Risikomanagement nach ISO 31000 – die Norm im Blickpunkt

Wir geben Ihnen eine ausführliche Einführung in die Norm ISO 31000 und erläutern die wesentlichen Aussagen der ISO 31000 – Risiko Management System. Neben der ISO 31000 für Risiko Management gibt es ebenfalls noch die ONR 49001 – eine österreichische Norm für Risikomanagement. Diese Norm stellen wir Ihnen an anderer Stelle vor.

ISO 31000 Norm für Risiko Management

Seit Ende 2008 gibt es endlich einen weltweit gültigen Standard zum Thema Risikomanagement: Die internationale Norm ISO 31000 Risiko Management. Zusammen mit dem überarbeiteten ISO IEC Guide 73 “Vocabulary” wurde diese Norm im Oktober 2009 veröffentlicht. In der neuen ISO 31000 Risikomanagementsystem sind dabei drei Prinzipien verankert:

das Risikomanagement wird als Führungsaufgabe verstanden.
in der Norm wird versucht, einen sogenannten Top-down-Ansatz (Betrachtung von Sinnzusammenhängen – vom Allgemeinen zum Konkreten) umzusetzen.
die ISO 31000 stellt eine sehr allgemein gehaltene Basis dar, die versucht, alle unterschiedlichen Risiken in einer Organisation zu berücksichtigen.

GRATIS VORLAGE: Mit der gratis Checkliste Übertragung von Unternehmerpflichten organisieren Sie den Arbeitsschutz in Ihrem Unternehmen strukturiert.

Der Begriff Risiko

Risiko kann als ein virtueller Sachverhalt in der Zukunft definiert werden, der ungewiss ist. Schaden hingegen, ist ein realer Sachverhalt in der Vergangenheit, der gewiss ist. Ein Risiko kann als die Beschreibung eines Ereignisses mit der Möglichkeit negativer Auswirkungen definiert werden. Somit hätte man ein Risiko, dessen Eintritt ungewiss ist, das im Falle des Eintritts aber einen konkreten Schaden verursachen kann. Die Frage ist also:

Wie kann man die Eintrittswahrscheinlichkeit und den damit verbundenen Verlust qualitativ bewerten und steuern?

Die zeitliche Perspektive wird damit zu einer Variablen der Risikoanalyse und -bewertung. Die Perspektive auf Zukunft, Gegenwart und Vergangenheit gewinnt in Unternehmen immer mehr an Bedeutung.  Die Anforderungen von Gesetzen, Normen und Praktiken verlangen schwerpunktmäßig noch immer vergangenheitsbezogene finanzielle Berichte, die für Risiko Management eher unbedeutend sind. Wenige Anforderungen verlangen explizit Prognosen in die Zukunft, die für Risiko Management jedoch von Bedeutung sind. Die zukünftige Entwicklung ist aber ungewiss und wegen der Komplexität der Entwicklungen schwierig vorauszusehen.

 AUSBILDUNG: Mit der Ausbildung Risikomanagementbeauftragter ISO 31000 betreuen Sie Ihr Risikomanagementsystem sicher und erfolgreich.

Zum Seitenanfang

Risikobegrenzung mit Hilfe der Kosten-Nutzen-Analyse

Möchte man mögliche Risiken durch Risiko Management begrenzen, so soll es für die Maßnahmen zur Risikobegrenzung immer eine Kosten-Nutzen-Analyse durchgeführt werden. Das heißt, die möglichen Risiken der Unternehmenstätigkeit müssen erst ein Mal nach der Wichtigkeit und ihren Wirkungen (Schäden/Verluste) für die Organisation beurteilt werden.

Dies wird durch die Risikozerlegung in zwei Komponente erreicht: Wirkung des Risikos und dessen Eintrittswahrscheinlichkeit.

Dabei wird der mögliche Schaden oft mit der Eintrittswahrscheinlichkeit des Risikos gewichtet. Um aber Risikoanalysen durchführen zu können, müssen die möglichen Risiken zuerst identifiziert und systematisch überwacht werden! Genau diesem Zweck dient die ISO 31000 Norm für Risikomanagement.

