Auf dieser Seite geht es um die ISO Norm ISO 31000. Wir geben Ihnen eine ausführliche Einführung in die Norm ISO 31000 und erläutern die wesentlichen Aussagen der ISO 31000 – Risiko Management System. Neben der ISO 31000 für Risiko Management gibt es ebenfalls noch die ONR 49001 – eine österreichische Norm für Risikomanagement. Diese Norm stellen wir Ihnen an anderer Stelle vor.

AUSBILDUNG:

Sie müssen ein Risikomanagementsystem nach ISO 31000 einführen? Wir zeigen Ihnen wie!

Seit Ende 2008 gibt es endlich einen weltweit gültigen Standard zum Thema Risikomanagement: Die internationale Norm ISO 31000 Risiko Management. Zusammen mit dem überarbeiteten ISO IEC Guide 73 "Vocabulary" wurde diese Norm im Oktober 2009 veröffentlicht.
In der neuen ISO 31000 Risikomanagementsystem sind dabei drei Prinzipien verankert: Erstens wird das Risikomanagement als Führungsaufgabe verstanden, zweitens wird in der Norm versucht, einen sogenannten Top-down-Ansatz umzusetzen und drittens stellt die ISO 31000 eine sehr allgemein gehaltene Basis dar, die versucht, alle unterschiedlichen Risiken in einer Organisation zu berücksichtigen.

Risiko kann als ein virtueller Sachverhalt in der Zukunft definiert werden, der ungewiss ist. Schaden hingegen, ist ein realer Sachverhalt in der Vergangenheit, der gewiss ist. Ein Risiko kann als die Beschreibung eines Ereignisses mit der Möglichkeit negativer Auswirkungen definiert werden.
Somit hätte man ein Risiko, dessen Eintritt ungewiss ist, das im Falle des Eintritts aber einen konkreten Schaden verursachen kann. Die Frage ist also: Wie kann man die Eintrittswahrscheinlichkeit und damit verbundenen Verlust qualitativ und quantitativ bewerten und steuern?
Die zeitliche Perspektive wird damit zu einer Variablen der Risikoanalyse und -bewertung. Die Perspektive auf Zukunft, Gegenwart und Vergangenheit gewinnt in Unternehmen immer mehr an Bedeutung. Die Anforderungen von Gesetzen, Normen und Praktiken verlangen schwerpunktmäßig noch immer vergangenheitsbezogene finanzielle Berichte, die für Risiko Management eher unbedeutend sind. Wenige Anforderungen verlangen explizit Prognosen in die Zukunft, die für Risiko Management von Bedeutung sind. Die zukünftige Entwicklung ist aber ungewiss und wegen der Komplexität der Entwicklungen schwierig vorauszusehen.

                                             

Abb. I: Begriff Risiko

VORLAGE:

Nutzen Sie auch unser Risikomanagementpaket und vermeiden Sie Risiken zukünftig!

Möchte man möglihce Risiken durch Risiko Management begrenzen, so soll es für die Maßnahmen zur Risikobegrenzung immer eine Kosten-Nutzen-Analyse durchgeführt werden. Das heißt die möglichen Risiken der Unternehmenstätigkeit müssen erst ein Mal der Wichtigkeit nach und ihren Wirkungen (Schäden/Verluste) für die Organisation beurteilt werden. Dies wird durch die Risikozerlegung in zwei Komponente erreicht: Wirkung des Risikos und dessen Eintrittswahrscheinlichkeit. Dabei wird der mögliche Schaden oft mit der Eintrittswahrscheinlichkeit des Risikos gewichtet.
Um Risiko Analyse aber durchführen zu können, müssen die möglichen Risiken zuerst identifiziert und systematisch überwacht werden! Genau diesem Zweck dient die ISO 31000 Norm für Risikomanagement.

Die Intention der ISO 31000 Norm ist die Möglichkeit den Risikomanagementprozess an die bereits bestehende Managementsysteme anzuwenden mit dem Ziel den Risikomanagementprozess zu optimieren und von der reinen Gesetzesbefolgung weg zu kommen. Damit ist die Integration eines Risiko Management Systems mit der Veränderung der Denkweise in einer Organisation verbunden: Weg von der passiven Schadensbegrenzung hin zur aktiven und vorbeugenden Risikoabwehrung!

