Wir sind telefonisch für Sie erreichbar!

Montag bis Freitag von 08:00 bis 15:00 Uhr

Beuth Kundenservice
Telefon +49 30 58885700-70

Risikomanagement

Risiken erkennen und darauf reagieren: ISO 31000 hilft Unternehmen, mögliche Gefahren rechtzeitig zu identifizieren, zu vermeiden und im Ernstfall die richtigen Maßnahmen zu ergreifen.

Risikomanagement als Basis für gute und verantwortungsvolle Unternehmensführung

Zur Führung eines Unternehmens gehört es, Risiken einzugehen. Doch ebenso wichtig ist es, Risiken zuvor zu identifizieren, zu analysieren und zu bewerten – um dann zu entscheiden, wie mit ihnen umgegangen werden soll. Dabei helfen Instrumente und Prozesse aus dem Risikomanagement, die sich auch in kleinen und mittleren Unternehmen umsetzen lassen. Als inhaltliche und organisatorische Klammer um andere Managementsysteme sorgt ein gut durchdachtes Risikomanagement für Krisenfestigkeit und begrenzt Haftungsansprüche. Internationale Normen erleichtern ein einheitliches Vorgehen.

Gute und verantwortungsvolle Unternehmensleitung

Die Regierungskommission Deutscher Corporate Governance Kodex empfiehlt Aufsichtsräten, sich zur Absicherung guter und verantwortungsvoller Unternehmensleitung unter anderem mit dem Risikomanagementsystem des von Ihnen überwachten Unternehmens zu befassen. Die Anwendung des Kodex ist dem Wortlaut nach zwar auf börsennotierte Unter­nehmen beschränkt, seine Beachtung wird aber auch andern Unternehmen empfohlen. Seit 2018 gibt es mit der DIN ISO 31000 eine deutsche Norm, die bei der Umsetzung eines effektiven und wirkungsvollen Risikomanagements hilft.

Risikomanagement in globalem Umfeld

In einem globalen Markt mit globalen Risiken und Krisen hat Risikomanagement eine überragende Bedeutung. Die Internationale Organisation für Normung (ISO) empfiehlt, Risikomanagement zur Basis aller Managementsysteme zu machen. Dieser Ansatz ist als „risk based approach“ oder „risk based thinking“ bekannt. Aber auch unabhängig von der Frage, ob eine Organisation ein oder mehrere Managementsysteme anwendet oder ein integriertes, holistisches Managementsystem eingeführt hat, sollte ein Risikomanagementsystem vorhanden sein, um die Organisation resilienter aufzustellen und Haftungsansprüche gegen die Unternehmensleitung zu vermeiden.

International galt das in den USA entstandene Rahmenmodell COSO ERM (Enterprise Risk Management – Integrated Framework) lange als führendes Referenzmodell für Wirtschaftsprüfer.

Die ISO 31000:2018

2009 hat die ISO mit ihrem Dokument ISO 31000 nachgezogen. Diese Norm wurde schrittweise von den meisten G-20-Staaten als nationale Norm übernommen. Nach ihrer im Jahr 2018 abgeschlossenen Revi­sion wurde die Norm auch in Deutschland als DIN ISO 31000 übernommen. 
Die Norm steht auf drei Säulen: Grundsätze, Rahmenwerk und Prozess.DIN ISO 31000: Grundsätze, Rahmenwerk und Prozess (vereinfacht)

DIN ISO 31000: Grundsätze, Rahmenwerk und Prozess (vereinfacht)

Der Zweck des Risikomanagements besteht darin, Werte zu schaffen und zu erhalten. Die Grundsätze enthalten die um diesen Zweck versammelten acht Eigenschaften, die für ein wirksames und effizientes Risikomanagement erforderlich sind.

Das Rahmenwerk hilft bei der Integration des Risikomanagements in die Aktivitäten und Funktionen der Organisation.

Der (Risikomanagement-)Prozess soll integraler Bestandteil von Management, Struktur, Abläufen und Prozessen der Organisation werden.

