Management Norm ISO 31000 - publicwiki …€¦ · E DIN ISO 31000:2011-01 Nationales Vorwort Das internationale Dokument ISO 31000:2009 ist unverändert in diesen Norm-Entwurf übernommen

Januar 2011DEUTSCHE NORM Entwurf

Normenausschuss Sicherheitstechnische Grundsätze (NASG) im DIN

Preisgruppe 15DIN Deutsches Institut für Normung e. V. · Jede Art der Vervielfältigung, auch auszugsweise, nur mit Genehmigung des DIN Deutsches Institut für Normung e. V., Berlin, gestattet.

ICS 03.100.01

Dieser Norm-Entwurf mit Erscheinungsdatum 2011-01-10 wird der Öffentlichkeit zur Prüfung undStellungnahme vorgelegt.

Weil die beabsichtigte Norm von der vorliegenden Fassung abweichen kann, ist die Anwendung diesesEntwurfes besonders zu vereinbaren.

Stellungnahmen werden erbeten

Anwendungswarnvermerk

!$lxF"1738535

www.din.de

D

– vorzugsweise als Datei per E-Mail an [email protected] in Form einer Tabelle. Die Vorlage dieser Tabellekann im Internet unter www.din.de/stellungnahme oder für Stellungnahmen zu Norm-Entwürfen der DKEunter www.dke.de/stellungnahme abgerufen werden;

– oder in Papierform an den Normenausschuss Sicherheitstechnische Grundsätze (NASG) im DIN,10772 Berlin (Hausanschrift: Burggrafenstr. 6, 10787 Berlin).

Entwurf

DIN ISO 31000

Risikomanagement –Grundsätze und Leitlinien (ISO 31000:2009)

Risk management –Principles and guidelines (ISO 31000:2009)

Management du risque –Principes et lignes directrices (ISO 31000:2009)

©

Alleinverkauf der Normen durch Beuth Verlag GmbH, 10772 Berlin

Einsprüche bis 2011-05-10

www.beuth.de

Gesamtumfang 33 Seiten

Die Empfänger dieses Norm-Entwurfs werden gebeten, mit ihren Kommentaren jegliche relevantenPatentrechte, die sie kennen, mitzuteilen und unterstützende Dokumentationen zur Verfügung zu stellen.

– oder online im Norm-Entwurfs-Portal des DIN unter www.entwuerfe.din.de, sofern dort wiedergegeben;

BE49B7BBD066671DDBAE9F84BE28946CA9DF9DF2BA9E929378DC6DB9C7E5059464FF4B45A0F85E8B98E148B14B4BDE9FE83581FD18F0745CBC3D2EB731DC76DD3A20ABAF486E1CB5093F7C5F53E97729E0C72675E0EEE7C3BE2B72BE08D71777BF55E8D9BE96AFDCC946AC4BF4E3EC26BF7D5EA48A4AFB30E27F49D190E6FACA0C28375FC1312F500C8AFB37FD755115D52308AF009B1D3E8F31A49CB68D89F5E0F439B0C2992B3256

Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

Inhalt Seite

Nationales Vorwort ........................................................................................................................................ 3

Einleitung........................................................................................................................................................ 5

1 Anwendungsbereich ........................................................................................................................ 8 2 Begriffe .............................................................................................................................................. 8 3 Grundsätze ...................................................................................................................................... 15 4 Risikomanagementrahmen............................................................................................................ 16 4.1 Allgemeines..................................................................................................................................... 16 4.2 Mandat und Verpflichtung ............................................................................................................. 17 4.3 Gestaltung des Rahmens für die Behandlung von Risiken ....................................................... 18 4.3.1 Verstehen der Organisation und ihres Zusammenhangs .......................................................... 18 4.3.2 Festlegung der Risikomanagementpolitik ................................................................................... 19 4.3.3 Verantwortlichkeit........................................................................................................................... 19 4.3.4 Integration in Organisationsprozesse .......................................................................................... 19 4.3.5 Ressourcen ..................................................................................................................................... 20 4.3.6 Aufbau von Mechanismen für die interne Kommunikation und Berichterstattung................. 20 4.3.7 Aufbau von Mechanismen für die externe Kommunikation und Berichterstattung................ 20 4.4 Umsetzung des Risikomanagements ........................................................................................... 21 4.4.1 Umsetzung des Rahmens für die Behandlung von Risiken....................................................... 21 4.4.2 Umsetzung des Risikomanagementprozesses ........................................................................... 21 4.5 Überwachung und Überprüfung des Rahmens ........................................................................... 21 4.6 Kontinuierliche Verbesserung des Rahmens .............................................................................. 21 5 Prozess ............................................................................................................................................ 22 5.1 Allgemeines..................................................................................................................................... 22 5.2 Kommunikation und Konsultation................................................................................................ 22 5.3 Erstellen des Zusammenhangs..................................................................................................... 23 5.3.1 Allgemeines..................................................................................................................................... 23 5.3.2 Erstellen des externen Zusammenhangs..................................................................................... 24 5.3.3 Erstellen des internen Zusammenhangs ..................................................................................... 24 5.3.4 Erstellen des Zusammenhangs für den Risikomanagementprozess........................................ 25 5.3.5 Festlegung von Risikokriterien ..................................................................................................... 26 5.4 Risikobeurteilung............................................................................................................................ 26 5.4.1 Allgemeines..................................................................................................................................... 26 5.4.2 Risikoidentifikation......................................................................................................................... 26 5.4.3 Risikoanalyse .................................................................................................................................. 27 5.4.4 Risikobewertung............................................................................................................................. 27 5.5 Risikobewältigung .......................................................................................................................... 28 5.5.1 Allgemeines..................................................................................................................................... 28 5.5.2 Auswahl von Maßnahmen zur Risikobewältigung ...................................................................... 28 5.5.3 Erstellung und Umsetzung von Risikobewältigungsplänen ...................................................... 29 5.6 Überwachung und Überprüfung.................................................................................................... 29 5.7 Aufzeichnungen über den Risikomanagementprozess.............................................................. 30 Anhang A (informativ) Merkmale eines erweiterten Risikomanagements............................................ 31 A.1 Allgemeines..................................................................................................................................... 31 A.2 Wesentliche Ergebnisse ................................................................................................................ 31 A.3 Merkmale ......................................................................................................................................... 31 A.3.1 Kontinuierliche Verbesserung....................................................................................................... 31 A.3.2 Vollständige Verantwortung für Risiken ...................................................................................... 31 A.3.3 Anwendung des Risikomanagements in allen Entscheidungen ............................................... 32 A.3.4 Kontinuierliche Kommunikation ................................................................................................... 32 A.3.5 Vollständige Integration in die Unternehmensführung der Organisation ................................ 32 Literaturhinweise ......................................................................................................................................... 33

2

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

Nationales Vorwort

Das internationale Dokument ISO 31000:2009 ist unverändert in diesen Norm-Entwurf übernommen worden.

Die zugrunde liegende Internationale Norm ISO 31000:2009 wurde von der Arbeitsgruppe “Risk management“ (Sekretariat: JISC, Japan) des ISO Technical Management Boards (ISO/TMB) ausgearbeitet.

Die Veröffentlichung der Internationalen Norm ISO 31000:2009 als DIN-ISO-Norm-Entwurf wurde unter der Maßgabe, dass die nationale Bewertung des zuständigen Spiegelgremiums NA 095-04-02 AA „Grundlagen des Risikomanagements“ im Nationalen Vorwort sowie in Nationalen Fußnoten berücksichtigt wird, beschlossen.

Ziel der Veröffentlichung dieses nationalen Norm-Entwurfs ist es, die interessierten Kreise in Deutschland dafür zu sensibilisieren, dass der Einfluss der ISO 31000 bei künftigen Überarbeitungen bestehender risikobezogener Normen, beispielsweise in den Bereichen Sicherheit, Gesundheit und Umweltschutz, hinsichtlich der vorgenannten Aspekte kritisch zu hinterfragen ist.

Der NA 095-04-02 AA sieht sich daher veranlasst das Augenmerk der Leser auf folgende Aspekte zu lenken und deren mögliche Konsequenzen zu bedenken:

a) Risikodefinition Die in ISO 31000 vorgenommene Definition des Begriffs „Risiko“ ist vom jeweiligen Anwender und seinen spezifischen Problemstellungen zu hinterfragen. Zwar wird der Begriff „Risiko“ in den einzelnen Disziplinen je nach Sachlage und im Alltagsgebrauch unterschiedlich definiert. In vielen Fällen ist jedoch das Verständnis etabliert, dass ein bestimmtes Vorgehen oder ein Ereignis mit der Möglichkeit negativer Konsequenzen verbunden ist. Es gibt allerdings auch die Ansicht, dass risikobehaftete Sachlagen auch positive und/oder negative Auswirkungen haben können. ISO 31000 geht davon aus, dass Risiko „neutral“ zu definieren ist (siehe 2.1, Anmerkung 1: „… in positiver und/oder negativer Hinsicht") und hat den Anspruch, dass diese Definition und das in ISO 31000 dargelegte Risikomanagement und die –prozesse für alle Tätigkeitsbereiche einer Organisation (Entscheidungen, Prozesse, Projekte, Produkte, Dienstleistungen etc.) in Zukunft angewendet werden sollten. Angesichts der Festlegung anderer ISO-Normen und der nationalen und internationalen Gesetzgebung, dass auf den Gebieten menschlicher Sicherheit, Gesundheitsschutz und Umweltschutz keine Risiken mit „positiven Auswirkungen“ als Grundlage entsprechender Bewertungen und Einschätzungen existieren, ist der in der vorliegenden Norm festgelegte Risikobegriff hinsichtlich der genannten Gebiete vom Anwender dieser Norm stets zu hinterfragen.

b) Risikoabwägung Bei dem in einzelnen Abschnitten von ISO 31000 vorgeschlagenen Risikomanagement und der Bewertung von Risiken sind Sicherheitsaspekte, der Schutz der menschlichen Gesundheit und der Umweltschutz nicht zwingend zu beachten. Dies liegt zum Beispiel an der Verwendung des Hilfsverbs „kann“. Dies könnte dazu führen, dass bei Risikomanagementprozessen finanzielle Abwägungen (siehe Nationale Fußnote N 10 zu 5.5.2) Vorrang gegenüber Sicherheit, Schutz der menschlichen Gesundheit und der natürlichen Lebensgrundlagen erhalten, da sie gegeneinander abgewogen werden können. Rechtliche Rahmenbedingungen, gesellschaftliche Verantwortung oder der Schutz der Umwelt sollten jedoch Priorität haben und nicht – wie es ISO 31000 an einigen Stellen suggeriert – lediglich Berücksichtigung finden.

3

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

c) Internes und externes Umfeld Die Formulierungen in 4.3.1 und 5.3.2 lassen den Schluss zu, dass bei einer Evaluation des externen Umfelds einer Organisation, die Organisation selbst entscheiden kann, in welchem Rechtssystem und in welcher natürlichen Umwelt sie agiert und für den internen Bereich selbst entscheiden kann, welche Verpflichtungen hinsichtlich der Verantwortungen bestehen.

d) Auswirkungen auf das Normenwerk ISO 31000 erhebt den Anspruch, dass sich andere bereits vorhandene oder zukünftige Normen zum Thema „Risiko“ ihrem Konzept anpassen sollen. Allerdings haben bereits existierende Normen, zum Beispiel auf den Gebieten Sicherheit, Gesundheit und Umweltschutz, ein naturgemäß wesentlich spezifischeres Risiko-verständnis. Dieses Risikoverständnis könnte durch ISO 31000 zukünftig in Frage gestellt werden.

e) Risikomanagementrahmen In ISO 31000 wird betont, dass die Norm nicht für Zertifizierungszwecke vorgesehen ist. Struktur, Aufbau und inhaltliche Vorgaben sowie Prozess- und Ablaufbeschreibungen von ISO 31000 legen jedoch das Vorliegen eines Management-Systems nahe (siehe Nationale Fußnote N 4 zu Abschnitt 4).

