Nach der Genehmigung durch die ISO-Mitgliedsorganisationen hat die Arbeitsgruppe Risikomanagement des ISO Technical Management Board im November 2009 die Norm ISO 31000:2009, Risikomanagement – Grundsätze und Leitlinien, veröffentlicht. Die Autoren haben die Norm so konzipiert, dass sie für jede Organisation und jede Art von Risiko anwendbar ist. Im Gegensatz zu den bekannten ISO-Qualitätsnormen ist die ISO 31000 jedoch nicht zertifizierungsfähig. In diesem Artikel werden die Struktur und die Schlüsselelemente der ISO 31000 Risikomanagement erläutert.

Für diejenigen, die mit der Norm AS/NZS 4360:2004 zum Risikomanagement vertraut sind, sollte diese ISO-Norm leicht zu erkennen sein. Wenn Ihr Unternehmen die AS/NZS-Norm übernommen hat, sollte der Übergang zu ISO 31000 relativ nahtlos erfolgen. Darüber hinaus bietet das Zusatzdokument, Risk Management Guidelines Companion to AS/NZS 4360:2004, eine Anleitung für die Gestaltung und Umsetzung von Risikobewertungs- und -managementtechniken. In ähnlicher Weise ist ISO/IEC 31010:2009 das Hilfsdokument, das die neue ISO 31000-Norm unterstützt.

Für diejenigen, die mit dem AS/NZS-Standard nicht vertraut sind, oder für diejenigen, die mit einem formalen, strukturierten Risikomanagementprozess nicht vertraut sind, wird der Rest dieses Artikels die Struktur und die Schlüsselelemente von ISO 31000 diskutieren.

Die beiden Hauptkomponenten des ISO 31000-Risikomanagementprozesses sind:

  • Das Rahmenwerk, das die Gesamtstruktur und den Betrieb des Risikomanagements in einer Organisation leitet; und

  • Der Prozess, der die eigentliche Methode zur Identifizierung, Analyse und Behandlung von Risiken beschreibt.

Rahmenwerk Das ISO 31000-Rahmenwerk spiegelt den PDCA-Zyklus (Plan, Do, Check, Act) wider, der allen Managementsystemkonzepten gemeinsam ist. In der Norm heißt es jedoch: „Dieses Rahmenwerk soll kein Managementsystem vorschreiben, sondern die Organisation dabei unterstützen, das Risikomanagement in ihr gesamtes Managementsystem zu integrieren“. Diese Aussage soll Organisationen dazu ermutigen, Elemente des Rahmenwerks bei Bedarf flexibel einzubauen.

Die wichtigsten Elemente des Frameworks sind:

  • Politik und Governance Stellt das Mandat bereit und demonstriert das Engagement der Organisation

  • Programmentwurf Entwurf des allgemeinen Rahmens für das laufende Risikomanagement

  • Implementierung Implementierung der Struktur und des Programms für das Risikomanagement

  • Überwachung und Überprüfung Aufsicht über die Struktur und Leistung des Managementsystems

  • Kontinuierliche Verbesserung Verbesserung der Leistung des gesamten Managementsystems

 

 

Organisationen, insbesondere solche, die noch nicht mit Managementsystemen vertraut sind, sollten sich darauf einstellen, dass sie viel Zeit für die Erstellung eines soliden Rahmenwerks aufwenden müssen, und den Drang vermeiden, direkt in den Prozess der Risikobewertung einzusteigen. Die Prozessgestaltung ist ein wichtiger Schritt, da das Rahmenwerk die Stabilität und Kontinuität bietet, um ein Programm zu etablieren und nicht nur ein Projekt auszuführen.

Zu den wichtigsten Elementen, die Unternehmen nicht übersehen sollten, gehören:

  • Engagement des Managements sowohl während der Umsetzung als auch langfristig, einschließlich:

    • Entwicklung und Genehmigung einer formellen Politik

    • Identifizierung und Zuweisung der erforderlichen Ressourcen, einschließlich ausreichender Fachkenntnisse und eines Budgets zur Aufrechterhaltung des Programms

    • Einrichtung eines regelmäßigen Überprüfungszyklus, um das Programm für das Management sichtbar zu machen und alle Teilnehmer zu motivieren

  • Entwicklung eines Programms, das sich in die Organisation, ihre Kultur und ihr Umfeld einfügt, einschließlich:

    • Verständnis der externen Kräfte – Branchentrends, regulatorische Anforderungen und Erwartungen der wichtigsten externen Interessengruppen

    • Verstehen der internen Kräfte – bestehende Führung, Organisationsstruktur, Kultur und organisatorische Fähigkeiten

Das Ausmaß, in dem eine Organisation eines dieser Elemente berücksichtigt und umsetzt, hängt vom Zweck und den Bedürfnissen der Organisation ab. Das Ziel ist ein sichtbares, angemessen ausgestattetes Programm, das mit der Kultur und den Zielen der Organisation vereinbar ist und langfristig Bestand hat.

 

Prozess Nachdem der Rahmen für das Risikomanagement festgelegt wurde, ist eine Organisation bereit, den Prozess zu entwickeln. Der Prozess ist nach der Definition von ISO 31000 „mehrstufig und iterativ; er dient der Identifizierung und Analyse von Risiken im organisatorischen Kontext“.

