Was ist Risikomanagement nach der ISO 31000?

Risikomanagement (Risk Management) nach ISO 31000 ist das Management der Risiken einer Organisation. Risikomanagement ist als die Perspektive des Wertemanagements einer Organisation zu verstehen, die sich den möglichen, zukünftigen negativen Werten inhaltlich, strukturell sowie methodisch widmet. Risiken werden dabei als Perspektive und Teil des Wertemanagements nach Art und Größe in Bezug auf die Werte gesteuert. Die wichtigste Frage ist die nach der Art und der Größe von Risiken, die eine Organisation eingehen will oder muss und die sie tragen kann. Abhängig von der Rechtsform der Organisation wird Risikomanagement zudem aus gesetzlicher oder freiwilliger Verpflichtung durchgeführt.

Wieso ist Risikomanagement für mein Unternehmen wichtig?

Oft wird Risikomanagement mit der Produktion oder Bereitstellung gefährlicher Produkte oder Dienstleistungen verbunden. Dabei ist Risikomanagement für jedes Unternehmen wichtig. Zum einen ist die oberste Leitung einer Aktiengesellschaft gemäß dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) haftbar, wenn keine Frühwarnung oder Vorsorge eines Risikomanagements im Betrieb stattfindet. Außerdem steht die oberste Leitung nach den Vorschriften für GmbH-Geschäftsführer (§ 43 Absatz 1 GmbH-Gesetz) und den Sorgfaltspflichten von Vorstandmitgliedern einer Aktiengesellschaft (§ 93 Absatz 1 Satz 1 Aktiengesetz) in der Pflicht, eine Sicherung des Vermögens vorzunehmen und eine Abwendung von Gefahren vom Unternehmen zu erreichen. Auch die ISO 9001 fordert eine Auseinandersetzung mit dem Risikobegriff.

Es ist also wichtig, dass Führungskräfte ein überdurchschnittliches Risikobewusstsein besitzen. Nur so kann ein gewissenhafter Umgang mit Krisen bzw. die Abwendung dieser stattfinden. Wie das Risikomanagement genau strukturiert ist, hängt wiederum stark von Branche, Größe und weiteren Faktoren im Unternehmenskontext ab.

Was ist die Definition des Begriffs „Risiko“?

Es gibt verschiedene Definitionen für den Begriff „Risiko“. Diese sind teilweise sehr unterschiedlich und nicht alle komplementär zueinander. Sogar die ISO / IEC Normen beinhalten teils verschiedene Definitionen bezüglich des Begriffs „Risiko“. Wir stellen Ihnen im Folgenden einige dieser Definitionen vor. Die beiden ersten Definitionen stammen dabei aus der Praxis, nämlich aus Projekten des Risikomanagements in Unternehmen. Die dritte Definition stammt zudem aus der Norm DIN ISO 31000:2018 „Risikomanagement – Leitlinien“, Unterabschnitt 3.1. Die vierte Definition ist schließlich aus dem Prüfungsstandard PS 981 von 2017 des IDW zitiert. Sie sollten sich schließlich für eine zu Ihrer Organisation passende Definition entscheiden. Dabei gibt es kein richtig oder falsch, Sie sollten Ihre Entscheidung lediglich für den Auditor argumentieren können.

  1. Risiko ist ein zukünftiger, ungewisser Schaden / Verlust aus der Wirkung einer Gefahr auf einen Wert.
    Diese Definition ist funktionsbezogen, sie stellt das Risiko dar in einer Ursache-Folge-Beziehung zwischen Gefahr und Schaden.
  2. Risiko ist ein ungewisser negativer Wertbeitrag zu einem zukünftigen Ergebnis.
    Diese Definition wiederum ist sachbezogen. Dabei ist das Risiko eine Werteposition und besitzt spezielle Eigenschaften. Diese Definition ist vor allem für die Risikobewertung hilfreich. Dabei gibt es zum einen den Wert als Thema (bspw. ISO Normen zu Qualität, Umwelt, etc.) und zum anderen den Wert als Kategorie (bspw. IDW Standards als strategisch, operativ, etc.)
  3. Risiko … Auswirkung von Unsicherheit auf Ziele.
    Diese Definition aus der ISO 31000 stellt Risiko in Verbindung mit Zielen dar. Dabei stellt sie ein Beispiel dar für weitere Beschreibungen eines Sachverhalts.
  4. Risiken … mögliche künftige Entwicklungen oder Ereignisse, die zu einer für das Unternehmen negativen (Risiko im engeren Sinne) oder positiven (Chance) Zielabweichung führen können.
    Diese Definition der IDW beschreibt die Ungewissheit von Entwicklungen in der Zukunft. Der dabei verwendete Begriff „Zielabweichung“ beschreibt den Sachverhalt konkreter als die ISO Norm mit dem Begriff „Ziel“.

