Wo stehen die ISO 31000 und ihre Umsetzung?

Die International Standard Organisation startete das Projekt «ISO 31000 Risk management – Principles and guidelines» im Jahr 2005. Ausgangspunkt war der australisch-neuseeländische Standard «AS/NZS 4360 Risk management». Als wesentliches Element kam der systemische Ansatz (Plan-Do-Check-Act) aus der in 2004 erstmals publizierten Serie ONR 49000 hinzu, welcher sich zum «Risk management framework» etablierte.

Der Ende 2009 publizierte Standard «ISO 31000 Risk management – Principles and guidelines» beschreibt die Grundsätze, das Framework und den Prozess für das Management von Risiken jeder Art von privaten Unternehmen und öffentlichen Organisationen. Die Anwendung von ISO 31000 soll den Organisationen helfen, dass sie ihre Ziele erreichen, dabei Chancen und Bedrohungen systematisch identifizieren und die Ressourcen für den Umgang mit Risiken wirksam einsetzen. Sie leistet damit einen wichtigen Beitrag, um die Anforderungen von Corporate Governance zu erfüllen und als Führungsinstrument verstanden und integriert zu werden.

Die ISO 31000 stiess international auf höchstes Interesse, sodass sie nach kurzer Zeit im Ranking mit vergleichbaren ISO-Normen weltweit auf Platz fünf steht. Global gesehen zieht die ISO 31000 inzwischen mit der amerikanischen Norm der Wirtschaftsprüfer «COSO Enterprise Risk Management Framework» gleich. Die OECD bezeichnete kürzlich die ISO 31000 als «defacto world standard». Gleichwohl will der Standard nicht Gegenstand von formellen Zertifizierungen sein. Er unterstützt jedoch die Durchführung von internen und externen Risikomanagement-Bewertungen. Organisationen, die ISO 31000 anwenden, können ihr eigenes Risikomanagement mit den Leitlinien des Standards vergleichen.

Kurz- und mittelfristige Revision

ISO überprüft alle fünf Jahre ihre Standards. Für die ISO 31000 wurde in 2013 die Revision beschlossen, die nun von ISO TC 262 WG «Core Risk Management Standards» an die Hand genommen wurde. Was sind nun die Entwicklungsrichtungen?

Die Working Group «Core Risk Management Standards» hat zwei Aufträge: Einerseits soll eine «limited revision» durchgeführt werden. Diese betrifft die ISO 31000 und die Terminologie im ISO Guide 73. Andererseits soll anschliessend eine grundlegende technische Revision an die Hand genommen werden.

Die nun angefangene begrenzte Revision geht davon aus, dass der Standard sich in den vergangenen Jahren derart gut bewährt hat, dass er in Struktur und Inhalt vorerst nicht wesentlich geändert werden soll. Gleichwohl gibt es einige Anpassungen, die im Sinne einer kontinuierlichen Verbesserung vorgenommen werden. Es geht hauptsächlich um Folgendes:

• Die Berücksichtigung der Bedürfnisse der Sicherheit («safety»): In Deutschland kam eine Diskussion auf, welche bei der Anwendung der ISO 31000 auf die Bereiche der Arbeits- und Umweltsicherheit im Zusammenhang mit Chancen und wirtschaftlichen Aspekten zu Missverständnissen führte. Es wurde ein Konflikt mit rechtlichen Anforderungen befürchtet. Die laufende Revision wird diese Missverständnisse klären und den Standard für «safetyissues» zugänglich machen.
• Die Erfahrungen der Vergangenheit zeigen auch, dass an gewissen Stellen des Standards eine Klärung der Terminologie nützlich ist. Es geht dabei vor allem darum, dass die Doppelbedeutung von Risiko als Chance und Bedrohung klarer zum Ausdruck kommt.
• Zudem werden einige redaktionelle Verbesserungen und Präzisierungen vorgenommen, die den Inhalt und die Struktur der ISO 31000 nicht beeinträchtigen.

Die für später beschlossene technische Revision wird erst in Angriff genommen, wenn sich die begrenzte Revision in einer finalen Phase befindet. Grundlage der technischen Revision werden die Sammlung bestehender Kundenfeedbacks sowie eine aktuelle Umfrage sein, die durch die ISOOrganisation geplant und durchgeführt werden soll. Die technische Revision der ISO 31000 wird nicht vor 2016 beginnen.

