Was ist ein ISO 31000 Risikomanagementsystem - Definition, Aufgaben & Ziele

Risikomanagement in Form eines integrierten Risikomanagementsystems nach ISO 31000 befasst sich mit den Risiken einer Organisation. Risikomanagement (Risk Management) ist als die Perspektive des Wertemanagements einer Organisation zu verstehen, die sich den möglichen, zukünftigen negativen Werten inhaltlich, strukturell sowie methodisch widmet. Risiken werden dabei als Perspektive und Teil des Wertemanagements nach Art und Größe in Bezug auf die Werte gesteuert. Die wichtigste Frage ist die nach der Art und der Größe von Risiken, die eine Organisation eingehen will oder muss und die sie tragen kann. Abhängig von der Rechtsform der Organisation wird Risikomanagement zudem aus gesetzlicher oder freiwilliger Verpflichtung durchgeführt.

Wie lautet die Definition der ISO 31000 und einem Risikomanagementsystem?

Die ISO 31000 ist eine international anerkannte Norm für Risikomanagement und definiert Risiko als die Auswirkung von Unsicherheit auf Ziele. Ein Risikomanagementsystem nach ISO 31000 ist ein umfassender und systematischer Ansatz zur Identifizierung, Bewertung, Behandlung und Überwachung von Risiken in einer Organisation.

Die Norm legt Grundsätze, Rahmenbedingungen und Prozesse für das Risikomanagement fest, die auf alle Arten von Risiken, unabhängig von Größe oder Komplexität der Organisation, anwendbar sind. Die Organisation soll in der Lage sein, Risiken besser zu managen und so ihre Ziele effektiver zu erreichen.

Das Risikomanagementsystem nach ISO 31000 berücksichtigt sowohl interne als auch externe Risiken und umfasst die Identifizierung und Bewertung von Chancen sowie von Risiken. Es beinhaltet auch die Definition von Risikokriterien, die Entwicklung von Risikobewertungsverfahren und die Implementierung von Risikobehandlungsplänen.

Was ist die Definition des Begriffs "Risiko"?

Es gibt verschiedene Definitionen für den Begriff "Risiko". Diese sind teilweise sehr unterschiedlich und nicht alle komplementär zueinander. Sogar die ISO / IEC Normen beinhalten teils verschiedene Definitionen bezüglich des Begriffs "Risiko". Wir stellen Ihnen im Folgenden einige dieser Definitionen vor. Sie sollten sich schließlich für eine zu Ihrer Organisation passende Definition entscheiden. Dabei gibt es kein richtig oder falsch, Sie sollten Ihre Entscheidung lediglich für den Auditor argumentieren können.

1. Risiko ... Auswirkung von Unsicherheit auf Ziele.
   Diese Definition aus der ISO 31000 stellt Risiko in Verbindung mit Zielen dar. Dabei stellt sie ein Beispiel dar für weitere Beschreibungen eines Sachverhalts.
2. Risiko ist ein zukünftiger, ungewisser Schaden / Verlust aus der Wirkung einer Gefahr auf einen Wert.
   Diese Definition ist funktionsbezogen, sie stellt das Risiko dar in einer Ursache-Folge-Beziehung zwischen Gefahr und Schaden.
3. Risiko ist ein ungewisser negativer Wertbeitrag zu einem zukünftigen Ergebnis.
   Diese Definition wiederum ist sachbezogen. Dabei ist das Risiko eine Werteposition und besitzt spezielle Eigenschaften. Diese Definition ist vor allem für die Risikobewertung hilfreich. Dabei gibt es zum einen den Wert als Thema (bspw. ISO Normen zu Qualität, Umwelt, etc.) und zum anderen den Wert als Kategorie (bspw. IDW Standards als strategisch, operativ, etc.)
4. Risiken ... mögliche künftige Entwicklungen oder Ereignisse, die zu einer für das Unternehmen negativen (Risiko im engeren Sinne) oder positiven (Chance) Zielabweichung führen können.
   Diese Definition der IDW beschreibt die Ungewissheit von Entwicklungen in der Zukunft. Der dabei verwendete Begriff "Zielabweichung" beschreibt den Sachverhalt konkreter als die ISO Norm mit dem Begriff "Ziel".

Wieso ist Risikomanagement für ein Unternehmen wichtig?

