Working Group "Core Risk Management Standards"

Revision der ISO 31000 Risk Management


Revision der ISO 31000 Risk Management News

Die Internationale Organisation für Normung (ISO, International Standard Organisation) beschreibt in der ISO 31000 "Risk Management  – Principles and guidelines" die Grundsätze, das Framework und den Prozess für das Management von Risiken in jeder Art von privaten Unternehmen und öffentlichen Organisationen. Die Anwendung des internationalen Standards soll Organisationen und Unternehmen helfen, dass sie ihre Ziele zuverlässig erreichen, dabei Chancen und Bedrohungen systematisch identifizieren und die Ressourcen für den Umgang mit Risiken wirksam einsetzen. Damit ist die ISO 31000 ist ein wesentlicher Beitrag, um die Anforderungen einer "guten" Corporate Governance zu erfüllen. Die OECD bezeichnete kürzlich die ISO 31000 als "de-facto world standard". Gleichwohl soll der Standard nicht Gegenstand von formellen Zertifizierungen sein, vielmehr unterstützt er die Durchführung von internen und externen Risikomanagement-Bewertungen. Organisationen, die den internationalen Standard anwenden, können ihr eigenes Risikomanagement mit den Leitlinien des Standards – im Sinne eines Benchmarks – vergleichen.

Die ISO 31000 wurde erstmalig Ende 2009 veröffentlicht. Sie stieß global auf höchstes Interesse, sodass sie nach nur vier Jahren im Ranking mit vergleichbaren ISO-Normen weltweit auf Platz 5 steht. ISO überprüft alle fünf Jahre die veröffentlichten Standards. Für die ISO 31000 wurde im Jahr 2013 die Revision beschlossen. So wurden mögliche Punkte einer Überarbeitung vom 14. bis 17. April 2014 in London von 35 ISO-Experten aus knapp 20 Ländern diskutiert.

Kurz- und mittelfristige Entwicklungen:

Die Working Group "Core Risk Management Standards" von TC 262 hat zwei Aufträge: Einerseits soll eine "limited revision" durchgeführt werden. Diese betrifft die ISO 31000 und die Terminologie im ISO Guide 73. Andererseits soll später eine grundlegende technische Revision vorgenommen werden.

Die nun angefangene begrenzte Revision geht davon aus, dass der Standard sich in den vergangenen Jahren derart bewährt hat, dass er in Struktur und Inhalt vorerst nicht wesentlich geändert werden soll. Gleichwohl gibt es einige Anpassungen, die im Sinne einer kontinuierlichen Verbesserung vorgenommen werden. Hierbei geht es primär um die folgenden Punkte:

  • Die Berücksichtigung der Bedürfnisse der Sicherheit ("safety"): In  Deutschland kam eine Diskussion auf, welche bei der Anwendung der ISO 31000 auf die Bereich der Arbeits- und Umweltsicherheit im Zusammenhang mit Chancen und wirtschaftlichen Aspekten zu Missverständnissen führte. Es wurde ein Konflikt mit rechtlichen Anforderungen befürchtet. Die laufende Revision wird diese Missverständnisse klären und den Standard für Safety-Themen zugänglich machen.
  • Die Erfahrungen der Vergangenheit zeigen auch, dass an gewissen Stellen des Standards eine Klärung der Terminologie nützlich ist. Es geht dabei vor allem darum, dass die Doppelbedeutung von Risiko als Chance und Bedrohung klarer zum Ausdruck kommt.
  • Zudem werden einige redaktionellen Verbesserungen und Präzisierungen vorgenommen, die den Inhalt und die Struktur der ISO 31000 nicht beeinträchtigen.


Die für später beschlossene technische Revision betrifft die "Core Risk Management Standards", welche die ISO 31000 und der ISO Guide 73 (Terminologie) beinhalten.  Sie wird erst in Angriff genommen, wenn sich die begrenzte Revision in einer finalen Phase befindet. Grundlage der technischen Revision wird die Sammlung bestehender Rückmeldungen aus den Unternehmen sowie eine aktuelle Umfrage sein, die durch die ISO-Organisation geplant und durchgeführt werden soll. Die technische Revision der ISO 31000 wird nicht vor dem Jahr 2016 beginnen.

Einbindung von neuen Themen

Parallel zu den laufenden Revisionen gibt es aber auch neue Themen, die schon jetzt an die Hand genommen werden. Zwei Themen stehen für die Erweiterung der ISO 31000-Normenfamilie im Vordergrund:

  • Humanfaktoren: Risiken werden bekanntermaßen häufig durch Menschen verursacht. Es soll nun ein zusätzlicher Standard geschaffen werden, der diesen wichtigen Aspekt des Risikomanagements auf der Grundlage wissenschaftlicher und praktischer Erkenntnisse beschreibt und beleuchtet.
  • Risk Maturity Model: Die Anwendung von Risikomanagement in Organisationen und Unternehmen erfolgt noch auf sehr unterschiedliche Art, mehr oder weniger unterstützt durch das oberste Management. Es gibt heute schon verschiedene Reifegradmodelle (Risk Maturity Models). ISO strebt nun hier eine Harmonisierung an und wird in der kommenden Zeit ein eigenes Risk Maturity Modell erarbeiten.


Das TC 262 mit ihrer Working Group "Core Risk Management Standards" trifft sich in der ersten Septemberwoche diesen Jahres in Istanbul, um die aufgezeigten Arbeiten und Projekte fortzusetzen.  

 

 

[Bildquelle: © Maksim Kabakou - Fotolia.com]

Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.