www.wikidata.de-de.nina.az

ISO 31000 Die 2018 ist eine ISO Norm die sich mit Risikomanagement beschäftigt Dabei legt die Norm Leitlinien fest die d

ISO 31000

Die ISO 31000:2018 ist eine ISO-Norm, die sich mit Risikomanagement beschäftigt. Dabei legt die Norm Leitlinien fest, die den Umgang mit Risiken in einer Organisation beschreiben. Die spezielle Anwendung dieser Leitlinien kann an jedes Unternehmen in seiner spezifischen Umgebung angepasst werden. Der Standard liefert einen sehr allgemeinen Ansatz, der nicht industrie- oder sektorspezifisch ist und gleichzeitig für jegliche Art von Risiken anwendbar ist. Darüber hinaus kann die Norm während der gesamten Lebensdauer eines Unternehmens verwendet werden und ist auf allen Unternehmensebenen sowie im Prozess der Entscheidungsfindung implementierbar.

Allgemeines Bearbeiten

Die Norm 31000 ist in drei Sprachen veröffentlicht: Englisch, Französisch und Deutsch. Die deutsche Übersetzung wurde von dem technischen Komitee ISO/TC 262 „Risk Management“ erarbeitet. Nach dem Beschluss von 12/2017 des NA 175-00-04 AA wird die ISO 31000:2018 in das deutsche DIN-Normenwerk übernommen. Die Vorgängernorm wurde nach Ablauf des zweijährigen Norm-Entwurfs wieder ersatzlos zurückgezogen. Die ISO Norm 31000 ist ausdrücklich nicht zu Zertifizierungszwecken geschaffen. Vielmehr sagt die Norm aus, dass „die ISO 31000 Empfehlungen liefert, die an die spezifischen Organisationen angepasst werden können oder müssen und keine Anforderungen vorgibt.“ Eine gesetzliche Basis zur Zertifizierung stellt die ONR49001.

Ziele der Norm Bearbeiten

Reputations- oder Markenschäden, Cyberkriminalität, politische Risiken und Terrorismus sind nur einige Risiken, die private und öffentliche Organisationen aller Art und Größe auf der ganzen Welt mit zunehmender Häufigkeit befürchten müssen. Die neueste Version der ISO 31000 wurde vorgestellt, um bei dem Umgang mit diesen Unsicherheiten zu helfen. Die ISO 31000:2018 liefert eine klarere, kürzere und prägnantere Anleitung, die Organisationen dabei hilft, Risikomanagement-Prinzipien zu nutzen und um die Planung und Umsetzung zu verbessern, um somit bessere Entscheidungen treffen zu können. Die ISO 31000 unterstützt Organisationen dabei, eine Risikomanagementstrategie zu entwickeln, die effektiv Risiken identifiziert und abschwächt, und erhöht damit die Wahrscheinlichkeit, dass eine Organisation ihre Ziele erreicht und ihre Vermögenswerte schützen kann. Das übergeordnete Ziel ist die Entwicklung einer Risikomanagementkultur, in der Mitarbeiter und Stakeholder sich der Wichtigkeit des Risikomanagements bewusst sind. Die Implementierung von ISO 31000 hilft ebenfalls Organisationen, sowohl die positiven Chancen als auch die negativen Konsequenzen zu sehen, die mit Risiken verbunden sind, und ermöglicht eine fundiertere und damit effektivere Entscheidungsfindung bei der Zuteilung von Ressourcen. Darüber hinaus kann es eine aktive Komponente bei der Verbesserung der Unternehmensführung und letztlich seiner Leistung sein.

Besonderheiten Bearbeiten

Insgesamt lassen sich fünf Besonderheiten der ISO-Norm 31000:2018 beschreiben.

Top-down-Ansatz Bearbeiten

Das Risikomanagement folgt dem Top-down-Ansatz. Das bedeutet, dass die wesentlichen Risiken eines Unternehmens identifiziert, analysiert und behandelt werden, wobei die Details nicht von vornherein im Mittelpunkt stehen. Vielmehr geht es darum, die allgemeinen wichtigen Aspekte zu behandeln. Dieser Ansatz unterscheidet sich zu den Regulatoren der Finanzbranche, wie etwa Basel III oder Solvency II. Diese dienen auch dem Identifizieren von Risiken, sind jedoch eher als Bottom-up-Ansatz zu klassifizieren.

Risikomanagement ist eine umfassende Führungsaufgabe mit einem gegebenen Regelkreis Bearbeiten

Das Umgehen mit Risiken erfolgt iterativ und unterstützt Organisationen dabei, Strategien festzulegen, Ziele zu erreichen und fundierte Entscheidungen zu treffen. Das Umgehen mit Risiken ist Teil der Leitung und Führung und entscheidet darüber, wie diese Organisation auf allen Ebenen geführt wird. Es handelt sich um eine Verpflichtung der obersten Leitung, das Risikomanagementsystem zu implementieren. Dabei wird iterativ nach dem Demingkreis vorgegangen. Dieser lässt sich nach dem „Plan – Do – Check – Act“-Prinzip zusammenfassen.

Branchenübergreifender Ansatz Bearbeiten

Da Organisationen jeglicher Art und Größe externen und internen Faktoren und Einflüssen unterliegen, die das Erreichen ihrer Ziele ungewiss machen können, ist die ISO-Norm 31000 prinzipiell für alle Arten von Organisationen anwendbar. Sie lässt sich beispielhaft für Unternehmen der verarbeitenden Industrie sowie der Dienstleistungsbranche anwenden. Aber auch eine Implementierung für Unternehmen von öffentlichen Verwaltungen oder Nichtregierungsorganisationen ist möglich.

Funktionsübergreifend Bearbeiten

Die ISO-Norm 31000:2018 geht über das Konzept des internen Kontrollsystems hinaus und trägt vielmehr zu der Verbesserung von Managementsystemen bei. Das Umgehen mit Risiken ist Teil aller Aktivitäten einer Organisation und umfasst die Interaktion mit Stakeholdern. Zusätzlich berücksichtigt die Norm das Umgehen mit Risiken im externen und internen Kontext der Organisation einschließlich menschlichen Verhaltens und kultureller Faktoren und ist somit funktionsübergreifend.

International breit abgestütztes Konzept Bearbeiten

Entwickelt durch die ISO-Vereinigung mit Sitz in Genf, an denen Experten aus Europa, Amerika und Asien mitwirkten, besitzt die Norm somit ein besonderes Gewicht sowie internationale Aufmerksamkeit.

Aufbau und Inhalte der Norm Bearbeiten

Das Umgehen mit Risiken basiert auf den Grundsätzen, dem Rahmenwerk und dem Risikoprozess. Zusätzlich definiert die Norm noch wesentliche Begriffe des Risikomanagements.

