Montag bis Freitag von 08:00 bis 15:00 Uhr
Risiken erkennen und darauf reagieren: ISO 31000 hilft Unternehmen, mögliche Gefahren rechtzeitig zu identifizieren, zu vermeiden und im Ernstfall die richtigen Maßnahmen zu ergreifen.
Informationen auf dieser Seite:
Zur Führung eines Unternehmens gehört es, Risiken einzugehen. Doch ebenso wichtig ist es, Risiken zuvor zu identifizieren, zu analysieren und zu bewerten – um dann zu entscheiden, wie mit ihnen umgegangen werden soll. Dabei helfen Instrumente und Prozesse aus dem Risikomanagement, die sich auch in kleinen und mittleren Unternehmen umsetzen lassen. Als inhaltliche und organisatorische Klammer um andere Managementsysteme sorgt ein gut durchdachtes Risikomanagement für Krisenfestigkeit und begrenzt Haftungsansprüche. Internationale Normen erleichtern ein einheitliches Vorgehen.
Die Regierungskommission Deutscher Corporate Governance Kodex empfiehlt Aufsichtsräten, sich zur Absicherung guter und verantwortungsvoller Unternehmensleitung unter anderem mit dem Risikomanagementsystem des von Ihnen überwachten Unternehmens zu befassen. Die Anwendung des Kodex ist dem Wortlaut nach zwar auf börsennotierte Unternehmen beschränkt, seine Beachtung wird aber auch andern Unternehmen empfohlen. Seit 2018 gibt es mit der DIN ISO 31000 eine deutsche Norm, die bei der Umsetzung eines effektiven und wirkungsvollen Risikomanagements hilft.
In einem globalen Markt mit globalen Risiken und Krisen hat Risikomanagement eine überragende Bedeutung. Die Internationale Organisation für Normung (ISO) empfiehlt, Risikomanagement zur Basis aller Managementsysteme zu machen. Dieser Ansatz ist als „risk based approach“ oder „risk based thinking“ bekannt. Aber auch unabhängig von der Frage, ob eine Organisation ein oder mehrere Managementsysteme anwendet oder ein integriertes, holistisches Managementsystem eingeführt hat, sollte ein Risikomanagementsystem vorhanden sein, um die Organisation resilienter aufzustellen und Haftungsansprüche gegen die Unternehmensleitung zu vermeiden.
International galt das in den USA entstandene Rahmenmodell COSO ERM (Enterprise Risk Management – Integrated Framework) lange als führendes Referenzmodell für Wirtschaftsprüfer.
2009 hat die ISO mit ihrem Dokument ISO 31000 nachgezogen. Diese Norm wurde schrittweise von den meisten G-20-Staaten als nationale Norm übernommen. Nach ihrer im Jahr 2018 abgeschlossenen Revision wurde die Norm auch in Deutschland als DIN ISO 31000 übernommen.
Die Norm steht auf drei Säulen: Grundsätze, Rahmenwerk und Prozess.
Der Zweck des Risikomanagements besteht darin, Werte zu schaffen und zu erhalten. Die Grundsätze enthalten die um diesen Zweck versammelten acht Eigenschaften, die für ein wirksames und effizientes Risikomanagement erforderlich sind.
Das Rahmenwerk hilft bei der Integration des Risikomanagements in die Aktivitäten und Funktionen der Organisation.
Der (Risikomanagement-)Prozess soll integraler Bestandteil von Management, Struktur, Abläufen und Prozessen der Organisation werden.
Die Grundsätze sind die Erfolgskriterien des Risikomanagements:
Die wohl wichtigsten Grundsätze werden mit den Begriffen „integriert“ und „maßgeschneidert“ bezeichnet:
Die Anwendung der Norm kann basierend auf den Grundsätzen in drei Schritten eingeleitet werden:
Die Empfehlungen zum Rahmenwerk finden sich im Abschnitt 5 der Norm. Die sechs Elemente sind:
Für die Einführung und dauerhafte Wirksamkeit des Risikomanagements muss die Unternehmensleitung starkes und anhaltendes Engagement zeigen und – zum Beispiel in einem Grundsatzdokument (Leitlinien der Organisation) – nachweisen.
Die um Führung und Verpflichtung gruppierten Elemente entsprechen dem gesunden Menschenverstand – oder auch: guter und verantwortungsvoller Unternehmensleitung. Eine sorgfältig und gründlich arbeitende Führungskraft wird sie ohnehin bei der Organisation des von ihr zu verantwortenden Geschäfts berücksichtigen. Jeder Mensch muss ständig mit Risiken umgehen, um zu überleben – sei es bei der Begegnung mit einem Raubtier, beim Überqueren einer Straße oder im Rahmen der Kontakte zu anderen Menschen während einer Pandemie.