Die Grundsätze

Die Grundsätze sind die Erfolgskriterien des Risikomanagements:

Grundsätze des Risikomanagements

DIN ISO 31000: Grundsätze

Die wohl wichtigsten Grundsätze werden mit den Begriffen „integriert“ und „maßgeschneidert“ bezeichnet:

  • Integriert: Risikomanagement soll ein integraler Bestandteil aller Aktivitäten einer Organisation sein. Risikomanagement ist keine alleinstehende Aufgabe eines „Risikomanagers“, sondern steht in der Verantwortung der gesamten Belegschaft. Risikoeigner ist jeder Prozesseigner!
  • Maßgeschneidert: Es gibt keine Einheitslösung, die für alle Organisationen Regeln vorgibt. Rahmenwerk und Prozesse des Risikomanagements sind an den externen und internen Kontext der Organisation anzupassen und müssen diesem angemessen sowie mit den Zielen der Organisation verbunden sein. Diese Anpassung an die Ressourcen und den Bedarf der Organisation ist von erheblichem Vorteil, insbesondere für KMUs.

Drei Schritte zum effizienten und wirksamen Risikomanagement

Die Anwendung der Norm kann basierend auf den Grundsätzen in drei Schritten eingeleitet werden:

  1. das Rahmenwerk einrichten
  2. den Prozess einrichten
  3. den Prozess anwenden.

Schritt 1: das Rahmenwerk einrichten

Die Empfehlungen zum Rahmenwerk finden sich im Abschnitt 5 der Norm. Die sechs Elemente sind:

DIN ISO 31000: Rahmenwerk

DIN ISO 31000: Rahmenwerk

Für die Einführung und dauerhafte Wirksamkeit des Risikomanagements muss die Unternehmensleitung starkes und anhaltendes Engagement zeigen und – zum Beispiel in einem Grundsatzdokument (Leitlinien der Organisation) – nachweisen.

Die um Führung und Verpflichtung gruppierten Elemente entsprechen dem gesunden Menschenverstand – oder auch: guter und verantwortungsvoller Unternehmensleitung. Eine sorgfältig und gründlich arbeitende Führungskraft wird sie ohnehin bei der Organisation des von ihr zu verantwortenden Geschäfts berücksichtigen. Jeder Mensch muss ständig mit Risiken umgehen, um zu überleben – sei es bei der Begegnung mit einem Raub­tier, beim Überqueren einer Straße oder im Rahmen der Kontakte zu anderen Menschen während einer Pandemie.

Mit Risiken umzugehen, gehört zum menschlichen Alltag. Risikomanagement sorgt für Gefahrenbegrenzung.

Die Regeln zum Risikomanagement bringen den in der Geschäftswelt partiell verloren gegangenen gesunden Menschenverstand zurück.

Schritt 2: den Prozess einrichten

Die Leitlinien zum Risikomanagementprozess finden sich im Abschnitt 6 der Norm.

Der Kernprozess besteht aus den Elementen

  • Risikoidentifizierung (Risiko finden und beschreiben)
  • Risikoanalyse (Verstehen von Natur, Charakteristika und Ausmaß des Risikos)
  • Risikobewertung (Vergleich mit den Risikokriterien)
  • Risikobehandlung (Prozess der Risikoveränderung)

Risikoidentifizierung, Risikoanalyse und Risikobewertung werden im Teilprozess der Risikobeurteilung zusammengefasst, auf den der Prozess der Risikobehandlung folgt. Die vier Dreiecke in der Grafik verdeutlichen, dass der Prozess iterativ ist, auch wenn er zumeist sequenziell dargestellt wird.

DIN ISO 31000: Prozess

Die Norm IEC 31010 (Risikomanagement – Verfahren zur Risikobeurteilung) stellt eine eingehende Anleitung für Risikobeurteilungstechniken zur Verfügung. In Abschnitt 6.5 der Norm werden die Maßnahmen der Risikoveränderung aufgeführt:

  • Vermeidung des Risikos durch Vermeidung der risikobehafteten Aktivität
  • Eingehen oder Erhöhung des Risikos zur Nutzung einer Chance
  • Beseitigung der Risikoursache
  • Verändern der Wahrscheinlichkeit
  • Verändern der Auswirkungen
  • Gemeinsames Tragen des Risikos (etwa durch Verträge oder Versicherungen)
  • Beibehaltung des Risikos auf der Grundlage einer fundierten Entscheidung.

Zur Aktivierung von Synergien sollte der Risikomanagementprozess bei der Geschäftsprozessmodellierung und Zusammenstellung der Prozesse in einem Organisationshandbuch (oder Qualitätshandbuch) beachtet und integriert werden.