Begriffsdefinition Bearbeiten

Insgesamt definiert die ISO-Norm 31000 acht Begriffe aus dem Kontext des Risikomanagements. Dabei handelt es sich lediglich um die wichtigsten Begriffe. In der vorhergehenden Norm waren noch 29 Begriffe definiert, womit durch die Überarbeitung eine deutliche Kürzung in diesem Bereich stattfand. Folgende Begriffe werden definiert und ggf. mit Anmerkungen versehen.

1.)   Risiko = „Auswirkung von Unsicherheit auf Ziele“. Eine Auswirkung stellt dabei sowohl eine Abweichung in positiver oder negativer Richtung als auch in beide Richtungen dar. Üblicherweise wird Risiko anhand der Risikoursache, der potenziellen Ereignisse, ihrer Auswirkungen und ihrer Wahrscheinlichkeit dargestellt.

2.)   Risikomanagement = „Koordinierte Aktivität zur Lenkung und Steuerung einer Organisation in Bezug auf Risiken“.

3.)   Stakeholder = „Person oder Organisation, die eine Entscheidung oder Aktivität beeinflussen kann, von dieser beeinflusst werden kann oder den Eindruck haben kann, davon beeinflusst zu werden“. Alternativ kann der Begriff „interessierter Kreis“ verwendet werden.

4.)   Risikoquelle/Risikoursache = „Element, das alleine oder gemeinsam mit anderen Faktoren potenziell zu Risiken führt“.

5.)   Ereignis = „Eintritt oder Veränderung einer bestimmten Kombination von Umständen“. Ein Ereignis kann einmal oder mehrmals eintreten und mehrere Ursachen sowie Auswirkungen haben.

6.)   Auswirkung = „Ergebnis eines Ereignisses, welches die Ziele betrifft“. Eine Auswirkung kann gewiss oder ungewiss sein und qualitativ oder quantitativ beschrieben werden.

7.)   Wahrscheinlichkeit = „Möglichkeit, dass etwas geschieht“. Eine Wahrscheinlichkeit muss nicht nach mathematischen Begriffen beschrieben werden, sondern kann auch allgemein gekennzeichnet werden.

8.)   Steuerung = „Maßnahme, die das Risiko aufrechterhält und/oder verändert“.

Grundsätze Bearbeiten

Die ISO-Norm 31000 legt Grundsätze fest, die helfen sollen, den Zweck des Risikomanagements (Werte zu schaffen und zu bewahren) zu erreichen. Dabei sollen die Grundsätze eine Grundlage dafür bilden, wie mit Risiken umzugehen ist, und sollten deshalb bei der Entwicklung des Rahmenwerkes und der Prozesse eines Risikomanagementsystems berücksichtigt werden.

Unter Beachtung der Grundsätze sollte ein effektives Risikomanagement somit integriert, strukturiert, umfassend, maßgeschneidert, einbeziehend und dynamisch sein. Zusätzlich sollten die besten verfügbaren Informationen verwendet und menschliche sowie kulturelle Faktoren berücksichtigt werden und eine fortlaufende Verbesserung des Risikomanagements stattfinden.

Rahmenwerk Bearbeiten

Die Wirksamkeit des Risikomanagements hängt davon ab, wie erfolgreich es in die internen Aktivitäten einer Organisation, vor allem von der Organisationsleitung, implementiert wird. Das Risikomanagement-Rahmenwerk fördert die Integration des Risikomanagements in die bedeutenden Funktionen und Prozesse der Organisation. In einem Rahmenwerk werden auch die existierenden Risikomanagementverfahren und -prozesse samt bestehender Lücken erfasst, behandelt und bewertet.

Das Rahmenwerk umfasst folgende Komponenten des Risikomanagements:

1) Integration
2) Gestaltung
3) Implementierung
4) Bewertung
5) Verbesserung

Diese müssen an die Bedürfnisse der Organisation angepasst werden.

Die Aufgaben der Organisationsführung und der internen Aufsichtsorgane sind die Integration des Risikomanagements in die Organisationsaktivitäten sowie der Nachweis einer erfolgreichen Implementierung. Dies umfasst die Anpassung der Komponenten des Rahmenwerks an die Bedürfnisse der Organisation, die Festlegung eines Plans, der alle erforderlichen Ressourcen umfasst, und das Zuweisen der Aufgaben auf allen Ebenen der Organisation. Die Unternehmensleitung ist im Prinzip für die Festlegung der allgemeinen Strategie zum Umgehen mit Risiken verantwortlich, während sich die Aufsichtsorgane mehr mit der Überwachung des Risikomanagements beschäftigen.

Integration Bearbeiten

Eine wichtige Voraussetzung für die erfolgreiche Integration des Risikomanagements ist das Verständnis der internen Organisation des Unternehmens. Die Teile der Organisationsstruktur des Unternehmens unterscheiden sich nach Zwecken, Zielen und Komplexität. Mit Risiko wird aber in jedem Teil umgegangen. Die Unternehmensleitung legt die allgemeine Strategie zum Umgang mit Risiken, den einzelnen Leitlinien sowie der Rechenschafts- und Aufsichtspflicht fest. Die Integration des Risikomanagements ist ein dynamischer Prozess, der an die Ziele und Abläufe des Unternehmens ständig angepasst werden muss.

Gestaltung Bearbeiten

Bei der Gestaltung des Rahmenwerkes müssen sowohl interne als auch externe unternehmensspezifische Faktoren berücksichtigt werden.

Externe Faktoren umfassen sämtliche sozialen, rechtlichen, finanziellen und wirtschaftlichen Auseinandersetzungen auf lokaler, nationaler und internationaler Ebene, die die Ziele der Organisation beeinflussen. Zusätzlich müssen externe Schlüsselfaktoren und Trends berücksichtigt werden. Auch die Beziehungen zu externen Personen, vertragliche Verpflichtungen, die Komplexität der Netzwerke und Abhängigkeiten der Organisation sind zu den externen Faktoren zu zählen.

Interne Faktoren sind die Vision, Mission und Werte sowie die Kultur der Organisation und deren interne Struktur. Die Verteilung der Leitungs- und Aufsichtsfunktionen, die übernommenen und angewandten Normen, Leitlinien und Modelle sowie verfügbare Ressourcen und Kapital (auch Humankapital) sind ebenfalls relevante interne Faktoren. Zusätzlich nennt die Norm noch die Informations- und Datensysteme, die Beziehungen zu internen Stakeholdern sowie die Realisation der vertraglichen Beziehungen und Verpflichtungen.

Die Organisationsleitung bzw. die Aufsichtsorgane müssen sich zum langfristigen Risikomanagement verpflichten, indem sie klar definierte Ziele, Bedürfnisse, Rechenschaftspflichten, notwendige Ressourcen, Vorgehensweisen sowie Maßnahmen zur Überprüfung und weitere Verbesserungen des Risikomanagementsystems im Unternehmen schriftlich verfassen und diese innerhalb der Organisation sowie mit den externen Unternehmenseignern kommunizieren.

