Risikomanagement ist ein übergeordnetes Führungsinstrument. Es greift wesentlich früher als eine Kontrolle. Risikomanagement hat die Früherkennung, die Prävention und auch die Reaktion auf eingetretene Risiken zum Gegenstand und soll die menschlichen Handlungen auf die Ziele von Organisationen abstimmen. Um kulturelle und branchenspezifische Unterschiede eliminieren zu können, sind anerkannte Normen notwendig. Sie stellen einen meist global akzeptierten Konsens über einen bestimmten Sachverhalt dar. Die Anwendung gleicher Normen beispielsweise in China sowie in der Schweiz unterstützt dieselbe Auffassung von erfolgreicher Unternehmensführung, wodurch der internationale Handel gefördert und Mehrwerte geschaffen werden.
Die ONR 49000-Normenserie "Risikomanagement für Organisationen und Systeme, Anwendung der ISO 31000 in der Praxis" von Austrian Standards dient als Umsetzungshilfe für das Risikomanagement nach ISO 31000. ISO 31000 beschreibt die Grundsätze und Richtlinien zur Anwendung von Risikomanagement in Organisationen und Unternehmen. Die Norm befindet sich aktuell auf Platz 5 der angewendeten ISO-Standards und wurde kürzlich durch die OECD zum "de facto world standard" erklärt.
Am 1. Januar 2014 wurde die vierte Version der ONR-Normenreihe veröffentlicht. Als Ganzes hat diese ihre Struktur beibehalten. ISO 31000 ist in den Normen 49000 und 49001 enthalten. In ONR 49002 werden mit drei Leitfäden die Einbettung des Risikomanagements in das Managementsystem, Methoden zur Risikobeurteilung sowie Anleitungen, wie das Notfall- und Krisenmanagement als Bestandteile des Risikomanagements abgebildet werden können, dargestellt. ONR 49003 definiert die Anforderungen an die Qualifikationen eines Risikomanagers. Inhaltlich wurden diverse Erweiterungen und Präzisierungen vorgenommen. Im Folgenden wird auf diese Änderungen eingegangen, wobei aber kein Anspruch auf Vollständigkeit besteht.
Wichtige Neuerungen mit der Version 2014
In der ONR 49000 (Begriffe und Grundlagen) werden der Begriff "Risiko" und damit verbundene Begriffe weiter gefasst als früher. Während sie sich bisher analog ISO 31000 lediglich auf ökonomische Ziele bezogen, werden Unsicherheiten neu auch bezüglich Tätigkeiten und Anforderungen betrachtet. Durch diese Erweiterung ist es der ONR gelungen, einen wichtigen Schritt in Richtung eines gesamtheitlichen Normenwerks zu schaffen, in welchem sich die verschieden Instrumente eines umfassenden Risiko-, Kontroll- und Interventionsmanagements sinnvoll ergänzen. Als Umsetzungshilfe werden Ursachen für Unsicherheiten beispielhaft aufgezeigt. Zudem wird der Begriff des "credible worst case" präzisiert. Die Glaubwürdigkeit eines Szenarios wird bereits als gegeben erachtet, wenn es aufgrund von Expertenwissen als möglich und begründet angesehen werden muss, auch wenn es noch nie eingetreten ist. Damit kann der oft missbräuchlichen Verwendung der Schwarzen Schwäne ("black swans") entgegengewirkt werden.
Die Umsetzung des Risikomanagements wird durch massgebliche Neuerungen in der ONR 49001 (Umsetzung von ISO 31000 in der Praxis) unterstützt. Der Teil "Risikomanagement-System" präsentiert sich in der neuen ISO-Normenstruktur gemäss ISO Annex SL. Mit diesem Schritt ist die Vergleichbarkeit mit anderen ISO-Standards gegeben und wird die gleichartige betriebsinterne Umsetzung ermöglicht. Die Verantwortlichkeiten sind an einem Ort zusammengefasst und übersichtlich dargestellt. Mittels der Definition der Rolle des Risikoeigners lässt sich die Integration des Risikomanagements in den Führungsablauf besser herleiten. Neu ist ein unterjähriger Betriebsprozess im Kontext zum Planungs- und Führungszyklus dargestellt. Diese Darstellung kann als Basis für die Umsetzung des Risikomanagements im Betrieb dienen. Zur Bestimmung der Reife des eingesetzten Systems ist der Begriff des Reifegradmodells enthalten. In einem zusätzlichen Anhang sind zudem Informationen aufgeführt, wie das schon bisher empfohlene Audit des Risikomanagementsystems durchgeführt werden kann. Den Humanfaktoren wird als Ursache für Fehler und auch als wichtige Komponente bei der Bewältigung von Risiken und Ereignissen Raum gegeben und damit ihre grosse Bedeutung unterstrichen.