Der zuständige Arbeitsausschuss NA 095-04-02 AA bittet die interessierten Kreise, diesen nationalen Norm-Entwurf unter Berücksichtigung dieses Nationalen Vorworts sowie der zusätzlich eingefügten Nationalen Fußnoten zu kommentieren.

4

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

Risikomanagement — Grundsätze und Leitlinien

Einleitung

Organisationen jeglicher Art und Größe unterliegen internen und externen Faktoren und Einflüssen, die es unsicher machen, ob und wann sie ihre Ziele erreichen. Der Effekt dieser Unsicherheit auf die Ziele einer Organisation wird als „Risiko“ bezeichnet.

Alle Aktivitäten einer Organisation sind mit Risiken verbunden. Organisationen behandeln diese Risiken, indem sie sie identifizieren und analysieren und dann beurteilen, ob das Risiko durch Maßnahmen der Risikobewältigung so verändert werden soll, dass es den ihren Risikokriterien entspricht. Während des gesamten Prozesses kommunizieren sie mit Stakeholdern, konsultieren diese und überwachen und überprüfen die Risiken sowie die Kontrollen zur Veränderung des Risikos, um sicherzustellen, dass keine weiteren Maßnahmen zur Risikobewältigung erforderlich sind. Diese Internationale Norm bietet eine detaillierte Beschreibung dieses systematischen und logischen Prozesses.

Zwar behandeln alle Organisationen Risiken in einem gewissen Ausmaß, aber diese Internationale Norm legt eine Reihe von Grundsätzen fest, die für ein wirkungsvolles Risikomanagement einzuhalten sind. Diese Internationale Norm empfiehlt, dass Organisationen einen Rahmen entwickeln, umsetzen und laufend verbessern, um den Prozess für die Behandlung von Risiken in die allgemeinen Führungs- (Governance), Strategie- und Planungs-, Management- und Berichterstattungsprozesse, Politik, Werte und Kultur einzubinden.

Das Risikomanagement kann jederzeit auf eine gesamte Organisation mit ihren vielen Bereichen und Ebenen, aber auch auf spezifische Funktionen, Projekte und Aktivitäten angewandt werden.

Obwohl sich die Praxis des Risikomanagements im Lauf der Zeit in vielen Sektoren entwickelt hat, um unterschiedliche Erfordernisse abzudecken, kann die Einführung konsistenter Prozesse innerhalb eines umfassenden Rahmens dazu beitragen, dass eine wirksame, effiziente und kohärente Behandlung der Risiken organisationsweit sichergestellt ist. Das in dieser Internationalen Norm beschriebene allgemeine Konzept umfasst die Grundsätze und Leitlinien für die Behandlung jeglicher Risiken auf systematische, transparente und glaubwürdige Weise ungeachtet des Aufgabenumfangs und des Kontextes.

Jeder spezifische Sektor und jede besondere Anwendung des Risikomanagements bedingt individuelle Erfordernisse, Zielgruppen, Sichtweisen und Kriterien. Deshalb sieht diese Internationale Norm als wesentliches Element vor, dass zu Beginn dieses allgemeinen Risikomanagementprozesses in einem eigenen Schritt der "Zusammenhang erstellt" wird. Damit werden die Ziele der Organisation, das Umfeld, in dem sie diese Ziele verfolgt, ihre Stakeholder und vielfältige Risikokriterien erfasst — all dies trägt zur Ermittlung und Beurteilung der Art und Komplexität ihrer Risiken bei.

Die Beziehung zwischen den Grundsätzen des Risikomanagements, dem Rahmen, in dem es abläuft, und dem in dieser Internationalen Norm beschriebenen Risikomanagementprozess wird in Bild 1 dargestellt.

Wird das Risikomanagement nach dieser Internationalen Norm umgesetzt und aufrechterhalten, so ermöglicht dies einer Organisation beispielsweise:

⎯ die Wahrscheinlichkeit der Zielerreichung zu steigern;

⎯ eine proaktive Führung zu fördern;

⎯ die Notwendigkeit der Risikoidentifikation und Risikobewältigung in der gesamten Organisation bewusst zu machen;

5

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

⎯ das Erkennen von Chancen und Bedrohungen zu verbessern;

⎯ relevante gesetzliche und regulatorische Anforderungen sowie internationale Normen einzuhalten;

⎯ das vorgeschriebene und das freiwillige Reporting zu verbessern;

⎯ die Führung der Organisation (Governance) zu verbessern;

⎯ das Vertrauen der Stakeholder zu verbessern;

⎯ eine zuverlässige Grundlage für die Entscheidungsfindung und Planung aufzubauen;

⎯ Steuerungs- und Kontrollmechanismen zu verbessern;

⎯ die Ressourcen für die Risikobewältigung wirksam zuzuteilen und zu nutzen;

⎯ die operationelle Wirksamkeit und Effizienz zu verbessern;

⎯ Gesundheit und Sicherheit sowie den Umweltschutz anzuheben;

⎯ die Schadensverhütung und das Management von Vorkommnissen zu verbessern;

⎯ Schadensfälle zu minimieren;

⎯ das Lernen der Organisation zu verbessern; und

⎯ die Widerstandsfähigkeit der Organisation zu erhöhen.

Diese Internationale Norm soll dem Bedarf eines breiten Spektrums von Stakeholdern gerecht werden, wie zum Beispiel Personen, die:

a) für die Ausarbeitung der Risikomanagementpolitik in einer Organisation zuständig sind;

b) die Verantwortung dafür tragen, dass sichergestellt ist, dass Risiken in einer gesamten Organisation oder in spezifischen Bereichen, Projekten oder Aktivitäten wirkungsvoll behandelt werden;

c) beurteilen müssen, wie wirkungsvoll eine Organisation Risiken behandelt; und

d) Normen, Leitfäden, Verfahren und Verhaltensregeln erarbeiten, die zur Gänze oder zum Teil festlegen, wie Risiken im spezifischen Zusammenhang dieser Dokumente zu behandeln sind N1) .

Viele Organisationen haben Elemente des Risikomanagements in ihre derzeitigen Managementverfahren und -prozesse aufgenommen und bereits einen formellen Risikomanagementprozess für bestimmte Arten von Risiken oder Gegebenheiten eingeführt. In solchen Fällen kann eine Organisation beschließen, eine kritische Überprüfung ihrer bestehenden Verfahren und Prozesse im Lichte dieser Internationalen Norm durchzuführen.

In dieser Internationalen Norm wird sowohl der Begriff „Risikomanagement“ als auch der Ausdruck „Risiken behandeln“ verwendet. Im Allgemeinen bezieht sich „Risikomanagement“ auf die Architektur (Grundsätze, System und Prozess) für die wirkungsvolle Behandlung von Risiken, während „Risiken behandeln“ die Anwendung dieser Architektur auf bestimmte Risiken bezeichnet.

N1) Nationale Fußnote: ISO 31000 setzt Risiken im Bereich Sicherheit, Gesundheitsschutz oder Umweltschutz beliebig mit ökonomischen Risiken ins Verhältnis. In Deutschland haben sektorspezifische Normen in diesen Bereichen daher Vorrang vor ISO 31000. In diesem Zusammenhang sollte auch bei gegebenenfalls anstehenden Überarbeitungen sektorspezifischer Normen der Einfluss von ISO 31000 kritisch hinterfragt werden.

6

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

Bild 1 — Beziehungen zwischen den Grundsätzen des Risikomanagements, dem Risikomanagentrahmen und dem Risikomanagementprozess

7

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

1 Anwendungsbereich

Diese Internationale Norm legt Grundsätze und allgemeine Leitlinien für das Risikomanagement dar.

Sie kann von jeglichen staatlichen und privaten Unternehmen, gemeinnützigen Einrichtungen, Vereinigungen, Gruppen oder Einzelpersonen angewendet werden. Aus diesem Grund ist diese Internationale Norm auf keinen spezifischen Wirtschaftszweig oder Sektor ausgerichtet.

ANMERKUNG Der Einfachheit halber werden die unterschiedlichen Anwender dieser Internationalen Norm unter dem allgemeinen Begriff „Organisation“ zusammengefasst.

Diese Internationale Norm kann während des gesamten Bestehens einer Organisation auf ein breites Spektrum von Tätigkeitsbereichen angewandt werden, wie zum Beispiel Strategien und Entscheidungs-findung, operativer Betrieb, Prozesse, Funktionen, Projekte, Produkte, Dienstleistungen und Vermögenswerte.

Diese Internationale Norm kann auf jegliche Art von Risiken ungeachtet ihres Wesens und gleichgültig, ob sie positive oder negative Auswirkungen haben, angewendet werden.

Obwohl diese Internationale Norm allgemeine Leitlinien enthält, wird damit keine Vereinheitlichung des Risikomanagements in den einzelnen Organisationen angestrebt. Die Gestaltung und Umsetzung von Risikomanagementplänen und -rahmen muss auf die veränderlichen Erfordernisse einer bestimmten Organisation sowie auf ihre Besonderheiten bei Zielen, Zusammenhang, Aufbau, Betrieb, Prozessen, Funktionen, Projekten, Produkten, Dienstleistungen oder Vermögenswerten und die von ihr eingesetzten spezifischen Verfahren Bedacht nehmen.

Diese Internationale Norm soll bei der Harmonisierung von Risikomanagementprozessen in bestehenden und künftigen Normen genutzt werden. Sie beschreibt ein allgemeines Konzept zur Unterstützung von Normen, in denen spezifische Risiken und/oder Sektoren behandelt werden, und ersetzt diese Normen nicht.

Diese Internationale Norm dient nicht zum Zweck einer Zertifizierung N2).

2 Begriffe

Für die Anwendung dieser Norm gelten die folgenden Begriffe:

2.1 Risiko (en: risk) Auswirkung von Unsicherheit auf Ziele

ANMERKUNG 1 Eine Auswirkung stellt eine Abweichung von Erwartungen dar — in positiver und/oder negativer Hinsicht.

ANMERKUNG 2 Die Ziele können verschiedene Aspekte umfassen (z. B. Finanzen, Gesundheit und Sicherheit sowie Umwelt) und auf verschiedenen Ebenen gelten (z. B. strategische, organisationsweite, projekt-, produkt- und prozess-bezogene Ziele).

ANMERKUNG 3 Risiken werden häufig durch Bezugnahme auf potenzielle Ereignisse (2.17) und Auswirkungen (2.18) oder eine Kombination davon charakterisiert.

ANMERKUNG 4 Risiken werden häufig mittels der Auswirkungen eines Ereignisses (einschließlich von Entwicklungen) in Verbindung mit der Wahrscheinlichkeit (2.19) seines Eintretens beschrieben.

