Embed Size (px)
Citation preview
Peter Meier
Die Umsetzung von Risikomanagementnach ISO 31000
- Les
eprob
e -
ISBN 978-3-8249-1672-6
© by TÜV Media GmbH, TÜV Rheinland Group, 2013www.tuev-media.de
® TÜV, TUEV und TUV sind eingetragene Marken der TÜV Rheinland Group.Eine Nutzung und Verwendung bedarf der vorherigen Zustimmung durch das Unternehmen.
Gesamtherstellung: TÜV Media GmbH, Köln 2013
Den Inhalt dieses E-Books finden Sie auch in dem Handbuch „Der Qualitätsmanagement-Berater“,TÜV Media GmbH, Köln.
Die Inhalte dieses E-Books wurden von Autor und Verlag nach bestem Wissen und Gewissen erarbeitetund zusammengestellt. Eine rechtliche Gewähr für die Richtigkeit der einzelnen Angaben kann jedochnicht übernommen werden. Gleiches gilt auch für Websites, auf die über Hyperlinks verwiesen wird. Eswird betont, dass wir keinerlei Einfluss auf die Inhalte und Formulierungen der verlinkten Seiten habenund auch keine Verantwortung für sie übernehmen. Grundsätzlich gelten die Wortlaute der Gesetzestexteund Richtlinien sowie die einschlägige Rechtssprechung.
Bibliografische Information der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie.Detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
- Les
eprob
e -
Die Umsetzung von Risikomanagementnach ISO 31000
vonPeter Meier
Das Risikomanagement (RM) ist Bestandteil eines Inte-grierten Managements des Unternehmens. Es ist kein Stand-Alone- System, sondern eine unternehmerisch notwendigePerspektive auf die Wertschöpfung des Unternehmens. Indiesem E-Book wird die Umsetzung eines unternehmens-weiten Risikomanagements nach den Grundsätzen undRichtlinien der ISO 31000 [1] beschrieben, ergänzt um wei-tere Standards und Konzepte außerhalb dieser Norm. Hier-bei werden die Inhalte der Norm erläutert und Empfehlungenfür die Umsetzung formuliert. Aspekte der Integration vonRisikomanagement und des Nutzens von Risikomanage-mentsoftware runden das E-Book ab.
1 Grundlegendes zur ISO 31000
ISO 31000 wird im Folgenden als Kurzform für ISO 31000:2009 bzw. den Normentwurf DIN ISO 31000:2011-01 ver-wendet. Die Ausführungen dieses E-Books beziehen sich aufden Normentwurf von 01-2011.
Bevor Sie die Umsetzung eines Risikomanagements nachder ISO 31000 beginnen, sollten Sie die folgenden Aus-sagen und Empfehlungen beherzigen:
• Nicht die ISO 31000 wird umgesetzt, sondern ein Risiko-managementsystem nach der ISO 31000.
Zum Inhalt
© TÜV Media GmbH Seite 1
Umsetzung von Risikomanagement nach ISO 31000
- Les
eprob
e -
• Nicht die Existenz der Norm, sondern unternehmerischeGründe entscheiden und bestimmen die Umsetzung einesRisikomanagements.
• Ein Risikomanagementsystem wird in der Praxis immerElemente und Funktionen enthalten, die nicht in der ISO31000 beschrieben sind. Verschiedene normierte, stan-dardisierte und anderweitig dokumentierte Vorschriftenund Praktiken kommen in einem tatsächlichen Risikoma-nagement zusammen.
• Allein mit der Umsetzung einer Norm, wie die ISO 31000,lässt sich in der Praxis kein funktionierendes und erfolg-reiches Risikomanagement realisieren.
Natürlich kann ein Risikomanagement auch nach anderenVorgaben als der ISO 31000 umgesetzt werden. Eine Normoder ein normenähnlicher Standard sollte dann gewählt wer-den, wenn eine Vergleichbarkeit der Umsetzung angestrebtwird und wenn dieser Standard eine Sammlung von aktuel-len „Best Practice“-Beispielen enthält, die bei der Umset-zung von Nutzen sein können.
Ein erstes Problem der ISO 31000 ist die fehlende Eindeu-tigkeit der Begriffe [3]. So kann z. B. der Begriff „Unge-wissheit“ wegen fehlender Definition unterschiedlich ver-standen und interpretiert werden. Eine einheitliche gängigePraxis ist noch nicht zu erkennen. Auch die Norm liefert inder derzeitigen Fassung keine Lösung dieses Problems.