Die relevanten Rollen bezüglich des Risikomanagements müssen auf allen Ebenen in der Organisation verteilt und zu den verantwortlichen Beschäftigten klar kommuniziert werden. Die zum entsprechenden Umgehen mit den Risiken benötigten Ressourcen, Fähigkeiten, Kompetenzen, Prozesse, Methoden und Werkzeuge müssen auch auf der obersten Ebene unter Berücksichtigung der Ressourcenknappheit sichergestellt und zugeteilt werden.

Um die Wirksamkeit des Risikomanagementsystems in der Organisation sicherzustellen, müssen die entsprechenden Kommunikations- und Konsultationswege eingerichtet werden, die die allgemeinen Informationen, konkreten Aufgaben sowie das Feedback und die Erwartungen der Stakeholder auf allen Ebenen der Organisation effizient und rechtzeitig zum Austausch bringen. Die Informationen, die innerhalb der Organisation effizient mitgeteilt, sortiert, verdichtet und analysiert werden, tragen dazu bei, dass alle Aktivitäten aneinander angepasst, mitgestaltet und verbessert werden können.

Implementierung Bearbeiten

Die Implementierung des Risikomanagement-Rahmenwerks muss mit der Erarbeitung eines geeigneten Plans mit konkreten Maßnahmen und unter Berücksichtigung der notwendigen Ressourcen anfangen. Die wichtigsten Entscheidungen müssen festlegen, wann, wo, wie und von wem die anzuwendenden Prozesse geändert werden müssen.

Für die erfolgreiche Implementierung ist das Engagement der Stakeholder notwendig, damit das Auftreten von Unsicherheiten bei dem Entscheidungstreffen angesprochen werden kann.

Das richtig geplante und implementierte Risikomanagement-Rahmenwerk stellt sicher, dass der Risikomanagementprozess zum Teil der Aktivitäten der gesamten Organisation wird und an die Änderungen des internen und externen Kontext angepasst werden kann.

Bewertung Bearbeiten

Um das Risikomanagement-Rahmenwerk möglichst nah an die Tätigkeiten und die internen und externen Faktoren der Organisation anzupassen, muss dessen Wirksamkeit regelmäßig bewertet werden. Die angebrachten Leistungen sind mit den geplanten Zwecken und Implementierungsplänen zu vergleichen, um danach zu ermitteln, ob das Rahmenwerk weiterhin zur Realisation der Organisationsziele geeignet ist oder ob eine Überarbeitung unter Berücksichtigung der veränderten Bedingungen stattfinden muss.

Verbesserung Bearbeiten

Das Risikomanagement-Rahmenwerk muss fortlaufend überwacht und seine Eignung, Angemessenheit und Wirksamkeit an die externen und internen Veränderungen angepasst werden. Wenn wesentliche Lücken oder Verbesserungsmöglichkeiten bestehen, muss die Organisation zwecks Verbesserung neue konkrete Pläne und Aufgaben ausarbeiten sowie die für dessen Implementierung zuständigen Personen bestimmen. Nach der Verbesserung und Optimierung des Risikomanagementsystems muss dieses besser an die Bedürfnisse der Organisation angepasst werden und zur Risikobewältigung beitragen.

Risikomanagementprozess Bearbeiten

Definition Bearbeiten

Unter dem Risikomanagementprozess versteht man sowohl die systematische Anwendung von Grundsätzen, Verfahren und Prozessen auf die Aktivitäten der Kommunikation und Konsultation als auch das Einrichten des Kontextes sowie das Beurteilen, Behandeln, Überwachen, Überprüfen, Aufzeichnen und Berichten.

Kommunikation und Konsultation Bearbeiten

Während die Kommunikation der Förderung der Stakeholder bezüglich ihres Risikobewusstseins dient, erhalten Stakeholder durch Konsultation Informationen zur Unterstützung der Entscheidungsfindung. Durch Kommunikation und Konsultation lassen sich u. a. interdisziplinäre Fachkenntnisse in jedem Schritt des Risikomanagementprozesses vereinen sowie die unterschiedlichen Perspektiven bei der Definition der Risikokriterien und Bewertung der Risiken berücksichtigen.

Anwendungsbereich, Kontext und Kriterien Bearbeiten

Der Anwendungsbereich der Risikomanagementaktivitäten lässt sich durch die Organisation festlegen. Dabei spielen relevante Ziele und Anpassungen an die Ziele der Organisation eine wichtige Rolle, denn der Risikomanagementprozess ist auf unterschiedlichen Ebenen anzuwenden. Dementsprechend sind externe und interne Kontexte des Umfelds bei der Festlegung der Ziele zu berücksichtigen. Organisationen ist das Verstehen der beiden Kontexte und deren Verknüpfung mit ihrem Risikomanagementprozess wichtig, da der Zweck und Anwendungsbereich des Risikomanagementprozesses mit den Gesamtzielen der Organisation verbunden sein kann. Die Festlegung von Risikokriterien sollte auf das Risikomanagement-Rahmenwerk abgestimmt und an den jeweiligen Zweck und Anwendungsbereich der Aktivitäten angepasst werden. Außerdem sollten die Risikokriterien die Werte, Ziele und Ressourcen der Organisation wiedergeben, da sie unter der Verpflichtung der Organisation sowie der Sichtweisen der Stakeholder festzulegen sind.

Risikobeurteilung Bearbeiten

Die Risikobeurteilung umfasst den systematischen, iterativen und kollaborativen Prozess der Risikoidentifikation, Risikoanalyse und Risikobewertung unter Verwendung der Kenntnisse und Ansichten der Stakeholder. Die Risikoidentifizierung dient der Organisation dazu, eine möglichst vollständige Übersicht möglicher Risiken zur Verfügung stellen zu können. Jedes Risiko wird, abhängig vom jeweiligen Bereich, einem Risikoverantwortlichen zugeteilt. Die Identifizierung von Risiken geschieht in allen Bereichen und Prozessen einer Organisation. Bei der Risikoidentifizierung werden sowohl interne als auch externe Datenquellen verwendet. Dadurch, dass die Risikoanalyse eine ausführliche Betrachtung von Unsicherheiten, Risikoursachen, Auswirkungen, Wahrscheinlichkeit, Ereignissen, Szenarien, Steuerungen und deren Wirksamkeit durchführt, umfasst sie die Bestimmung der Art des Risikos, dessen Eigenschaften und ggf. die Risikohöhe. Die Risikoanalyse liefert einen Beitrag für die Risikobewertung und für Entscheidungen darüber, ob und wie Risiken zu behandeln sind. Die Risikobewertung ermöglicht eine Gewichtung der identifizierten Risiken und damit eine risikoorientierte Vorgehensweise: Bestandsgefährdende Risiken verlangen andere Steuerungsmaßnahmen als unwesentliche Risiken. Im Rahmen der Bewertung werden alle identifizierten Risiken analysiert und ihre Eintrittswahrscheinlichkeit sowie ihr Schadensausmaß bewertet.

