ISO 31000

Das Thema Ri­si­ko­ma­nage­ment ist so wichtig, dass es sich kein Un­ter­neh­men leisten kann, hierbei nach­läs­sig zu arbeiten. Gefahren – aber auch Chancen – gibt es in den ver­schie­dens­ten Bereichen des Un­ter­neh­mens, und die Ge­schäfts­füh­rung muss auf diese vor­be­rei­tet sein. Nur so kann man geeignete Lö­sungs­pro­zes­se einleiten. Um ein ver­nünf­ti­ges Ri­si­ko­ma­nage­ment­sys­tem (RMS) im Un­ter­neh­men zu eta­blie­ren, sollte sich die Or­ga­ni­sa­ti­ons­lei­tung an die Norm ISO 31000 halten.

Eine Un­ter­neh­mung ist immer mit wirt­schaft­li­chen, tech­ni­schen, stra­te­gi­schen und weiteren Un­wäg­bar­kei­ten verbunden. Diese Risiken lassen sich nicht aus­lö­schen – jedes Un­ter­neh­men muss sich mit ihnen aus­ein­an­der­set­zen. Ein Ri­si­ko­ma­nage­ment­sys­tem liefert An­wei­sun­gen und Prozesse, wie man in riskanten Si­tua­tio­nen zu reagieren hat, um möglichen Schaden so gut es geht zu begrenzen. ISO 31000 sieht Risiken aber nicht grund­sätz­lich als negativ an. Laut der Norm exis­tie­ren auch positive Risiken. Immer wenn es Un­si­cher­heit gibt, ob ein zu­künf­ti­ges Ereignis eine Ab­wei­chung der selbst­ge­steck­ten Ziele ver­ur­sacht, spricht man von einem Risiko.

Die In­ter­na­tio­na­le Or­ga­ni­sa­ti­on für Normung (ISO) hat ver­schie­de­ne Standards für das Ma­nage­ment fest­ge­legt: ISO 9001 befasst sich mit dem Qua­li­täts­ma­nage­ment, ISO 14001 liefert Richt­li­ni­en für das Um­welt­ma­nage­ment und ISO 50001 ist ein Standard für das En­er­gie­ma­nage­ment. ISO 31000 hingegen hat das Ri­si­ko­ma­nage­ment im Fokus. Hierbei handelt es sich um den Umgang mit ver­schie­dens­ten Risiken im Un­ter­neh­men. Die Norm ist so gestaltet, dass damit auf jegliche Risiken ein­ge­gan­gen werden kann, und die Anwendung des Systems ist auch nicht auf bestimmte Un­ter­neh­men fest­ge­legt. Sowohl KMUs als auch große Konzerne können ihr Un­ter­neh­men durch Im­ple­men­tie­rung der Richt­li­ni­en sicherer gestalten.

Im Gegensatz zu anderen ISO-Normen ist ISO 31000 konkret nicht für die Zer­ti­fi­zie­rung gedacht. Während man bei ver­gleich­ba­ren Standards sein System auf die vor­ge­ge­be­nen Richt­li­ni­en auslegt und dann nach einem be­stan­de­nen Audit ein ent­spre­chen­des in­ter­na­tio­nal gültiges Zer­ti­fi­kat erhält, ist das bei ISO 31000 nicht vor­ge­se­hen. Statt­des­sen soll die Norm als Hinweis oder Richt­li­nie ver­stan­den werden: Wer ein ef­fi­zi­en­tes RMS in seinem Un­ter­neh­men im­ple­men­tie­ren möchte, kann auf die Regeln zu­rück­grei­fen.

Die Norm besteht – neben ein­lei­ten­den Kapiteln und einem Anhang – aus Grund­sät­zen, einem Rah­men­werk und der Erklärung des Prozesses.

Mit elf Grund­sät­zen legt ISO 31000 ein Gerüst fest, an dem sich die weiteren Aus­füh­run­gen der Norm ori­en­tie­ren. Sie ver­deut­li­chen die Wich­tig­keit von Ri­si­ko­ma­nage­ment und geben grund­le­gen­de Hinweise zur Ge­stal­tung eines Ri­si­ko­ma­nage­ment­sys­tems.