Oft wird Risikomanagement mit der Produktion oder Bereitstellung gefährlicher Produkte oder Dienstleistungen verbunden. Dabei ist Risikomanagement für jedes Unternehmen wichtig. Zum einen ist die oberste Leitung einer Aktiengesellschaft gemäß dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) haftbar, wenn keine Frühwarnung oder Vorsorge eines Risikomanagements im Betrieb stattfindet. Außerdem steht die oberste Leitung nach den Vorschriften für GmbH-Geschäftsführer (§ 43 Absatz 1 GmbH-Gesetz) und den Sorgfaltspflichten von Vorstandmitgliedern einer Aktiengesellschaft (§ 93 Absatz 1 Satz 1 Aktiengesetz) in der Pflicht, eine Sicherung des Vermögens vorzunehmen und eine Abwendung von Gefahren vom Unternehmen zu erreichen. Auch die ISO 9001 fordert eine Auseinandersetzung mit dem Risikobegriff. Es ist also wichtig, dass Führungskräfte ein überdurchschnittliches Risikobewusstsein besitzen.

Nur so kann ein gewissenhafter Umgang mit Krisen bzw. die Abwendung dieser stattfinden. Wie das Risikomanagement genau strukturiert ist, hängt wiederum stark von Branche, Größe und weiteren Faktoren im Unternehmenskontext ab.

Welche Aufgaben gilt es zur Einführung von Risikomanagement gemäß ISO 31000 zu erfüllen?

Für die Implementierung eines erfolgreichen Risikomanagements enthält die ISO 31000 entsprechende Leitlinien. Dabei beschreibt die Norm jedoch kein spezifisches Risikomanagement. Dieses ist in jedem Fall in ein Wertemanagement integriert. Das Wertemanagement sollte wiederum explizit, dokumentiert und kommuniziert sein. Zudem sollten dabei Ziele festgelegt werden. Die Prozesse im Risikomanagement richten sich dabei nach dem PDCA-Zyklus.

Im Folgenden stellen wir Ihnen die Risikomanagement Aufgaben in Form von sechs Schritten zur Einführung eines Risikomanagementsystems vor. Diese entsprechen den sechs Abschnitten der ISO 31000.

Schritt 1 - Anwendungsbereich festlegen

Im ersten Schritt der Risikomanagement Implementierung erfolgt die Festlegung des Anwendungsbereich. Dabei wird unter anderem der Kontext des betrieblichen Risikomanagements festgelegt. Zudem formulieren Sie hier den Grund der Einführung. Ebenso legen Sie die Werte fest, die dem Risikomanagement unterzogen werden und identifizieren den Wertschöpfungsprozess. Dabei können Sie ein erstes, simples Prozessschema skizzieren.

Schritt 2 - Normative Verweise identifizieren

Zur Einführung von einem Risikomanagementsystem nach ISO 31000 identifizieren Sie als nächste Aufgabe die für das Risikomanagement relevanten Standards und Normen sowie die entsprechenden Anforderungen. Beispielhaft hierfür ist die Qualitätsmanagementnorm ISO 9001. Des Weiteren könnten gesetzliche Regeln relevant sein, wie die DSGVO. Auch das Wertemanagement kann dabei bestimmten Anforderungen unterliegen.

Schritt 3 - Begriffe definieren

Als nächstes sollten alle für das Risikomanagement relevanten Begriffe festgelegt, definiert, dokumentiert und kommuniziert werden. In der Norm ISO 31000 sind dabei Empfehlungen für Begriffe enthalten, die genutzt werden sollen. Sie können allerdings auch eigene Begriffe und Definitionen wählen. Dabei sind unter anderem eigene betriebliche Begriffe relevant.

Schritt 4 - Grundsätze festlegen

Nun werden die Grundsätze für Ihr Risikomanagement formuliert, dokumentiert und kommuniziert. Dabei gibt es einige allgemeingültige Grundsätze:

• Integration
  Das Risikomanagement ist in das Wertemanagement integriert.
• Governance
  Die Verantwortung ist geregelt und dokumentiert.
• Compliance
  Die bindenden Verpflichtungen für den Prozess, für Werte und für Risiken der Organisation sind bekannt, dokumentiert und werden eingehalten.
• Konzept
  Risikomanagement gehört zur Strategie der Wertschöpfung der Organisation.
• Betrieb
  Effektivitäts- und Effizienzkriterien werden unter Risikokriterien betrachtet.
• Finanzen
  Risiken werden nach geldwerten Kriterien betrachtet. Das Risikomanagement wird finanziell budgetiert.

Zusätzlich können weitere Grundsätze von der Organisation frei gewählt werden. Diese Grundsätze gelten schließlich als bindende Verpflichtung der Führungsebene.