ONR 49002 (Leitfaden) beantwortet neu in einem eigenen Abschnitt Fragen zur Umsetzung des Risikomanagements in komplexen Organisationen. Es wird auf die Verantwortung der obersten Leitung, die Konsolidierung von Risiken sowie auf Querschnittsrisiken eingegangen. Das Methodenset wurde für präventive und reaktive Zwecke erweitert. So sind neu Kreativitätstechniken wie "world café" oder "citizen conference", sowie für die Systemanalyse nach kritischen Ereignissen das "London protocol" erklärt. Zur besseren Präsentation des Notfall-, Krisen- und Kontinuitätsmanagements als Bestandteil des Risikomanagements dienen überarbeitete und erweiterte Darstellungen.
Für die Implementation und den Betrieb des Risikomanagements nach der überarbeiteten Norm ist eine angepasste Befähigung der Risikomanager notwendig. ONR 49003 (Anforderungen an die Qualifikation des Risikomanagers) beinhaltet daher diverse Anpassungen, damit das mit der neuen Norm weiter gefasste Risikomanagement besser als Führungsinstrument aufgebaut und betrieben werden kann.
Mehrwert für Organisationen und Unternehmungen
Der Mehrwert der Neuerungen hängt grundsätzlich von organisationsspezifischen Faktoren ab. Die folgenden drei Neuerungen können aber aus der Sicht der Autoren unabhängig von der Organisation oder der Unternehmung einen deutlichen Mehrwert generieren:
- Stärkung des Risikomanagements durch die Integration in den Führungsprozess: Durch die vertiefte Behandlung der Humanfaktoren wird deutlich, dass Risikomanagement eine nicht delegierbare Führungsaufgabe darstellt. Die Auseinandersetzung mit den Humanfaktoren als Risikoquelle und als entscheidenden Faktor bei der Risikobewältigung schafft eine Grundlage, Risikomanagement als eines der zentralen Führungsinstrumente zu stärken. Dessen Auswirkungen greifen viel früher als erst bei Kontrollen und reaktiven Massnahmen. Dieses Verständnis führt dazu, dass Unternehmungen kalkuliert mehr Risiken eingehen und Gewinnchancen wahrnehmen können.
In den Führungsprozess wird das Risikomanagement mittels klarer Definition der Verantwortlichkeiten integriert. Analog dem Modell der "three lines of defense" sind Führungskräfte für Erfolg und Risiko verantwortlich. Sie stellen die Befähigung der involvierten Personen sowie die Früherkennung und das Massnahmencontrolling sicher. Bekannten Mängeln und Fehlerquellen haben sie im Sinne des kontinuierlichen Verbesserungsprozesses mit angemessenen technischen, rechtlichen oder organisatorischen Massnahmen zu begegnen. Die konsequente Ausrichtung des Risikomanagements auf diese Philosophie ist schwergewichtig Aufgabe der Risikomanager. Diese benötigen für die Wahrnehmung der eigenen Rolle und für die Förderung des Rollenverständnisses in der ganzen Organisation neben dem Wissen über Risikomanagement noch bessere Kenntnisse bezüglich Organisation, Führung und Kommunikation. - Grundlage für ein integriertes Risiko-Kontroll- und -Reaktionsmanagement geschaffen: Durch die Öffnung des Risikobegriffs ist Raum geschaffen worden, um weitere Teildisziplinen eines integrierten Risikomanagements sinnvoll anknüpfen zu können. Risiken bezüglich Prozessen (Tätigkeiten) können nun im System berücksichtigt werden und ein Übergang zum Kontrollmanagement (beispielsweise IKS, Arbeitssicherheit etc.) ist geschaffen worden. Insbesondere die in Deutschland aufgrund der bisherigen engen Risikodefinition gemäss ISO-Standard problematische Integration beispielsweise von Safety-Themen in ein übergeordnetes Risikomanagementsystem erscheint nun möglich. Die explizite Gleichstellung von externen Anforderungen an die Organisation mit den Zielen der Organisation schafft Raum für die Verknüpfung mit Compliance-Überlegungen. Innovative Organisationen können durch diese neue Definition des Risikobegriffs eine integrierte, risikobasierte Unternehmensführung aufbauen und betreiben. Synergien von Managementsystemen werden genutzt und Doppelspurigkeiten minimiert, Effektivität und Effizienz der ganzen Organisation werden deutlich gesteigert.