• Werte: Ein RMS sorgt dafür, dass Un­ter­neh­mens­zie­le erreicht und damit Werte ge­schaf­fen werden.
• In­te­gra­ti­on: Ent­schei­det man sich, ein RMS im Un­ter­neh­men ein­zu­set­zen, muss man es auch in alle Bereiche in­te­grie­ren.
• Ent­schei­dun­gen: Trifft man Ent­schei­dun­gen, die die Zukunft des Un­ter­neh­mens betreffen, ist immer ein RMS hin­zu­zu­zie­hen.
• Un­si­cher­heit: Eine ungewisse Zukunft ist zentraler Be­stand­teil eines RMS und wird dort als Selbst­ver­ständ­lich­keit bewertet.
• Sys­te­ma­tik: Eine ver­nünf­ti­ge und zeit­ge­rech­te Struktur ist es­sen­zi­ell, damit das System auch funk­ti­ons­tüch­tig bleibt.
• In­for­ma­tio­nen: Grundlage für die Ent­schei­dun­gen anhand eines RMS sind alle ver­füg­ba­ren Daten.
• Anpassung: Das RMS muss maß­ge­schnei­dert sein und sich den Ge­ge­ben­hei­ten des Un­ter­neh­mens anpassen.
• Mensch: Ein gutes RMS nimmt die Faktoren Kultur und Mensch ernst und richtet sich daran aus.
• Trans­pa­renz: Alle be­tei­lig­ten Per­so­nen­grup­pen haben vollen Einblick in das RMS.
• Dynamik: Ein funk­ti­ons­tüch­ti­ges RMS passt sich neuen Ge­ge­ben­hei­ten pro­blem­los an.
• Ver­bes­se­rung: Ein kon­ti­nu­ier­li­cher Prozess lässt das RMS stetig besser werden.

Das vierte Kapitel von ISO 31000 be­schreibt ein Rah­men­werk für das Ri­si­ko­ma­nage­ment­sys­tem. Dieses ori­en­tiert sich an den Grund­sät­zen und stellt selbst wiederum fünf ver­schie­de­ne Punkte auf, nach denen sich ein System richten muss.

• In­te­gra­ti­on: Bevor ein Ri­si­ko­ma­nage­ment­sys­tem er­folg­reich im­ple­men­tiert werden kann, muss die genaue Struktur des Un­ter­neh­mens ver­stan­den werden. Das Ma­nage­ment legt daraufhin eine Strategie fest und ordnet Ver­ant­wor­tun­gen zu.
• Ge­stal­tung: Interne und externe Faktoren werden bei der Ge­stal­tung eines RMS be­rück­sich­tigt. In einer schrift­li­chen Erklärung bekennt sich die Or­ga­ni­sa­ti­ons­lei­tung zum Ri­si­ko­ma­nage­ment und macht allen Mit­ar­bei­tern die Strategie und Rol­len­ver­tei­lung klar.
• Im­ple­men­tie­rung: Um ein RMS im Un­ter­neh­men zu im­ple­men­tie­ren, bedarf es Än­de­run­gen in be­trieb­li­chen Abläufen. Ziel ist es, dass das System von allen Mit­ar­bei­tern ak­zep­tiert wird und Teil der all­täg­li­chen Arbeit ist.
• Bewertung: Um die Wirk­sam­keit lang­fris­tig zu ga­ran­tie­ren, müssen re­gel­mä­ßig Über­prü­fun­gen des RMS durch­ge­führt werden. Dabei ver­gleicht man die ge­steck­ten Ziele mit den tat­säch­li­chen Er­geb­nis­sen.
• Ver­bes­se­rung: Durch die re­gel­mä­ßi­gen Über­prü­fun­gen können auch ständige Ver­bes­se­run­gen durch­ge­führt werden. Das RMS soll sich dynamisch an die Ver­än­de­run­gen des Un­ter­neh­mens anpassen und so mit der Zeit immer besser ein­ge­stellt werden.

Wenn man das Rah­men­werk in seinem Un­ter­neh­men im­ple­men­tiert hat, geht es daran, Prozesse des Ri­si­ko­ma­nage­ments ein- und durch­zu­füh­ren. Im Gegensatz zum Rah­men­werk und den Grund­prin­zi­pi­en sind die Prozesse konkrete Hand­lun­gen, die auf das Un­ter­neh­men angepasst sind. Da ISO 31000 al­ler­dings allgemein für alle Un­ter­neh­men in jeglichen Branchen anwendbar sein soll, gibt die Norm auch hier nur anregende Hinweise. Diese müssen dann in der Rea­li­sa­ti­on an das Un­ter­neh­men angepasst werden.

