Meilensteine zum Integrierten Risikomanagement (IRM)
Das Risikomanagement hat sich in den letzen 50 Jahren in der Schweiz sehr dynamisch entwickelt. Mehrere Jahrzehnte war das «Integrierte Risikomanagement (IRM)» ein Wunsch und auch eine Vision. Was waren die wichtigsten Meilensteine, damit dieser integrative Ansatz im Risikomanagement realisiert werden konnte?
• Professionalisierung des RM Die Jahre 1965 bis 1970 waren stark beeinflusst durch die Entwicklungen in der Raumfahrttechnik. Das technische Risikomanagement wurde professionalisiert. Bei den Apollo-Programmen gab der MILSTD- 882:1969 vor, welchen Anforderungen technische Komponenten und Systeme erfüllen müssen. Anfang der 1970er-Jahre entwickelten die Zürich Versicherungen das «Zurich Risk Management System (ZRMS)», das weltweit als wichtiges Unternehmens- und Versicherungs-Risikomanagement bekannt wurde. Viele Schweizer Unternehmen orientierten sich an diesem Ansatz.
• Spezifizierung des RM In den drei Jahrzehnten 1970– 2000 entstanden sehr viele Normen und Spezifikationen in unterschiedlichen Bereichen: so zum Beispiel in der Chemie, Pharma, Medizin, IT, Aviatik, den Verkehrssystemen und der Maschinenindustrie. Eine Folge dieser grossen Zahl war, dass es selbst für ExpertenInnen immer schwieriger wurde, den Überblick zu behalten. Die Vergleichbarkeit und auch der Erfahrungsaustausch waren im Risikomanagement nur noch ansatzweise möglich.
• Fokussierung im Normenbereich Sie wurde mit der ISO 31000 eingeläutet. Die Grundidee war, eine generische Risikomanagement- Norm zu erstellen, die als Leitnorm für alle anderen Normen im Sicherheits- und Risikomanagement und auch im BCM gültig ist. Als Vorlage diente die australisch- neuseeländische Norm AS/ NZS 4360:1999/2004, die im ganzen Commonwealth gut verbreitet war. Dies war auch einer der Gründe, warum sich die ISO 31000:2009 in den ersten Jahren sehr rasch etablierte. Heute ist die ISO 31000:2009 der internationale Benchmark im Risikomanagement.
• Integration I: Einbettung in ISO-Welt Mit der ISO 31000:2009 wurde es erstmals möglich, dass das Risikomanagement mit anderen Managementsystemen in einem Integrierten Managementsystem voll integriert werden kann. Dieser Vorteil wird auch von vielen Schweizer Firmen erkannt und genutzt.
• Integration II: Vernetzung im ISO-Kontext Diese erste Integrationsstufe wurde durch eine zweite Stufe vertieft, nämlich durch die Integration des «risiko-basierten Ansatzes» (risk-based approach) nach ISO 31000:2009 in den assozierten ISONormen. Dies betrifft ebenso die regulären Aktualisierungen von ISO-Normen, die alle fünf Jahre stattfinden. Beispiele sind die ISO 9001 und ISO 14001. Ebenso gilt dies für die Übernahme von Normen in die ISO-Welt, wie z.B. die ISO 22301 (ehemals BS 25999-1/2) oder auch die ISO 45000 (ehemals OHSAS 18001/2). Und selbstverständlich gilt dies auch bei der Erstellung neuer Normen zum Beispiel bei der ISO 19600 für Compliance Management. Durch diese zweite Stufe der Integration wird die ISO 31000:2009 zu einer zentralen Norm, weil der «risk-based approach» eine wichtige Vorgabe für andere ISO-Normen ist.
Viele Schweizer Konzerne, Grossunternehmen und eine grössere Anzahl an KMU orientieren sich im Risikomanagement an der ISO 31000:2009, so zum Beispiel Hoffman- La Roche, Swisscom, SBB u.v.a.. Ein solches Integriertes Risikomanagement (IRM) unterstützt aktiv die andern ISO-Managementsysteme als effizientes und wirkungsorientiertes Führungsinstrument.
