02404 Die Umsetzung von Risikomanagement nach ISO 31000
Das Risikomanagement (RM) ist Bestandteil eines Integrierten Managements des Unternehmens. Es ist kein Stand-Alone-System, sondern eine unternehmerisch notwendige Perspektive auf die Wertschöpfung des Unternehmens. In diesem Beitrag wird die Umsetzung eines unternehmensweiten Risikomanagements nach den Grundsätzen und Richtlinien der ISO 31000 beschrieben, ergänzt um weitere Standards und Konzepte außerhalb dieser Norm. Hierbei werden die Inhalte der Norm erläutert und Empfehlungen für die Umsetzung formuliert. Aspekte der Integration von Risikomanagement und des Nutzens von Risikomanagementsoftware runden den Beitrag ab. von: |
1 Grundlegendes zur ISO 31000
Vorab
ISO 31000 wird im Folgenden für ISO 31000:2009 [1] bzw. für den Normentwurf DIN ISO 31000:2011-01 verwendet. Die Ausführungen dieses Beitrags beziehen sich auf den Normentwurf von 01-2011.
ISO 31000 wird im Folgenden für ISO 31000:2009 [1] bzw. für den Normentwurf DIN ISO 31000:2011-01 verwendet. Die Ausführungen dieses Beitrags beziehen sich auf den Normentwurf von 01-2011.
Bevor Sie die Umsetzung eines Risikomanagements nach der ISO 31000 beginnen, sollten Sie die folgenden Aussagen und Empfehlungen beherzigen:
• | Nicht die ISO 31000 wird umgesetzt, sondern ein Risikomanagementsystem nach der ISO 31000. |
• | Nicht die Existenz der Norm, sondern unternehmerische Gründe entscheiden und bestimmen die Umsetzung eines Risikomanagements. |
• | Ein Risikomanagementsystem wird in der Praxis immer Elemente und Funktionen enthalten, die nicht in der ISO 31000 beschrieben sind. Verschiedene normierte, standardisierte und anderweitig dokumentierte Vorschriften und Praktiken kommen in einem tatsächlichen Risikomanagement zusammen. |
• | Allein mit der Umsetzung einer Norm wie der ISO 31000 lässt sich in der Praxis kein funktionierendes und erfolgreiches Risikomanagement realisieren. |
Natürlich kann ein Risikomanagement auch nach anderen Vorgaben als der ISO 31000 umgesetzt werden. Eine Norm oder ein normenähnlicher Standard sollte dann gewählt werden, wenn eine Vergleichbarkeit der Umsetzung angestrebt wird und wenn dieser Standard eine Sammlung von aktuellen „Best-Practice”-Beispielen enthält, die bei der Umsetzung von Nutzen sein können.