WISSEN · SYSTEME · WERKZEUGE

Was ist die ISO 31000 und was ist ein Risikomanagementsystem?

Risikomanagement (Risk Management) nach ISO 31000 ist das Management von Risiko einer Organisation. Die Definitionen von Risiko mit Bezug zu Werten und Zielabweichungen legen es nahe, Risikomanagement als die Perspektive des Wertemanagements einer Organisation zu verstehen, die sich den möglichen, zukünftigen negativen Werten inhaltlich, strukturell sowie methodisch widmet. Risiken werden im Risikomanagement als Perspektive und Teil des Wertemanagements nach Art und Größe in Bezug auf die Werte gesteuert. Die wichtigste Frage ist die nach der Art und der Größe von Risiken, die eine Organisation eingehen will oder muss und die sie tragen kann. Abhängig von der Rechtsform der Organisation wird Risikomanagement zudem aus gesetzlicher oder freiwilliger Verpflichtung durchgeführt.


Welche Ausbildung benötigen Sie zur Einführung oder Betreuung Ihres Risikomanagementsystems nach ISO 31000?


Hier finden Sie eine Übersicht unserer Seminare, welche für die Einführung oder laufende Betreuung Ihres Risikomanagementsystems relevant sind. Wir machen Sie fit für alle Anforderungen eines modernen Risikomanagements und bilden Sie dadurch zum Risikomanagementbeauftragten nach ISO 31000 aus. Hier finden Sie die Übersicht zu unserem Gesamtangebot.


Definition des Begriffs "Risiko"

Risiko ist nicht eindeutig definiert. Die vielen Definitionen von Risiko aus verschiedenen sachverständigen Quellen weichen stark voneinander ab und sind zudem nicht alle komplementär zueinander. Selbst innerhalb der Welt der ISO / IEC Normen mit Bezug zu Risiko gibt es verschiedene Definitionen. Die zwei Definitionen (1) sowie (2) kommen aus praktischen Risikomanagementprojekten in Unternehmen. Die dritte Definition (3) ist aus der Norm DIN ISO 31000:2018 „Risikomanagement - Leitlinien“, Unterabschnitt 3.1, zitiert. Die vierte Definition (4) ist schließlich aus dem Prüfungsstandard PS 981 von 2017 des IDW zitiert.

(1) Risiko ist ein zukünftiger, ungewisser Schaden / Verlust aus der Wirkung einer Gefahr auf einen Wert.

Die funktionsbezogene Definition (1) zeigt Risiko in einer Ursache - Folge Beziehung zwischen Gefahr und Schaden / Verlust. Die Definition ist für Risikomanagement nützlich. Wichtig ist zudem der Wert als Mittelpunkt der Beziehung.

(2) Risiko ist ein ungewisser negativer Wertbeitrag zu einem zukünftigen Ergebnis.

Die sachbezogene Definition (2) zeigt Risiko zudem als eine Werteposition mit besonderen Eigenschaften. Die Definition ist für Risikobewertung nützlich. Wichtig ist der Wert als Thema (z. B. in ISO Normen: Qualität, Umwelt, Sicherheit, ...) und der Wert als Kategorie (z. B. in IDW Standards: strategischer, operativer, finanzieller Wert, ...).

(3) Risiko ... Auswirkung von Unsicherheit auf Ziele.

Die ISO 31000 Definition (3) zeigt Risiko darüber hinaus in Verbindung mit Zielen. Die Definition ist ein Beispiel für weitere Erklärungen und Beschreibungen ein- und desselben Sachverhalts.

(4) Risiken ... mögliche künftige Entwicklungen oder Ereignisse, die zu einer für das Unternehmen negativen (Risiko im engeren Sinne) oder positiven (Chance) Zielabweichung führen können.

Die IDW Definition (4) ist prosaisch schließlich eine Beschreibung der Ungewissheit der zukünftigen Entwicklung, wobei der IDW Begriff „Zielabweichung“ eine korrektere Beschreibung des Sachverhalts ist als der ISO Begriff „Ziel“.

Unsere Serviceangebote im Bereich Risikomanagement

Arten von Risiken

Aus den Definitionen von Risiko ist der Schluss zu ziehen, dass in Unternehmen nicht nur positive Werte, sondern auch ungewisse negative Werte (Risiken) einer Verantwortung unterstehen. Das trifft auch für Risiken zu, deren Ursache (Gefahr) nicht in dem Unternehmen liegt, wohl aber deren Folge (Schaden / Verlust). Die Betrachtungen zu Risiko treffen auch für Organisationen zu, die keine (finanziell gewinnorientierten) Unternehmen sind. Alle Organisationen schaffen Werte für ihre interessierten Parteien. Alle diese Werte sind Gefahren ausgesetzt.

(a) Die qualitative Art von Risiko wird durch die zugehörigen Werte festgelegt. So gibt es entsprechend der sachbezogenen Definition von Risiko Wertethemen nach ISO Normen (beispielsweise Qualität, Umwelt, Energie, ...) und entsprechend der IDW Definition Wertekategorien nach IDW Standard (z. B.: strategisch, operativ, finanziell, ...).

