KOMPAKT:
Risiko und Risikomanagement
Risiko ist
nicht eindeutig definiert. Die vielen Definitionen von Risiko aus verschiedenen
sachverständigen Quellen weichen stark voneinander ab und sind nicht alle
komplementär zueinander. Selbst innerhalb der Welt der ISO / IEC Normen mit
Bezug zu Risiko gibt es verschiedene Definitionen. Die zwei Definitionen (1) und (2) kommen aus praktischen Risikomanagementprojekten in
Unternehmen. Die dritte Definition (3)
ist aus der Norm DIN ISO 31000:2018 „Risikomanagement - Leitlinien“, Unterabschnitt
3.1, zitiert. Die vierte Definition (4)
ist aus dem Prüfungsstandard PS 981 von 2017 des IDW zitiert.
(1)
Risiko ist ein zukünftiger, ungewisser Schaden / Verlust aus der
Wirkung einer Gefahr auf einen Wert.
(2)
Risiko ist ein ungewisser negativer Wertbeitrag zu einem zukünftigen
Ergebnis.
(3) Risiko ... Auswirkung von Unsicherheit
auf Ziele.
(4) Risiken ... mögliche künftige
Entwicklungen oder Ereignisse, die zu einer für das Unternehmen negativen
(Risiko im engeren Sinne) oder positiven (Chance) Zielabweichung führen können.
Die funktionsbezogene
Definition (1) zeigt Risiko in
einer Ursache - Folge Beziehung zwischen Gefahr und Schaden / Verlust. Die Definition
ist für Risikomanagement nützlich. Wichtig ist der Wert als Mittelpunkt der
Beziehung.
Die sachbezogene Definition
(2) zeigt Risiko als eine
Werteposition mit besonderen Eigenschaften. Die Definition ist für
Risikobewertung nützlich. Wichtig ist der Wert als Thema (z. B. in ISO
Normen: Qualität, Umwelt, Sicherheit, ...) und der Wert als Kategorie
(z. B. in IDW Standards: strategischer, operativer, finanzieller Wert, ...).
Die ISO Definition (3) zeigt Risiko in Verbindung mit
Zielen. Die Definition ist ein Beispiel für weitere Erklärungen und
Beschreibungen ein- und desselben Sachverhalts.
Die IDW Definition (4) ist prosaisch eine Beschreibung der
Ungewissheit der zukünftigen Entwicklung, wobei der IDW Begriff
„Zielabweichung“ eine korrektere Beschreibung des Sachverhalts ist als der ISO
Begriff „Ziel“.
Aus den Definitionen (1) bis (4) von Risiko ist der Schluss zu ziehen, dass in Unternehmen nicht
nur positive Werte, sondern auch ungewisse negative Werte (Risiken) einer
Verantwortung unterstehen. Das trifft auch für Risiken zu, deren Ursache
(Gefahr) nicht in dem Unternehmen liegt, wohl aber deren Folge (Schaden /
Verlust). Die Betrachtungen zu Risiko treffen auch für Organisationen zu, die
keine (finanziell gewinnorientierten) Unternehmen sind. Alle Organisationen
schaffen Werte für ihre Interessierten Parteien. Alle diese Werte sind Gefahren
ausgesetzt.
(a) Die qualitative Art von Risiko wird durch
die zugehörigen Werte festgelegt. So gibt es entsprechend (2) Wertethemen nach ISO Normen (z. B.: Qualität, Umwelt, Energie,
...) und entsprechend (4) Wertekategorien
nach IDW Standard (z. B.: strategisch, operativ, finanziell, ...).
(b) Die quantitative Größe von Risiko wird
durch zwei Parameter (Größe des Schadens [nach Eintritt des Schadensfalls] und
Größe der Wahrscheinlichkeit [des Eintritts des Schadensfalls]) bemessen. Die
graphische Visualisierung als Risikomatrix ist die vielzitierte (sh. google
Bildsuche „Risikomatrix“) Ikone des Risikomanagements.
Risikomanagement ist (...
ohne für Risikomanagement weitere ISO oder nicht-ISO Quellen zu zitieren ...)
das Management von Risiko einer
Organisation. Die Definitionen von Risiko mit Bezug zu Werten und
Zielabweichungen legen es nahe, Risikomanagement als die Perspektive des
Wertemanagements einer Organisation zu verstehen, die sich den möglichen,
zukünftigen negativen Werten inhaltlich, strukturell und methodisch widmet.
