Die Chancen und Risiken für das Unternehmen zu erkennen, zu analysieren und zu steuern, liegt in der Verantwortung der Unternehmensleitung. Oft werden die Risiken aber zu spät erkannt, weil kein System zur Vorbeugung aufgebaut wurde. Dies lässt sich am einfachsten umsetzen, wenn Risikomanagement im Rahmen eines integrierten Managementsystems betrieben wird. Für eine solche praktische Umsetzung sind dann alle Beschäftigten gefordert. In jeder Abteilung und in allen Unternehmensprozessen sind die Risiken zu betrachten und zu "managen".
Definition Risikomanagement: "Teil des Managementsystems bezüglich des Risikos", wobei Management wie folgt definiert ist: "Satz zusammenhängender oder sich gegenseitig beeinflussender Elemente einer Organisation, um Politiken, Ziele und Prozesse zum Erreichen dieser Ziele festzulegen" (nach der Definition von Qualitätsmanagement nach DIN EN ISO 9000).
2.1 Vorgaben des Gesetzgebers
Für einige Risiken macht der Gesetzgeber Vorgaben. So z. B. seit 1998 durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). Durch dieses Artikelgesetz wurden u. a. das Aktiengesetz (AktG) und das Handelsgesetzbuch (HGB), dahingehend geändert, die Bedeutung von Risikomanagement in Unternehmen zu verankern. Nach § 91 Abs. 2 AktG hat der Vorstand "geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden." Zielrichtung sind "Existenz bedrohende" Risiken.
In den USA wurde nach der Finanzkrise 2002 durch den Sarbanes-Oxley Act ein Gesetz zur Kontrolle und Transparenz erlassen. Es gilt für alle an den US-Börsen notierten Firmen und beinhaltet Regeln für Berichterstattung und macht Manager für wahrheitsgemäße Berichte verantwortlich.
Weitere Bereiche, bei denen der Gesetzgeber Vorgaben bezüglich Erfassung, Beurteilung und Vermeidung von Risiken macht, gibt es im Rahmen der Produkthaftung und an vielen Stellen des Arbeitsschutz- und Umweltrechts. Bei letzteren ist vor allem auch die Notfallvorsorge ein wichtiger Aspekt.
Die Betrachtung von Risiken bei Medizinprodukten, im Rahmen von Gefährdungsbeurteilungen oder bei der Konzeption von Maschinen (z. B. EU-Maschinenrichtlinie 2006/42/EG) ist heute Pflicht. In verschiedenen Normen sind dazu grundsätzliche Anforderungen und Vorgehensweisen festgelegt (z. B. ISO 14971, Anwendung des Risikomanagements auf Medizinprodukte).
Außer diesen Regelungen wird auch BASEL III (Basler Ausschuss für Bankenaufsicht, seit 2001) im Zusammenhang mit Risikomanagement erwähnt. BASEL III beinhaltet ein Ratingsystem, bei dem Unternehmen auf ihre Kreditwürdigkeit hin untersucht werden sollen. Unter den verschiedenen zu betrachtenden Kennzahlen gibt es auch Fragestellungen zu Risikountersuchungen im Unternehmen.
2.2 Das sagen Normen zum Risikomanagement
2.2.1 Qualitätsmanagement (ISO 9001:2015)
Unternehmensprozesse müssen so festgelegt werden, dass Verantwortlichkeiten und Abläufe klar geregelt sind. Nur so können sie wie geplant ohne Risiken durchgeführt werden. Die ISO 9001:2015 legt in diesem Zusammenhang Forderungen fest, wie mit Risiken und Chancen umzugehen ist.
Gemäß Kap. 6.1 (Maßnahmen zum Umgang mit Risiken und Chancen) müssen bei Planungen für das QM-System auch die Risiken und Chancen bestimmt und behandelt werden. So soll gewährleistet werden, dass das QM-System seine beabsichtigten Ziele erreicht, erwünschte Auswirkungen (Chancen) verstärkt, unerwünschte Auswirkungen (Risiken) verhindert oder verringert werden und eine Verbesserung erreicht wird. Maßnahmen zum Umgang mit identifizierten Risiken und Chancen müssen geplant, in die QM-Prozesse integriert und ihre Wirksamkeit bewertet werden. Dabei müssen die Maßnahmen proportional zur "möglichen Auswirkung auf die Konformität von Produkten und Dienstleistungen sein".
Ein Risikomanagement nach ISO 31000 wird zwar nicht explizit gefordert, kann jedoch i. S. eines integrierten Managementsystems sinnvoll sein. Gefordert wird aber eine Risikobeurteilung mit der Identifikation, Analyse und Bewertung der Risiken.
2.2.2 Qualitäts- und Risikomanagementsystem für Medizinprodukte (ISO 13485 und ISO 14971)
Für Hersteller von Medizinprodukten wird ein Qualitätsmanagementsystem i. d. R. nach ISO 13485 zertifiziert. Diese Norm enthält im Wesentlichen die Forderungen der ISO 9001 mit zusätzlichen Anforderungen, die auch das Risikomanagement betreffen:
Nach Kap. 7 muss die Organisation "dokumentierte Anforderungen für das Risikomanagement während der gesamten Produktrealisierung erarbeiten" und Vorgaben für Produktanforderungen ermitteln, aufzeichnen und bewerten inklusive der Ergebnisse des Risikomanagements.
In der ISO 14971 sind die speziellen Anforderungen für ein Risikomanagementsystem zur Anwendung auf Medizinprodukte festgelegt. Dabei wird für alle Phasen des Lebenszyklus eines Medizinproduktes Folgendes gefordert:
- Risikoanalyse,
- Risikobewertung,
- Risikokontrolle,
- Restrisikobewertung.
2.2.3 Umweltmanagement (ISO 14001:2015)
Im Rahmen von Umweltmanagementsystemen wird vor allem auf die Gefahren und Risiken in möglichen oder tatsächlichen Notfallsituationen Bezug genommen. Die ISO 14001:2015 fordert im Kap. 6.1 Maßnahmen zum Umgang mit Risiken und Chancen, ...