ISO 31000

Das Thema Risikomanagement ist so wichtig, dass es sich kein Unternehmen leisten kann, hierbei nachlässig zu arbeiten. Gefahren – aber auch Chancen – gibt es in den verschiedensten Bereichen des Unternehmens, und die Geschäftsführung muss auf diese vorbereitet sein. Nur so kann man geeignete Lösungsprozesse einleiten. Um ein vernünftiges Risikomanagementsystem (RMS) im Unternehmen zu etablieren, sollte sich die Organisationsleitung an die Norm ISO 31000 halten.

Eine Unternehmung ist immer mit wirtschaftlichen, technischen, strategischen und weiteren Unwägbarkeiten verbunden. Diese Risiken lassen sich nicht auslöschen – jedes Unternehmen muss sich mit ihnen auseinandersetzen. Ein Risikomanagementsystem liefert Anweisungen und Prozesse, wie man in riskanten Situationen zu reagieren hat, um möglichen Schaden so gut es geht zu begrenzen. ISO 31000 sieht Risiken aber nicht grundsätzlich als negativ an. Laut der Norm existieren auch positive Risiken. Immer wenn es Unsicherheit gibt, ob ein zukünftiges Ereignis eine Abweichung der selbstgesteckten Ziele verursacht, spricht man von einem Risiko.

Die Internationale Organisation für Normung (ISO) hat verschiedene Standards für das Management festgelegt: ISO 9001 befasst sich mit dem Qualitätsmanagement, ISO 14001 liefert Richtlinien für das Umweltmanagement und ISO 50001 ist ein Standard für das Energiemanagement. ISO 31000 hingegen hat das Risikomanagement im Fokus. Hierbei handelt es sich um den Umgang mit verschiedensten Risiken im Unternehmen. Die Norm ist so gestaltet, dass damit auf jegliche Risiken eingegangen werden kann, und die Anwendung des Systems ist auch nicht auf bestimmte Unternehmen festgelegt. Sowohl KMUs als auch große Konzerne können ihr Unternehmen durch Implementierung der Richtlinien sicherer gestalten.

Im Gegensatz zu anderen ISO-Normen ist ISO 31000 konkret nicht für die Zertifizierung gedacht. Während man bei vergleichbaren Standards sein System auf die vorgegebenen Richtlinien auslegt und dann nach einem bestandenen Audit ein entsprechendes international gültiges Zertifikat erhält, ist das bei ISO 31000 nicht vorgesehen. Stattdessen soll die Norm als Hinweis oder Richtlinie verstanden werden: Wer ein effizientes RMS in seinem Unternehmen implementieren möchte, kann auf die Regeln zurückgreifen.

Die Norm besteht – neben einleitenden Kapiteln und einem Anhang – aus Grundsätzen, einem Rahmenwerk und der Erklärung des Prozesses.

Mit elf Grundsätzen legt ISO 31000 ein Gerüst fest, an dem sich die weiteren Ausführungen der Norm orientieren. Sie verdeutlichen die Wichtigkeit von Risikomanagement und geben grundlegende Hinweise zur Gestaltung eines Risikomanagementsystems.

• Werte: Ein RMS sorgt dafür, dass Unternehmensziele erreicht und damit Werte geschaffen werden.
• Integration: Entscheidet man sich, ein RMS im Unternehmen einzusetzen, muss man es auch in alle Bereiche integrieren.
• Entscheidungen: Trifft man Entscheidungen, die die Zukunft des Unternehmens betreffen, ist immer ein RMS hinzuzuziehen.
• Unsicherheit: Eine ungewisse Zukunft ist zentraler Bestandteil eines RMS und wird dort als Selbstverständlichkeit bewertet.
• Systematik: Eine vernünftige und zeitgerechte Struktur ist essenziell, damit das System auch funktionstüchtig bleibt.
• Informationen: Grundlage für die Entscheidungen anhand eines RMS sind alle verfügbaren Daten.
• Anpassung: Das RMS muss maßgeschneidert sein und sich den Gegebenheiten des Unternehmens anpassen.
• Mensch: Ein gutes RMS nimmt die Faktoren Kultur und Mensch ernst und richtet sich daran aus.
• Transparenz: Alle beteiligten Personengruppen haben vollen Einblick in das RMS.
• Dynamik: Ein funktionstüchtiges RMS passt sich neuen Gegebenheiten problemlos an.
• Verbesserung: Ein kontinuierlicher Prozess lässt das RMS stetig besser werden.

Das vierte Kapitel von ISO 31000 beschreibt ein Rahmenwerk für das Risikomanagementsystem. Dieses orientiert sich an den Grundsätzen und stellt selbst wiederum fünf verschiedene Punkte auf, nach denen sich ein System richten muss.

