<img src="https://secure.leadforensics.com/91138.png" style="display:none;">

Risikomanagement nach ISO 31000. Ein Überblick.

ISO 31000 erklaert.jpeg

Organisationen jeglicher Art und Größe unterliegen internen und externen Faktoren und Einflüssen, die es unsicher machen, ob und wann sie ihre Ziele erreichen. Der Effekt dieser Unsicherheit auf die Zielerreichung wird als „Risiko“ bezeichnet.

Unternehmen behandeln diese Risiken, indem sie sie identifizieren und analysieren und dann beurteilen, ob das Risiko durch Maßnahmen der Risikobewältigung so verändert werden soll, dass es ihrem Risikoappetit entspricht. Während des gesamten Prozesses kommunizieren sie mit Stakeholdern, konsultieren diese und überwachen und überprüfen die Risiken sowie die Kontrollen zur Veränderung des Risikos, um sicherzustellen, dass keine weiteren Maßnahmen zur Risikobewältigung erforderlich sind.

Die ISO 31000 Norm

Das internationale ISO 31000-Normenwerk bietet eine detaillierte Beschreibung dieses systematischen und logischen Prozesses. ISO definiert einen Risikomanagementrahmen (englisch: Risk Management Framework) als "einen Satz von Elementen, welche die Grundlagen und organisatorischen Modalitäten für die Gestaltung, Umsetzung, Überwachung, Überprüfung und kontinuierliche Verbesserung des Risikomanagements in der gesamten Organisation bilden."

Damit träg die ISO-Norm dem Umstand Rechnung, dass viele Unternehmen bereits Risiken in einem gewissen Ausmaß behandeln, es aber oftmals an Grundsätzen fehlt, die für ein wirkungsvolles Risikomanagement einzuhalten sind. Diese internationale Norm empfiehlt, dass Organisationen einen Rahmen entwickeln, umsetzen und laufend verbessern, um den Prozess für die Behandlung von Risiken besser in die allgemeinen Führungs-, Strategie- und Planungs-, Management- und Berichterstattungsprozesse einzubinden.

Und obwohl sich die Praxis des Risikomanagements im Lauf der Zeit in vielen Sektoren entwickelt hat, kann die Einführung konsistenter Prozesse innerhalb eines umfassenden Rahmens dazu beitragen, dass eine wirksame Behandlung der Risiken organisationsweit sichergestellt ist. Das in dieser internationalen Norm beschriebene allgemeine Konzept umfasst die Grundsätze und Leitlinien für die Behandlung jeglicher Risiken auf systematische, transparente und glaubwürdige Weise ungeachtet des Aufgabenumfangs und des Kontextes.

Vorteile durch die ISO 31000

Setzt ein Unternehmen sein Risikomanagement gemäß den in der ISO 31000-Norm beschriebenen Grundsätzen des Risikomanagements auf und etabliert es einen umfassenden Rahmen, in dem Risikomanagement-Prozesse konsistent ablaufen können, dann ermöglicht dies einer Organisation beispielsweise

  • die Wahrscheinlichkeit der Zielerreichung zu steigern;
  • die Notwendigkeit der Risikoidentifikation und Risikobewältigung in der gesamten Organisation bewusst zu machen;
  • das Erkennen von Chancen und Bedrohungen zu verbessern;
  • relevante gesetzliche und regulatorische Anforderungen sowie internationale Normen einzuhalten;
  • das vorgeschriebene und das freiwillige Reporting zu verbessern;
  • eine zuverlässige Grundlage für die Entscheidungsfindung und Planung aufzubauen;
  • Steuerungs- und Kontrollmechanismen zu verbessern;
  • die Ressourcen für die Risikobewältigung wirksam zuzuteilen und zu nutzen;
  • die operationelle Wirksamkeit und Effizienz zu verbessern;
  • Gesundheit und Sicherheit sowie den Umweltschutz anzuheben;
  • die Schadensverhütung und das Management von Vorkommnissen zu verbessern;
  • und last, but not least: Schadensfälle zu minimieren.