N2) Nationale Fußnote: Die wesentlichen Komponenten des Risikomanagements, die ein solcher Leitfaden enthalten sollte, enthält Abschnitt 5 mit den Prozessschritten. Der gesamte Abschnitt 4, in dem der „Risikomanagement-rahmen“ beschrieben wird, definiert – ohne dies offen zu benennen – ein Managementsystem. Daher kann ISO 31000 trotz dieses Satzes - ggf. zusammen mit noch nachfolgenden Dokumenten dieser Reihe - doch zu einem Zertifizierungsdruck führen.

8

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

ANMERKUNG 5 Unsicherheit ist der Zustand, der sich aus dem gänzlichen oder teilweisen Fehlen von Informationen, Verständnis oder Wissen über ein Ereignis, seine Auswirkung oder seine Wahrscheinlichkeit ergibt.

[ISO Guide 73:2009, Begriff 1.1]

2.2 Risikomanagement (en: risk management) Koordinierte Aktivitäten zur Lenkung und Steuerung eine Organisation in Bezug auf Risiken (2.1)


2.3 Risikomanagementrahmen (en: risk management framework) ein Satz von Elementen, welche die Grundlagen und organisatorischen Modalitäten für die Gestaltung, Umsetzung, Überwachung (2.28), Überprüfung und kontinuierliche Verbesserung des Risikomanagements (2.2) in der gesamten Organisation bilden

ANMERKUNG 1 Zu den Grundlagen zählen die Politik, die Ziele, das Mandat und das Engagement zur Behandlung von Risiken (2.1).

ANMERKUNG 2 Die organisatorischen Modalitäten umfassen Pläne, Beziehungen, Verantwortlichkeiten, Ressourcen, Prozesse und Aktivitäten.

ANMERKUNG 3 Der Risikomanagementrahmen ist in die allgemeinen strategischen und betrieblichen Politiken und Verfahren der Organisation eingebettet.

[ISO Guide 73:2009, Begriff 2.1.1]

2.4 Risikomanagementpolitik (en: risk management policy) Darlegung der allgemeinen Absichten und Ausrichtungen einer Organisation im Zusammenhang mit dem Risikomanagement (2.2)


2.5 Risikoeinstellung (en: risk attitude) Haltung einer Organisation hinsichtlich der Beurteilung und letztendlichen Übernahme oder Vermeidung von Risiken (2.1)

[ISO Guide 73:2009, Begriff 3.7.1.1]

2.6 Risikomanagementplan (en: risk management plan) Schema innerhalb des Risikomanagementrahmens (2.3), das das Konzept, die Managementelemente und Ressourcen für die Behandlung von Risiken (2.1) festlegt

ANMERKUNG 1 Zu den Managementelementen zählen in der Regel Verfahren, Vorgehensweisen, Zuständigkeiten, Abfolgen und Termine für Tätigkeiten.

ANMERKUNG 2 Der Risikomanagementplan kann auf bestimmte Produkte, Prozesse und Projekte sowie auf die gesamte Organisation oder bestimmte Teile davon angewandt werden.


9

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

2.7 Risikoeigner (en: risk owner) Person oder Stelle mit der Verantwortung und Befugnis, hinsichtlich eines Risikos (2.1) zu handeln


2.8 Risikomanagementprozess (en: risk management process) systematische Anwendung von Managementgrundsätzen, -verfahren und –prozessen zur Kommunikation und Konsultation, zum Erstellen des Zusammenhangs sowie zur Identifikation, Analyse, Bewertung, Bewältigung, Überwachung (2.28) und Überprüfung von Risiken (2.1)


2.9 Erstellen des Zusammenhangs (en: establishing the context) Definition der externen und internen Parameter, die beim Behandeln von Risiken und bei der Festlegung des Geltungsbereichs und der Risikokriterien (2.22) für die Risikomanagementpolitik (2.4) zu berücksichtigen sind


2.10 externer Zusammenhang (en: external context) das externe Umfeld, in dem eine Organisation ihre Ziele anstrebt

ANMERKUNG Der externe Zusammenhang kann Folgendes umfassen:

⎯ kulturelle, soziale, politische, rechtliche, regulatorische, finanzielle, technologische, wirtschaftliche, natürliche und wettbewerbsspezifische Gegebenheiten internationaler, nationaler, regionaler oder lokaler Art;

⎯ wesentliche Triebkräfte und Trends, welche die Ziele der Organisation beeinflussen;

⎯ die Beziehungen zu externen Stakeholdern (2.13) sowie deren Wahrnehmungen und Werte.


2.11 interner Zusammenhang (en: internal context) das interne Umfeld, in dem eine Organisation ihre Ziele anstrebt

ANMERKUNG Der interne Zusammenhang kann Folgendes umfassen:

⎯ Führung (Governance), organisatorischer Aufbau, Rollen und Verantwortlichkeiten;

⎯ Politiken, Ziele und die zu ihrer Verwirklichung vorhandenen Strategien;

⎯ Fähigkeiten im Sinne von Ressourcen und Wissen (z. B. Kapital, Zeit, Menschen, Prozesse, Systeme und Technologien);

⎯ Informationssysteme, Informationsflüsse und Entscheidungsprozesse (formelle wie auch informelle);

⎯ Beziehungen zu internen Stakeholdern sowie ihre Wahrnehmungen und Werte;

10

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

⎯ die Kultur der Organisation;

⎯ von der Organisation übernommene Normen, Leitlinien und Modelle; und

⎯ Form und Umfang von vertraglichen Beziehungen.


2.12 Kommunikation und Konsultation (en: communication and consultation) laufende und iterative Prozesse, die eine Organisation durchführt, um Stakeholdern (2.13) Informationen bereitzustellen, mit ihnen zu teilen oder von ihnen zu erhalten und mit ihnen in einen Dialog über die Behandlung von Risiken (2.1) zu treten

ANMERKUNG 1 Die Informationen können das Bestehen, das Wesen, die Form, die Wahrscheinlichkeit (2.19), den Stellenwert, die Evaluierung, die Akzeptierbarkeit und die Bewältigung von Risiken ihrer Behandlung betreffen.

ANMERKUNG 2 Die Konsultation ist ein bidirektionaler Prozess der fundierten Kommunikation zwischen einer Organisation und ihren Stakeholdern über ein Thema, bevor eine Entscheidung dazu getroffen wird oder die weitere Ausrichtung in dieser Angelegenheit festgelegt wird. Die Konsultation ist:

⎯ ein Prozess, der sich aufgrund von Einflüssen und nicht durch Machtausübung auf eine Entscheidung auswirkt;

und

⎯ ein Beitrag zur Entscheidungsfindung und nicht eine gemeinsame Beschlussfassung.


2.13 Stakeholder (en: stakeholder) Person oder Organisation, welche eine Entscheidung oder Aktivität beeinflussen kann oder durch eine Entscheidung oder Aktivität betroffen ist oder sich dadurch betroffen fühlt

ANMERKUNG Ein Entscheidungsträger kann ein Stakeholder sein.


2.14 Risikobeurteilung (en: risk assessment) das gesamte Verfahren der Risikoidentifikation (2.15), Risikoanalyse (2.21) und Risikobewertung (2.24)


2.15 Risikoidentifikation (en: risk identification) Prozess zum Finden, Erkennen und Beschreiben von Risiken (2.1)

ANMERKUNG 1 Die Risikoidentifikation umfasst die Ermittlung von Risikoquellen (2.16), Ereignissen (2.17), ihren Ursachen und potenziellen Auswirkungen (2.18).

ANMERKUNG 2 In die Risikoidentifikation können historische Daten, theoretische Analysen, fundierte und Experten-Meinungen sowie die Bedürfnisse der Stakeholder (2.13) einfließen.


11

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

2.16 Risikoquelle (en: risk source) Element, das alleine oder gemeinsam mit anderen Faktoren potenziell zu Risiken (2.1) führt

ANMERKUNG Eine Risikoquelle kann materieller oder immaterieller Natur sein.


2.17 Ereignis (en: event) Eintritt oder Veränderung einer bestimmten Kombination von Umständen

ANMERKUNG 1 Ein Ereignis kann einmal oder mehrmals eintreten und mehrere Ursachen haben.

ANMERKUNG 2 Ein Ereignis kann darin bestehen, dass etwas nicht geschieht.

ANMERKUNG 3 Ein Ereignis kann manchmal auch als „Vorkommnis“ oder „Unfall“ bezeichnet werden.

ANMERKUNG 4 Ein Ereignis ohne Auswirkungen (2.18) kann auch als „Near Miss“, „Vorkommnis“, „Beinaheschaden“ oder „Beinaheunfall“ bezeichnet werden.


2.18 Auswirkung (en: consequence) Ausgang eines Ereignisses (2.17), welcher die Ziele betrifft

ANMERKUNG 1 Ein Ereignis kann zu vielfältigen Auswirkungen führen.

ANMERKUNG 2 Eine Auswirkung kann gewiss oder ungewiss sein und sich positiv oder negativ auf Ziele auswirken.

ANMERKUNG 3 Auswirkungen können qualitativ oder quantitativ beschrieben werden.

ANMERKUNG 4 Die anfänglichen Auswirkungen können sich durch Folgewirkungen ausweiten.


2.19 Wahrscheinlichkeit (en: likelihood) Möglichkeit, dass etwas geschieht

ANMERKUNG 1 In der Terminologie des Risikomanagements bezeichnet der Begriff „Wahrscheinlichkeit“ die Möglichkeit, dass etwas geschieht, gleichgültig ob diese Möglichkeit objektiv oder subjektiv, qualitativ oder quantitativ definiert, gemessen oder bestimmt und mit allgemeinen Begriffen oder mathematisch (z. B. durch die statistische Wahrscheinlichkeit oder die Häufigkeit in einem bestimmten Zeitraum) beschrieben wird.

ANMERKUNG 2 Der englische Begriff „likelihood“ hat in einigen Sprachen keine direkte Entsprechung, wo für „likelihood“ (subjektive Wahrscheinlichkeit) und „probability“ (objektive, mathematische Wahrscheinlichkeit) oft ein und dasselbe Wort verwendet wird. Deshalb wird in der englischen Terminologie des Risikomanagements der Begriff „likelihood“ mit der Absicht verwendet, dass er dieselbe weit gefasste Bedeutung habe wie der Begriff „Wahrscheinlichkeit“ in vielen anderen Sprachen.


12

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

2.20 Risikoprofil (en: risk profile) Beschreibung einer Gruppe von Risiken (2.1)

ANMERKUNG Die zu einer Gruppe zusammengefassten Risiken können die gesamte Organisation oder bestimmte Teile davon betreffen oder auf andere Weise abgegrenzt werden.


2.21 Risikoanalyse (en: risk analysis) Prozess zur Erfassung des Wesens eines Risikos (2.1) und zur Bestimmung der Risikohöhe (2.23)

ANMERKUNG 1 Die Risikoanalyse stellt die Grundlage für die Risikobewertung (2.24) und Entscheidungen über eine Risikobewältigung (2.25) dar.

ANMERKUNG 2 Die Risikoanalyse umfasst eine Risikoschätzung.


2.22 Risikokriterien (en: risk criteria) Bezugspunkte, zu welchen die Bedeutung eines Risikos (2.1) bewertet wird

ANMERKUNG 1 Risikokriterien beruhen auf den Zielen der Organisation sowie auf dem externen (2.10) und internen Zusammenhang (2.11).

