Die ISO-Normenwelt in Bewegung
Ein standardisiertes Managementsystem soll sowohl den Geschäftszielen als auch politischen Verpflichtungen Rechnung tragen respektive zur angemessenen Unternehmensleistung führen. Diese Ziele und Verpflichtungen umfassen viele Dimensionen: Qualität und Umwelt, Finanzen, Sicherheit bis hin zu Sozialem. Allerdings müssen alle diese Bereiche aufeinander abgestimmt werden.
Mit wachsender Informationsfülle und steigenden Anforderungen werden die Gestaltung effizienter Prozesse und ein strukturierter Umgang mit Risiken nicht einfacher; es bedarf abgestimmter Grundlagen. ISO hat reagiert – Managementstandards werden unter verstärktem Einbezug des Risikomanagements nach ISO 31000 sukzessive vereinheitlicht – ein Zwischenbericht über den Stand der Arbeiten.
Vereinheitlichungen
Die zunehmende Anzahl von Managementsystemstandards (MSS) mit unterschiedlichen Strukturen und Systemelementen stellte Unternehmen, die mehrere Standards integriert anwenden, vor Probleme in der ganzheitlichen Anwendung.
Daher hat ISO im Jahr 2012 beschlossen, dass zukünftig alle ISO-Managementsystemnormen auf der gleichen Struktur und den gleichen Elementen sowie auf einer Reihe identischer Kernanforderungen basieren. Dies wird als High-Level-Struktur (HLS) für Managementsystemstandards bezeichnet.
Die in den ISO-Richtlinien spezifizierte High-Level-Struktur (s. Quellenhinweise 1) erleichtert Unternehmen die Schaffung eines mehrere Aspekte umfassenden und ganzheitlichen integrierten Managementsystems. Obwohl noch einzelne Begriffs- und Vorgehensklärungen erfolgen müssen, basieren alle neueren ISO-Normen für Managementsysteme auf dem Konzept des risikobasierten Denkens. Ein so abgestimmtes Angebot «ISO-MSS-System» steht heute für die Praxis bereit.
Aktualisierte ISO-Richtlinien
Die 2018 überarbeiteten ISO-Richtlinien legen neu fest, dass sich jedes neue ISO-Dokument auf die ISO 31000 beziehen muss, das Anforderungen an das Risikomanagement oder Leitlinien für ein bestimmtes Produkt, einen bestimmten Prozess oder einen bestimmten Sektor enthält (2). Damit hat ISO einen weiteren Schritt zur Überwindung von gewachsenen Doppelspurigkeiten hin zu abgestimmten Strukturen und Konzepten vollzogen. Managementsysteme unterschiedlicher Art, aufgebaut auf den jeweiligen ISO-Managementsystemnormen wie ISO 9001, ISO 14001 oder ISO 45001 basieren auf der High-Level- Struktur (3).
Das Konzept des Risikomanagements nach ISO 31000 kann auf der Grundlage dieser Normen in die einzelnen Managementsysteme eingebunden werden oder optimal in einem ganzheitlichen integrierten Managementsystem zum Einsatz kommen, dessen Vorteile bekanntlich beträchtlich und zahlreich sind. Für ergänzende Informationen wird auf das ISO-Handbuch «The Integrated Use of Management Systems Standards (IUMSS)» verwiesen (4). Die vielfältigen ISO-Standards werden laufend in den internationalen Komitees zeitlich unabhängig voneinander weiterentwickelt und es kommen weitere Sektorstandards hinzu, vgl. Grafik 1.
In der Praxis bringt auch deshalb die geforderte Integration des Risikomanagements nach ISO 31000 in ein historisch gewachsenes Managementsystem gewisse Herausforderungen mit sich. Selbst als Normschaffende ist es bei der bestehenden Informationsfülle manchmal schwierig, den Überblick zu behalten und grundlegende Strukturüberlegungen von sektorspezifischen Neuerungen zu trennen sowie den Anwendern spezifische praxisnahe Implementationen zu empfehlen.
Zur Vereinfachung der geforderten Integrationsaktivitäten arbeiten derzeit Experten verschiedenster Technischer Komitees von ISO und interessierte Wirtschaftsvertreter gemeinsam an einem «International Workshop Agreement IWA 31». Über Sprach- und Kulturunterschiede wie auch divergierende Businessinteressen hinaus wird um einheitliche Begriffe und die Verständigung über empfehlenswerte Vorgehensweisen zur breiten Umsetzung der ISO-Vorgaben gerungen.