Die Regeln zum Risikomanagement bringen den in der Geschäftswelt partiell verloren gegangenen gesunden Menschenverstand zurück.
Die Leitlinien zum Risikomanagementprozess finden sich im Abschnitt 6 der Norm.
Der Kernprozess besteht aus den Elementen
Risikoidentifizierung, Risikoanalyse und Risikobewertung werden im Teilprozess der Risikobeurteilung zusammengefasst, auf den der Prozess der Risikobehandlung folgt. Die vier Dreiecke in der Grafik verdeutlichen, dass der Prozess iterativ ist, auch wenn er zumeist sequenziell dargestellt wird.
Die Norm IEC 31010 (Risikomanagement – Verfahren zur Risikobeurteilung) stellt eine eingehende Anleitung für Risikobeurteilungstechniken zur Verfügung. In Abschnitt 6.5 der Norm werden die Maßnahmen der Risikoveränderung aufgeführt:
Zur Aktivierung von Synergien sollte der Risikomanagementprozess bei der Geschäftsprozessmodellierung und Zusammenstellung der Prozesse in einem Organisationshandbuch (oder Qualitätshandbuch) beachtet und integriert werden.
Der Geschäftsprozesseigner sollte bei der den Prozess auslösenden Information nicht mit dem ersten Schritt des Geschäftsprozesses beginnen, sondern zunächst prüfen, ob eine Unsicherheit (fehlerhafte Information oder Einschätzung) den Prozess und das Erreichen seiner Ziele beeinflussen könnte (Risikoidentifikation). Wenn das nicht der Fall ist, kann mit dem Geschäftsprozess fortgefahren werden. Anderenfalls sind zunächst die weiteren Schritte des Risikomanagementprozesses anzuwenden.
Die Risikobeurteilung sollte systematisch, iterativ und kollaborativ durchgeführt werden. Ganz wesentlich ist die Risikoidentifikation, da nur ein identifiziertes Risiko auch behandelt werden kann. Zu beachten ist dabei, das Risiken sich über die Zeit entwickeln und unter Umständen in ihren Anfangsstadien kaum erkannt werden.
Der Schritt der Risikoidentifikation sollte wiederholt werden, sobald eine neue Information und/oder Einschätzung den Geschäftsprozess betrifft.
Schematisches Schaubild zum Risikomanagement in einem Geschäftsprozess (vergrößerte Ansicht)
Im März 2020 wurde das IWA 31 (Risk Management – Guidelines on using ISO 31000 in management systems) veröffentlicht. Das International Workshop Agreement, vergleichbar einer DIN SPEC, stellt Leitlinien zur Integration und Nutzung der ISO 31000 in Managementsystemnormen zur Verfügung. Die Norm wird daher auch als allumfassende Klammer für das Managementsystem oder die Managementsysteme einer Organisation bezeichnet.
Die DIN ISO 31000 hilft Risiken zu identifizieren, zu analysieren und zu bewerten, damit diese angemessen behandelt werden können. Dieser Umgang mit Risiken entscheidet darüber, wie die betroffene Organisation auf allen Ebenen geführt wird und trägt zur Verbesserung der organisatorischen Managementsysteme bei. Das Risikomanagement sollte (wie die Managementsysteme, zu deren Klammer es wird) einem kontinuierlichen Verbesserungsprozess unterliegen. Konsequent angewendet wird es dauerhaft zu positiven Veränderungen beitragen. Es wird Werte schaffen und bewahren.
Dr. Frank Herdmann ist Inhaber der Auxilium Management Service, die kleine und mittelgroße Unternehmen bei der Organisation ihres Geschäfts unterstützt. Er leitet mehrere DIN-Gremien aus dem Bereich der Organisationsprozesse und vertritt den DIN als Experte für Managementsystemnormen bei der ISO. Es ist Autor mehrerer Publikationen zu Steuerungssystemen für Unternehmen. |
Publikation DIN Media Praxis 2021-03
Drei Schritte zur Aufrechterhaltung der Betriebsfähigkeitab 48,00 EUR inkl. MwSt.
ab 44,86 EUR exkl. MwSt.
Norm [AKTUELL] 2020-06
DIN EN ISO 22301:2020-06ab 112,30 EUR inkl. MwSt.
ab 104,95 EUR exkl. MwSt.
Norm [AKTUELL] 2020-10
DIN EN ISO 22313:2020-10ab 175,20 EUR inkl. MwSt.
ab 163,74 EUR exkl. MwSt.