Risikosteuerung Bearbeiten

Die Risikomitigation bzw. Risikosteuerung ergreift Maßnahmen, um die potentielle Schadenshöhe und/oder Eintrittswahrscheinlichkeit der Risiken zu reduzieren.

Optionen zur Risikobehandlung bestehen aus:

  1. Vermeidung: Ausstieg aus Aktivitäten, wenn Steuerungsmaßnahmen nicht kosteneffizient sind und/oder Nutzen in ungünstigem Verhältnis zum Risiko steht
  2. Transfer: Übertragung der Risikosteuerung und/oder der finanziellen Auswirkung des Risikos auf Dritte
  3. Verminderung: Frühzeitige Entwicklung und Ergreifung von Maßnahmen zur Reduktion der Eintrittswahrscheinlichkeit und/oder des Schadensausmaßes
  4. Akzeptanz: Bewusstes Eingehen von Risiken

Risikoüberwachung Bearbeiten

Durch eine regelmäßige Überwachung der Steuerungsmaßnahmen in allen Phasen des Prozesses wird die Wirksamkeit des Risiko-Managementsystems sichergestellt. Mithilfe risikospezifischer Frühwarnindikatoren können Risiken rechtzeitig Maßnahmen gegenübergestellt werden.

Risikoberichterstattung Bearbeiten

Die Berichterstattung stellt sicher, dass relevante Risikoinformationen rechtzeitig an den richtigen Adressaten geleitet werden. Dies können interne oder externe Berichtsempfänger sein. Bei Organisationen finden sich verschiedene Formen der Berichterstattung. Diese lassen sich wie folgt einstufen:

  1. Basis-Berichterstattung: einheitlicher Bericht, jedoch mit eingeschränkten Möglichkeiten zur Auswertung der Daten
  2. Adressatengerechte Berichterstattung: hierarchieabhängige Berichterstattung mit Unterscheidung zwischen Vorstandsbericht und Bereichsreports
  3. Integrierte Berichterstattung: individualisierte Berichte und mögliche quantitative Auswertung

Überarbeitung der Norm und Unterschiede zu ISO 31000:2009 Bearbeiten

Alle ISO-Standards werden alle fünf Jahre überprüft und bei Bedarf überarbeitet. Dies hilft dabei, die Relevanz für den Markt sicherzustellen. Die Risikomanagement-Praktiken von gestern reichen nicht mehr aus, um mit den heutigen Bedrohungen umzugehen, weshalb sich diese weiterentwickeln müssen. Ein Beispiel dafür ist die erhöhte Komplexität von Wirtschaftssystemen und aufkommende Risikofaktoren, wie die digitale Währung. Beide können neue und verschiedene Arten von Risiken für eine Organisation darstellen.

Eine Überarbeitung zu ISO 31000 wurde Anfang 2018 veröffentlicht und ersetzt die erste Ausgabe (ISO 31000:2009). Die ISO 31000:2018 bietet mehr strategische Leitlinien und legt mehr Gewicht auf die Einbeziehung des Senior Managements und die Integration des Risikomanagements in die Organisation. Das übergeordnete Ziel ist die Entwicklung einer Risikomanagementkultur, in der sich Mitarbeiter und Stakeholder bewusst sind, wie wichtig es ist, Risiken zu überwachen und zu steuern. Der daraus resultierende Standard ist nicht nur eine neue Version von ISO 31000. Er geht über eine einfache Überarbeitung hinaus, denn es geht um die Art und Weise, wie morgen mit Risiken umgegangen wird.

Die wichtigsten Änderungen im Vergleich zur letzten Ausgabe sind Folgende:

„Überprüfung der Grundsätze des Risikomanagements, welche die wichtigsten Kriterien für dessen Erfolg sind.“

Der überarbeitete Standard empfiehlt nun, dass das Risikomanagement Teil der Organisationsstruktur, Prozesse, Ziele, Strategie und Aktivitäten sein sollte. Es konzentriert sich mehr auf die Schaffung von Werten als Schlüsseltreiber des Risikomanagements und andere verwandte Prinzipien, wie kontinuierliche Verbesserung, der Einbezug von Stakeholdern, Anpassung an die Organisation und Berücksichtigung von Mensch und kulturellen Faktoren.

„Hervorhebung der Führung durch die oberste Leitung und der Integration des Risikomanagements, beginnend mit der Leitung der Organisation.“

Dies schließt die Empfehlung ein, eine Politik zu entwickeln, die ein Engagement für Risikomanagement unterstützt. Dabei geht es um die Zuweisung von Autorität, Verantwortung und Rechenschaftspflicht auf den entsprechenden Ebenen innerhalb der Organisation und die Sicherstellung, dass die notwendigen Ressourcen für das Risikomanagement bereitgestellt werden.

„Stärkere Betonung des iterativen Charakters des Risikomanagements.“

Dabei wird darauf hingewiesen, dass neue Erfahrungen, Kenntnisse und Analysen in jeder Phase des Prozesses zu einer Überarbeitung der Prozesselemente, Aktionen und Steuerungen führen können.

„Straffung des Inhalts mit stärkerem Fokus auf die Aufrechterhaltung eines offenen Systemmodells, das mehreren Bedürfnissen und Kontexten gerecht wird.“

Das Hauptziel besteht darin, die Dinge klarer und einfacher zu machen, wobei eine einfache Sprache verwendet wird, um die Grundlagen des Risikomanagements in einer Weise zu definieren, die der Leser leichter nachvollziehen kann.

Geschichte Bearbeiten

Jahr Beschreibung
2009 ISO 31000 (1. Ausgabe)
2018 ISO 31000 (2. Ausgabe)

Literatur Bearbeiten

  • ISO Norm 31000:2018.
  • Werner Gleißner: Grundlagen des Risikomanagements. 3. Auflage. Vahlen, 2017, ISBN 978-3-8006-3767-6.

