Dienstag, 8. Januar 2013

ISO 31000 - so nehmen, wie sie ist?

Geht nicht. Dafür ist sie nicht gemacht!
Die Norm ISO 31000 muss in ihren Inhalten angepasst werden an die Organisation, deren Risiken gemanagt werden sollen. Jedes der fünf Kapitel der Norm muss so konkret ausgeführt werden, dass sich daraus Entscheidungen und Handlungen des konkreten Risikomanagements ergeben.

ISO 31000 Kapitel 1: 
Die Organisation und deren Risiken, die gemanagt werden sollen, werden festgelegt.

ISO 31000 Kapitel 2: 
Ein Vokabular von Definitionen wird festgelegt. (Die vorgegebenen Definitionen sind nur generische Empfehlungen und nicht für alle Fälle nützlich.)

ISO 31000 Kapitel 3: 
Einige Grundsätze zu Risiko und Risikomanagement werden festgelegt. (Die vorgegebenen Grundsätze sind nur generische Empfehlungen und nicht für alle Fälle nützlich.)

ISO 31000 Kapitel 4: 
Der Rahmen des Risikomanagements ist dynamisch und folgt dem PDCA Zyklus und sollte nach der generischen Empfehlung übernommen werden. Die Struktur der Verantwortung (für Risiken) wird damit festgelegt. Sie sollte integriert werden mit der Verantwortung für Werte und Ziele (integriertes Management).

ISO 31000 Kapitel 5: 
Der Prozess des Risikomanagements wird festgelegt. Die Struktur der Veränderung (von Risiken) wird damit festgelegt. Sie sollte integriert werden mit der Veränderung für Werte und Ziele (integriertes Management).

Was bleibt zu tun?
- Basierend auf den Grundsätzen eine Risikopolitik formulieren.
- Die Ziele des Risikomanagements in der Risikopolitik konkret machen.
- Kriterien für Effektivität und Effizienz aufstellen.
- Den dynamischen Rahmen in den Zyklus eines Geschäftsjahres bringen.
- Die Verantwortung festlegen.
- Eine Expertenfunktion ("Risikomanager") installieren.
- Den Prozess in Betrieb nehmen.