Schritt 5 - Rahmenwerk identifizieren

In diesem Schritt werden verschiedene Zusammenhänge identifiziert und festgelegt. Dazu zählen unter anderem alle Interessierten sowie Anforderungen an die Werte bzw. Risiken. Zudem erstellen Sie dabei die Ursache-Wirkungs-Zusammenhänge. Außerdem müssen Verantwortlichkeiten, Funktionen und Rollen von Personen festgelegt werden.

Hier finden Sie eine Übersicht unserer Seminare, welche für die Einführung oder laufende Betreuung Ihres Risikomanagementsystems relevant sind. Wir machen Sie fit für alle Anforderungen eines modernen Risikomanagements und bilden Sie dadurch zum Risikomanagementbeauftragten nach ISO 31000 aus. Hier finden Sie die Übersicht zu unserem Gesamtangebot.

Sie wünschen sich ein extra auf Ihre Bedürfnisse ausgerichtetes Seminar zum Risikomanagementprozess nach ISO 31000 in Ihrem Unternehmen? Mit unseren Inhouse Schulungen kommen wir zu Ihnen und schulen Sie zu Ihrem Wunschthema - sprechen Sie uns einfach an.

Risikomanagement bzw. ein Risikomanagementsystem gemäß ISO 31000 hat das Ziel, Organisationen dabei zu helfen, Risiken systematisch zu identifizieren, zu bewerten, zu behandeln und zu überwachen. Dadurch soll das Risikomanagement effektiver und effizienter gestaltet werden und zu einer besseren Entscheidungsfindung beitragen.

Konkret sollen mit der Anwendung der ISO 31000 folgende Ziele erreicht werden:

• Verbesserung der Entscheidungsfindung durch eine umfassende Bewertung von Risiken
• Reduzierung von Unsicherheit und Fehlern bei Entscheidungen durch ein systematisches Risikomanagement
• Optimierung von Geschäftsprozessen und Verbesserung der Geschäftsergebnisse durch eine bessere Kontrolle von Risiken
• Schutz von Vermögenswerten und des Images der Organisation durch ein effektives Risikomanagement
• Verbesserung der Fähigkeit der Organisation, auf unvorhergesehene Ereignisse zu reagieren und Krisen zu bewältigen.

Welche Arten von Risiken gibt es?

Aus den genannten Definitionen von Risiko ist der Schluss zu ziehen, dass in Unternehmen nicht nur positive Werte, sondern auch ungewisse negative Werte (Risiken) einer Verantwortung unterstehen. Das trifft auch für Risiken zu, deren Ursache (Gefahr) nicht im Unternehmen liegt, wohl aber deren Folge (Schaden / Verlust). Die Betrachtungen zu Risiko treffen auch für Organisationen zu, die keine (finanziell gewinnorientierten) Unternehmen sind. Alle Organisationen schaffen Werte für ihre interessierten Parteien. Alle diese Werte sind Gefahren ausgesetzt.

Die qualitative Art von Risiko wird durch die zugehörigen Werte festgelegt. So gibt es entsprechend der sachbezogenen Definition von Risiko Wertethemen nach ISO Normen (beispielsweise Qualität, Umwelt, Energie, etc.) und entsprechend der IDW Definition Wertekategorien nach IDW Standard (z. B.: strategisch, operativ, finanziell, etc.).

Die quantitative Größe von Risiko wird durch zwei Parameter (Größe des Schadens [nach Eintritt des Schadensfalls] und zudem der Größe der Wahrscheinlichkeit [des Eintritts des Schadensfalls]) bemessen. Die grafische Visualisierung als Risikomatrix ist zur Risikoanalyse die viel zitierte Ikone des Risikomanagements.

Integration eines Risikomanagementsystems in das Qualitätsmanagement - Qualitätsrisikomanagement

Die Integration eines Risikomanagementsystems in das Qualitätsmanagement ist ein wichtiger Schritt für Organisationen, um Risiken systematisch zu identifizieren, zu bewerten, zu behandeln und zu überwachen. Dabei geht es darum, das Risikomanagement als integralen Bestandteil des Qualitätsmanagements zu etablieren und nicht als separate Funktion oder Abteilung.