• Integration: Bevor ein Risikomanagementsystem erfolgreich implementiert werden kann, muss die genaue Struktur des Unternehmens verstanden werden. Das Management legt daraufhin eine Strategie fest und ordnet Verantwortungen zu.
• Gestaltung: Interne und externe Faktoren werden bei der Gestaltung eines RMS berücksichtigt. In einer schriftlichen Erklärung bekennt sich die Organisationsleitung zum Risikomanagement und macht allen Mitarbeitern die Strategie und Rollenverteilung klar.
• Implementierung: Um ein RMS im Unternehmen zu implementieren, bedarf es Änderungen in betrieblichen Abläufen. Ziel ist es, dass das System von allen Mitarbeitern akzeptiert wird und Teil der alltäglichen Arbeit ist.
• Bewertung: Um die Wirksamkeit langfristig zu garantieren, müssen regelmäßig Überprüfungen des RMS durchgeführt werden. Dabei vergleicht man die gesteckten Ziele mit den tatsächlichen Ergebnissen.
• Verbesserung: Durch die regelmäßigen Überprüfungen können auch ständige Verbesserungen durchgeführt werden. Das RMS soll sich dynamisch an die Veränderungen des Unternehmens anpassen und so mit der Zeit immer besser eingestellt werden.

Wenn man das Rahmenwerk in seinem Unternehmen implementiert hat, geht es daran, Prozesse des Risikomanagements ein- und durchzuführen. Im Gegensatz zum Rahmenwerk und den Grundprinzipien sind die Prozesse konkrete Handlungen, die auf das Unternehmen angepasst sind. Da ISO 31000 allerdings allgemein für alle Unternehmen in jeglichen Branchen anwendbar sein soll, gibt die Norm auch hier nur anregende Hinweise. Diese müssen dann in der Realisation an das Unternehmen angepasst werden.

Zwei Faktoren spielen dabei die größte Rolle: Kommunikation und Risikobeurteilung. Die sogenannten Stakeholder (laut ISO 31000 alle vom Risikomanagement beeinflussten Personen) müssen über die Schritte der Implementierung informiert werden. Durch Gespräche mit allen Mitarbeitern kann das RMS auch über die Zeit hinweg immer besser an die Bedürfnisse des Unternehmens angepasst werden.

Teil der Risikobeurteilung ist es, die möglichen Risiken zunächst zu identifizieren. Hat man eine Übersicht der Risiken erstellt, werden diese an Verantwortliche verteilt. Diese Personen analysieren die Risiken anschließend und treffen auf Basis der Untersuchung eine Beurteilung der Risiken. Die Risikobeurteilung gibt dann wiederum Hinweise dafür, in welchem Umfang und mit welchen Mitteln diesen möglichen Ereignissen zu begegnen ist.

Hat man die Einschätzung vorgenommen, kann die Steuerung der Risiken beginnen. Hierbei ist es möglich, bestimmte Risiken entweder komplett zu vermeiden, deren Ausmaß nur zu verringern oder die Auswirkungen zu akzeptieren und nichts dagegen zu tun. Das Unternehmen kann sich ebenfalls entscheiden, die Handhabung an externe Dritte zu übergeben. Die Überwachung von Risiken sowie die Berichterstattung über die Erkenntnisse schließen den Prozess ab.

Andere ISO-Normen rund um das Unternehmensmanagement haben den großen Vorteil, dass man eine entsprechende Zertifizierung anstreben kann. Mit einem Zertifikat weist man auf internationaler Ebene die Umsetzung eines normierten Systems nach. ISO 31000 bietet diese Option nicht und dennoch lohnt sich die Umsetzung der Richtlinien.

Ob ein Risikomanagement erfolgreich ist oder nicht, kann unternehmenskritische Folgen haben: Implementiert man ein unzureichendes RMS, können Risiken mitunter gar nicht oder nur zu spät identifiziert werden. Ohne vernünftiges Risikomanagementsystem gibt es außerdem keine entsprechenden Anweisungen, um Risiken zu steuern. In der ISO-31000-Norm findet man hingegen Handlungsanleitungen und Tipps, die von Experten ausgearbeitet wurden. Wer sich an die Richtlinien hält, hat somit ein sehr gutes System in seinem Unternehmen implementiert.

Doch die Einführung oder die Umstellung eines RMS nach ISO 31000 bringt auch einen Nachteil mit sich: Die Umsetzung ist zeit- und mitunter auch kostenintensiv. Die Norm verlangt eine tiefgehende Auseinandersetzung mit dem Thema. Notwendige Änderungen lassen sich nicht in einer Besprechung planen und dann innerhalb von wenigen Tagen ausführen. Stattdessen muss man sich intensiv mit seinem Unternehmen, möglichen Risiken und einem System zum Umgang mit ihnen befassen. Die Planung und Umsetzung bringt sehr viel Aufwand mit sich. Den verantwortlichen Personen müssen dafür auch Kapazitäten eingeräumt werden. Das kann zusätzliche Kosten verursachen.