ANMERKUNG 2 Risikokriterien können aus Normen, Gesetzen, Politiken und anderen Anforderungen abgeleitet werden.


2.23 Risikohöhe (en: level of risk) Ausmaß eines Risikos (2.1) oder einer Kombination von Risiken, das als bestimmte Kombination von Auswirkungen (2.18) und ihrer Wahrscheinlichkeit zum Ausdruck gebracht wird (2.19)


2.24 Risikobewertung (en: risk evaluation) Prozess, bei dem die Ergebnisse der Risikoanalyse (2.21) mit den Risikokriterien (2.22) verglichen werden, um zu bestimmen, ob das Risiko (2.1) und/oder sein Ausmaß akzeptierbar oder tolerierbar sind

ANMERKUNG Die Risikobewertung fließt in die Entscheidung über die Risikobewältigung (2.25) ein.


2.25 Risikobewältigung (en: risk treatment) Verfahren zur Veränderung von Risiken (2.1)

13

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

ANMERKUNG 1 Die Risikobewältigung kann folgende Maßnahmen umfassen:

⎯ Vermeidung von Risiken, indem entschieden wird, die Aktivität, aus der sich die Risiken ergeben, nicht aufzunehmen oder einzustellen;

⎯ Eingehen oder Steigerung des Risikos zur Nutzung einer Chance; N3)

⎯ Beseitigung der Risikoquelle (2.16);

⎯ Veränderung der Wahrscheinlichkeit (2.19);

⎯ Veränderung der Auswirkungen (2.18);

⎯ Teilung des Risikos mit einer oder mehreren Parteien (z. B. durch Verträge und Risikofinanzierung); sowie

⎯ fundierte Entscheidung zur Übernahme des Risikos.

ANMERKUNG 2 Maßnahmen der Risikobewältigung, die auf negative Auswirkungen ausgerichtet sind, werden manchmal als "Risikoverminderung", "Risikobeseitigung", "Risikovermeidung" und "Risikoverringerung” bezeichnet.

ANMERKUNG 3 Durch die Risikobewältigung können neue Risiken entstehen oder bestehende verändert werden.


2.26 Risikokontrolle (en: control) Maßnahme zur Veränderung von Risiken (2.1)

ANMERKUNG 1 Risikokontrollen sind alle Prozesse, Politiken, Instrumente, Verfahren oder sonstige Handlungen, welche Risiken verändern.

ANMERKUNG 2 Risikokontrollen haben unter Umständen nicht immer die beabsichtigte oder angenommene verändernde Wirkung.


2.27 Restrisiko (en: residual risk) Risiko (2.1), das nach der Risikobewältigung (2.25) verbleibt

ANMERKUNG 1 Das Restrisiko kann auch nicht identifizierte Risiken umfassen.

ANMERKUNG 2 Das Restrisiko kann auch als bewusst eingegangenes Risiko bezeichnet werden.


2.28 Überwachung (en: monitoring) die laufende Überprüfung, Aufsicht, kritische Beobachtung oder Bestimmung des Ist-Stands, um Abweichungen vom erforderlichen oder erwarteten Leistungsniveau zu erkennen

ANMERKUNG Der Risikomanagementrahmen (2.3), der Risikomanagementprozess (2.8), Risiken (2.1) oder Risikokontrollen (2.26) können Gegenstand der Überwachung sein.


N3) Nationale Fußnote: In Deutschland darf ein Risiko für die Umwelt, Gesundheit oder Sicherheit nicht zu Gunsten ökonomischer Chancen erhöht werden, zumindest insofern nicht, als dem gesetzliche Vorgaben entgegenstehen.

14

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

2.29 Überprüfung (en: review) Tätigkeit zur Bestimmung der Eignung, Angemessenheit und Wirksamkeit eines Untersuchungsgegenstands hinsichtlich der Erreichung der festgelegten Ziele

ANMERKUNG Der Risikomanagementrahmen (2.3), der Risikomanagementprozess (2.8), Risiken (2.1) oder Risikokontrollen (2.26) können Gegenstand der Überprüfung sein.


3 Grundsätze

Damit das Risikomanagement wirkungsvoll ist, sollten die folgenden Grundsätze auf allen Ebenen einer Organisation erfüllt werden.

a) Risikomanagement schafft und schützt Werte.

Risikomanagement trägt zur nachweisbaren Zielerreichung und Leistungsverbesserung bei, z. B. in den Bereichen menschliche Gesundheit und Sicherheit, Einhaltung von gesetzlichen und regulatorischen Vorschriften, öffentliche Akzeptanz, Schutz der Umwelt, Produktqualität, Projektmanagement, Effizienz operationeller Tätigkeiten, gute Führung (Governance) und Reputation.

b) Risikomanagement ist Bestandteil aller Organisationsprozesse.

Risikomanagement ist keine selbständige Tätigkeit, welche von den Hauptaktivitäten und Kernprozessen der Organisation losgelöst ist. Es ist Bestandteil der Verantwortung der obersten Leitung und ein integrierter Teil aller Organisationsprozesse, einschließlich der strategischen Planung und aller Projekte und Veränderungsprozesse.

c) Risikomanagement ist Teil der Entscheidungsfindung.

Risikomanagement hilft den Entscheidungsträgern, informiert zu handeln, Maßnahmen zu priorisieren und zwischen verschiedenen Handlungsalternativen zu unterscheiden.

d) Risikomanagement befasst sich ausdrücklich mit der Unsicherheit.

Risikomanagement berücksichtigt ausdrücklich die Unsicherheit, ihr Wesen sowie die Art und Weise, wie mit ihr umgegangen werden kann.

e) Risikomanagement ist systematisch, strukturiert und zeitgerecht.

Ein systematischer, zeitgerechter und strukturierter Risikomanagementansatz trägt zur Leistungsfähigkeit und zu folgerichtigen, vergleichbaren und verlässlichen Ergebnissen bei.

f) Risikomanagement stützt sich auf die besten verfügbaren Informationen.

Die Eingaben in den Risikomanagementprozess beruhen auf Informationsquellen wie historischen Daten, Erfahrungen, Rückmeldungen von Stakeholdern, Beobachtungen, Prognosen und Expertenmeinungen. Gleichwohl sollten sich Entscheidungsträger über die Grenzen der eingesetzten Daten oder Modelle sowie eventuelle Meinungsverschiedenheiten unter Experten informieren und diese berücksichtigen.

g) Risikomanagement ist maßgeschneidert.

Risikomanagement ist auf den externen und internen Zusammenhang der Organisation sowie auf das Risikoprofil abgestimmt.

15

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

h) Risikomanagement berücksichtigt Human- und Kulturfaktoren.

Das Risikomanagement berücksichtigt die Fähigkeiten, Wahrnehmungen und Absichten von Personen innerhalb und außerhalb der Organisation, die die Zielerreichung der Organisation fördern oder behindern können.

i) Risikomanagement ist transparent und grenzt nicht aus.

Die zweckmäßige und zeitgerechte Einbindung der Stakeholder und insbesondere der Entscheidungsträger auf allen Ebenen der Organisation stellt sicher, dass das Risikomanagement relevant und aktuell bleibt. Die Einbindung der Stakeholder ermöglicht es auch, dass sie angemessen vertreten sind und ihre Ansichten bei der Festlegung der Risikokriterien berücksichtigt werden.

j) Risikomanagement ist dynamisch, iterativ und reagiert auf Veränderungen.

Das Risikomanagement ermittelt laufend Veränderungen und reagiert auf diese. Wenn interne oder externe Ereignisse eintreten, sich der Zusammenhang und das Wissen verändern, werden die Risiken überwacht und überprüft, treten neue Risiken auf, einige verändern sich und andere verschwinden.

k) Risikomanagement erleichtert die kontinuierliche Verbesserung der Organisation.

Organisationen sollten Strategien entwickeln und umsetzen, um neben allen anderen Aspekten ihrer Organisation auch den Reifegrad ihres Risikomanagements zu verbessern.

Anhang A enthält weiterführende Empfehlungen für Organisationen, die Risiken wirkungsvoller behandeln wollen.

4 RisikomanagementrahmenN4)

4.1 Allgemeines

Der Erfolg des Risikomanagements hängt von der Wirksamkeit der Rahmenbedingungen ab, welche die Grundlagen und Modalitäten für seine Einbettung auf allen Ebenen in der gesamten Organisation vorgeben. Der Rahmen unterstützt bei der wirksamen Behandlung von Risiken durch die Anwendung des Risikomanagementprozesses (siehe Abschnitt 5) auf verschiedenen Ebenen innerhalb des spezifischen Zusammenhangs der Organisation. Er stellt sicher, dass die im Risikomanagementprozess ermittelten Informationen über Risiken entsprechend in Berichten aufgezeigt und als Basis für die Entscheidungsfindung und Rechenschaftspflicht auf allen relevanten Organisationsebenen genutzt werden.

In diesem Abschnitt werden die erforderlichen Elemente des Rahmens für die Behandlung von Risiken sowie die Art und Weise, wie sie gemäß der Darstellung in Bild 2 iterativ zusammenhängen, beschrieben.

N4) Siehe Nationale Fußnote N2.

16

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

Bild 2 — Beziehungen unter den Elementen des Risikomanagementrahmens

Mit diesem Rahmen soll kein Managementsystem festgelegt werden, sondern die Organisation vielmehr dabei unterstützt werden, das Risikomanagement in ihr allgemeines Managementsystem zu integrieren. Daher sollte die Organisation die Elemente dieses Rahmens an ihre spezifischen Erfordernisse anpassen.

Wenn eine Organisation Elemente des Risikomanagements in ihre bestehenden Managementverfahren und -prozesse aufgenommen oder bereits einen formellen Risikomanagementprozess für bestimmte Arten von Risiken oder Gegebenheiten eingeführt hat, dann sollten diese anhand dieser Internationalen Norm einschließlich der Attribute aus Anhang A kritisch überprüft und beurteilt werden, um ihre Angemessenheit und Wirksamkeit zu bewerten.

4.2 Mandat und Verpflichtung

Die Einführung des Risikomanagements und die Sicherstellung seiner anhaltenden Wirksamkeit erfordern eine starke und dauerhafte Verpflichtung durch die oberste Leitung der Organisation sowie eine sorgfältige, strategische Planung, um auf allen Ebenen ein Engagement zu erreichen. Die oberste Leitung sollte:

⎯ die Risikomanagementpolitik festlegen und mittragen;

⎯ sicherstellen, dass die Kultur der Organisation und die Risikomanagementpolitik miteinander im Einklang stehen;

⎯ Leistungsindikatoren für das Risikomanagement festlegen, die mit den Leistungsindikatoren der Organisation vereinbar sind;

⎯ die Ziele des Risikomanagements auf die Ziele und Strategien der Organisation abstimmen;

⎯ die Einhaltung rechtlicher und regulatorischer Bestimmungen gewährleisten;

17

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

⎯ Verantwortlichkeiten und Zuständigkeiten auf entsprechenden Ebenen in der Organisation festlegen;

⎯ sicherstellen, dass die erforderlichen Ressourcen dem Risikomanagement zugeteilt werden;

⎯ die Vorteile des Risikomanagements allen Stakeholdern vermitteln;

⎯ sicherstellen, dass der Rahmen für das Behandeln von Risiken seine Angemessenheit weiterhin behält.