Zwei Faktoren spielen dabei die größte Rolle: Kom­mu­ni­ka­ti­on und Ri­si­ko­be­ur­tei­lung. Die so­ge­nann­ten Stake­hol­der (laut ISO 31000 alle vom Ri­si­ko­ma­nage­ment be­ein­fluss­ten Personen) müssen über die Schritte der Im­ple­men­tie­rung in­for­miert werden. Durch Gespräche mit allen Mit­ar­bei­tern kann das RMS auch über die Zeit hinweg immer besser an die Be­dürf­nis­se des Un­ter­neh­mens angepasst werden.

Teil der Ri­si­ko­be­ur­tei­lung ist es, die möglichen Risiken zunächst zu iden­ti­fi­zie­ren. Hat man eine Übersicht der Risiken erstellt, werden diese an Ver­ant­wort­li­che verteilt. Diese Personen ana­ly­sie­ren die Risiken an­schlie­ßend und treffen auf Basis der Un­ter­su­chung eine Be­ur­tei­lung der Risiken. Die Ri­si­ko­be­ur­tei­lung gibt dann wiederum Hinweise dafür, in welchem Umfang und mit welchen Mitteln diesen möglichen Er­eig­nis­sen zu begegnen ist.

Hat man die Ein­schät­zung vor­ge­nom­men, kann die Steuerung der Risiken beginnen. Hierbei ist es möglich, bestimmte Risiken entweder komplett zu vermeiden, deren Ausmaß nur zu ver­rin­gern oder die Aus­wir­kun­gen zu ak­zep­tie­ren und nichts dagegen zu tun. Das Un­ter­neh­men kann sich ebenfalls ent­schei­den, die Hand­ha­bung an externe Dritte zu übergeben. Die Über­wa­chung von Risiken sowie die Be­richt­erstat­tung über die Er­kennt­nis­se schließen den Prozess ab.

Andere ISO-Normen rund um das Un­ter­neh­mens­ma­nage­ment haben den großen Vorteil, dass man eine ent­spre­chen­de Zer­ti­fi­zie­rung anstreben kann. Mit einem Zer­ti­fi­kat weist man auf in­ter­na­tio­na­ler Ebene die Umsetzung eines nor­mier­ten Systems nach. ISO 31000 bietet diese Option nicht und dennoch lohnt sich die Umsetzung der Richt­li­ni­en.

Ob ein Ri­si­ko­ma­nage­ment er­folg­reich ist oder nicht, kann un­ter­neh­mens­kri­ti­sche Folgen haben: Im­ple­men­tiert man ein un­zu­rei­chen­des RMS, können Risiken mitunter gar nicht oder nur zu spät iden­ti­fi­ziert werden. Ohne ver­nünf­ti­ges Ri­si­ko­ma­nage­ment­sys­tem gibt es außerdem keine ent­spre­chen­den An­wei­sun­gen, um Risiken zu steuern. In der ISO-31000-Norm findet man hingegen Hand­lungs­an­lei­tun­gen und Tipps, die von Experten aus­ge­ar­bei­tet wurden. Wer sich an die Richt­li­ni­en hält, hat somit ein sehr gutes System in seinem Un­ter­neh­men im­ple­men­tiert.

Doch die Ein­füh­rung oder die Um­stel­lung eines RMS nach ISO 31000 bringt auch einen Nachteil mit sich: Die Umsetzung ist zeit- und mitunter auch kos­ten­in­ten­siv. Die Norm verlangt eine tief­ge­hen­de Aus­ein­an­der­set­zung mit dem Thema. Not­wen­di­ge Än­de­run­gen lassen sich nicht in einer Be­spre­chung planen und dann innerhalb von wenigen Tagen ausführen. Statt­des­sen muss man sich intensiv mit seinem Un­ter­neh­men, möglichen Risiken und einem System zum Umgang mit ihnen befassen. Die Planung und Umsetzung bringt sehr viel Aufwand mit sich. Den ver­ant­wort­li­chen Personen müssen dafür auch Ka­pa­zi­tä­ten ein­ge­räumt werden. Das kann zu­sätz­li­che Kosten ver­ur­sa­chen.