Risiken werden im Risikomanagement als Perspektive und Teil des
Wertemanagements nach Art und Größe in Bezug auf die Werte gesteuert. Die
wichtigste Frage ist die nach der Art (a)
und der Größe (b) von Risiken, die
eine Organisation eingehen will oder muss und die sie tragen kann. Abhängig von
der Rechtsform der Organisation wird Risikomanagement aus gesetzlicher oder
freiwilliger Verpflichtung gemacht.
Beispiel Qualitätsrisikomanagement: Hat ein Wertemanagement den Wert der
Qualität (gemäß ISO 9000:2015 und ISO 9001:2015) zum Gegenstand, so ist das
zugehörige Risikomanagement ein Qualitätsrisikomanagement. In der Norm DIN EN ISO 9001:2015
„Qualitätsmanagementsysteme - Anforderungen“ wird ein Qualitätsmanagementsystem
mit integriertem Risikomanagementsystem durch Anforderungen beschrieben. Die
Beschreibung und die Anforderungen an die Perspektive des Risikomanagements
sind vage und unvollständig. So wird in der Norm häufig von „Behandlung von
Risiken“ und „Umgang mit Risiken“ geschrieben und selten von Risikomanagement.
In Einleitung und Anhang dieser Norm wird ein sogenanntes „Risikobasiertes
Denken“ nicht gefordert sondern nur beschrieben, welches wiederum in den
Normabschnitten nur ein einiges Mal explizit gefordert wird.
In der Norm DIN EN ISO
14001:2015 sind die Beschreibungen und die Anforderungen bezüglich Risiko nicht
konsistent mit denen aus der Norm DIN EN ISO 9001:2015.
Diese Inkonsistenz und
Inkonsequenz des Integrierten Risikomanagements in den aktuellen ISO Normen mit
Anforderungen an Managementsysteme führte und führt zu Missverständnissen mir
diesen Revisionen der ISO Normen und zu erheblichen individuellen Aufwand in
Unternehmen, diese Thematik zu klären.
Beispiel Generisches Risikomanagement: Es gibt zahlreiche Konzepte zur
Planung und Umsetzung von ebenso zahlreichen Risikomanagementsystemen mit
verschiedener Zielsetzung in Unternehmen. Im Folgenden wird eine entsprechende
ISO Norm kurz beschrieben. Die Norm DIN
ISO 31000:2018 „Risikomanagement -
Leitlinien“ beschreibt Strukturen und Abläufe eines generischen
Risikomanagements. Es sind in der Norm keine Werte und damit keine Risiken
vorgegeben. Es ist keine Form einer Organisation vorgegeben. Diese Norm hat
eine völlig andere Struktur und eine völlig andere Zielsetzung als die ISO
Normen mit Anforderungen an Managementsysteme. Die Norm stellt keine
Anforderungen sondern gibt Empfehlungen und ist nicht zur Zertifizierung
vorgesehen. Die Norm hat eine begleítende, methodische Norm DIN EN IEC 31010:2010
„Risikomanagement - Verfahren zur Risikobeurteilung“.
(i) Die
Norm kann zur Integration eines
Risikomanagements in ein Wertemanagement genutzt werden. Das erfordert
Anpassungen an die konkreten Werte und an die individuelle Organisation.
(ii) Die
Norm kann zur Einrichtung eines Unternehmensweiten
Risikomanagements genutzt werden. Es bietet sich an, die relevanten
definierten und Werte- bzw. die entsprechenden Risikokategorien aus (a) zu übernehmen und mit den
Wertethemen zu verbinden.
(iii) Die
Norm kann zum Verbesserung eines Projektrisikomanagements
genutzt werden. Sie hat z. B. eine Empfehlung im „Aktionsplan Großprojekte“
(BMVI; 12.2015) der deutschen Bundesregierung.
(iv) Die
Norm kann z. B. das Risikomanagement aus der Norm ISO 9001:2015 mit dem Risikomanagement
nach dem IDW PS 981:2017 verknüpfen, und Risikomanagement in den zutreffenden
großen Unternehmen in der Rechtsform einer Aktiengesellschaft durchgängig von
„oben nach unten“ und von „untern nach oben“ transparenter machen.
DIN ISO 31000:2018 Risikomanagement -
Leitlinien: Eine Übersicht
Die Norm DIN ISO 31000:2018 Risikomanagement - Leitlinien beschreibt ein
generisches und allgemeines Risikomanagement für Organisationen aller Art, für
Risiken aller Art und für Situationen aller Art. Gegenüber der ersten Revision
als ISO 31000:2009 wurde der Text knapper und prägnanter formuliert. Die neue
Revision wurde vom DIN als nationale Norm übernommen.
