Ende November 2008 wurde die Internationale Norm ISO 31000 "Risk Management - Prinicples and Guidelines" von der Expertengruppe verabschiedet. Gleichzeitig überarbeitete sie den ISO/IEC Guide 73 "Vocabulary". Diese beiden Dokumente sollen im Oktober 2009 veröffentlicht werden. Damit gibt es erstmals einen weltweit abgestützten Standard zum Risikomanagement, der eine wesentliche Erweiterung des (vor allem in der Revisoren-Gemeinschaft angewendeten - Stichworte SOX und OR 663 b12) amerikanischen COSO Regelwerkes darstellt.
ISO 31000 weist drei spezifische Merkmale auf: Es handelt sich erstens um einen umfassende Top-down-Ansatz, zweitens wird Risikomanagement als Führungsaufgabe (und nicht nur als Prozess) dargestellt und drittens handelt es sich um eine allgemein gehaltene Basis-Norm.
Der umfassende Top-down-Ansatz
Wir kennen viele sektorspezifische Risikomanagement-Normen. Sie beziehen sich jeweils auf ein Teilgebiet, etwa auf technische Systeme (Maschinen- oder Produktsicherheit), finanzielles Reporting (internes Kontrollsystem), Informationstechnologie oder Arbeitssicherheit. Demgegenüber befasst sich ISO 31000 mit allen möglichen Risiken einer Organisation. Es ist ein umfassender Top-down-Ansatz. Die erwähnten Teilgebiete sollen durch ISO 31000 nicht etwa ersetzt, sondern gestärkt werden. Im Vordergrund steht ein umfassender Führungsansatz, der sich mit den positiven und negativen Auswirkungen von Unsicherheit auf Ziele einer Organisation oder eines Unternehmens befasst.
Risikomanagement nach ISO 31000 fokussiert nicht nur die strategischen Risiken (Produkte, Technologien, Märkte, Kunden und die Veränderungen der Umfeldfaktoren), es schliesst auch alle nachgelagerten Risiken auf operationeller und prozessualer Führungsebene ein.
Abbildung 1: Der Top-down-Ansatz der ISO 31000
Der Top-down-Ansatz ist das Anliegen von Corporate Governance. Alle bekannten Codices (OECD, DE, AT, CH, usw.) bezeichnen das Risikomanagement als eine der wichtigsten Aufgaben der obersten Leitung. Aufsichtsrat, Verwaltungsrat und Management müssen sich fortlaufend mit den wesentlichen Risiken der Organisation befassen und Massnahmen treffen, um diese zu kennen, zu verstehen und nach Möglichkeit zu bewältigen. Dies kann nur verantwortungsvoll erfolgen, wenn die Stakeholder in die Risikodiskussion einbezogen werden.
Führungsaufgabe Risikomanagement
Die zweite Eigenheit von ISO 31000 besteht darin, dass es sich dabei um eine Führungsaufgabe handelt. In der Vergangenheit stellte das Risikomanagement den Prozess der Risikobeurteilung in den Mittelpunkt. ISO 31000 betrachtet den organisatorischen Rahmen für das Risikomanagement als gleichwertig. Dazu gehören die Management-Aufgaben der Planung, Umsetzung, Bewertung und Verbesserung, was als Deming-Kreis mit P-D-C-A-Zyklus bekannt ist. Damit definiert ISO 31000, was ein Risikomanagement-Framework oder ein Risikomanagement-System umfassen sollte, damit es langfristige Wirkung erzielt.
Abbildung 2: P-D-C-A-Zyklus des Risikomanagements
Teil des systemischen Ansatzes ist der Risikomanagement-Prozess. Er liefert das Vorgehen, um die Risiken zu erkennen, zu analysieren, zu bewerten und zu bewältigen. Der Prozess ist begleitet von Kommunikation und Informationsaustausch einerseits, von Überwachung und Überprüfung der Risiken andererseits.
Eine allgemein Basis-Norm und ihre konkrete Umsetzung
Eine weitere Eigenheit von ISO 31000 besteht darin, dass die Norm generisch, d. h. allgemein gehalten ist. Bei der Erarbeitung dieser Norm war es erklärtes Ziel, einerseits sektorspezifische Risikomanagement-Normen zu beeinflussen und andererseits regionale- und länderspezifische Richtlinien für die Anwendung der Basis-Norm zu erstellen.
In diesem Sinne hat British Standards eine eigene Umsetzungsversion veröffentlicht, die BS 31100. Eine noch substantiellere Richtlinie für die Anwendung der ISO 31000 ist die neue ONR 49000-Serie. Die frühere ONR ist nicht nur in die ISO 31000 eingeflossen. In der neuen ONR 49000 sind die wichtigsten Passagen von ISO 31000 in wesentlichen Teilen wörtlich übernommen. Drei Leitfäden sind bei der Anwendung von ISO 31000 behilflich.
- Leitfaden 1 "Einbettung des Risikomanagements in das Managementsystem"
- Leitfaden 2 "Methoden der Risikobeurteilung" und
- Leitfaden 3: "Notfall-, Krisen- und Kontinuitätsmanagement"
Die ONR 49000 Serie beschreibt auch die Anforderungen an die Qualifikation eines Risikomanagers. Damit befassen wir uns in einer nächsten RiskNET-Kolumne.
Autor:
Dr. Bruno Brühwiler, Geschäftsführer Euro Risk Limited, Experte in der ISO TMB Working Group Risk Management, Projektleiter ONR 49000 Serie.
Kommentare zu diesem Beitrag
Außerdem findet man in COSO vier Zielkategorien: Strategie, Geschäftsprozesse, Berichterstattung, Compliance.
ISO 31000 (vor allem in Kombination mit den ON-Regeln) ist stärker Praxis- und Unternehmensorientiert und weniger revisions- bzw. wirtschaftsprüferorientiert. So folgen die ON-Regeln der folgenden Struktur:
- ORN 49000 Begriffe (z. T. analog zu ISO Guide 73) und Grundlagen (RM-Konzept, RM in einem integrierten Managementsystem, Zielsetzung)
- ORN 49001 Elemente des RMS: Systemdokumentation, Verantwortung der Leitung bzgl. des RMS (Integration in das Führungssystem, Etablierung der Risikopolitik, Verantwortlichkeiten, Systembewertung), Management von Ressourcen (Ermittlung und Bereitstellung von Mitteln und qualifizierten Personen), RM-Prozess (Systemdefinition, Risikobeurteilung [Risikoanalyse, Risikobebewertung, Risikoaggregation], Risikobewältigung, Risikoüberwachung, Aufzeichnung des RM), Systemüberwachung, Verbesserung
- ORN 49002-1 Leitfaden für das RM: Regeln für das RM mit Hinweisen zu Umfeld und Grundlagen, Risikobeurteilung, Risikobewältigung, Umsetzung und Risikoüberwachung, informative Ausführungen zu Gefahrenlisten, Risikokategorien und wertorientiertes RM
- ORN 49002-2 Leitfaden für die Einbettung des RM in das Managementsystem: Prozessketten für den RM-Prozess, Integration des RM in Führungsprozesse
- ORN 49003 Anforderungen an die Qualifikation des Risikomanagers: Aus- und Weiterbildung, Qualifikation