Ein zweites Problem der ISO 31000 sowie aller mehrspra-chiger und internationaler Normen zum Management ist dieUneindeutigkeit der Übersetzung einzelner Begriffe undganzer Sätze [3]. Ob (englisch) „uncertainty“ mit (deutsch)„Ungewissheit“ oder mit „Unsicherheit“ übersetzt wird,macht durchaus einen Unterschied. Erst recht, ob (englisch)
Problem: Begriffe
Problem:Übersetzungins Deutsche
© TÜV Media GmbH Seite 2
Umsetzung von Risikomanagement nach ISO 31000
- Les
eprob
e -
„risk treatment“ mit (deutsch) „Risikobehandlung“, „Risi-kobeherrschung“, „Risikobewältigung“, „Risikosteuerung“oder „Risikomanagement“ übersetzt wird. Es ist eine Tatsa-che, dass ein Wort und ein Text nicht so eindeutig und ob-jektiv sind, wie eine Zahl oder eine mathematische Berech-nung. Die Norm ist diesbezüglich in der derzeitigendeutschen Version nicht eindeutig.
Ein drittes Problem der ISO 31000 sowie vieler anderer Nor-men liegt in ihrem Entstehungsprozess bei den Normenor-ganisationen. Eine Norm ist ein Kompromiss aus vielen ein-zelnen Interessen und damit nicht das maximal Möglicheoder das best Machbare. Die Norm ist auch als Konsens vonInteressen nicht aus einem Guss.
Ein viertes Problem der ISO 31000 ist, dass es in vielen Un-ternehmen eine existierende und bewährte Umsetzung einesRisikomanagements gibt, die mehr oder weniger den Grund-sätzen und Richtlinien der Norm implizit folgt, ohne sie ex-plizit zu berücksichtigen. Da die Norm keine Zertifizierungvorsieht, besteht für Unternehmen nur eine geringe Veran-lassung, eine Konformität ihres Risikomanagements mit derNorm nachzuweisen. Es ist in der Tat so, dass viele Unter-nehmen, die bereits ein Risikomanagement betreiben, aktu-ell einen Abgleich mit der Norm prüfen, ohne eine volle Um-setzung zu planen. Die Norm ist keine Forderungsnorm wiedie ISO 9001:2008.
Im Folgenden wird die Umsetzung eines Risikomanage-ments nach den Grundsätzen und Richtlinien der ISO 31000entlang der einzelnen Normkapitel 1 bis 5 beschrieben. Es istin der Praxis leider oft so, dass man sich bei der Umsetzungeines Managementsystems nach einer Norm gleich zu Be-ginn auf den Managementprozess stürzt. Bei der ISO 31000befasst sich das letzte Normkapitel 5 mit dem Prozess. Vor
Problem: Kompromissder Interessen
Problem: Zertifizierung
© TÜV Media GmbH Seite 3
Umsetzung von Risikomanagement nach ISO 31000
- Les
eprob
e -
diesem Vorgehen wird gewarnt, da es zu einem blinden Ak-tionismus führt, weil der Prozess ohne eine Risikomanage-mentpolitik (Normkapitel 3 „Grundsätze“ und Normkapitel4 „Rahmen“) und ohne ein Risikomanagementsystem(Normkapitel 4) nicht im Unternehmen verankert ist und das
© TÜV Media GmbH Seite 4
Umsetzung von Risikomanagement nach ISO 31000
1. Scope/Anwendungsbereich
2. Terms and definitions/Begriffe
3. Principles/Grundsätze
4. Framework/Rahmen
„normative“
/„normativ“
„operative“
/„operativ“
ISO 31000:2009 Clause/Normkapitel (1 – 5)
5. Process/Prozess
„strategic“
/„strategisch“
Abb. 1: Übersicht über die ISO 31000
- Les
eprob
e -
Risikomanagement nicht im Management integriert ist. Einsolches Vorgehen liefert zwar schnelle, aber keine nachhal-tigen Ergebnisse.
Die Abbildung 1 bezieht sich auf die Normkapitel 1 bis 5 derISO 31000. Sie gibt eine bildliche Übersicht über die Norm-struktur und ist angelehnt an Bild 1 „Beziehungen zwischenden Grundsätzen des Risikomanagements, dem Rahmen desRisikomanagements und dem Prozess des Risikomanage-ments“ des Normtextes. Die folgenden Abschnitte 2.1 bis2.5 korrespondieren mit den fünf Normkapiteln 1 bis 5.
2 Inhalt der ISO 31000 und Empfehlungen für die Um-setzung
2.1 Normkapitel 1: Anwendungsbereich2.1.1 Was steht im Normtext?Die Norm ist auf keinen spezifischen Wirtschaftszweig, Sek-tor oder Tätigkeitsbereich ausgerichtet. Sie kann auf jegli-che Art von Risiken, z. B. finanzielle, operative und strate-gische Risiken, und gleichgültig, ob diese positive odernegative Auswirkungen haben, angewendet werden.
Die Norm ist nicht als Grundlage für eine Zertifizierung vor-gesehen.