4.3 Gestaltung des Rahmens für die Behandlung von Risiken

4.3.1 Verstehen der Organisation und ihres Zusammenhangs

Es ist wichtig, dass vor der Gestaltung und Umsetzung des Rahmens für die Behandlung von Risiken sowohl der externe als auch der interne Zusammenhang der Organisation ausgewertet und verstanden wird, da diese die Gestaltung des Rahmens erheblich beeinflussen können.

Die Evaluierung des externen Zusammenhangs einer Organisation kann unter anderem Folgendes enthalten, ist aber nicht darauf beschränkt:

a) soziale, kulturelle, rechtliche, regulatorische, finanzielle, technologische, wirtschaftliche, natürliche und wettbewerbsspezifische Gegebenheiten internationaler, nationaler, regionaler oder lokaler ArtN5) ;

b) wesentliche Triebkräfte und Trends, welche die Ziele der Organisation beeinflussen;

c) die Beziehungen zu externen Stakeholdern sowie deren Wahrnehmungen und Werte.

Die Evaluierung des internen Zusammenhangs einer Organisation kann unter anderem folgende Aspekte umfassen:





⎯ Beziehungen zu internen Stakeholdern, ihre Wahrnehmungen und ihre Werte;

⎯ Kultur der Organisation;



N5) Nationale Fußnote: Diese Formulierung lässt den Schluss zu, dass bei einer Evaluation des externen Umfelds einer Organisation, die Organisation selbst entscheiden kann, in welchem Rechtssystem und in welcher natürlichen Umwelt sie agiert und für den internen Bereich selbst entscheiden kann, welche Verpflichtungen hinsichtlich der Verantwortungen bestehen.

18

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

4.3.2 Festlegung der Risikomanagementpolitik

Die Risikomanagementpolitik sollte die Ziele und das Engagement der Organisation für das Risiko-management klar darlegen und in der Regel folgende Aspekte behandeln:

⎯ die Begründung der Organisation für die Behandlung von Risiken;

⎯ Verknüpfungen zwischen den Zielen und Politiken der Organisation und der Risikomanagementpolitik;

⎯ Verantwortlichkeiten und Zuständigkeiten für die Behandlung von Risiken;

⎯ Vorgehensweise bei Interessenskonflikten;

⎯ Verpflichtung zur Bereitstellung der erforderlichen Ressourcen zur Unterstützung der für die Behandlung von Risiken zuständigen und verantwortlichen Personen;

⎯ Modalitäten der Messung der Leistung des Risikomanagements und der Berichterstattung darüber;

⎯ Verpflichtung zur Überprüfung und Verbesserung der Risikomanagementpolitik und des Rahmens in regelmäßigen Intervallen sowie aufgrund von Ereignissen oder Entwicklungen.

Die Risikomanagementpolitik sollte angemessen kommuniziert werden.

4.3.3 Verantwortlichkeit

Die Organisation sollte sicherstellen, dass Verantwortlichkeiten, Befugnisse und entsprechende Kompetenzen für die Behandlung von Risiken, einschließlich der Umsetzung und Aufrechterhaltung des Risikomanagement-prozesses sowie für die Sicherstellung der Angemessenheit, Wirksamkeit und Effizienz der Risikokontrollen bestehen. Dies kann folgendermaßen erleichtert werden:

⎯ Identifikation der Risikoeigner mit der Verantwortlichkeit und Befugnis für die Behandlung von Risiken;

⎯ Identifikation der Verantwortlichen für die Entwicklung, Umsetzung und Aufrechterhaltung des Rahmens für die Behandlung von Risiken;

⎯ Identifikation weiterer Zuständigkeiten für den Risikomanagementprozess von Personen auf allen Ebenen der Organisation;

⎯ Festlegung der Leistungsmessung sowie der externen und/oder internen Berichterstattungs- und Eskalationsprozesse;

⎯ Sicherstellung angemessener Anerkennungsniveaus.

4.3.4 Integration in Organisationsprozesse

Das Risikomanagement sollte in alle Verfahren und Prozesse der Organisation so eingebettet werden, dass es relevant, wirksam und effizient ist. Der Risikomanagementprozess sollte Teil dieser Organisationsprozesse werden und nicht getrennt von ihnen ablaufen. Insbesondere sollte das Risikomanagement in die Politikentwicklung, Geschäftsprozesse und Strategieplanung und -überprüfung sowie Änderungs-managementprozesse integriert werden.

Ein organisationsweiter Risikomanagementplan sollte bestehen, um sicherzustellen, dass die Risiko-managementpolitik umgesetzt wird und das Risikomanagement in alle Verfahren und Prozesse der Organisation eingebettet ist. Der Risikomanagementplan kann in andere Pläne der Organisation, z. B. in den Strategieplan, integriert werden.

19

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

4.3.5 Ressourcen

Die Organisation sollte entsprechende Ressourcen für das Risikomanagement bereitstellen.

Folgendes sollte berücksichtigt werden:

⎯ Personen, Fähigkeiten, Erfahrungen und Kompetenzen;

⎯ die für jeden Schritt des Risikomanagementprozesses erforderlichen Ressourcen;

⎯ Risikoprozesse, Methoden und Instrumente der Organisation zur Behandlung von Risiken;

⎯ dokumentierte Prozesse und Verfahren;

⎯ Informations- und Wissensmanagementsysteme;

⎯ Schulungsprogramme.

4.3.6 Aufbau von Mechanismen für die interne Kommunikation und Berichterstattung

Die Organisation sollte Mechanismen für die interne Kommunikations- und Berichterstattung einrichten, um die Verantwortlichkeit und Zuständigkeit für Risiken zu unterstützen und zu fördern. Diese Mechanismen sollten sicherstellen, dass:

⎯ wesentliche Elemente des Risikomanagementrahmens und spätere Änderungen daran entsprechend kommuniziert werden;

⎯ über den Rahmen, seine Wirksamkeit und die Ergebnisse angemessen Bericht erstattet wird;

⎯ aus der Anwendung des Risikomanagements gewonnene relevante Informationen auf den entsprechenden Ebenen zur rechten Zeit zur Verfügung steht; und

⎯ Prozesse für Konsultationen mit internen Stakeholdern vorhanden sind.

Diese Mechanismen sollten, wo dies angemessen ist, auch Prozesse zur Konsolidierung von Risikoinformationen aus verschiedenen Quellen unter Berücksichtigung ihrer Sensibilität umfassen.

4.3.7 Aufbau von Mechanismen für die externe Kommunikation und Berichterstattung

Die Organisation sollte einen Plan für die Kommunikation mit externen Stakeholdern entwickeln und umsetzen.

Dieser sollte Folgendes umfassen:

⎯ Einbeziehung entsprechender externer Stakeholder und Sicherstellung eines wirkungsvollen Informationsaustauschs;

⎯ externe Berichterstattung zur Erfüllung rechtlicher, regulatorischer und führungsbezogener (Governance) Anforderungen;

⎯ Bereitstellung von Rückmeldungen und Berichten über die Ergebnisse von Kommunikation und Konsultation;

⎯ Einsatz der Kommunikation zum Aufbau des Vertrauens in die Organisation;

⎯ Kommunikation mit Stakeholdern bei einer Krise oder in einem Notfall.

Diese Mechanismen sollten, wo dies angemessen ist, auch Prozesse zur Konsolidierung von Risikoinformationen aus verschiedenen Quellen unter Berücksichtigung ihrer Sensibilität umfassen.

20

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

4.4 Umsetzung des Risikomanagements

4.4.1 Umsetzung des Rahmens für die Behandlung von Risiken

Bei der Umsetzung des Rahmens für das Behandeln von Risiken sollte die Organisation:

⎯ den entsprechenden zeitlichen Ablauf und die Strategie für die Umsetzung des Rahmens festlegen;

⎯ Risikomanagementpolitik und –prozess auf die Organisationsprozesse anwenden;

⎯ rechtliche und regulatorische Anforderungen erfüllen;

⎯ die Abstimmung der Entscheidungsfindung, einschließlich der Entwicklung und Festlegung von Zielen, mit den Ergebnissen der Risikomanagementprozesse sicherstellen;

⎯ Informationsveranstaltungen und Schulungen abhalten;

⎯ mit den Stakeholdern kommunizieren und Informationen austauschen, um die anhaltende Zweckmäßigkeit ihres Risikomanagements sicherzustellen.

4.4.2 Umsetzung des Risikomanagementprozesses

Das Risikomanagement sollte umgesetzt werden, indem sichergestellt wird, dass der in Abschnitt 5 umrissene Risikomanagementprozess durch einen Risikomanagementplan auf allen relevanten Ebenen und in allen Funktionen der Organisation als Teil ihrer Verfahren und Prozesse angewandt wird.

4.5 Überwachung und Überprüfung des Rahmens

Um sicherzustellen, dass das Risikomanagement wirkungsvoll ist und die Leistung der Organisation laufend unterstützt, sollte die Organisation:

⎯ die Leistung des Risikomanagements anhand von Indikatoren messen, die regelmäßig auf ihre Zweckmäßigkeit überprüft werden;

⎯ regelmäßig die erzielten Fortschritte in Gegenüberstellung zum Risikomanagementplan und Abweichungen davon messen;

⎯ regelmäßig überprüfen, ob der Rahmen für das Risikomanagement, die Risikomanagementpolitik und der Risikomanagementplan angesichts des externen und internen Zusammenhangs der Organisation weiterhin angemessen sind;

⎯ Berichte über Risiken, Fortschritte bei der Umsetzung des Risikomanagementplans und die Verfolgung der Risikomanagementpolitik vorlegen; und

⎯ die Wirksamkeit des Risikomanagementrahmens überprüfen.

4.6 Kontinuierliche Verbesserung des Rahmens

Auf der Grundlage der Ergebnisse der Überwachung und Überprüfung sollte darüber entschieden werden, wie der Risikomanagementrahmen, die Risikomanagementpolitik und der Risikomanagementplan verbessert werden können. Diese Beschlüsse sollten Verbesserungen bei der Behandlung von Risiken durch die Organisation und bei ihrer Risikomanagementkultur bewirken.

21

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

5 Prozess

5.1 Allgemeines

Der Risikomanagementprozess sollte:

⎯ ein integrierter Teil des Managements sein;

⎯ in die Kultur und die Verfahren eingebettet sein; und

⎯ auf die Geschäftsprozesse der Organisation zugeschnitten sein.

Er umfasst die unter 5.2 bis 5.6 beschriebenen Tätigkeiten. Bild 3 gibt einen Überblick über den Risikomanagementprozess.

Bild 3 — Der Risikomanagementprozess

5.2 Kommunikation und Konsultation

Die Kommunikation und Konsultation mit den internen und externen StakeholdernN6) sollten in jeder Phase des Risikomanagementprozesses stattfinden.

N6) Nationale Fußnote: Entsprechend der Definition zu „stakeholder“ (siehe 2.13) brauchen nur die jeweils von den Ergebnissen des Risikomanagements betroffenen Kreise am Kommunikations- und Konsultationsprozess beteiligt zu werden.

22

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

Deshalb sollten frühzeitig Kommunikations- und Konsultationspläne entwickelt werden. Diese Pläne sollten Themen ansprechen, die sich auf das Risiko selbst, auf seine Ursachen, auf seine Auswirkungen (soweit bekannt) und auf die Maßnahmen beziehen, die ergriffen werden, um es zu bewältigen. Eine wirkungsvolle interne und externe Kommunikation und Konsultation sollte durchgeführt werden, um sicherzustellen, dass die für die Umsetzung des Risikomanagementprozesses Verantwortlichen und die Stakeholder die Grundlagen für die Entscheidungsfindung und die Gründe für die Notwendigkeit bestimmter Maßnahmen verstehen.