- Vereinfachtes Normenmanagement und vereinfachte Schulung: Die Gliederung von ONR 4900x:2014 ist nach der neuen Struktur der ISO Management System Standards (ISO MSS) aufgebaut. Den gleichen Aufbau weisen die neue ISO-Norm 9001 (Qualitätsmanagement) und die ISO-Normen 14001 (Umweltmanagement) sowie 27001 (Informationssicherheitsmanagement) auf. Durch die einheitliche Struktur wird der administrative Aufwand für das Normenmanagement reduziert und die Umsetzung wird dank den einheitlichen Ansätzen vereinfacht. Das hat weiter zur Folge, dass beispielsweise Schulungen von Mitarbeitenden effizienter gestaltet und der Schulungsaufwand reduziert werden kann.
Fazit
Risikomanagement-Standards unterstützten uns dabei, Ziele zu erreichen, Tätigkeiten gut zu erledigen und Anforderungen (Gesetze, Best Practices) zu erfüllen. Mit der überarbeiteten Normenfamilie ist es Austrian Standards gelungen, eine sehr gute und zukunftsorientierte Grundlage für die Weiterentwicklung des Risikomanagements vorzulegen. Das Risikomanagement wird noch stärker auf seine eigentliche Aufgabe ausgerichtet: Zielabweichungen frühzeitig erkennen und durch geeignete präventive oder reaktive Massnahmen den Eintritt verhindern oder die Auswirkungen eines Eintrittes minimieren. In einigen Punkten reicht die überarbeitete ONR-Norm weiter als die Internationale Norm ISO 31000. Die zurzeit laufende, begrenzte Revision von ISO 31000 wird kaum sämtliche Erweiterungen der ONR aufnehmen können. Deshalb ist es für Risikomanager spannend zu beobachten, wie sich die zwei Regelwerke künftig ergänzen.
Die Autoren:
Nicole Heynen, Eidg. Dipl. Versicherungsfachfrau, Co-Sektionsleiterin Risiko- und Versicherungsmanagement, Eidg. Finanzverwaltung EFV, Bern
Nicole Heynen ist Absolventin des Lehrganges Master of Advanced Studies in Risk Management an der Hochschule Luzern – Wirtschaft, in Luzern.
Andreas Wartenweiler, Betriebsökonom FH, Leiter Risk Management Gruppe und Mitglied der Direktion bei Helsana Versicherungen AG, Zürich
Andreas Wartenweiler ist Absolvent des Lehrganges Master of Advanced Studies in Risk Management an der Hochschule Luzern – Wirtschaft, in Luzern.
Weiterführender Literaturhinweis:
Austrian Standards Institute (Hrsg.): Normensammlung Risikomanagement – Die wichtigsten Normen und Regeln mit einer kompakten Einführung in das Thema; 2., aktualisierte Auflage, 206 Seiten, Austrian Standards plus Publishing, Wien 2014, ISBN 978-3-85402-295-4
Risikomanagement hat zum Ziel, die Unsicherheit von Entscheidungen zu vermindern, die Zielerreichung von Organisationen zu verbessern und die Sicherheit von Systemen zu erhöhen. Diese Normensammlung beinhaltet alle Normen und ONRs zum Risikomanagement auf aktuellem Stand (2014 01 01):
- Risikomanagement – Grundsätze und Richtlinien (ÖNORM ISO 31000)
- Begriffe und Grundlagen (ONR 49000)
- Risikomanagement (ONR 49001)
- Leitfaden für die Einbettung des Risikomanagements in das Managementsystem (ONR 49002-1)
- Leitfaden für die Methoden der Risikobeurteilungen (ONR 49002-2)
- Leitfaden für das Krisen- und Kontinuitätsmanagement (ONR 49002-3)
- Anforderungen an die Qualifikation des Risikomanagers (ONR 49003)
Alle in dieser Dokumentensammlung enthaltenen Normen gelten für alle Branchen und Bereiche aus Wirtschaft und Gesellschaft, das heißt für Organisationen, Unternehmen, Behörden, Vereine, Gesundheitseinrichtungen – unabhängig davon, ob gewinnorientiert oder nicht. Ihr Plus: Eine kompakte Einleitung zur gesamten ONR-Serie 49000.