Der Fokus von ISO 31000 Risiko Management liegt damit auf:

• Überführung der Sicherheitslücken in einer Organisation in steuerungsfähige Elemente des Risiko Management System nach ISO 31000
• Das Erreichen der Übereinstimmung des Risikomanagementsystem nach ISO 31000 mit gesetzlichen Anforderungen
• Einbettung der Risikoberichtserstattung in das bestehende Managementsystem der Organisation
• Festlegung von gültigen Risikokriterien und Methoden für die Risikoanalyse

                                         

Abb. II: Risikomanagement Prozess ISO 31000

THEMENLINK:

Alle wesentlichen Aussagen der ISO 31000

Risiko Management liegt die Vorstellung zugrunde, das Risiko sei zu „steuern“. Das bedeutet
qualitativ die Art des Risikos und quantitativ die Größe zu „manipulieren“. Die zeitliche Dimension der Risikosteuerung bedeutet zeitlich das Fenster des Eintritts der Wirkung eines Risikos zu „manipulieren“.
Die ISO 31000 sieht das Risiko Management als Führungsaufgabe. Das komplette Risiko Management System nach ISO 31000 basiert auf dem Prinzip des PDCA-Zyklus (Plan-Do-Check-Act): Der erste Punkt "Plan" beinhaltet die Risikopolitik der Organisation, deren Auftrag und Verpflichtung. Der zweite Punkt "Do" beinhaltet den eigentlichen Risikomanagementprozess bestehend aus dem groben Ablauf: Risiko Identifikation – Risiko Analyse – Risiko Bewertung – Risiko bewältigen. Anschließend erfolgt auch in der ISO 31000 der dritte Punkt "Check" zur Überprüfung der umgesetzten Risikobewältigungsstrategien und bei festgestellten Planabweichungen der vierte Punkte "Act", um diese zu beseitigen.

Während bisher nur sehr spezifische Risiko Management Normen existierten, beispielsweise die ISO 27005 im Bereich Informationssicherheitsmanagement (ISMS), versucht die ISO 31000 in einem ganzheitlichen Top-down-Ansatz alle Risiken und deren Bewältigung in einer Organisation zu erfassen. Das bedeutet ein Risiko Management nach ISO 31000 ist nicht ausschließlich auf strategischer Unternehmensebene anzusiedeln, sondern es beschäftigt sich auch mit den Risiken auf operationalen Führungsebenen im Unternehmen.
Da aber das Risiko Management von der Norm ISO 31000 als Führungsaufgabe verstanden wird, muss der Anstoß zur Implementierung der Risiko Management System von „oben“ kommen und den Gedanken der aktiven Risiko Vermeidung in die untergeordneten Hierarchiebereiche einer Organisation erfolgreich transportieren können. Die Schlüsselrolle in so einem Risikomanagementprozess spielt der Risikomanagementbeauftragter bzw. der Risikobeauftragter.

Der Risikomanagementbeauftragten bzw. Risikobeauftragter ist die zentrale Anlaufstelle und Ansprechpartner für Mitarbeiter und Führungskräfte. Zu seinen Aufgaben gehört unter Anderem die Risikoberichterstattung. Der Risikobeauftragter berichtet regelmäßig an den Vorstand der Geschäftsführung. Der Risikobericht ist für die Geschäftsleitung die komprimierte Zusammenstellung von Risikoinformationen im Unternehmen. Durch die Berichterstattung wird das Gesamtbild über die Risikosituation der Organisation und der erforderliche Handlungsbedarf hinsichtlich der Risikosteuerung im Unternehmen vermittelt.

---

Seminar Risikomanagementbeauftragter - ISO 31000 Sie wollen als Risikomanagementbeauftragter arbeiten und müssen in Ihrer Organisation ein Risikomanagementsystem einführen? Wir zeigen Ihnen wie! Risikomanagementbeauftragter - ISO 31000 Risikomanagement

---