Freitag, 20. Mai 2011

Was ist der generische Risikomanagementprozess ?

Wir wollen unter "generisch" so etwas wie "grundlegend" und "allgemeingültig" verstehen. Der generische Risikomanagementprozess findet sich als zugrundeliegendes Muster in allen Risikomanagementprozessen wieder. Der generische Risikomanagementprozess besteht aus drei Teilschritten.

  1. Was und in welchen Zusammenhängen ist Risiko? - context
  2. Wie wird Risiko beurteilt / bewertet / gemessen? - assessment
  3. Wie wird Risiko gesteuert / bewältigt / beherrscht? - treatment

In Schritt 1 wird "das System" festgelegt und das, was in diesem System Risiko ist.
In Schritt 2 wird eine Eigenschaft (oder mehrere Eigenschaften) von Risiko als Kriterium für seine Bedeutung ermittelt.
In Schritt 3 wird festgelegt, wie Risiko entsprechend seiner Bedeutung verändert (oder auch bewahrt) werden kann.

Diese 3 Schritte finden sich in den Kapiteln 5.3, 5.4, und 5.5 des Risikomanagementprozesses aus der Norm ISO 31000:2009. Diese 3 Schritte finden sich in allen erst zu nehmenden Konzepten eines Risikomanagementprozesses, wie  Normen (z. B. IEC 62198, ISO 14971, ISO 27005) und Standards (z. B. COSO) ohne Normstatus.

Alles andere an einem Risikomanagementprozess ist nicht generisch, sondern spezifisch. Dazu gehören auch Konzepte, wie PDCA und kvp. Dazu gehören disziplinäre Spezifizierungen. Dazu gehört die Einbindung in ein strategisches Konzept einer Risikopolitik. Dazu gehören Kommunikation und Dokumentation.