Die Grundsätze des Risikomanagements verinnerlichen

Das ISO 31000-Normenwerk schlägt 10 Grundsätze (englisch: Principles) des Risikomanagements vor. Diese sind:

  1. Schafft Werte, indem es beim Erreichen von Unternehmenszielen hilft.
  2. Ist integraler Bestandteil des Organisationsprozesses und Teil der Entscheidungsfindung, indem es in den Alltag integriert wird.
  3. Befasst sich ausdrücklich mit der Unsicherheit, indem es diese identifiziert und definiert, wie mit Unsicherheit umzugehen ist.
  4. Ist systematisch, strukturiert und zeitgerecht, indem es aufzeigt, wie mit bestimmten Ereignissen umzugehen ist.
  5. Stützt sich auf die besten verfügbaren Informationen, indem Entscheidungen auf Basis von qualitativ hochwertigen und verlässlichen Daten getroffen werden.
  6. Ist maßgeschneidert, indem Risikomanagement-Entscheidungen im Einklang mit Unternehmenszielen, Risikoappetit und internen/externen Faktoren getroffen werden.
  7. Berücksichtigt Human- und Kulturfaktoren, indem es sowohl die Fähigkeiten der Mitarbeiter, als auch die Unternehmenskultur als Einflussfaktoren auf das Risikomanagement betrachtet.
  8. Ist transparent und grenzt nicht aus, indem es sicherstellt, dass die Unternehmensleitung das Risikomanagement-Framework unterstützt und dass relevante Stakeholder Teil des Prozesses sind.
  9. Ist dynamisch, iterativ und reagiert auf Veränderungen.
  10. Erleichtert die kontinuierliche Verbesserung der Organisation.

Risikomanagementrahmen und Risikomanagementprozesse einführen

Auf Basis dieser Grundsätze ist es nun das Mandat und die Verpflichtung des Risikomanagers,

  • Den Rahmen für die Behandlung von Risiken zu gestalten
  • Das Risikomanagement umzusetzen
  • Den Rahmen zu überwachen und regelmäßig zu überprüfen
  • Den Rahmen kontinuierlich zu verbessern

Sobald das Risikomanagement-Framework eingeführt ist, geht es gemäß ISO 31000 in einem letzten Schritt um die Einführung der eigentlichen Risikomanagementprozesse. Den am Risikomanagementprozess beteiligten Personen müssen konkrete Handlungsempfehlungen und Richtlinien an die Hand gegeben werden, die sie in ihren Entscheidungen anleiten. Die Prozesse müssen innerhalb der Organisation kommuniziert, überwacht und regelmäßig überprüft werden.

Die ISO 31000 ist kein zertifizierbares Managementsystem

Die Umsetzung eines Risikomanagementrahmens nach der ISO 31000-Norm hilft maßgeblich beim Erreichen der Unternehmensziele. Obwohl die  ISO 31000 betont, nicht für Zertifizierungszwecke vorgesehen zu sein, legen Struktur, Aufbau und inhaltliche Vorgaben sowie Prozess- und Ablaufbeschreibungen dennoch das Vorliegen eines zertifizierbaren Managementsystems nahe.

Und verstanden als praktischer Leitfaden für den Aufbau eines eben solchen ganzheitlichen Risikomanagements hilft es Unternehmen, die Risikolage positiv zu verändern und ein ausgewogenes Verhältnis zwischen Ertrag (Chance) und Verlustgefahr (Risiko) herzustellen.

Sie haben ein Risikomanagement-Framework eingeführt. Was nun?

Sie haben Risikomanagementrahmen und Risikomanagementprozesse eingeführt und damit die Grundlage für ein ganzheitliches Risikomanagement gelegt. Im Rahmen der Risikoidentifikation, Risikoanalyse, Risikobewertung und Risikobewältigung fallen unternehmensweit und abteilungsübergreifend viele Daten und Informationen an. Diese gilt es strukturiert zu erfassen und effizient zu managen, damit ein Risikoreporting zeitnah und auf Knopfdruck erfolgen kann. Eine webbasierte Datenmanagement-Plattform für Risikodaten ist daher der nächste konsequente Schritt. Denn ein ganzheitliches und unternehmensweites Risikomanagement hat Besseres verdient als Risikoregister und Risk Maps auf Basis von Excel-Tabellen.

Mehr dazu? Unser Leitfaden zum Thema „Risikomanagement-Informationssystem“ liefert Ihnen alle Infos, die Sie für Ihren nächsten Schritt benötigen.

Detaillierte Informationen über den Einsatz eines Risikomanagement-Informationssystems (RMIS)

Kategorien: Datenmanagement Analytics und Reporting Risikomanagement