Die 6 Schritte zur Einführung von Risikomanagement gemäß ISO 31000

Für die Implementierung eines erfolgreichen Risikomanagements enthält die ISO 31000 entsprechende Leitlinien. Dabei beschreibt die Norm jedoch kein spezifisches Risikomanagement. Dieses ist in jedem Fall in ein Wertemanagement integriert. Das Wertemanagement sollte wiederum explizit, dokumentiert und kommuniziert sein. Zudem sollten dabei Ziele festgelegt werden. Die Prozesse im Risikomanagement richten sich dabei nach dem PDCA-Zyklus.

Im Folgenden stellen wir Ihnen die sechs Schritte zur Einführung eines Risikomanagementsystems vor. Diese entsprechen den sechs Abschnitten der ISO 31000.

Schritt 1 – Anwendungsbereich festlegen

Im ersten Schritt der Risikomanagement Implementierung erfolgt die Festlegung des Anwendungsbereich. Dabei wird unter anderem der Kontext des betrieblichen Risikomanagements festgelegt. Zudem formulieren Sie hier den Grund der Einführung. Ebenso legen Sie die Werte fest, die dem Risikomanagement unterzogen werden und identifizieren den Wertschöpfungsprozess. Dabei können Sie ein erstes, simples Prozessschema skizzieren.

Schritt 2 – Normative Verweise identifizieren

Im nächsten Schritt Ihrer Risikomanagement Einführung identifizieren Sie die für das Risikomanagement relevanten Standards und Normen und die entsprechenden Anforderungen. Beispiele hierfür sind die Qualitätsmanagementnorm ISO 9001 sowie die technische Norm DIN A4. Des Weiteren könnten gesetzliche Regeln relevant sein, wie die DSGVO. Auch das Wertemanagement kann dabei bestimmten Anforderungen unterliegen.

Schritt 3 – Begriffe definieren

Als nächstes sollten alle für das Risikomanagement relevanten Begriffe festgelegt, definiert, dokumentiert und kommuniziert werden. In der Norm sind dabei Empfehlungen für Begriffe enthalten, die verbindlich genutzt werden müssen. Sie können allerdings auch eigene Begriffe und Definitionen wählen. Dabei sind unter anderem eigene betriebliche Begriffe relevant.

Schritt 4 – Grundsätze festlegen

Nun werden die Grundsätze für Ihr Risikomanagement formuliert, dokumentiert und kommuniziert. Dabei gibt es einige allgemeingültige Grundsätze, die wir nun aufzählen:

  • Integration
    Das Risikomanagement ist in das Wertemanagement integriert.
  • Governance
    Die Verantwortung ist geregelt und dokumentiert.
  • Compliance
    Die bindenden Verpflichtungen für den Prozess, für Werte und für Risiken der Organisation sind bekannt, dokumentiert und werden eingehalten.
  • Konzept
    Risikomanagement gehört zur Strategie der Wertschöpfung der Organisation.
  • Betrieb
    Effektivitäts- und Effizienzkriterien werden unter Risikokriterien betrachtet.
  • Finanzen
    Risiken werden nach geldwerten Kriterien betrachtet. Das Risikomanagement wird finanziell budgetiert.

Zusätzlich können weitere Grundsätze von der Organisation frei gewählt werden. Diese Grundsätze gelten schließlich als bindende Verpflichtung der Führungsebene.

Schritt 5 – Rahmenwerk identifizieren

In diesem Schritt werden verschiedene Zusammenhänge identifiziert und festgelegt. Dazu zählen unter anderem alle Interessierten sowie Anforderungen an die Werte bzw. Risiken. Zudem erstellen Sie dabei die Ursache-Wirkungs-Zusammenhänge. Außerdem müssen Verantwortlichkeiten, Funktionen und Rollen von Personen festgelegt werden.

Welche Ausbildung benötigen Sie zur Einführung oder Betreuung Ihres Risikomanagementsystems nach ISO 31000?

Hier finden Sie eine Übersicht unserer Seminare, welche für die Einführung oder laufende Betreuung Ihres Risikomanagementsystems relevant sind. Wir machen Sie fit für alle Anforderungen eines modernen Risikomanagements und bilden Sie dadurch zum Risikomanagementbeauftragten nach ISO 31000 aus. Hier finden Sie die Übersicht zu unserem Gesamtangebot.

Sie wünschen sich ein extra auf Ihre Bedürfnisse ausgerichtetes Seminar zum Risikomanagementprozess nach ISO 31000 in Ihrem Unternehmen? Mit unseren Inhouse Schulungen kommen wir zu Ihnen und schulen Sie zu Ihrem Wunschthema – sprechen Sie uns einfach an.

Welche Arten von Risiken gibt es?

Aus den genannten Definitionen von Risiko ist der Schluss zu ziehen, dass in Unternehmen nicht nur positive Werte, sondern auch ungewisse negative Werte (Risiken) einer Verantwortung unterstehen. Das trifft auch für Risiken zu, deren Ursache (Gefahr) nicht im Unternehmen liegt, wohl aber deren Folge (Schaden / Verlust). Die Betrachtungen zu Risiko treffen auch für Organisationen zu, die keine (finanziell gewinnorientierten) Unternehmen sind. Alle Organisationen schaffen Werte für ihre interessierten Parteien. Alle diese Werte sind Gefahren ausgesetzt.