Das IWA-31-Dokument zielt darauf ab, Organisationen zu ermöglichen, durch die Verwendung von ISO 31000 in ihren bestehenden Managementsystemen zu profitieren sowie Anwender bei der Planung der Einführung eines Managementsystems in ihrem Unternehmen nach ISO 31000 zu unterstützen. Die Publikation des IWA 31 wird im Verlauf von 2019 erwartet.
Elemente der ISO 31000
ISO 31000 bietet einen gemeinsamen, systematischen Ansatz für das Management aller Arten von Risiken, denen Unternehmen während der gesamten Lebensdauer des Unternehmens ausgesetzt sind. Indem die Leitlinien für die Bestimmung der Risiken angewendet werden, wird sichergestellt, dass die Managementsysteme ihre beabsichtigten Ergebnisse erreichen, die wünschenswerten Effekte verbessern, unerwünschte Effekte reduzieren und eine kontinuierliche Verbesserung umsetzen.
Die Integration von ISO 31000 in die Managementsysteme kann über die High- Level-Struktur erfolgen. Um eine effektive und effiziente Integration und Implementierung des ISO-31000-Frameworks und des ISO-31000-Prozesses in andere MSS-Organisationen zu erreichen, sollten die ISO- 31000-Prinzipien zugrunde gelegt werden.
Das ISO-31000-Framework muss mit anderen MSS-Managementsystemen zusammengeführt werden, indem eine Gap-Analyse angewendet wird, um alle ISO-31000-Framework- Elemente in die Funktionen des MSS-Managementsystems einzubeziehen und Doppelarbeit und/oder Konflikte dazwischen zu vermeiden.
Der ISO-31000-Prozess soll an den externen und internen Kontext des Unternehmens so angepasst werden, dass er zu einem integralen Bestandteil des Managementsystems wird, das in die Struktur, die Abläufe und Prozesse des Unternehmens integriert ist.
Elemente des HLS-Systems
Die High-Level-Struktur mit seinen Elementen (Grafik 2) bietet gute Möglichkeiten für eine sogenannte horizontale und vertikale Integration von Managementaspekten und ein system-immanentes Risikomanagement nach ISO 31000 als eines der wichtigsten Merkmale eines integrierten Managementsystems.
Vertikale Integration bedeutet die Verknüpfung zwischen der Strategie und den Abläufen eines Unternehmens. Horizontale Integration beinhaltet einen integrierten Ansatz zur Bewertung und Behandlung kritischer Aspekte für einen erfolgreichen Geschäftsbetrieb, d. h. der Risiken mit Blick auf Fragen und Entwicklungen im Kontext des Unternehmens sowie auf die Bedürfnisse und Erwartungen seiner Interessengruppen.
Das Risikomanagement im HLS-System umfasst u. a. Kontextanalysen (Themen, Stakeholder), strategische und operative Risikobewertung, operative Kontrolle (Risikobehandlung), Überwachung der Wirksamkeit der Kontrollen und das Ergreifen von Korrekturmassnahmen.
Die Kontextanalyse bezieht sich auf die Strategien und Vorgaben des Unternehmens, die den Rahmen für die operativen Aktivitäten bilden. In den Management-Reviews beurteilt das Top-Management, ob die Abläufe auf operativer Ebene effektiv sind und zum Erfolg und zur Erreichung der strategischen Vorgaben seines Unternehmens beitragen. Der Zyklus auf operativer Ebene wird durch die Umsetzung der Politik, d. h. die Übertragung der Politik auf die operativen Ziele, gesteuert. Als Grundlage für die Festlegung von Risikokontrollen in den operativen Prozessen wird die strategische Kontextanalyse durch eine operative Risikobewertung ergänzt. Abweichungen vom Erwarteten, positiv, negativ oder beides werden der ISO 31000 folgend darin berücksichtigt.
Wenn es neue Informationen oder Entwicklungen gibt, die einen relevanten Prozess oder eine Aktivität einleiten oder dazu beitragen, sollte ein Unternehmen die Risikoidentifikation unmittelbar einleiten. Überdies wird mit der strukturierten Bewertung von Risiken eine angemessene Behandlung ermöglicht und eine Grundlage geschaffen, um die Effektivität des Managementsystems des Unternehmens zu erhöhen, verbesserte Ergebnisse zu erzielen und negative Ergebnisse zu verhindern.
Mit einem Managementsystem in der High-Level-Struktur und den Leitlinien der ISO 31000 stehen der Praxis die Instrumente für ein ganzheitliches integriertes Risikomanagement zur Verfügung.