Ein Teamansatz kann:

⎯ zur sachgerechten Definition des Zusammenhangs beitragen;

⎯ sicherstellen, dass die Interessen der Stakeholder verstanden und berücksichtigt werden;

⎯ zur angemessenen Identifikation der Risiken beitragen;

⎯ verschiedene Bereiche von Fachwissen für die Analyse von Risiken zusammenführen;

⎯ sicherstellen, dass verschiedene Ansichten bei der Definition der Risikokriterien und bei der Risikobewertung angemessen berücksichtigt werden;

⎯ Rückhalt und Unterstützung für einen Plan zur Risikobewältigung sicherstellen;

⎯ ein angemessenes Veränderungsmanagement während des Risikomanagementprozesses ausbauen; und

⎯ zur Entwicklung eines angemessenen internen und externen Kommunikations- und Konsultationsplans dienen.

Die Kommunikation und Konsultation mit den Stakeholdern sind wichtig, weil sie ihre Meinungen zum Risiko auf der Grundlage ihrer Risikowahrnehmung bilden. Die Wahrnehmungen können je nach Unterschieden bei den Werten, Bedürfnissen, Annahmen, Konzepten und Anliegen der Stakeholder variieren. Weil ihre Ansichten eine bedeutenden Einfluss auf die getroffenen Entscheidungen ausüben können, müssen ihre Risikowahrnehmungen identifiziert, festgehalten und im Entscheidungsprozess berücksichtigt werden.

Die Kommunikation und Konsultation sollten einen wahrheitsgemäßen, relevanten, genauen und verständlichen Austausch von Informationen unter Berücksichtigung der Aspekte Vertraulichkeit und persönliche Integrität ermöglichen.

5.3 Erstellen des Zusammenhangs

5.3.1 Allgemeines

Durch Erstellen des Zusammenhangs bringt die Organisation ihre Ziele zum Ausdruck, definiert die externen und internen Einflussfaktoren, die beim Risikomanagement zu berücksichtigen sind, und legt den Geltungsbereich und die Risikokriterien für den nachfolgenden Prozess fest. Zwar weisen viele dieser Einflussfaktoren Ähnlichkeiten zu den Aspekten auf, die bei der Gestaltung des Risikomanagementrahmens (siehe 4.3.1) in Betracht gezogen werden, aber bei der Erstellung des Zusammenhangs für den Risikomanagementprozess müssen sie eingehender und insbesondere hinsichtlich ihrer Beziehung zu dem spezifischen Risikomanagementprozess betrachtet werden.

23

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

5.3.2 Erstellen des externen Zusammenhangs

Der externe Zusammenhang besteht in dem Umfeld, in dem die Organisation versucht, ihre Ziele zu erreichenN7) .

Das Verständnis des externen Zusammenhangs ist wichtig, um sicherzustellen, dass die Ziele und Anliegen der externen Stakeholder bei der Entwicklung der Risikokriterien berücksichtigt werden. Er basiert auf dem organisationsweiten Zusammenhang, umfasst aber besondere Einzelheiten der rechtlichen und regulatorischen Anforderungen, die Wahrnehmung der Stakeholder sowie andere Aspekte der Risiken, die für den Geltungsbereich des Risikomanagementprozesses spezifisch sind.

Der externe Zusammenhang kann Folgendes enthalten, ist aber nicht darauf beschränkt:

⎯ soziale, kulturelle, politische, rechtliche, regulatorische, finanzielle, technologische, wirtschaftliche, natürliche und wettbewerbsspezifische Gegebenheiten internationaler, nationaler, regionaler oder lokaler Art;

⎯ wesentliche Triebkräfte und Trends, welche die Ziele der Organisation beeinflussen;

⎯ die Beziehungen zu externen Stakeholdern sowie deren Wahrnehmungen und Werte.

5.3.3 Erstellen des internen Zusammenhangs

Der interne Zusammenhang umfasst die internen Gegebenheiten, in denen die Organisation versucht ihre Ziele zu erreichen.

Der Risikomanagementprozess sollte auf die Kultur, die Prozesse und Strukturen sowie die Strategie der Organisation abgestimmt sein. Der interne Zusammenhang bezieht sich auf alles innerhalb der Organisation, was die Art und Weise beeinflusst, in welcher eine Organisation ihre Risiken bewältigen will. Er sollte aus folgenden Gründen hergestellt werden:

a) Risikomanagement findet im Zusammenhang mit den Zielen der Organisation statt;

b) Ziele und Kriterien eines bestimmten Projektes, Prozesses oder einer Tätigkeit sollten vor dem Hintergrund der Ziele der gesamten Organisation betrachtet werdenN8). Einige Organisationen erkennen Chancen zur Erreichung ihrer strategischen Ziele, Projektziele oder Geschäftsziele nicht, was sich auf die fortwährende Verpflichtung der Organisation, ihre Glaubwürdigkeit, ihr Vertrauen und ihre Werte auswirkt.

Es ist notwendig, den internen Zusammenhang zu verstehen. Dazu kann unter anderem Folgendes gehören, ist aber nicht darauf beschränkt:



N7) Nationale Fußnote: Es wird darauf hingewiesen, dass bei einer Anwendung dieser Norm in Deutschland der externe Rechtsrahmen und die daraus sich ergebenden Verpflichtungen sowie die Festlegung von gesetzlichen Verantwortlichkeiten und Zuständigkeiten zu klären sind und diesen ohne relativierende Einschränkungen nachzukommen ist.

N8) Nationale Fußnote: Die Forderung, die in das Risikomanagement einfließenden Kriterien unter Berücksichtigung aller die Organisationen interessierenden Ziele festzulegen, ist an sich eine Selbstverständlichkeit. Allerdings kann dieser Satz auch so interpretiert werden, dass auf gleicher Ebene erstens gesetzlichen Vorgaben mit anderen Interessen und zweitens finanzielle Interessen mit Sicherheits- bzw. Gesundheitsaspekten konkurrieren dürfen. Er darf in Deutschland nicht auf diese Weise interpretiert werden.

24

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01


⎯ Beziehungen zu internen Stakeholdern, ihre Wahrnehmungen und ihre Werte;

⎯ Kultur der Organisation;




5.3.4 Erstellen des Zusammenhangs für den Risikomanagementprozess

Die Ziele, die Strategien, der Geltungsbereich und die Einflussfaktoren der Tätigkeiten der Organisation oder der Bereiche, in denen der Risikomanagementprozess angewandt wird, sollten bestimmt werden. Der Umgang mit Risiken sollte unter voller Beachtung der Notwendigkeit zur Rechtfertigung der Ressourcen, die für das Risikomanagement aufgewendet werden, erfolgenN9). Die erforderlichen Mittel, Verantwortlichkeiten und Befugnisse sowie die zu führenden Aufzeichnungen sollten ebenfalls spezifiziert werden.

Der Zusammenhang des Risikomanagementprozesses ist von den Bedürfnissen der Organisation abhängig. Diese können unter anderem Folgendes enthalten, sind aber nicht darauf beschränkt:

⎯ Festlegung spezifischer und allgemeiner Zielsetzungen der Risikomanagementaktivitäten;

⎯ Festlegung von Verantwortlichkeiten für und innerhalb des Risikomanagementprozesses;

⎯ Definition von Umfang, Tiefe und Breite der auszuführenden Risikomanagementaktivitäten mit spezifischen Ein- und Ausschlüssen;

⎯ Definition von Tätigkeit, Prozess, Funktion, Projektes, Produkt, Dienstleistung oder Vermögenswert bezüglich Zeit und Ort;

⎯ Festlegung der Beziehungen zwischen einem bestimmten Projekt oder Prozess oder einer spezifischen Tätigkeit und anderen Projekten, Prozessen oder Tätigkeiten der Organisation;

⎯ Bestimmung der Methodiken zur Risikobeurteilung;

⎯ Festlegung der Art und Weise für die Bewertung der Leistung und Wirksamkeit des Risikomanagements;

⎯ Identifikation und Spezifikation der Entscheidungen, die getroffen werden müssen; und

⎯ Bestimmung der erforderlichen Studien, ihres Umfangs oder Rahmens sowie ihrer Größenordnung, ihrer Ziele und der für sie benötigten Ressourcen.

Die Beachtung dieser und weiterer relevanter Faktoren sollte sicherstellen, dass der angewandte Risikomanagementansatz den Gegebenheiten, der Organisation und den Risiken, welche die Erreichung ihrer Ziele beeinträchtigen, entspricht.

N9) Nationale Fußnote: Dieser Satz könnte so interpretiert werden, dass bei Knappheit von Ressourcen ggf. sogar notwendige oder vorgeschriebene Risikobetrachtungen vernachlässigt werden könnten. Er darf in Deutschland nicht in diesem Sinne angewandt werden.

25

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

5.3.5 Festlegung von Risikokriterien

Die Organisation sollte Kriterien festlegen, die bei der Bewertung der Bedeutung von Risiken angewandt werden. Die Risikokriterien sollten die Werte, Ziele und Ressourcen der Organisation widerspiegeln. Einzelne Risikokriterien können durch rechtliche und regulatorische Vorschriften sowie andere, von der Organisation angenommene Anforderungen vorgegeben oder aus diesen abgeleitet werden. Die Risikokriterien sollten mit der Risikomanagementpolitik der Organisation in Einklang stehen (siehe 4.3.2), zu Beginn jedes Risiko-managementprozesses entwickelt und laufend überprüft werden.

Bei der Festlegung der Risikokriterien sollten unter anderem folgende Faktoren in Betracht gezogen werden:

⎯ Arten von möglichen Ursachen und Auswirkungen, deren Wesen sowie die Methoden zu ihrer Messung;

⎯ Art und Weise, wie die Eintrittswahrscheinlichkeit definiert wird;

⎯ Zeitrahmen für Wahrscheinlichkeit und/oder Auswirkungen;

⎯ Art und Weise, wie die Risikohöhe zu bestimmen ist;

⎯ Ansichten der Stakeholder;

⎯ die Risikohöhe, bei der das Risiko akzeptierbar oder tolerierbar wird; und

⎯ Berücksichtigung oder Vernachlässigung von Kombinationen mehrerer Risiken und Auswahl der in Betracht zu ziehenden Kombinationen.

5.4 Risikobeurteilung

5.4.1 Allgemeines

Die Risikobeurteilung umfasst den gesamten Prozess der Risikoidentifikation, Risikoanalyse und Risikobewertung.

ANMERKUNG ISO/IEC 31010 bietet Informationen über Verfahren der Risikobeurteilung.

5.4.2 Risikoidentifikation

Die Organisation sollte Risikoquellen, betroffene Bereiche, Ereignisse und Entwicklungen (Veränderungen von Umständen) sowie ihre Ursachen und potenziellen Auswirkungen identifizieren. Ziel dieses Schrittes ist es, auf der Grundlage der Ereignisse, welche die Erreichung der Ziele der Organisation sicherstellen, unterstützen, verhindern, verschlechtern, beschleunigen oder verzögen, eine umfassende Liste der Risiken aufzustellen. Dabei ist es wichtig, auch die mit verpassten Chancen verbundenen Risiken aufzuzeigen. Eine umfassende Identifikation der Risiken ist von entscheidender Bedeutung, weil ein zu diesem Zeitpunkt nicht erfasstes Risiko in den anschließenden Analysen nicht berücksichtigt wird.