Schritt 3: den Prozess anwenden

Der Geschäftsprozesseigner sollte bei der den Prozess auslösenden Information nicht mit dem ersten Schritt des Geschäftsprozesses beginnen, sondern zunächst prüfen, ob eine Unsicherheit (fehlerhafte Information oder Einschätzung) den Prozess und das Erreichen seiner Ziele beeinflussen könnte (Risikoidentifikation). Wenn das nicht der Fall ist, kann mit dem Geschäftsprozess fortgefahren werden. Anderenfalls sind zunächst die weiteren Schritte des Risikomanagementprozesses anzuwenden.

Die Risikobeurteilung sollte systematisch, iterativ und kollaborativ durchgeführt werden. Ganz wesentlich ist die Risikoidentifikation, da nur ein identifiziertes Risiko auch behandelt werden kann. Zu beachten ist dabei, das Risiken sich über die Zeit entwickeln und unter Umständen in ihren Anfangsstadien kaum erkannt werden.

Der Schritt der Risikoidentifikation sollte wiederholt werden, sobald eine neue Information und/oder Einschätzung den Geschäftsprozess betrifft.

Schematisches Schaubild zum Risikomanagement in einem Geschäftsprozess (vergrößerte Ansicht)

Das IWA 31

Im März 2020 wurde das IWA 31 (Risk Management – Guidelines on using ISO 31000 in management systems) veröffentlicht. Das International Workshop Agreement, vergleich­bar einer DIN SPEC, stellt Leitlinien zur Integration und Nutzung der ISO 31000 in Managementsystemnormen zur Verfügung. Die Norm wird daher auch als allum­fassende Klammer für das Managementsystem oder die Managementsysteme einer Organisation bezeichnet.

Fazit

Die DIN ISO 31000 hilft Risiken zu identifizieren, zu analysieren und zu bewerten, damit diese angemessen behandelt werden können. Dieser Umgang mit Risiken entscheidet darüber, wie die betroffene Organisation auf allen Ebenen geführt wird und trägt zur Verbesserung der organisatorischen Managementsysteme bei. Das Risikomanagement sollte (wie die Managementsysteme, zu deren Klammer es wird) einem kontinuierlichen Verbesserungsprozess unterliegen. Konsequent angewendet wird es dauerhaft zu positiven Veränderungen beitragen. Es wird Werte schaffen und bewahren.

  • Dr. Frank Herdmann ist Inhaber der Auxilium Management Service, die kleine und mittelgroße Unternehmen bei der Organisation ihres Geschäfts unterstützt. Er leitet mehrere DIN-Gremien aus dem Bereich der Organisationsprozesse und vertritt den DIN als Experte für Managementsystemnormen bei der ISO. Es ist Autor mehrerer Publikationen zu Steuerungssystemen für Unternehmen.



Weiterführende Informationen

Publikation Beuth Praxis 2021-03

Drei Schritte zur Aufrechterhaltung der Betriebsfähigkeit
Ausrichtung an DIN EN ISO 22301

ab 48,00 EUR inkl. MwSt.

ab 44,86 EUR exkl. MwSt.

Norm [AKTUELL] 2020-06

DIN EN ISO 22301:2020-06
Sicherheit und Resilienz - Business Continuity Management System - Anforderungen (ISO 22301:2019); Deutsche Fassung EN ISO 22301:2019

ab 112,30 EUR inkl. MwSt.

ab 104,95 EUR exkl. MwSt.

Norm [AKTUELL] 2020-10

DIN EN ISO 22313:2020-10
Sicherheit und Resilienz - Business Continuity Management System - Anleitung zur Verwendung von ISO 22301 (ISO 22313:2020); Deutsche Fassung EN ISO 22313:2020

ab 175,20 EUR inkl. MwSt.

ab 163,74 EUR exkl. MwSt.

Managementnormen online

Managementsysteme helfen Unternehmen, effizienter und transparenter zu arbeiten. Mit unserem Online-Dienst behalten Sie die Übersicht über die führenden, weltweit anerkannten Managementsystemnormen, zum Beispiel DIN EN ISO 9001 (Qualitätsmanagement) und DIN ISO 45001 (Arbeitssicherheits- und Gesundheitsmanagement).

Risikobasierter Ansatz

Risikomanagement empfiehlt sich als Grundlage für weitere Managementsystemnormen, mit denen Unternehmen ihre Ziele besser erreichen können – durch Dokumentation, Analyse und Kontrollen verschiedener Teilbereiche von der Arbeitssicherheit bis zum Umweltschutz. Hier erfahren Sie mehr.