Siehe auch Bearbeiten

Einzelnachweise Bearbeiten

  1. ISO Norm 31000:2018, Kapitel 1: Anwendungsbereich
  2. ISO Norm 31000:2018 Kapitel: Nationales Vorwort
  3. Brühwiler und Romeike: Praxisleitfaden Risikomanagement. Erich Schmidt Verlag, Berlin 2010, S. 83–87.
  4. Brühwiler Romeike: Praxisleitfaden Risikomanagement. Erich Schmidt Verlag, Berlin 2010, S. 84.
  5. ISO Norm 31000:2018, Kapitel 3: Begriffe
  6. ISO Norm 31000:2018, Kapitel 4: Grundsätze
  7. ISO Norm 31000:2018, Kapitel 5: Rahmenwerk
  8. ISO Norm 31000:2018, Kapitel 6: Risikomanagementprozess
  9. ISO News. Abgerufen am 5. Juli 2018.
  10. ISO Norm 31000:2018, Vorwort
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Die ISO 31000 2018 ist eine ISO Norm die sich mit Risikomanagement beschaftigt Dabei legt die Norm Leitlinien fest die den Umgang mit Risiken in einer Organisation beschreiben Die spezielle Anwendung dieser Leitlinien kann an jedes Unternehmen in seiner spezifischen Umgebung angepasst werden Der Standard liefert einen sehr allgemeinen Ansatz der nicht industrie oder sektorspezifisch ist und gleichzeitig fur jegliche Art von Risiken anwendbar ist Daruber hinaus kann die Norm wahrend der gesamten Lebensdauer eines Unternehmens verwendet werden und ist auf allen Unternehmensebenen sowie im Prozess der Entscheidungsfindung implementierbar 1 Inhaltsverzeichnis 1 Allgemeines 2 Ziele der Norm 3 Besonderheiten 3 1 Top down Ansatz 3 2 Risikomanagement ist eine umfassende Fuhrungsaufgabe mit einem gegebenen Regelkreis 3 3 Branchenubergreifender Ansatz 3 4 Funktionsubergreifend 3 5 International breit abgestutztes Konzept 4 Aufbau und Inhalte der Norm 4 1 Begriffsdefinition 4 2 Grundsatze 4 3 Rahmenwerk 4 3 1 Integration 4 3 2 Gestaltung 4 3 3 Implementierung 4 3 4 Bewertung 4 3 5 Verbesserung 4 4 Risikomanagementprozess 4 4 1 Definition 4 4 2 Kommunikation und Konsultation 4 4 3 Anwendungsbereich Kontext und Kriterien 4 4 4 Risikobeurteilung 4 4 5 Risikosteuerung 4 4 6 Risikouberwachung 4 4 7 Risikoberichterstattung 5 Uberarbeitung der Norm und Unterschiede zu ISO 31000 2009 6 Geschichte 7 Literatur 8 Siehe auch 9 EinzelnachweiseAllgemeines BearbeitenDie Norm 31000 ist in drei Sprachen veroffentlicht Englisch Franzosisch und Deutsch Die deutsche Ubersetzung wurde von dem technischen Komitee ISO TC 262 Risk Management erarbeitet Nach dem Beschluss von 12 2017 des NA 175 00 04 AA wird die ISO 31000 2018 in das deutsche DIN Normenwerk ubernommen Die Vorgangernorm wurde nach Ablauf des zweijahrigen Norm Entwurfs wieder ersatzlos zuruckgezogen Die ISO Norm 31000 ist ausdrucklich nicht zu Zertifizierungszwecken geschaffen Vielmehr sagt die Norm aus dass die ISO 31000 Empfehlungen liefert die an die spezifischen Organisationen angepasst werden konnen oder mussen und keine Anforderungen vorgibt 2 Eine gesetzliche Basis zur Zertifizierung stellt die ONR49001 Ziele der Norm BearbeitenReputations oder Markenschaden Cyberkriminalitat politische Risiken und Terrorismus sind nur einige Risiken die private und offentliche Organisationen aller Art und Grosse auf der ganzen Welt mit zunehmender Haufigkeit befurchten mussen Die neueste Version der ISO 31000 wurde vorgestellt um bei dem Umgang mit diesen Unsicherheiten zu helfen Die ISO 31000 2018 liefert eine klarere kurzere und pragnantere Anleitung die Organisationen dabei hilft Risikomanagement Prinzipien zu nutzen und um die Planung und Umsetzung zu verbessern um somit bessere Entscheidungen treffen zu konnen Die ISO 31000 unterstutzt Organisationen dabei eine Risikomanagementstrategie zu entwickeln die effektiv Risiken identifiziert und abschwacht und erhoht damit die Wahrscheinlichkeit dass eine Organisation ihre Ziele erreicht und ihre Vermogenswerte schutzen kann Das ubergeordnete Ziel ist die Entwicklung einer Risikomanagementkultur in der Mitarbeiter und Stakeholder sich der Wichtigkeit des Risikomanagements bewusst sind Die Implementierung von ISO 31000 hilft ebenfalls Organisationen sowohl die positiven Chancen als auch die negativen Konsequenzen zu sehen die mit Risiken verbunden sind und ermoglicht eine fundiertere und damit effektivere Entscheidungsfindung bei der Zuteilung von Ressourcen Daruber hinaus kann es eine aktive Komponente bei der Verbesserung der Unternehmensfuhrung und letztlich seiner Leistung sein Besonderheiten BearbeitenInsgesamt lassen sich funf Besonderheiten der ISO Norm 31000 2018 beschreiben Top down Ansatz Bearbeiten Das Risikomanagement folgt dem Top down Ansatz Das bedeutet dass die wesentlichen Risiken eines Unternehmens identifiziert analysiert und behandelt werden wobei die Details nicht von vornherein im Mittelpunkt stehen Vielmehr geht es darum die allgemeinen wichtigen Aspekte zu behandeln Dieser Ansatz unterscheidet sich zu den Regulatoren der Finanzbranche wie etwa Basel III oder Solvency II Diese dienen auch dem Identifizieren von Risiken sind jedoch eher als Bottom up Ansatz zu klassifizieren 3 Risikomanagement ist eine umfassende Fuhrungsaufgabe mit einem gegebenen Regelkreis Bearbeiten Das Umgehen mit Risiken erfolgt iterativ und unterstutzt Organisationen dabei Strategien festzulegen Ziele zu erreichen und fundierte Entscheidungen zu treffen Das Umgehen mit Risiken ist Teil der Leitung und Fuhrung und entscheidet daruber wie diese Organisation auf allen Ebenen gefuhrt wird Es handelt sich um eine Verpflichtung der obersten Leitung das Risikomanagementsystem zu implementieren Dabei wird iterativ nach dem Demingkreis vorgegangen Dieser lasst sich nach dem Plan Do Check Act Prinzip zusammenfassen 4 Branchenubergreifender Ansatz Bearbeiten Da Organisationen jeglicher Art und Grosse externen und internen Faktoren und Einflussen unterliegen die das Erreichen ihrer Ziele ungewiss machen konnen ist die ISO Norm 31000 prinzipiell fur alle Arten von Organisationen anwendbar Sie lasst sich beispielhaft fur Unternehmen der verarbeitenden Industrie sowie der Dienstleistungsbranche anwenden Aber auch eine Implementierung fur Unternehmen von offentlichen Verwaltungen oder Nichtregierungsorganisationen ist moglich Funktionsubergreifend Bearbeiten Die ISO Norm 31000 2018 geht uber das Konzept des internen Kontrollsystems hinaus und tragt vielmehr