Einrichtung |
Management-Verfahrensanweisung |
Code: MV805 |
Aktuellen Risikostatus ermitteln |
Revision: 01
Datum: 10.10.19 Seite: 2 von 2 |
Erstellt | Geprüft | Freigegeben | |
Name | Schlote | ||
Datum | 08.10.19 | ||
Unterschrift | i.O.u. Schl. | ||
Datei |
MV805 Aktuellen Risikostatus ermitteln
1 Ziel
Diese Managementverfahrensanweisung regelt die Erstellung und Aktualisierung des Risiko- und Chancenprofils der Einrichtung und beschreibt Maßnahmen zum Umgang mit sich realisierenden Risiken, die im Bereich der Einrichtung entsprechend der geltenden Maßgaben aus Regeln, Richtlinien, Gesetzen und Normen auf die Tätigkeiten der Einrichtung anzuwenden sind.
2 Geltungsbereich
Die MV805-1 gilt in allen Bereichen der Einrichtung sowie für alle Tätigkeiten, die von der Einrichtung im Sinne der anzuwendenden Regeln von und für diese Einrichtung unternommen werden.
3 Beschreibung
Die Einleitung der „neuen“ DIN 17025:2018-3 führt ausdrücklich aus „Das Laboratorium ist dafür verantwortlich, welche Chancen und Risiken behandelt werden müssen.“
Die Beurteilung der Schwere sowie der möglichen Folgen eines realisierten Risikos liegt damit zu wesentlichen Teilen in der Hand der Prüfeinrichtung. Es geht demzufolge nicht um eine möglichst komplette Auflistung und Behandlung aller denkbaren Risiken (und Chancen), sondern um eine Auswahl der relevanten Risiken & Chancen. Relevant sind per se alle Risiken, die die Existenz der Prüfeinrichtung gefährden oder zu Nichtkonformitäten in Bezug auf wesentliche Aspekte der Akkreditierung entsprechend DIN 17025 führen. Dies sind:
- Rückverfolgbarkeit von Prüfergebnissen
- Rückführbarkeit von Prüfergebnissen
- Richtigkeit von Prüfergebnissen
- Auswahl des geeigneten Verfahrens und dessen korrekter Einsatz
- Konsistente Bewertung der Prüfergebnisse bei Aussagen zur Einhaltung vorgegebener Grenzen
- Messunsicherheit/Aussageunsicherheit
- Unparteilichkeit
- Vertraulichkeit
Es wird ein den Folgen der Risikorealisation angemessenes, abgestuftes Risikomanagement implementiert, indem sowohl die Wahrscheinlichkeit des Eintretens als auch die Schwere der Folgen bewertet und in einer Kennzahl zusammengefasst werden.
Eine Neubewertung des gesamten Risikokontextes wird zwingend nötig:
- wenn sich ein Risiko realisiert hat / Überprüfung der Annahmen
- wenn sich grundlegende Strukturen oder Angebote ändern (z. B. Kernpersonal scheidet aus oder neue Prüfbereiche hinzukommen)
- innerhalb eines regelmäßigen Turnus‘ zur Verifikation z. B. im Vorlauf zu Managementbewertungen
Eine erneute Bewertung von Teilrisiken wird unter anderem nötig:
- Als Teilneubewertung im Rahmen geplanter Veränderungen / Verbesserungen
- Wenn sich Teilaspekte im Angebotsprofil ändern
- Neue Mitarbeiter gewonnen und eingeführt werden
- Eine Beschwerde zur Kenntnis gelangte
- Nach dem Eintreten eines Fehlers im Rahmen der Umsetzung und Bewertung von Korrekturmaßnahmen
- Nach einer signifikanten Abweichung im Rahmen einer internen oder externen Laborvergleichsuntersuchung
- Im Zuge der Einführung neuer Verfahren
- Wenn eine geänderte Risikolage in Teilaspekten (z. B. Elektronische Kommunikation, Einbruchsrisiko) zur Kenntnis gelangt.
Risiken sind mit der Auftretenswahrscheinlichkeit und Auswirkungsgrad nach Art einer Bonitur in einer Skala von 1 eher sehr unwahrscheinlich / geringe Auswirkungen für Prüfeinrichtung und Kunden bis 6 Auftreten innerhalb einer Jahresfrist / Auswirkung existenzgefährdend für die Prüfeinrichtung auf dem Formblatt „MF805-1 Risikostatus“ zu bewerten. Risiken sind mit Auftretenswahrscheinlichkeit und Auswirkungspotenzial zu beschreiben.
RisikoImpactBeitrag = Auftretenswahrscheinlichkeit x Risikowirkungspotenzial
Beispiel:
RIB_Brand = 2 x 2 = 4 von 36 möglichen Beitragspunkten
Das Risiko / die Wahrscheinlichkeit des Auftretens eines Brandes in der Prüfeinrichtung wird mit gering eingeschätzt. Die Auswirkungen werden ebenfalls mit gering eingeschätzt. Gründe können in Bauart des Gebäudes, Brandschutzmaßnahmen etc und der Art der Archivierung von Daten, externe Speicherung digitaler Daten liegen, auch eine Versicherung zur Regulation von Schäden kann eine entsprechende Einschätzung begründen.
Der RIB kann in einem Diagramm dargestellt werden. Für die Ermittlung des Risikoindex als relevanter Kennzahl für die Managementbewertung werden die als relevant erkannten RisikoImpactBeiträge summiert und durch die mögliche erreichbare Summe dividiert.
Eine Risikobewertung muss enthalten:
- Allgemeine Risiken/Elementarrisiken: Feuer, Wasserschaden, Blitz, Einbruch
- Risiken aus Kommunikation und Datenhandhabung, Obsoleszenz von Hardware
- Falls zutreffend: Risiken aus Untervergaben und Kooperationen
- Risiken aus Prüf-, Entwicklungs- und Gutachtertätigkeit
Die Umsetzung von Chancen kann die Risikostruktur günstig und ungünstig, kurzfristig oder langanhaltend beeinflussen. Aus diesem Grund bedingt die geplante Realisation von Chancen eine Überprüfung der erwarteten Risikostruktur.
Als Risiken oder Chancen identifizierte Elemente werden singulär in „MF805-1 Risikostatus“ und ihre Beiträge zur Risikostruktur begründet, geschätzt oder aus post hoc Evaluation oder anderen Quellen ermittelt.
4 Mitgeltende Dokumente
MF805-1 Risikostatus