement-System an die Tätigkeiten und Größe des jeweiligen Unternehmens angepasst sein sollte.
Risikomanagement ist die systematische Anwendung von Management-Grundsätzen, -Verfahren und -Praktiken zur Festlegung des Kontextes und zur Identifizierung, Analyse, Bewertung, Beurteilung, Steuerung, Bewältigung und Überwachung sowie Kommunikation von Risiken. Übergeordnetes Ziel des Risiko- und Chancenmanagements ist es zu erreichen, dass Unternehmen vorbereitet in die Zukunft gehen, indem sie Risiken rechtzeitig erkennen und darauf reagieren, sowie Chancen nutzen können und folglich den erfolgreichen Fortbestand des Unternehmens sicherstellen.
Während das Risikomanagement für Prüf- und Inspektionsstellen bis dato insbesondere in die „Vorbeugenden Maßnahmen“ eingebettet war (17020:2012 Pkt. 8.8 und 17025:2005 Pkt. 4.12), wird mit der neuen 17025:2017 Pkt. 8.5 explizit die Auseinandersetzung mit „Maßnahmen zum Umgang mit Risiken und Chancen“ gefordert. So müssen Risiken und Chancen sowohl identifiziert als auch bewertet und ins Managementsystem integriert werden. Für alle Prüfstellen und Labore, die nach 17025 akkreditiert sind, wird folglich die Auseinandersetzung mit Risiken und Chancen verbindlich. Unabhängig davon ist ein aktives Risikomanagement auch für Inspektionsstellen nach 17020 absolut zu empfehlen.
Der Gedanke sich mit Risiken und Chancen zu beschäftigen ist natürlich nicht neu. Tagtäglich werden im Unternehmen risikobasierte Entscheidungen getroffen, sowohl im operativen als auch im strategischen Bereich. Das Einführen eines Risikomanagement-Systems bietet einen Rahmen und geregelten Ablauf zum Umgang mit solchen Entscheidungen und schafft schließlich Mehrwert für Ihr Unternehmen:
Organisationen jeglicher Art und Größe unterliegen internen und externen Faktoren und Einflüssen, die es ungewiss machen, ob und wann sie ihre Ziele erreichen. Der Effekt dieser Ungewissheit auf die Ziele einer Organisation oder eines Prozesses wird als Risiko bezeichnet. Grob betrachtet sind alle Aktivitäten eines Unternehmens mit Risiken verbunden. Es gilt diese Risiken zu behandeln, indem sie identifiziert, analysiert und anschließend beurteilt werden. Diese Beurteilung (Bewertung) entscheidet, ob Maßnahmen gesetzt werden müssen (= Tätigkeit der Risikobewältigung), die geeignet sind, das Risiko zu beseitigen oder zumindest auf ein annehmbares Niveau (= zulässiges Restrisiko) zu senken. Um dies kompetent zu erreichen, ist es unbedingt erforderlich, mit allen beteiligten Personen und Bereichen (interne und externe) zu kommunizieren, und sie regelmäßig bei der Kontrolle der Veränderung des Risikos durch die gesetzten Maßnahmen zu konsultieren. Dieser systematische und logische Prozess muss solange fortgesetzt werden, bis sichergestellt ist, dass keine weiteren Maßnahmen gesetzt werden müssen.
Risiko- und Chancenmanagement wird nicht nur von den Normen gefordert (teils direkt, teils indirekt), sondern schafft auch einen echten Nutzen für Unternehmen und in weiterer Folge für ihre Auftraggeber. Im Fokus steht, wie so oft, geeignete Abläufe angepasst auf die eigene Unternehmensgröße und Tätigkeit festzulegen und einen proaktiven Umgang mit Chancen und Risiken zu schaffen.