(b) Die quantitative Größe von Risiko wird durch zwei Parameter (Größe des Schadens [nach Eintritt des Schadensfalls] und zudem der Größe der Wahrscheinlichkeit [des Eintritts des Schadensfalls]) bemessen. Die grafische Visualisierung als Risikomatrix ist zur Risikoanalyse die viel zitierte Ikone des Risikomanagements.


Welche Vorlagen, Musterdokumente und Checklisten benötigen Sie zur Einführung oder Betreuung Ihres Risikomanagementsystems?


Hier finden Sie eine Auswahl wichtiger Vorlagen und Checklisten, welche Sie direkt in Ihrem Unternehmen zum Einsatz bringen können. Eine Übersicht aller Musterdokument und Vorlagen finden Sie in der Rubrik Musterdokumente zur ISO 31000.


Integration eines Risikomanagementsystems in das Qualitätsmanagement - Qualitätsrisikomanagement

Hat ein Wertemanagement den Wert der Qualität (gemäß ISO 9000:2015 und ISO 9001:2015) zum Gegenstand, so ist das zugehörige Risikomanagement ein Qualitätsrisikomanagement. In der Norm DIN EN ISO 9001:2015 „Qualitätsmanagementsysteme - Anforderungen“ wird ein Qualitätsmanagementsystem mit integriertem Risikomanagementsystem durch Anforderungen beschrieben. Die Beschreibung und die Anforderungen an die Perspektive des Risikomanagements sind dabei vage und unvollständig. So wird in der Norm häufig von „Behandlung von Risiken“ sowie vom „Umgang mit Risiken“ geschrieben und selten von Risikomanagement. In Einleitung und Anhang dieser Norm wird ein sogenanntes „Risikobasiertes Denken“ nicht gefordert, sondern nur beschrieben, welches wiederum in den Normabschnitten nur ein einiges Mal explizit gefordert wird.

In der Norm DIN EN ISO 14001:2015 sind die Beschreibungen und die Anforderungen bezüglich Risiko nicht konsistent mit denen aus der Norm DIN EN ISO 9001:2015.

Diese Inkonsistenz und Inkonsequenz des integrierten Risikomanagements in den aktuellen ISO Normen mit Anforderungen an Managementsysteme führte und führt zudem zu Missverständnissen mit diesen Revisionen der ISO Normen und zu erheblichen individuellen Aufwand in Unternehmen, diese Thematik zu klären.

Inhouse Risikomanagement ISO 31000 Schulungen und Beratung

Sie wünschen sich ein extra auf Ihre Bedürfnisse ausgerichtetes Seminar zum Risikomanagementprozess nach ISO 31000 in Ihrem Unternehmen? Mit unseren Inhouse Schulungen kommen wir zu Ihnen und schulen Sie zu Ihrem Wunschthema - sprechen Sie uns einfach an.

Generisches Risikomanagement nach ISO 31000

Es gibt zahlreiche Konzepte zur Planung und Umsetzung von ebenso zahlreichen Risikomanagementsystemen mit verschiedener Zielsetzung in Unternehmen. Im Folgenden wird eine entsprechende ISO Norm kurz beschrieben. Die Norm DIN ISO 31000:2018 „Risikomanagement - Leitlinien“ beschreibt Strukturen und Abläufe eines generischen Risikomanagements. Es sind in der Norm keine Werte und damit darüber hinaus keine Risiken vorgegeben. Es ist keine Form einer Organisation vorgegeben. Diese Norm hat eine völlig andere Struktur und eine völlig andere Zielsetzung als die ISO Normen mit Anforderungen an Managementsysteme. Die Norm stellt keine Anforderungen sondern, gibt Empfehlungen und ist nicht zur Zertifizierung vorgesehen. Die Norm hat eine begleitende, methodische Norm DIN EN IEC 31010:2010 „Risikomanagement - Verfahren zur Risikobeurteilung“.

(i) Die Norm kann zur Integration eines Risikomanagements in ein Wertemanagement genutzt werden. Das erfordert ebenfalls Anpassungen an die konkreten Werte und an die individuelle Organisation.

(ii) Die Norm kann zur Einrichtung eines unternehmensweiten Risikomanagements genutzt werden. Es bietet sich an, die relevanten definierten und Werte- bzw. die entsprechenden Risikokategorien aus (a) zu übernehmen und mit den Wertethemen zu verbinden.

(iii) Die Norm kann zur Verbesserung eines Projektrisikomanagements genutzt werden. Sie hat z. B. eine Empfehlung im „Aktionsplan Großprojekte“ (BMVI; 12.2015) der deutschen Bundesregierung.

(iv) Die Norm kann z. B. das Risikomanagement aus der Norm ISO 9001:2015 mit dem Risikomanagement nach dem IDW PS 981:2017 verknüpfen, und Risikomanagement in den zutreffenden großen Unternehmen in der Rechtsform einer Aktiengesellschaft durchgängig von „oben nach unten“ sowie von „unten nach oben“ transparenter machen.


SEMINARVORSCHAU
RISIKOMANAGEMENT ISO 31000 - ISO IEC 31010