Zum Seitenanfang

ISO 31000 als Risikomanagement Basis-Norm

Die Intention der ISO 31000 Norm ist die Möglichkeit, den Risikomanagementprozess an die bereits bestehende Managementsysteme anzuwenden, mit dem Ziel, den Risikomanagementprozess zu optimieren und von der reinen Gesetzesbefolgung weg zu kommen. Damit ist die Integration eines Risiko Management Systems mit der Veränderung der Denkweise in einer Organisation verbunden:

Weg von der passiven Schadensbegrenzung, hin zur aktiven und vorbeugenden Risikoabwehrung!

 

Der Fokus von ISO 31000 Risiko Management liegt damit auf:

Überführung der Sicherheitslücken einer Organisation in steuerungsfähige Elemente
des Risiko Management Systems nach ISO 31000
Erreichen der Übereinstimmung des Risikomanagementsystems nach ISO 31000 mit
gesetzlichen Anforderungen
 Einbettung der Risikoberichtserstattung in das bestehende Managementsystem
der Organisation
Festlegung von gültigen Risikokriterien und Methoden für die Risikoanalyse

VORLAGENPAKET: Nutzen Sie das Vorlagenpaket Risikomanagement und optimieren Sie durch ein Risikomanagementsystem Ihre Wettbewerbsfähigkeit!

Zum Seitenanfang

Risikomanagement nach ISO 31000 als Führungsaufgabe

Dem Risikomanagement liegt die Vorstellung zugrunde, dass das Risiko zu “steuern” sei. Dies bedeutet, qualitativ die Art des Risikos und quantitativ die Größe zu “manipulieren”. Beispielsweise lässt sich der Eintrittszeitpunkt der Auswirkungen eines Risikos “beeinflussen”. Die ISO 31000 sieht dadurch das Risiko Management als Führungsaufgabe. Das komplette Risiko Management System nach ISO 31000 basiert auf dem Prinzip des PDCA-Zyklus (Plan-Do-Check-Act):

Der erste Punkt “Plan” beinhaltet die Risikopolitik der Organisation, deren Auftrag und Verpflichtung. Der zweite Punkt “Do” bezieht sich auf den eigentlichen Risikomanagementprozess, bestehend aus dem groben Ablauf (Risiko Identifikation – Risiko Analyse – Risiko Bewertung – Risiko bewältigen). Der dritte Punkt der ISO 31000 “Check“, zur Überprüfung der umgesetzten Risikobewältigungsstrategien und bei festgestellten Planabweichungen – der vierte Punkte “Act” – um diese zu beseitigen.

Zum Seitenanfang

Risikomanagement nach ISO 31000 als Top-down-Ansatz

Während die bisher existenten Risikomanagement-Normen, wie beispielsweise die ISO 27005 im Bereich Informationssicherheitsmanagement (ISMS), nur sehr spezifisch waren, versucht die ISO 31000 in einem ganzheitlichen Top-down-Ansatz, alle Risiken und deren Bewältigung in einer Organisation zu erfassen.  Das bedeutet, ein Risikomanagement nach ISO 31000 ist nicht ausschließlich auf strategischer Unternehmensebene anzusiedeln, sondern es beschäftigt sich auch mit den Risiken auf operationalen Führungsebenen im Unternehmen.

Da aber das Risikomanagement von der Norm ISO 31000 als Führungsaufgabe verstanden wird, muss der Anstoß zur Implementierung der Risikomanagement-Systems von „oben“ kommen und den Gedanken der aktiven Risiko Vermeidung in die untergeordneten Hierarchiebereiche einer Organisation erfolgreich transportieren können. Die Schlüsselrolle in so einem Risikomanagementprozess spielt der Risikomanagementbeauftragter bzw. der Risikobeauftragter.

AUSBILDUNG: Mit der Ausbildung Risikomanager ISO 31000 - ISO/IEC 31010 lernen Sie Werkzeuge und Methoden des Risikomanagements praktisch anzuwenden.

Zum Seitenanfang

Risikobeauftragter nach ISO 31000

Der Risikomanagement- bzw. Risikobeauftragte ist die zentrale Anlaufstelle und Ansprechpartner für Mitarbeiter und Führungskräfte.

Zu seinen Aufgaben gehört unter Anderem die Risikoberichterstattung. Der Risikobeauftragte berichtet regelmäßig dem Vorstand der Geschäftsführung. Der Risikobericht ist für die Geschäftsleitung die komprimierte Zusammenstellung von Risikoinformationen im Unternehmen. Durch die Berichterstattung wird das Gesamtbild über die Risikosituation der Organisation und der erforderliche Handlungsbedarf hinsichtlich der Risikosteuerung im Unternehmen vermittelt.