In die Risikoidentifikation sollten Risiken unabhängig davon einbezogen werden, ob ihre Quelle im Einflussbereich der Organisation liegt, selbst wenn die Quelle oder Ursache eines Risikos nicht klar erkennbar sein sollte. Bei der Risikoidentifikation sollten auch die Folgeeffekte bestimmter Auswirkungen, einschließlich Kaskaden- und Kumulativwirkungen, untersucht werden. Des Weiteren sollte ein breites Spektrum von Auswirkungen in Betracht gezogen werden, auch wenn die Risikoquelle oder Ursache nicht offensichtlich sein sollte. Neben der Ermittlung potenzieller Ereignisse und Entwicklungen ist es auch nötig, mögliche Ursachen und Szenarien in Betracht zu ziehen, die aufzeigen, welche Auswirkungen auftreten können. Alle bedeutenden Ursachen und Auswirkungen sollten betrachtet werden.

Die Organisation sollte bei der Risikoidentifikation Instrumente und Methoden einsetzen, die ihren Zielen und Fähigkeiten sowie den auftretenden Risiken angemessen sind. Die Verfügbarkeit von relevanten und aktuellen Informationen ist für die Risikoidentifikation wichtig. Dazu gehören nach Möglichkeit geeignete Hintergrundinformationen. Personen mit entsprechenden Kenntnissen sollten in die Risikoidentifikation einbezogen werden.

26

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

5.4.3 Risikoanalyse

Die Risikoanalyse beinhaltet die Entwicklung eines Verständnisses für ein Risiko. Die Risikoanalyse fließt in die Risikobewertung und in Entscheidungen darüber ein, ob Risiken zu behandeln sind und welche Strategien und Methoden der Risikobewältigung für sie am besten geeignet sind. Ferner kann die Risikoanalyse auch einen Beitrag zu Entscheidungen zwischen mehreren Optionen leisten, die verschiedenartige Risiken mit unterschiedlichen Risikohöhen umfassen.

Die Risikoanalyse betrachtet die Ursachen und Quellen der Risiken, ihre positiven und negativen Auswirkungen und die Wahrscheinlichkeit ihres Eintretens. Faktoren, welche die Auswirkungen und die Wahrscheinlichkeiten beeinflussen, sollten identifiziert werden. Das Risiko wird durch Bestimmung der Auswirkungen und Wahrscheinlichkeiten sowie anderer Merkmale des Risikos analysiert. Ein Ereignis kann vielfältige Auswirkungen haben und mehrere Ziele betreffen. Bestehende Risikokontrollen sowie ihre Wirksamkeit und Effizienz sollten in Betracht gezogen werden.

Die Art und Weise, wie Auswirkungen und Wahrscheinlichkeit ausgedrückt und zur Bestimmung der Risikohöhe kombiniert werden, sollte auf den Risikotyp, die verfügbaren Informationen und den Zweck, für den das Ergebnis der Risikobeurteilung verwendet werden soll, abgestimmt werden. All dies soll mit den Risikokriterien in Einklang stehen.

Das Vertrauen in die Bestimmung der Risikohöhe und ihre Abhängigkeit von Bedingungen und Annahmen sollten in der Risikoanalyse betrachtet und den Entscheidungsträgern sowie gegebenenfalls anderen Stakeholder wirkungsvoll kommuniziert werden. Faktoren wie Meinungsverschiedenheiten zwischen Experten, die Unsicherheit, Verfügbarkeit, Qualität, Menge und laufende Relevanz von Informationen oder Grenzen von Simulationsmodellen sollten aufgeführt und können hervorgehoben werden.

Die Risikoanalyse kann je nach Risiko, Zweck der Risikoanalyse und den verfügbaren Informationen, Daten und Ressourcen mit unterschiedlicher Untersuchungstiefe durchgeführt werden. Sie kann je nach Umständen quantitativer, halb-quantitativer oder qualitativer Natur sein oder eine Kombination davon darstellen.

Die Auswirkungen und ihre Eintrittswahrscheinlichkeit können durch Modellierung der Ergebnisse eines oder mehrerer Ereignisse oder durch Extrapolation von experimentellen Studien oder von verfügbaren Daten bestimmt werden. Sie können anhand der materiellen oder immateriellen Folgen erfasst werden. In manchen Fällen reicht ein einziger numerischer Wert oder ein einziges Merkmal nicht, um die Auswirkungen und ihre Eintrittswahrscheinlichkeit für verschiedene Zeiträume, Orte, Gruppen oder Situationen zu spezifizieren.

5.4.4 Risikobewertung

Die Risikobewertung dient auf der Grundlage der Ergebnisse der Risikoanalyse zur Unterstützung der Entscheidungsfindung über die Notwendigkeit und über die Prioritäten der Risikobewältigung.

Bei der Risikobewertung wird die in der Risikoanalyse festgestellte Risikohöhe den Risikokriterien, die bei der Erstellung des Zusammenhanges definiert wurden, gegenübergestellt. Auf der Basis dieses Vergleichs kann der Bedarf für eine Risikobewältigung erwogen werden.

Bei der Beschlussfassung sollten der größere Zusammenhang des Risikos und die Risikotoleranz von betroffenen Parteien außerhalb der Organisation, die aus dem Risiko Nutzen zieht, berücksichtigt werden. Die Entscheidungen sollten mit gesetzlichen, regulatorischen und anderen Anforderungen übereinstimmen.

In gewissen Situationen kann in der Risikobewertung beschlossen werden, weitere Analysen vorzunehmen. Die Risikobewertung kann auch zur Entscheidung führen, abgesehen von den bereits bestehenden Risikokontrollen keine weiteren Maßnahmen zur Risikobewältigung zu setzen. Diese Entscheidung wird von der Risikoeinstellung der Organisation und von den aufgestellten Risikokriterien beeinflusst.

27

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

5.5 Risikobewältigung

5.5.1 Allgemeines

Die Risikobewältigung umfasst die Auswahl und Umsetzung einer oder mehrerer Optionen zur Veränderung der Risiken. Nach ihrer Anwendung sorgt die Risikobewältigung für die Bereitstellung oder Veränderung der Risikokontrolle.

Die Risikobewältigung erfolgt in einem zyklischen Prozess mit folgenden Schritten:

⎯ Beurteilung der Risikobewältigung;

⎯ Beschlussfassung über die Tolerierbarkeit der Höhe des Restrisikos;

⎯ Erarbeitung neuer Maßnahmen zur Risikobewältigung, falls das Restrisiko nicht tolerierbar ist; und

⎯ Beurteilung der Wirksamkeit dieser Risikobewältigung.

Möglichkeiten der Risikobewältigung schließen sich nicht zwangsläufig gegenseitig aus und sind nicht unbedingt in allen Situationen angemessen. Es bestehen unter anderem folgende Optionen:

a) Vermeidung von Risiken, indem entschieden wird, die Aktivität, aus der sich die Risiken ergeben, nicht aufzunehmen oder einzustellen;

b) Eingehen oder Erhöhung des Risikos zur Nutzung einer Chance;

c) Beseitigung der Risikoquelle;

d) Veränderung der Wahrscheinlichkeit;

e) Veränderung der Auswirkungen;

f) Teilung des Risikos mit einer oder mehreren Parteien (z. B. durch Verträge und Risikofinanzierung);

g) freiwillige Übernahme des Risikos.

5.5.2 Auswahl von Maßnahmen zur Risikobewältigung

Um die am besten geeigneten Maßnahmen zur Risikobewältigung auszuwählen, müssen Kosten und Aufwand der Umsetzung mit dem erwarteten Nutzen in Hinblick auf rechtliche, regulatorische und andere Anforderungen, wie zum Beispiel gesellschaftlicher Verantwortung und Umweltschutz, abgewogenN 10 ) werden. Bei der Entscheidungsfindung sollte auch auf Risiken Bedacht genommen werden, bei denen zwar Risikobewältigungsmaßnahmen erforderlich wären, diese sich aber aus wirtschaftlichen Gründen nicht rechtfertigen lassen, z. B. gravierende (stark negative Auswirkungen), aber seltene (geringe Eintritts-wahrscheinlichkeit) Risiken.

N10) Nationale Fußnote: Es wird darauf hingewiesen, dass in Deutschland bei der Risikobewertung Sicherheitsaspekte sowie der Schutz der menschlichen Gesundheit und der Umwelt zwingend zu beachten sind. Dieser Satz könnte so interpretiert werden, dass Sicherheit, Schutz der menschlichen Gesundheit und der natürlichen Lebensgrundlagen einerseits und ökonomische Interessen andererseits gegeneinander abgewogen werden könnten. Die erstgenannten Belange müssen vorrangig den gesetzlichen Vorgaben entsprechend und erst in zweiter Linie ökonomischen Interessen genügend behandelt werden. In diesem Satz wird ferner die potentielle Widersprüchlichkeit sowie die mögliche Dimension deutlich, die sich der Anwender von ISO 31000 vor Augen führen sollte: zum einen ein undifferenziertes Verhältnis von finanziellen Kosten zu Umwelt,- Sicherheits- oder Gesundheitsaspekten, zum zweiten Gesetzestreue, zum dritten wird das weite Thema der sozialen Verantwortung hier Teil eines de facto eingeführten Managementsystems.

28

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

Mehrere Risikobewältigungsmöglichkeiten können entweder einzeln oder in Kombination betrachtet und umgesetzt werden. In der Regel kann die Organisation von der Kombination von Maßnahmen profitieren.

Bei der Auswahl von Maßnahmen zur Risikobewältigung sollte die Organisation die Werte und Wahrnehmungen der Stakeholder und die am besten geeigneten Wege der Kommunikation mit ihnen berücksichtigen. Wenn sich Risikobewältigungsmaßnahmen auf Risiken in anderen Bereichen innerhalb der Organisation oder auf Stakeholder ungünstig auswirken, sollten diese in die Entscheidungsfindung einbezogen werden. Einige Risikobewältigungsmaßnahmen mit gleicher Wirksamkeit wie andere können für manche Stakeholder eher akzeptabel sein als für andere.

Der Maßnahmenplan sollte Prioritäten für die Umsetzung der einzelnen Maßnahmen klar festlegen.

Durch die Risikobewältigung selbst können neue Risiken entstehen. Ein bedeutendes Risiko ergibt sich aus dem Versagen oder der Wirkungslosigkeit von Risikobewältigungsmaßnahmen. Die Risikoüberwachung muss als integrierter Bestandteil in den Risikobewältigungsplan aufgenommen werden, um sicherzustellen, dass die getroffenen Maßnahmen wirksam bleiben.

Die Risikobewältigung kann auch zu Sekundärrisiken führen, die beurteilt, bewältigt, überwacht und überprüft werden müssen. Diese Sekundärrisiken sollten nicht als neue Risiken behandelt werden sondern in denselben Risikobewältigungsplan aufgenommen werden wie die ursprünglichen Risiken, wobei die Verbindung zwischen ihnen aufgezeigt und gewahrt wird.

