Eine geeignete Hilfe für den Aufbau und die Anwendung eines eigenen Risikomanagements stellt die DIN ISO 31000:2018 "Risikomanagement – Leitlinien" dar. Die Ausführungen sind als Empfehlungen zu verstehen. Deshalb ist auch keine Zertifizierung eines betrieblichen Risikomanagements nach dieser Norm möglich. Der Standard ist so ausgelegt, dass er von jedem Unternehmen, unabhängig von Größe und Branche, verwendet werden kann.
Werte zu schaffen und zu erhalten, bezeichnet die Norm als den Hauptzweck eines Risikomanagements und sieht hierfür einen kontinuierlichen Verbesserungsprozess entsprechend dem PDCA-Zyklus vor.
Ein Risikomanagement umfasst 3 Säulen, die sich gegenseitig beeinflussen:
1. Grundsätze
Die Norm formuliert Grundsätze (erforderliche Eigenschaften/Erfolgskriterien), die helfen sollen, den Zweck des Risikomanagements (Werte zu schaffen und zu bewahren) zu erreichen. Sie erläutern die Absicht und den Zweck und bilden die Grundlage für die Beschreibung, wie in einem Unternehmen mit Risiken umzugehen ist.
Die Grundsätze werden als erforderlich für ein effektives und effizientes Risikomanagement bezeichnet. Im Einzelnen sind es die Grundsätze:
- Zweck des Risikomanagements: Ein Risikomanagement sorgt dafür, dass Unternehmensziele erreicht und damit Werte geschaffen und bewahrt werden.
- Integration: Entscheidet sich ein Unternehmen, ein Risikomanagement aufzubauen und anzuwenden, muss man es auch in alle Bereiche (Aktivitäten, Tätigkeiten und Entscheidungen) integrieren.
- Unsicherheit: Eine ungewisse Zukunft ist zentraler Bestandteil eines Risikomanagements und wird dort als Selbstverständlichkeit bewertet.
- Systematisch, strukturiert und zeitgerecht: Sind wichtige Merkmale des Aufbaus eines Risikomanagements.
- Maßgeschneidert: Das Risikomanagement muss an den externen und internen Kontext des Unternehmens angepasst und für das Unternehmen angemessen sein.
- Informationen: Bei Entscheidungen im Rahmen eines Risikomanagements sind alle verfügbaren Daten einzubeziehen.
- Einbeziehend: Ein gutes Risikomanagement nimmt die Faktoren Kultur und Mensch ernst und richtet sich daran aus.
- Transparenz: Alle beteiligten Personengruppen haben vollen Einblick in das Risikomanagement und es grenzt nicht aus.
- Dynamik: Ein funktionstüchtiges Risikomanagement passt sich neuen Gegebenheiten an. Es ist iterativ und reagiert auf Veränderungen.
- Verbesserung: Das Risikomanagement unterstützt die kontinuierliche Verbesserung der Organisation und des Umgangs mit Risiken.
Umsetzung: Grundlagen und Orientierung schaffen durch eine eigene "Risikopolitik"
Der Umgang mit Risiken ist in der betrieblichen Praxis eigentlich nichts Neues. Deshalb sind bei der Einführung eines Risikomanagements die Intentionen und Neuerungen zu erläutern. Das unternehmensspezifische Risikomanagement muss zuallererst Antworten auf zentrale Fragen, wie "Was sind Risiken bei uns im Unternehmen", "Wie gehen wir mit ihnen um?", "Wer muss, was tun?", "Wie wägen wir Risiken ab?" und "Ab wann ist ein Risiko nicht mehr tolerierbar?" geben. Hierfür sind klare Regeln und Vorgehensweisen durch die oberste Leitung eines Unternehmens zu erarbeiten, zu kommunizieren und einzufordern. Die Basis bildet eine Risikopolitik. Sie umfasst Grundsätze, die sich an denen der DIN ISO 31000:2018 orientieren, sowie Intentionen, Leitlinien und Regeln. Die schriftlich verfasste Risikopolitik ist dann Ausgangspunkt und Orientierung für die Anwendung des Risikomanagements.
2. Rahmenwerk
Die Norm gibt hier Hilfestellungen (z. B. Darstellung der sinnvollen Schritte, Nennung der erforderlichen Ressourcen sowie Beschreibung der Zuweisung der Verantwortlichkeiten, Befugnisse und Rechenschaftspflichten) zur Integration des Risikomanagements in die Aktivitäten und Funktionen eines Unternehmens. Wie diese Integration gestaltet ist und wie ernsthaft sie angewendet wird, bestimmt den Erfolg des Risikomanagements.
Das Rahmenwerk (Framework) beschreibt die Komponenten des Risikomanagements sowie die Art und Weise, in der diese ineinandergreifen. Die Komponenten sind:
- Integration,
- Gestaltung,
- Implementierung,
- Bewertung,
- Verbesserung.
Diese sollen an die Bedingungen (den externen und internen Kontext) und die Bedürfnisse des Unternehmens angepasst werden.
Umsetzung: Festlegen der Komponenten des Risikomanagements in einem Grundsatzdokument (RM-Dokument)
Die unternehmensspezifisch festgelegten Komponenten des konzipierten Risikomanagements sowie die Art und Weise, wie diese ineinandergreifen, sollten beispielsweise in einem Grundsatzdokument beschrieben und den Anwendern zur Verfügung gestellt werden.
3. Prozess
Während die ersten beiden Punkte die Grundlagen und Voraussetzungen für ein unternehmensspezifisches Risikomanagement schaffen, geht es nun gemäß der DIN ISO 31000 um die Einführung der eigentlichen Risikomanagementprozesse. D. h., der dritte Punkt beschreibt, "wie es geht und was zu tun ist". Diese Prozesse sollen integraler Bestandteil des Managements, der Struktur, der Abläufe und der anderen Pr...