zu der Verbesserung von Managementsystemen bei Das Umgehen mit Risiken ist Teil aller Aktivitaten einer Organisation und umfasst die Interaktion mit Stakeholdern Zusatzlich berucksichtigt die Norm das Umgehen mit Risiken im externen und internen Kontext der Organisation einschliesslich menschlichen Verhaltens und kultureller Faktoren und ist somit funktionsubergreifend International breit abgestutztes Konzept Bearbeiten Entwickelt durch die ISO Vereinigung mit Sitz in Genf an denen Experten aus Europa Amerika und Asien mitwirkten besitzt die Norm somit ein besonderes Gewicht sowie internationale Aufmerksamkeit Aufbau und Inhalte der Norm BearbeitenDas Umgehen mit Risiken basiert auf den Grundsatzen dem Rahmenwerk und dem Risikoprozess Zusatzlich definiert die Norm noch wesentliche Begriffe des Risikomanagements Begriffsdefinition Bearbeiten Insgesamt definiert die ISO Norm 31000 acht Begriffe aus dem Kontext des Risikomanagements Dabei handelt es sich lediglich um die wichtigsten Begriffe In der vorhergehenden Norm waren noch 29 Begriffe definiert womit durch die Uberarbeitung eine deutliche Kurzung in diesem Bereich stattfand Folgende Begriffe werden definiert und ggf mit Anmerkungen versehen 5 1 Risiko Auswirkung von Unsicherheit auf Ziele Eine Auswirkung stellt dabei sowohl eine Abweichung in positiver oder negativer Richtung als auch in beide Richtungen dar Ublicherweise wird Risiko anhand der Risikoursache der potenziellen Ereignisse ihrer Auswirkungen und ihrer Wahrscheinlichkeit dargestellt 2 Risikomanagement Koordinierte Aktivitat zur Lenkung und Steuerung einer Organisation in Bezug auf Risiken 3 Stakeholder Person oder Organisation die eine Entscheidung oder Aktivitat beeinflussen kann von dieser beeinflusst werden kann oder den Eindruck haben kann davon beeinflusst zu werden Alternativ kann der Begriff interessierter Kreis verwendet werden 4 Risikoquelle Risikoursache Element das alleine oder gemeinsam mit anderen Faktoren potenziell zu Risiken fuhrt 5 Ereignis Eintritt oder Veranderung einer bestimmten Kombination von Umstanden Ein Ereignis kann einmal oder mehrmals eintreten und mehrere Ursachen sowie Auswirkungen haben 6 Auswirkung Ergebnis eines Ereignisses welches die Ziele betrifft Eine Auswirkung kann gewiss oder ungewiss sein und qualitativ oder quantitativ beschrieben werden 7 Wahrscheinlichkeit Moglichkeit dass etwas geschieht Eine Wahrscheinlichkeit muss nicht nach mathematischen Begriffen beschrieben werden sondern kann auch allgemein gekennzeichnet werden 8 Steuerung Massnahme die das Risiko aufrechterhalt und oder verandert Grundsatze Bearbeiten Die ISO Norm 31000 legt Grundsatze fest die helfen sollen den Zweck des Risikomanagements Werte zu schaffen und zu bewahren zu erreichen Dabei sollen die Grundsatze eine Grundlage dafur bilden wie mit Risiken umzugehen ist und sollten deshalb bei der Entwicklung des Rahmenwerkes und der Prozesse eines Risikomanagementsystems berucksichtigt werden Unter Beachtung der Grundsatze sollte ein effektives Risikomanagement somit integriert strukturiert umfassend massgeschneidert einbeziehend und dynamisch sein Zusatzlich sollten die besten verfugbaren Informationen verwendet und menschliche sowie kulturelle Faktoren berucksichtigt werden und eine fortlaufende Verbesserung des Risikomanagements stattfinden 6 Rahmenwerk Bearbeiten Die Wirksamkeit des Risikomanagements hangt davon ab wie erfolgreich es in die internen Aktivitaten einer Organisation vor allem von der Organisationsleitung implementiert wird Das Risikomanagement Rahmenwerk fordert die Integration des Risikomanagements in die bedeutenden Funktionen und Prozesse der Organisation In einem Rahmenwerk werden auch die existierenden Risikomanagementverfahren und prozesse samt bestehender Lucken erfasst behandelt und bewertet 7 Das Rahmenwerk umfasst folgende Komponenten des Risikomanagements 1 Integration 2 Gestaltung 3 Implementierung 4 Bewertung 5 VerbesserungDiese mussen an die Bedurfnisse der Organisation angepasst werden Die Aufgaben der Organisationsfuhrung und der internen Aufsichtsorgane sind die Integration des Risikomanagements in die Organisationsaktivitaten sowie der Nachweis einer erfolgreichen Implementierung Dies umfasst die Anpassung der Komponenten des Rahmenwerks an die Bedurfnisse der Organisation die Festlegung eines Plans der alle erforderlichen Ressourcen umfasst und das Zuweisen der Aufgaben auf allen Ebenen der Organisation Die Unternehmensleitung ist im Prinzip fur die Festlegung der allgemeinen Strategie zum Umgehen mit Risiken verantwortlich wahrend sich die Aufsichtsorgane mehr mit der Uberwachung des Risikomanagements beschaftigen Integration Bearbeiten Eine wichtige Voraussetzung fur die erfolgreiche Integration des Risikomanagements ist das Verstandnis der internen Organisation des Unternehmens Die Teile der Organisationsstruktur des Unternehmens unterscheiden sich nach Zwecken Zielen und Komplexitat Mit Risiko wird aber in jedem Teil umgegangen Die Unternehmensleitung legt die allgemeine Strategie zum Umgang mit Risiken den einzelnen Leitlinien sowie der Rechenschafts und Aufsichtspflicht fest Die Integration des Risikomanagements ist ein dynamischer Prozess der an die Ziele und Ablaufe des Unternehmens standig angepasst werden muss Gestaltung Bearbeiten Bei der Gestaltung des Rahmenwerkes mussen sowohl interne als auch externe unternehmensspezifische Faktoren berucksichtigt werden Externe Faktoren umfassen samtliche sozialen rechtlichen finanziellen und wirtschaftlichen Auseinandersetzungen auf lokaler nationaler und internationaler Ebene die die Ziele der Organisation beeinflussen Zusatzlich mussen externe Schlusselfaktoren und Trends berucksichtigt werden Auch die Beziehungen zu externen Personen vertragliche Verpflichtungen die Komplexitat der Netzwerke und Abhangigkeiten der Organisation sind zu den externen Faktoren zu zahlen Interne Faktoren sind die Vision Mission und Werte sowie die Kultur der Organisation und deren interne Struktur Die Verteilung der Leitungs und Aufsichtsfunktionen die ubernommenen und angewandten Normen Leitlinien und Modelle sowie verfugbare Ressourcen und Kapital auch Humankapital sind ebenfalls relevante interne