Zu den Hauptelementen des Prozesses gehören, wie im folgenden Diagramm zu sehen, die folgenden Punkte:

  • Aktive Kommunikation

    • Kommunikation und Konsultation mit allen Interessengruppen

  • Prozess-Ausführung

    • Den Kontext herstellen

    • Identifizierung von Risiken

    • Risikoanalyse

    • Risikobewertung

    • Risikobehandlung

  • Beaufsichtigung

    • Ähnlich wie beim Framework ist eine regelmäßige Überwachung und Überprüfung erforderlich

 

Wie im obigen Diagramm dargestellt, sollten die erste und dritte Aktivität regelmäßig während des Risikobewertungsprozesses stattfinden. Zu Beginn des Prozesses ist eine regelmäßige Kommunikation entscheidend, um die Interessen und Bedenken der Stakeholder zu verstehen und so den Fokus des Prozesses zu bestätigen. In späteren Phasen hilft die regelmäßige Kommunikation, die Gründe für Entscheidungen zu vermitteln und zu erklären, warum die Organisation bestimmte Risikobehandlungen benötigt. Darüber hinaus stellt die regelmäßige Überwachung sicher, dass die Organisation auf Veränderungen im Risikoumfeld und in den Prozessen reagiert und dass die Kontrollen effektiv funktionieren. Zusammen stellen diese Aktivitäten sicher, dass alle Beteiligten die Erwartungen klar verstehen und dass die Organisation Veränderungen so schnell wie möglich angeht.

Der eigentliche Prozess der Risikobewertung erfordert zunächst die Definition dessen, was ISO 31000 als „Kontext“ bezeichnet. Der Kontext ist eine Kombination aus dem externen und dem internen Umfeld, die beide in Bezug auf die Ziele und Strategien der Organisation betrachtet werden. Der Prozess der Kontextsetzung beginnt in der Rahmenphase mit der Untersuchung des internen und externen Umfelds der Organisation, aber das Management sollte diese Bewertung hier detaillierter fortsetzen und sich auf den Umfang des jeweiligen Risikomanagementprozesses konzentrieren.

Die verbleibenden Bewertungsschritte umfassen die Entwicklung von Techniken zur Identifizierung, Analyse und Bewertung spezifischer Risiken. Es gibt zwar zahlreiche dokumentierte Methoden und Techniken, aber alle sollten die folgenden Schlüsselelemente enthalten:

  • Identifizierung von Risiken

    • Identifizierung der Quellen eines bestimmten Risikos, der Wirkungsbereiche und möglicher Ereignisse einschließlich ihrer Ursachen und Folgen

    • Einstufung der Quelle als intern oder extern

  • Risikoanalyse

    • Identifizierung möglicher Folgen und Faktoren, die die Folgen beeinflussen

    • Bewertung der Wahrscheinlichkeitsrate

    • Identifizierung und Bewertung der derzeit vorhandenen Kontrollen

  • Risikobewertung

    • Vergleich der identifizierten Risiken mit den festgelegten Rick-Kriterien

    • Entscheidungen zur Behandlung oder Übernahme von Risiken unter Berücksichtigung interner, rechtlicher und regulatorischer Anforderungen sowie der Anforderungen externer Parteien

Wer sich für die einzelnen Risikobewertungstechniken und -methoden interessiert, sollte das bereits erwähnte Hilfsdokument ISO/IEC 31010 zu Rate ziehen. Beachten Sie, dass die Komplexität der Methoden und der Umfang der erforderlichen Analyse in hohem Maße von der Art des Unternehmens abhängt und dass das Management bei der Entwicklung eines geeigneten Ansatzes alle Beteiligten konsultieren sollte.

Insgesamt sollte das Management Risikobehandlungen entwickeln und umsetzen, um die Restrisiken auf ein für die wichtigsten Interessengruppen akzeptables Niveau zu reduzieren, und diese überwachen/anpassen, um Effizienz und Effektivität sicherzustellen.

Beziehung zu ASIS SPC.1-2009 und Business Continuity Die Veröffentlichung von ISO 31000 und ASIS SPC.1 Organizational Risk in unmittelbarer Nähe zueinander warf mehrere Fragen auf. Da beide auf Managementsystemen basieren, sollte die Branche sie als gleichwertig oder austauschbar betrachten? Wie verhalten sie sich zur Geschäftskontinuität? Und welcher, wenn überhaupt, ist eine solide Grundlage für das Enterprise Risk Management (ERM)?

Während beide Standards die Managementsystemprozesse nutzen und eine ähnliche Prozessstruktur beschreiben, ist SPC.1 etwas eingeschränkter und definiert Organizational Resilience im Sinne von Sicherheit, Bereitschaft und Kontinuität, während ISO 31000 einen breiteren – vielleicht eher strategischen – Fokus hat.

Was die Geschäftskontinuität betrifft, so ist sie nur eine der vielen Risikobehandlungen, die ein strategischeres Risikomanagementprogramm gemäß ISO 31000 ausmachen würden. Folglich sollte die Geschäftskontinuität als eine Unterkomponente des in ISO 31000 beschriebenen Risikomanagementprogramms betrachtet werden, da sie sich mit einem bestimmten Risiko befasst (Verfügbarkeit von Prozessen, Ressourcen und Technologien).

Schlussfolgerungen Insgesamt bieten die in ISO 31000 beschriebenen und durch die ISO/IEC 31010 unterstützten Risikomanagementprinzipien und -prozesse ein robustes System, das es einer Organisation ermöglicht, ein wiederholbares, proaktives und strategisches Programm zu entwerfen und umzusetzen. Die Gestaltung spezifischer Programmelemente ist in hohem Maße von den Zielen, Ressourcen und Umständen der einzelnen Organisation abhängig. Unabhängig von der Implementierungsebene sollte die Beteiligung des Managements an der Festlegung der Richtung und der regelmäßigen Überprüfung der Ergebnisse Teil jedes Programms sein. Dadurch wird nicht nur das Risikomanagement verbessert, sondern auch ein angemessener Umgang mit Risiken auf der Grundlage der Unternehmensziele und langfristigen Strategien sichergestellt.