Im Folgenden sind einige Schritte aufgeführt, die bei der Integration eines Risikomanagementsystems in das Qualitätsmanagement hilfreich sein können:

• Festlegung von Zielsetzungen: Zunächst müssen klare Ziele für das Risikomanagement und das Qualitätsmanagement festgelegt werden. Dabei sollten die Ziele aufeinander abgestimmt sein, um eine gemeinsame Vision zu schaffen.
• Festlegung von Verantwortlichkeiten: Es ist wichtig, die Verantwortlichkeiten für das Risikomanagement und das Qualitätsmanagement festzulegen. Dazu gehört auch die Definition der Rollen und Zuständigkeiten.
• Risikobewertung: Eine Risikobewertung ist ein wesentlicher Bestandteil des Risikomanagements. Dabei sollten die Risiken im Zusammenhang mit den Auswirkungen und der Eintrittswahrscheinlichkeit bewertet werden.
• Risikobehandlung: Auf Basis der Risikobewertung können Maßnahmen zur Risikobehandlung abgeleitet werden. Diese Maßnahmen sollten in das Qualitätsmanagement integriert werden.
• Monitoring und Überwachung: Das Risikomanagement sollte kontinuierlich überwacht und bewertet werden. Dazu gehört auch die Überwachung der implementierten Maßnahmen und die regelmäßige Bewertung der Risiken.
• Verbesserungsprozess: Das Risikomanagement sollte in den kontinuierlichen Verbesserungsprozess des Qualitätsmanagements integriert werden. Auf Basis der Risikoanalyse können gezielte Verbesserungsmaßnahmen abgeleitet werden, um die Qualität der Produkte und Prozesse zu verbessern.

Die Integration eines Risikomanagementsystems in das Qualitätsmanagement erfordert eine sorgfältige Planung und Umsetzung. Eine kontinuierliche Überwachung und Bewertung ist dabei essentiell, um den Erfolg des Risikomanagementsystems sicherzustellen und eine kontinuierliche Verbesserung zu ermöglichen.

Hier finden Sie eine Auswahl wichtiger Vorlagen und Checklisten, welche Sie direkt in Ihrem Unternehmen zum Einsatz bringen können. Eine Übersicht aller finden Sie in der Rubrik Musterdokumente zur ISO 31000.

Es gibt zahlreiche Konzepte zur Planung und Umsetzung von ebenso zahlreichen Risikomanagementsystemen mit verschiedener Zielsetzung in Unternehmen. Im Folgenden wird eine entsprechende ISO Norm kurz beschrieben. Die Norm DIN ISO 31000:2018 „Risikomanagement - Leitlinien“ beschreibt Strukturen und Abläufe eines generischen Risikomanagements. Es sind in der Norm keine Werte und damit darüber hinaus keine Risiken vorgegeben. Es ist zudem keine Form einer Organisation vorgegeben. Diese Norm hat eine völlig andere Struktur und eine völlig andere Zielsetzung als die ISO Normen mit Anforderungen an Managementsysteme. Die Norm stellt außerdem keine Anforderungen, sondern gibt Empfehlungen und ist nicht zur Zertifizierung vorgesehen. Zudem hat sie eine begleitende, methodische Norm DIN EN IEC 31010:2010 „Risikomanagement - Verfahren zur Risikobeurteilung“.

• Sie können die Norm zur Integration eines Risikomanagements in ein Wertemanagement nutzen. Das erfordert ebenfalls Anpassungen an die konkreten Werte und an die individuelle Organisation.
• Sie können die Norm zur Einrichtung eines unternehmensweiten Risikomanagements nutzen. Es bietet sich an, die relevanten definierten und Werte- bzw. die entsprechenden Risikokategorien aus zu übernehmen und mit den Wertethemen zu verbinden.
• Die Norm kann zur Verbesserung eines Projektrisikomanagements genutzt werden. Sie hat z. B. eine Empfehlung im „Aktionsplan Großprojekte“ (BMVI; 12.2015) der deutschen Bundesregierung.
• Die Norm kann z. B. das Risikomanagement aus der Norm ISO 9001:2015 mit dem Risikomanagement nach dem IDW PS 981:2017 verknüpfen, und Risikomanagement in den zutreffenden großen Unternehmen in der Rechtsform einer Aktiengesellschaft durchgängig von „oben nach unten“ sowie von „unten nach oben“ transparenter machen.

Sie haben Fragen oder wünschen ein Angebot?
Ich helfe Ihnen gerne weiter!

Kati Schaefer
Produktmanagement Training
Tel.: 07231 92 23 91 - 0
E-Mail: kschaefer@vorest-ag.de

Unsere Serviceangebote im Bereich Risikomanagement

• Ausbildungen & Weiterbildungen - zu allen wichtigen Themen der ISO 30001
• Inhouse-Training - wir kommen zu Ihnen ins Haus
• Musterdokumente - im offenen Format zur Unterstützung Ihrer operativen Tätigkeit
• Fachzeitschrift ProSys - monatliche Fachinfos inklusive Musterdokumente