Faktoren Zusatzlich nennt die Norm noch die Informations und Datensysteme die Beziehungen zu internen Stakeholdern sowie die Realisation der vertraglichen Beziehungen und Verpflichtungen Die Organisationsleitung bzw die Aufsichtsorgane mussen sich zum langfristigen Risikomanagement verpflichten indem sie klar definierte Ziele Bedurfnisse Rechenschaftspflichten notwendige Ressourcen Vorgehensweisen sowie Massnahmen zur Uberprufung und weitere Verbesserungen des Risikomanagementsystems im Unternehmen schriftlich verfassen und diese innerhalb der Organisation sowie mit den externen Unternehmenseignern kommunizieren Die relevanten Rollen bezuglich des Risikomanagements mussen auf allen Ebenen in der Organisation verteilt und zu den verantwortlichen Beschaftigten klar kommuniziert werden Die zum entsprechenden Umgehen mit den Risiken benotigten Ressourcen Fahigkeiten Kompetenzen Prozesse Methoden und Werkzeuge mussen auch auf der obersten Ebene unter Berucksichtigung der Ressourcenknappheit sichergestellt und zugeteilt werden Um die Wirksamkeit des Risikomanagementsystems in der Organisation sicherzustellen mussen die entsprechenden Kommunikations und Konsultationswege eingerichtet werden die die allgemeinen Informationen konkreten Aufgaben sowie das Feedback und die Erwartungen der Stakeholder auf allen Ebenen der Organisation effizient und rechtzeitig zum Austausch bringen Die Informationen die innerhalb der Organisation effizient mitgeteilt sortiert verdichtet und analysiert werden tragen dazu bei dass alle Aktivitaten aneinander angepasst mitgestaltet und verbessert werden konnen Implementierung Bearbeiten Die Implementierung des Risikomanagement Rahmenwerks muss mit der Erarbeitung eines geeigneten Plans mit konkreten Massnahmen und unter Berucksichtigung der notwendigen Ressourcen anfangen Die wichtigsten Entscheidungen mussen festlegen wann wo wie und von wem die anzuwendenden Prozesse geandert werden mussen Fur die erfolgreiche Implementierung ist das Engagement der Stakeholder notwendig damit das Auftreten von Unsicherheiten bei dem Entscheidungstreffen angesprochen werden kann Das richtig geplante und implementierte Risikomanagement Rahmenwerk stellt sicher dass der Risikomanagementprozess zum Teil der Aktivitaten der gesamten Organisation wird und an die Anderungen des internen und externen Kontext angepasst werden kann Bewertung Bearbeiten Um das Risikomanagement Rahmenwerk moglichst nah an die Tatigkeiten und die internen und externen Faktoren der Organisation anzupassen muss dessen Wirksamkeit regelmassig bewertet werden Die angebrachten Leistungen sind mit den geplanten Zwecken und Implementierungsplanen zu vergleichen um danach zu ermitteln ob das Rahmenwerk weiterhin zur Realisation der Organisationsziele geeignet ist oder ob eine Uberarbeitung unter Berucksichtigung der veranderten Bedingungen stattfinden muss Verbesserung Bearbeiten Das Risikomanagement Rahmenwerk muss fortlaufend uberwacht und seine Eignung Angemessenheit und Wirksamkeit an die externen und internen Veranderungen angepasst werden Wenn wesentliche Lucken oder Verbesserungsmoglichkeiten bestehen muss die Organisation zwecks Verbesserung neue konkrete Plane und Aufgaben ausarbeiten sowie die fur dessen Implementierung zustandigen Personen bestimmen Nach der Verbesserung und Optimierung des Risikomanagementsystems muss dieses besser an die Bedurfnisse der Organisation angepasst werden und zur Risikobewaltigung beitragen Risikomanagementprozess Bearbeiten Definition Bearbeiten Unter dem Risikomanagementprozess versteht man sowohl die systematische Anwendung von Grundsatzen Verfahren und Prozessen auf die Aktivitaten der Kommunikation und Konsultation als auch das Einrichten des Kontextes sowie das Beurteilen Behandeln Uberwachen Uberprufen Aufzeichnen und Berichten 8 Kommunikation und Konsultation Bearbeiten Wahrend die Kommunikation der Forderung der Stakeholder bezuglich ihres Risikobewusstseins dient erhalten Stakeholder durch Konsultation Informationen zur Unterstutzung der Entscheidungsfindung Durch Kommunikation und Konsultation lassen sich u a interdisziplinare Fachkenntnisse in jedem Schritt des Risikomanagementprozesses vereinen sowie die unterschiedlichen Perspektiven bei der Definition der Risikokriterien und Bewertung der Risiken berucksichtigen Anwendungsbereich Kontext und Kriterien Bearbeiten Der Anwendungsbereich der Risikomanagementaktivitaten lasst sich durch die Organisation festlegen Dabei spielen relevante Ziele und Anpassungen an die Ziele der Organisation eine wichtige Rolle denn der Risikomanagementprozess ist auf unterschiedlichen Ebenen anzuwenden Dementsprechend sind externe und interne Kontexte des Umfelds bei der Festlegung der Ziele zu berucksichtigen Organisationen ist das Verstehen der beiden Kontexte und deren Verknupfung mit ihrem Risikomanagementprozess wichtig da der Zweck und Anwendungsbereich des Risikomanagementprozesses mit den Gesamtzielen der Organisation verbunden sein kann Die Festlegung von Risikokriterien sollte auf das Risikomanagement Rahmenwerk abgestimmt und an den jeweiligen Zweck und Anwendungsbereich der Aktivitaten angepasst werden Ausserdem sollten die Risikokriterien die Werte Ziele und Ressourcen der Organisation wiedergeben da sie unter der Verpflichtung der Organisation sowie der Sichtweisen der Stakeholder festzulegen sind Risikobeurteilung Bearbeiten Die Risikobeurteilung umfasst den systematischen iterativen und kollaborativen Prozess der Risikoidentifikation Risikoanalyse und Risikobewertung unter Verwendung der Kenntnisse und Ansichten der Stakeholder Die Risikoidentifizierung dient der Organisation dazu eine moglichst vollstandige Ubersicht moglicher Risiken zur Verfugung stellen zu konnen Jedes Risiko wird abhangig vom jeweiligen Bereich einem Risikoverantwortlichen zugeteilt Die Identifizierung von Risiken geschieht in allen Bereichen und Prozessen einer Organisation Bei der Risikoidentifizierung werden sowohl interne als auch externe Datenquellen verwendet Dadurch dass die Risikoanalyse eine ausfuhrliche Betrachtung von Unsicherheiten Risikoursachen Auswirkungen Wahrscheinlichkeit Ereignissen Szenarien Steuerungen und deren Wirksamkeit durchfuhrt