Die qualitative Art von Risiko wird durch die zugehörigen Werte festgelegt. So gibt es entsprechend der sachbezogenen Definition von Risiko Wertethemen nach ISO Normen (beispielsweise Qualität, Umwelt, Energie, etc.) und entsprechend der IDW Definition Wertekategorien nach IDW Standard (z. B.: strategisch, operativ, finanziell, etc.).

Die quantitative Größe von Risiko wird durch zwei Parameter (Größe des Schadens [nach Eintritt des Schadensfalls] und zudem der Größe der Wahrscheinlichkeit [des Eintritts des Schadensfalls]) bemessen. Die grafische Visualisierung als Risikomatrix ist zur Risikoanalyse die viel zitierte Ikone des Risikomanagements.

Integration eines Risikomanagementsystems in das Qualitätsmanagement – Qualitätsrisikomanagement

Hat ein Wertemanagement den Wert der Qualität (gemäß ISO 9000:2015 und ISO 9001:2015) zum Gegenstand, so ist das zugehörige Risikomanagement ein Qualitätsrisikomanagement. In der Norm ISO 9001 „Qualitätsmanagementsysteme – Anforderungen“ wird ein Qualitätsmanagementsystem mit integriertem Risikomanagementsystem durch Anforderungen beschrieben. Die Beschreibung und die Anforderungen an die Perspektive des Risikomanagements sind dabei vage und unvollständig. So wird in der Norm häufig von „Behandlung von Risiken“ sowie vom „Umgang mit Risiken“ geschrieben und selten von Risikomanagement. In Einleitung und Anhang dieser Norm wird ein sogenanntes „Risikobasiertes Denken“ nicht gefordert, sondern nur beschrieben, welches wiederum in den Normabschnitten nur ein einziges Mal explizit gefordert wird.

In der Norm DIN EN ISO 14001:2015 sind die Beschreibungen und die Anforderungen bezüglich Risiko nicht konsistent mit denen aus der ISO 9001. Diese Inkonsistenz und Inkonsequenz des integrierten Risikomanagements in den aktuellen ISO Normen mit Anforderungen an Managementsysteme führte und führt zudem zu Missverständnissen mit diesen Revisionen der ISO Normen und zu erheblichen individuellen Aufwand in Unternehmen, diese Thematik zu klären.

Welche Vorlagen, Musterdokumente und Checklisten benötigen Sie zur Einführung oder Betreuung Ihres Risikomanagementsystems?

Hier finden Sie eine Auswahl wichtiger Vorlagen und Checklisten, welche Sie direkt in Ihrem Unternehmen zum Einsatz bringen können. Eine Übersicht aller Musterdokument und Vorlagen finden Sie in der Rubrik Musterdokumente zur ISO 31000.

Generisches Risikomanagement nach ISO 31000

Es gibt zahlreiche Konzepte zur Planung und Umsetzung von ebenso zahlreichen Risikomanagementsystemen mit verschiedener Zielsetzung in Unternehmen. Im Folgenden wird eine entsprechende ISO Norm kurz beschrieben. Die Norm DIN ISO 31000:2018 „Risikomanagement – Leitlinien“ beschreibt Strukturen und Abläufe eines generischen Risikomanagements. Es sind in der Norm keine Werte und damit darüber hinaus keine Risiken vorgegeben. Es ist zudem keine Form einer Organisation vorgegeben. Diese Norm hat eine völlig andere Struktur und eine völlig andere Zielsetzung als die ISO Normen mit Anforderungen an Managementsysteme. Die Norm stellt außerdem keine Anforderungen, sondern gibt Empfehlungen und ist nicht zur Zertifizierung vorgesehen. Zudem hat sie eine begleitende, methodische Norm DIN EN IEC 31010:2010 „Risikomanagement – Verfahren zur Risikobeurteilung“.

  • Die Norm kann zur Integration eines Risikomanagements in ein Wertemanagement genutzt werden. Das erfordert ebenfalls Anpassungen an die konkreten Werte und an die individuelle Organisation.
  • Die Norm kann zur Einrichtung eines unternehmensweiten Risikomanagements genutzt werden. Es bietet sich an, die relevanten definierten und Werte- bzw. die entsprechenden Risikokategorien aus zu übernehmen und mit den Wertethemen zu verbinden.
  • Die Norm kann zur Verbesserung eines Projektrisikomanagements genutzt werden. Sie hat z. B. eine Empfehlung im „Aktionsplan Großprojekte“ (BMVI; 12.2015) der deutschen Bundesregierung.
  • Die Norm kann z. B. das Risikomanagement aus der Norm ISO 9001:2015 mit dem Risikomanagement nach dem IDW PS 981:2017 verknüpfen, und Risikomanagement in den zutreffenden großen Unternehmen in der Rechtsform einer Aktiengesellschaft durchgängig von „oben nach unten“ sowie von „unten nach oben“ transparenter machen.

Unsere Serviceangebote im Bereich Risikomanagement