2.1.2 Was ist bei der Umsetzung zu tun?Einige typische Risiken sollten identifiziert werden, um anihnen exemplarisch Zweck, Ziel und Anwendungsbereichdes Risikomanagements zu entwickeln.
Das Ergebnis ist ein kurzes Textdokument, in dem konkreteFestlegungen über Zweck, Ziel und Anwendungsbereich desRisikomanagements im Unternehmen enthalten sind.
Anwendbar aufalle Bereiche,alle Risiken
© TÜV Media GmbH Seite 5
Umsetzung von Risikomanagement nach ISO 31000
- Les
eprob
e -
2.1.3 Was ist bei der Umsetzung besonders zu beachten?
Die konkreten Festlegungen sind ein erster strategischer Teilder Risikomanagementpolitik entsprechend Normkapitel4.3.2. Der Zweck, das Ziel und der Anwendungsbereich desRisikomanagements werden in groben Zügen festgelegt. DieFestlegung erfolgt üblicherweise in einem Projekt mit Work-shops im Unternehmen.
Probleme gibt es, wenn dieser Planungsschritt nicht sorgfäl-tig durchgeführt wird und Zweck, Ziel und Anwendungsbe-reich unklar sind.
2.2 Normkapitel 2: Begriffe2.2.1 Was steht im Normtext?Die Norm enthält ein Wörterbuch mit 29 Begriffen aus denThemenbereichen Risiko und Risikomanagement.
2.2.2 Was ist bei der Umsetzung zu tun?Bei der Umsetzung empfiehlt es sich, die Begriffe der The-menbereiche Risiko und Risikomanagement, so weit erfor-derlich und nützlich, in die Terminologie des Unternehmenszu übernehmen. Bei Bedarf werden weitere Bergriffe defi-niert und festgelegt. Natürlich können Begriffe auch andersbenannt werden. Nicht alle deutschen Übersetzungen derenglischen Begriffe der internationalen Norm ISO 31000sind für jeden Nutzer gleichermaßen akzeptabel und ver-ständlich.
Das Ergebnis ist ein kurzes, schriftliches Textdokument alsTeil der Risikomanagementpolitik nach Normkapitel 4.3.2,in dem die für das Unternehmen wesentlichen Begriffe zuRisiko und Risikomanagement konkret enthalten sind. DasDokument kann wie eine Art Glossar oder wie ein Wiki auf-gebaut sein.
Empfehlung:Workshop
Empfehlung: Glossar oderWiki
© TÜV Media GmbH Seite 6
Umsetzung von Risikomanagement nach ISO 31000
- Les
eprob
e -
2.2.3 Was ist bei der Umsetzung besonders zu beachten?
Die konkreten Festlegungen sind der definitorische Teil desRisikomanagements und Bestandteil der Risikomanage-mentpolitik nach Normkapitel 4.3.2.
Nicht jede Definition ist für jeden Zusammenhang geeignet.Das trifft bereits für die Definition des Begriffs Risiko zu.Die Definition der Norm ist: „Risiko ist die Wirkung vonUngewissheit auf Ziele.“ Diese Definition von Risiko istsehr allgemein und abstrakt. Sie hat jedoch das Verdienst,Ziele, Prozesse und Ergebnisse zusammenzubringen. Mitdieser Definition wird das Unternehmen gezwungen, in Pro-zessen und Zielen zu denken. Die Forderungen nach Pro-zessorientierung und Zielorientierung werden damit aufge-griffen.
Diese Definition von Risiko ist zunächst abstrakt und theo-retisch. Für das Verständnis kann es nützlich und erforderlichsein, sie an einem Arbeitsplatz in den jeweiligen Zusam-menhang zu stellen und konkreter zu formulieren.
Die Festlegung erfolgt üblicherweise in einem Projekt mitWorkshops im Unternehmen.
2.3 Normkapitel 3: GrundsätzeDie Abbildung 2 bezieht sich auf das Normkapitel 3. Die Ab-bildung hat in der Norm keine Entsprechung. Die Abbildungzeigt eine Auswahl von fünf der elf Grundsätze des Risiko-managements, die von besonderer Bedeutung für das Ver-ständnis, für die Beurteilung und für die Bewältigung vonRisiken sind. Auf diese fünf Grundsätze 3a bis 3d sowie 3hwird in diesem Beitrag explizit eingegangen.
Empfehlung:Workshop
© TÜV Media GmbH Seite 7
Umsetzung von Risikomanagement nach ISO 31000
- Les
eprob
e -
![Integration von Risikomanagement & interne · PDF file• ISO/IEC 27005:2008 [ISO08] • ISO 31000:2009 - Risiko Management [ISO09] ERM Rahmen-bedingungen 12 Agenda • Einleitung](https://img.pdfslide.org/doc/110x75/5a79e8fe7f8b9adf228b729e/integration-von-risikomanagement-interne-isoiec-270052008-iso08-iso-310002009.jpg)