umfasst sie die Bestimmung der Art des Risikos dessen Eigenschaften und ggf die Risikohohe Die Risikoanalyse liefert einen Beitrag fur die Risikobewertung und fur Entscheidungen daruber ob und wie Risiken zu behandeln sind Die Risikobewertung ermoglicht eine Gewichtung der identifizierten Risiken und damit eine risikoorientierte Vorgehensweise Bestandsgefahrdende Risiken verlangen andere Steuerungsmassnahmen als unwesentliche Risiken Im Rahmen der Bewertung werden alle identifizierten Risiken analysiert und ihre Eintrittswahrscheinlichkeit sowie ihr Schadensausmass bewertet Risikosteuerung Bearbeiten Die Risikomitigation bzw Risikosteuerung ergreift Massnahmen um die potentielle Schadenshohe und oder Eintrittswahrscheinlichkeit der Risiken zu reduzieren Optionen zur Risikobehandlung bestehen aus Vermeidung Ausstieg aus Aktivitaten wenn Steuerungsmassnahmen nicht kosteneffizient sind und oder Nutzen in ungunstigem Verhaltnis zum Risiko steht Transfer Ubertragung der Risikosteuerung und oder der finanziellen Auswirkung des Risikos auf Dritte Verminderung Fruhzeitige Entwicklung und Ergreifung von Massnahmen zur Reduktion der Eintrittswahrscheinlichkeit und oder des Schadensausmasses Akzeptanz Bewusstes Eingehen von RisikenRisikouberwachung Bearbeiten Durch eine regelmassige Uberwachung der Steuerungsmassnahmen in allen Phasen des Prozesses wird die Wirksamkeit des Risiko Managementsystems sichergestellt Mithilfe risikospezifischer Fruhwarnindikatoren konnen Risiken rechtzeitig Massnahmen gegenubergestellt werden Risikoberichterstattung Bearbeiten Die Berichterstattung stellt sicher dass relevante Risikoinformationen rechtzeitig an den richtigen Adressaten geleitet werden Dies konnen interne oder externe Berichtsempfanger sein Bei Organisationen finden sich verschiedene Formen der Berichterstattung Diese lassen sich wie folgt einstufen Basis Berichterstattung einheitlicher Bericht jedoch mit eingeschrankten Moglichkeiten zur Auswertung der Daten Adressatengerechte Berichterstattung hierarchieabhangige Berichterstattung mit Unterscheidung zwischen Vorstandsbericht und Bereichsreports Integrierte Berichterstattung individualisierte Berichte und mogliche quantitative AuswertungUberarbeitung der Norm und Unterschiede zu ISO 31000 2009 BearbeitenAlle ISO Standards werden alle funf Jahre uberpruft und bei Bedarf uberarbeitet Dies hilft dabei die Relevanz fur den Markt sicherzustellen Die Risikomanagement Praktiken von gestern reichen nicht mehr aus um mit den heutigen Bedrohungen umzugehen weshalb sich diese weiterentwickeln mussen Ein Beispiel dafur ist die erhohte Komplexitat von Wirtschaftssystemen und aufkommende Risikofaktoren wie die digitale Wahrung Beide konnen neue und verschiedene Arten von Risiken fur eine Organisation darstellen Eine Uberarbeitung zu ISO 31000 wurde Anfang 2018 veroffentlicht und ersetzt die erste Ausgabe ISO 31000 2009 Die ISO 31000 2018 bietet mehr strategische Leitlinien und legt mehr Gewicht auf die Einbeziehung des Senior Managements und die Integration des Risikomanagements in die Organisation Das ubergeordnete Ziel ist die Entwicklung einer Risikomanagementkultur in der sich Mitarbeiter und Stakeholder bewusst sind wie wichtig es ist Risiken zu uberwachen und zu steuern Der daraus resultierende Standard ist nicht nur eine neue Version von ISO 31000 Er geht uber eine einfache Uberarbeitung hinaus denn es geht um die Art und Weise wie morgen mit Risiken umgegangen wird Die wichtigsten Anderungen im Vergleich zur letzten Ausgabe sind Folgende 9 10 Uberprufung der Grundsatze des Risikomanagements welche die wichtigsten Kriterien fur dessen Erfolg sind Der uberarbeitete Standard empfiehlt nun dass das Risikomanagement Teil der Organisationsstruktur Prozesse Ziele Strategie und Aktivitaten sein sollte Es konzentriert sich mehr auf die Schaffung von Werten als Schlusseltreiber des Risikomanagements und andere verwandte Prinzipien wie kontinuierliche Verbesserung der Einbezug von Stakeholdern Anpassung an die Organisation und Berucksichtigung von Mensch und kulturellen Faktoren Hervorhebung der Fuhrung durch die oberste Leitung und der Integration des Risikomanagements beginnend mit der Leitung der Organisation Dies schliesst die Empfehlung ein eine Politik zu entwickeln die ein Engagement fur Risikomanagement unterstutzt Dabei geht es um die Zuweisung von Autoritat Verantwortung und Rechenschaftspflicht auf den entsprechenden Ebenen innerhalb der Organisation und die Sicherstellung dass die notwendigen Ressourcen fur das Risikomanagement bereitgestellt werden Starkere Betonung des iterativen Charakters des Risikomanagements Dabei wird darauf hingewiesen dass neue Erfahrungen Kenntnisse und Analysen in jeder Phase des Prozesses zu einer Uberarbeitung der Prozesselemente Aktionen und Steuerungen fuhren konnen Straffung des Inhalts mit starkerem Fokus auf die Aufrechterhaltung eines offenen Systemmodells das mehreren Bedurfnissen und Kontexten gerecht wird Das Hauptziel besteht darin die Dinge klarer und einfacher zu machen wobei eine einfache Sprache verwendet wird um die Grundlagen des Risikomanagements in einer Weise zu definieren die der Leser leichter nachvollziehen kann Geschichte BearbeitenJahr Beschreibung2009 ISO 31000 1 Ausgabe 2018 ISO 31000 2 Ausgabe Literatur BearbeitenISO Norm 31000 2018 Werner Gleissner Grundlagen des Risikomanagements 3 Auflage Vahlen 2017 ISBN 978 3 8006 3767 6 Siehe auch BearbeitenRisikomanagement Risikocontrolling Risikomanagement Standard Risikobewaltigung IEC 31010 Risikomanagement Verfahren zur RisikobeurteilungEinzelnachweise Bearbeiten ISO Norm 31000 2018 Kapitel 1 Anwendungsbereich ISO Norm 31000 2018 Kapitel Nationales Vorwort Bruhwiler und Romeike Praxisleitfaden Risikomanagement Erich Schmidt Verlag Berlin 2010 S 83 87 Bruhwiler Romeike Praxisleitfaden Risikomanagement Erich Schmidt Verlag Berlin 2010 S 84 ISO Norm 31000 2018 Kapitel 3 Begriffe ISO Norm 31000 2018 Kapitel 4 Grundsatze ISO Norm 31000 2018 Kapitel 5 Rahmenwerk ISO Norm 31000 2018 Kapitel 6 Risikomanagementprozess ISO News Abgerufen am 5 Juli 2018 ISO Norm 31000 2018 Vorwort Abgerufen von https de wikipedia org w index php title ISO 31000 amp oldid 237261162