Struktur
und Inhalt: Die Norm DIN ISO 31000:2018 in Abschnitt ...
(0) zeigt
in der Einleitung ein Bild 1
als informative Übersicht über die Abschnitte (4), (5) und (6).
(1) beschreibt
den Anwendungsbereich.
(2) nennt Normative Verweisungen auf
andere ISO Normen.
(3) definiert
9 Begriffe [z. B.: 3.1 Risiko
... Auswirkung von Unsicherheit auf Ziele].
(4) nennt 6
Grundsätze [z. B.: c)
integriert, e) maßgeschneidert].
(5) beschreibt
ein allgemeines Rahmenwerk
für Risikomanagement.
(6) beschreibt
den generischen Prozess des
Risikomanagements.
Fakten:
Die
Norm DIN ISO 31000:2018 ...
·
bringt eine andere Definition für Risiko, als
die Norm ISO 9001:2015 oder die ISO 9000:2015.
·
hat sechs Abschnitte und keine zehn Abschnitte
(wie etwa die Norm ISO 9001:2015).
·
stellt keine Anforderungen (kein „muss“),
sondern gibt Leitlinien (ein „sollte“).
·
verweist nicht auf die Normen ISO 9001/14001/usw./:2015.
·
ist nicht zur Zertifizierung eines
Risikomanagementsystems vorgesehen.
·
hat als Begleitung für Verfahren der
Risikobeurteilung die Norm DIN EN 31010:2010.
·
ist keine „stand-alone“ Norm, sondern wird
individuell integriert und adaptiert.
·
hat eine Empfehlung im „Aktionsplan
Großprojekte“ (BMVI; 12.2015) der deutschen Bundesregierung.
Interpretationen:
Die
Norm DIN ISO 31000:2018 ...
·
beschreibt - ohne drastische Modifizierung und
Anpassung - kein unternehmensweites Risikomanagement.
·
kann, da keine Anforderungen gestellt werden,
nach Struktur und Inhalt modifiziert und angepasst werden.
·
macht - trotz Mangel an Vorgaben - eine
Integration mit Normen ISO 9001/14001/usw./:2015 möglich.
·
ist - sh. Struktur und Inhalt - auf einer
anderen Augenhöhe als die Normen ISO 9001/14001/usw./:2015.
Vorschläge
zur Nutzung: Die Norm DIN ISO 31000:2018 ...
·
kann Grundlage für ein unternehmensweites Risikomanagement
sein, was signifikante Anpassung der Inhalte bedeutet.
·
kann eine Brücke bauen zwischen einem
Risikomanagement nach dem Prüfungsstandard der Wirtschaftsprüfer IDW PS
981:2017 „Grundsätze ordnungsmäßiger
Prüfung von Risiko-Managementsystemen“ und dem „Umgang mit“ und der „Behandlung
von“ von Risiken nach Normen mit Anforderungen an Managementsysteme wie ISO
9001/14001/usw./:2015
·
kann innerhalb eines Managementsystem nach ISO
Anforderungen ISO 9001/14001/usw./:2015 als Integriertes Risikomanagementsystem
betrieben werden.
Abschnitt 5 Rahmenwerk: Die Norm DIN ISO 31000:2018 ...
·
stellt die PDCA Regelung des Risikomanagementprozesses
(Abschnitt 6) in einem Abschnitt mit mehreren Unterabschnitten dar, was z. B.
in der ISO 9001:2015 für das Qualitätsmanagement über mehrere Abschnitte
erfolgt.
·
stellt die Verantwortung der Obersten Leitung
der Organisation für Risiko heraus.
·
erklärt die Integration des Risikomanagements in
die Organisation zu einer Bedingung für den Betrieb eines Risikomanagements.
·
verweist auf die Rolle von Information,
Kommunikation und Wissen (Industrie und Business 4.0).
Abschnitt 6 Prozess: Die Norm DIN ISO 31000:2018 ...
·
legt den klassischen, generischen und ikonischen
Risikomanagementprozess fest.
·
gibt keine Vorgaben für Verfahren im
Risikomanagement.
·
zeigt nicht, wie der Risikomanagementprozess mit
dem (z. B.) Qualitätsmanagementprozess zu integrieren ist.