5.5.3 Erstellung und Umsetzung von Risikobewältigungsplänen

Der Zweck von Risikobewältigungsplänen besteht darin zu dokumentieren, wie die ausgewählten Maßnahmen umgesetzt werden. Die Maßnahmenpläne sollten folgende Informationen enthalten:

⎯ Gründe für die Auswahl der Maßnahmen, einschließlich des erwarteten Nutzens;

⎯ Verantwortliche für die Genehmigung und Zuständige für die Umsetzung des Plans;

⎯ vorgeschlagene Aktionen;

⎯ erforderliche Ressourcen, auch für Unvorhergesehenes;

⎯ Leistungsmessung und Einschränkungen;

⎯ Anforderungen an die Berichterstattung und Überwachung;

⎯ Zeit- und Umsetzungsplan.

Risikobewältigungspläne sollten in den Führungsprozess der Organisation integriert werden und mit den entsprechenden Stakeholdern diskutiert werden.

Entscheidungsträger und andere Stakeholder sollten sich der Natur und des Ausmaßes des nach der Risikobewältigung verbleibenden Restrisikos bewusst sein. Das Restrisiko sollte dokumentiert und einer Risikoüberwachung und -überprüfung sowie gegebenenfalls einer weiteren Risikobewältigung unterzogen werden.

5.6 Überwachung und Überprüfung

Überwachung sowie Überprüfung sollten einen eingeplanten Teil des Risikomanagementprozesses bilden und umfassen eine regelmäßige Kontrolle oder Aufsicht. Sie können periodisch oder bei gegebenem Anlass durchgeführt werden.

Die Zuständigkeiten für die Überwachung und Überprüfung sollten klar definiert sein.

29

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

Die Überwachungs- und Überprüfungsprozesse der Organisation sollten alle Aspekte des Risikomanagementprozesses abdecken, um:

⎯ sicherzustellen, dass die Risikokontrollen sowohl von der Gestaltung her und in der praktischen Durchführung wirksam und effizient sind;

⎯ weitere Informationen zur Verbesserung der Risikobeurteilung zu beschaffen;

⎯ Ereignisse (einschließlich von Near Misses), Veränderungen, Trends, Erfolge und Misserfolge zu analysieren und daraus zu lernen;

⎯ Veränderungen im internen und externen Kontext, einschließlich Veränderungen der Risikokriterien und des Risikos selbst, aufzuzeigen, durch die eine Überarbeitung der Risikobewältigungsmaßnahmen und Prioritäten erforderlich sein kann; und

⎯ neu entstehende Risiken zu erkennen.

Anhand der Fortschritte bei der Umsetzung der Risikobewältigungspläne kann die Leistung gemessen werden. Die Ergebnisse können in das Leistungsmanagement der gesamten Organisation, in die Leistungsmessung sowie in das interne und externe Reporting einbezogen werden.

Die Ergebnisse der Überwachung und Überprüfung sollten dokumentiert und auf angemessene Weise in interne sowie externe Berichte aufgenommen werden. Des Weiteren sollten sie in die Bewertung des Risikomanagementrahmens einfließen (siehe 4.5).

5.7 Aufzeichnungen über den Risikomanagementprozess

Risikomanagementaktivitäten sollten rückverfolgbar sein. Im Risikomanagementprozess bilden Aufzeichnungen die Grundlage für die Verbesserung der Methoden und Instrumente sowie des gesamten Prozesses.

Bei Entscheidungen über die Führung von Aufzeichnungen sollte Folgendes berücksichtigt werden:

⎯ der Bedarf der Organisation, kontinuierlich zu lernen;

⎯ Vorteile der neuerlichen Nutzung der Information für Managementzwecke;

⎯ Kosten und Aufwand beim Anlegen und Führen von Aufzeichnungen;

⎯ rechtliche, regulatorische und betriebliche Aufzeichnungserfordernisse;

⎯ Zugangsweise, leichte Abrufbarkeit und Speichermedien;

⎯ die Aufbewahrungsfrist; und

⎯ die Sensibilität der Informationen.

30

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

Anhang A (informativ)

Merkmale eines erweiterten Risikomanagements N11)

A.1 Allgemeines

Alle Organisationen sollten ein angemessenes Leistungsniveau ihres Risikomanagementrahmens im Einklang mit der Tragweite der zu treffenden Entscheidungen anstreben. Die nachstehend aufgeführten Merkmale entsprechen einem hohen Leistungsniveau bei der Behandlung von Risiken. Um Organisationen die Messung ihrer eigenen Leistung hinsichtlich dieser Kriterien zu erleichtern, werden zu jedem Merkmal einige konkrete Indikatoren angegeben.

A.2 Wesentliche Ergebnisse

A.2.1 Die Organisation verfügt über ein aktuelles, richtiges und umfassendes Verständnis ihrer Risiken.

A.2.2 Die Risiken der Organisation entsprechen ihren Risikokriterien.

A.3 Merkmale

A.3.1 Kontinuierliche Verbesserung

Im Risikomanagement wird der kontinuierlichen Verbesserung durch Festlegung von Zielen für die Leistung der Organisation sowie durch Messung, Überprüfung und anschließende Veränderung von Prozessen, Systemen, Ressourcen, Fähigkeiten und Fertigkeiten besondere Beachtung geschenkt.

Dies kann am Bestehen klarer Leistungsziele erkannt werden, anhand derer die Leistung der Organisation und einzelner Führungskräfte gemessen wird. Informationen über die Leistung der Organisation können veröffentlicht und kommuniziert werden. Im Normalfall wird die Leistung mindestens einmal jährlich überprüft, wonach die Prozesse überarbeitet und neue Leistungsziele für die nächste Periode festgelegt werden.

Diese Leistungsbeurteilung für das Risikomanagement ist ein integrierter Bestandteil des gesamten Systems der Organisation für die Beurteilung und Messung der Leistung von Abteilungen und Einzelpersonen.

A.3.2 Vollständige Verantwortung für Risiken

Bei einem erweiterten Risikomanagement besteht umfassende, vollständig definierte und ohne Einschränkungen akzeptierte Verantwortlichkeit für Risiken, Risikokontrollen und Risikobewältigung. Die zuständigen Mitarbeiter nehmen die Verantwortung vollständig an, verfügen über entsprechende Fähigkeiten und angemessene Ressourcen zur Überprüfung der Risikokontrollen, zur Überwachung der Risiken, zur Verbesserung der Risikokontrollen und zur wirkungsvollen Kommunikation über Risiken und deren Behandlung mit externen und internen Stakeholdern.

N11) Nationale Fußnote: Die hier beschriebenen „Merkmale eines erweiterten Risikomanagements“ unterstreichen, dass ISO 31000 durchaus eine Grundlage für Zertifizierungen sein will, obwohl dies im Anwendungsbereich ausgeschlossen wird.

31

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

Dies ist daran erkennbar, dass sich alle Mitarbeiter einer Organisation voll und ganz der von ihnen zu verantwortenden Risiken, Risikokontrollen und Aufgaben bewusst sind. In der Regel wird dies in Arbeitsplatz- /Stellenbeschreibungen, Datenbanken oder Informationssystemen festgehalten. Die Definition der Rollen, Verantwortlichkeiten und Zuständigkeiten für das Risikomanagement sollten in alle Einführungsprogramme der Organisation für neue Mitarbeiter aufgenommen werden.

Die Organisation stellt sicher, dass die Verantwortungsträger für die Wahrnehmung dieser Rolle gerüstet sind, in dem sie sie mit Befugnissen, Zeit, Schulungen, Ressourcen und Befähigungen in ausreichendem Maß für die Erfüllung ihrer Verantwortlichkeiten ausstattet.

A.3.3 Anwendung des Risikomanagements in allen Entscheidungen

Bei allen Entscheidungen innerhalb der Organisation werden ungeachtet ihrer Wichtigkeit und Bedeutungen Risiken explizit berücksichtigt und es wird das Risikomanagement in einem angemessenen Ausmaß angewandt.

Dies ist aus Protokollen über Besprechungen und Beschlussfassungen ersichtlich, die belegen, dass Risiken ausdrücklich erörtert wurden. Des Weiteren sollte erkannt werden können, dass alle Elemente des Risikomanagements Bestandteil aller wesentlichen Entscheidungsprozesse in der Organisation sind, z. B. Entscheidungen über Mittelzuweisungen, große Projekte, Umstrukturierungen und organisatorische Veränderungen. Aus diesen Gründen wird ein fundiertes Risikomanagement in der Organisation als Basis für eine wirkungsvolle Führung (Governance) betrachtet.

A.3.4 Kontinuierliche Kommunikation

Ein erweitertes Risikomanagement umfasst als Teil einer guten Führung (Governance) die laufende Kommunikation mit externen und internen Stakeholdern, wie zum Beispiel umfassende und häufige Berichterstattung über die Leistung des Risikomanagements.

Dies kann an der Kommunikation mit den Stakeholdern als integraler, wesentlicher Bestandteil des Risikomanagements ersichtlich sein. Die Kommunikation wird richtigerweise als bidirektionaler Prozess betrachtet, so dass anhand von ordentlich festgelegten, umfassenden Risikokriterien auf der Basis entsprechender Informationen Entscheidungen über die Risikohöhe und die Notwendigkeit einer Risiko-bewältigung getroffen werden können.

Eine umfassende und häufige, externe und interne Berichterstattung über bedeutende Risiken und die Leistung des Risikomanagements trägt nachhaltig zur wirkungsvollen Führung (Governance) in einer Organisation bei.

A.3.5 Vollständige Integration in die Unternehmensführung der Organisation

Dem Risikomanagement wird eine zentrale Bedeutung für die Managementprozesse der Organisation beigemessen, wobei Risiken im Hinblick auf die Ungewissheit von Auswirkungen auf die Ziele erwogen werden. Der Führungsaufbau und -prozess stützen sich auf die Behandlung von Risiken. Die Führungskräfte erachten ein wirkungsvolles Risikomanagement als wesentlich für das Erreichen der Ziele der Organisation.

Dies ist daran erkennbar, dass Formulierungen wie „Ungewissheit“ in Verbindung mit Risiken von Führungs-kräften und in wesentlichen schriftlichen Unterlagen der Organisation verwendet werden. Dieses Merkmal spiegelt sich normalerweise auch in Aussagen über die Politik der Organisation, insbesondere in Bezug auf das Risikomanagement, wider. Üblicherweise würde dieses Merkmal durch die Befragung von Führungs-kräften sowie anhand von Belegen für ihre Handlungen und Aussagen überprüft werden.

32

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

E DIN ISO 31000:2011-01

33

Literaturhinweise

[1] ISO Guide 73:2009, Risk management — Vocabulary

[2] ISO/IEC 31010, Risk management — Risk assessment techniques

��


Ext

ern

e el

ektr

on

isch

e A

usl

eges

telle

-Beu

th-H

och

sch

ulb

iblio

thek

szen

tru

m d

es L

and

es N

ord

rhei

n-W

estf

alen

(H

BZ

)-K

dN

r.22

7109

-ID

.AG

2A4B

F27

FF

NF

9NS

AN

JMN

GZ

Z.2

-201

5-07

-21

14:0

4:56

zurü

ckge

zoge

n - w

ithdr

awn

Documents

Management Norm ISO 31000 - publicwiki …€¦ · E DIN ISO 31000:2011-01 Nationales Vorwort Das internationale Dokument ISO 31000:2009 ist unverändert in diesen Norm-Entwurf übernommen