Einbindung von neuen Themen

Parallel zu den laufenden Revisionen gibt es neue Themen, die schon jetzt an die Hand genommen werden. Zwei stehen für die Erweiterung der Normenfamilie ISO 31000 im Vordergrund:

• Humanfaktoren: Risiken werden bekanntermassen oft durch Menschen verursacht. Es soll nun ein zusätzlicher Standard geschaffen werden, der diesen wichtigen Aspekt des Risikomanagements auf der Grundlage wissenschaftlicher und praktischer Erkenntnisse beschreibt und beleuchtet.
• Risk-Maturity-Modell: Die Anwendung von Risikomanagement in Organisationen und Unternehmen erfolgt noch auf sehr unterschiedliche Art, mehr oder weniger unterstützt durch das oberste Management. Es gibt heute schon verschiedene Reifegradmodelle. ISO strebt nun eine Harmonisierung an und wird ein eigenes Risk-Maturity-Modell erarbeiten.

Diese beiden neuen Themen werden innerhalb des ISO TC 262 spezifiziert und von neuen Arbeitsgruppen vertieft bearbeitet.

Anwendung in der Praxis

ISO 31000 ist ein allgemein gehaltener Standard, der umfassende Leitlinien, aber wenig Spezifikationen für die Umsetzung des Risikomanagements in der Unternehmenspraxis gibt. In diesem generischen Charakter der Norm liegt auch der tiefere Grund dafür, dass Risikomanagement nach ISO 31000 nicht zertifizierbar sein soll.

Die Spezifikationen zur ISO 31000 werden durch die ONR-49000-Serie «Risikomanagement für Organisationen und Systeme, Anwendung der ISO 31000 in der Praxis» geliefert. Sie ist per 1. Januar 2014 in der vierten Version veröffentlicht worden und ist in der Struktur gegenüber der Version von 2010 unverändert. Es sind aber einige inhaltliche Erweiterungen und Präzisierungen vorgenommen worden, die nachfolgend aufgeführt sind:

• Die ONRDer Risikobegriff: ISO 31000 definiert den Risikobegriff als «Effects of uncertainty on objectives». Die neue ONR geht einen Schritt weiter und definiert Risiko als «Auswirkung von Unsicherheit auf Ziele, Tätigkeiten und Anforderungen». Damit ist beabsichtigt, das Risiko nicht nur an der Erreichung von (strategischen) Zielen auszurichten, sondern auch die Durchführung von operationellen Tätigkeiten einzuschliessen. Damit wird eine Brücke zum Notfall-, Krisen- und Kontinuitätsmanagement geschaffen, die integrierter Bestandteil des Risikomanagements sind (vgl. ONR 49002-3 Leitfaden für das Notfall-, Krisen- und Kontinuitätsmanagement). Zudem erstrecken sich die Auswirkungen der Unsicherheit auf «Anforderungen». Dabei wird eine Brücke zum Thema «Compliance» geschlagen, also die Übereinstimmung mit Anforderungen aus den Bereichen Arbeits-, Produkt- und Umweltsicherheit. Compliance erstreckt sich auf weitere Rechtsgebiete wie »treue Geschäftsführung», den Schutz von Vermögenswerten oder Verhaltensweisen, die durch die Wissenschaft und praktische Erfahrung, beispielsweise in Normen, festgeschrieben sind. Diese beinhalten oft «good» oder «best practices». Darunter fällt etwa die ISO 26000 (soziale Verantwortung), deren Befolgung mehr eine moralische als eine rechtliche Verpflichtung darstellt.
• Die ONR 49001 ist nach der neuen Struktur der ISO Management System Standards (ISO MSS) aufgebaut. Nach dieser «High level structure» sind in gleicher Weise die neue ISO 9001 (Qualitätsmanagement), die neue ISO 14001 (Umweltmanagement) oder die ISO 27001 (Informationssicherheitsmanagement) aufgebaut. Gleichwohl wird die Gliederung der ONR 49001 mit Kapitel 4 als Risikomanagement-System und mit Kapitel 5 als Risikomanagementprozess beibehalten, um der aktuellen ISO 31000 in der Grundstruktur zu entsprechen.
• Die ISO 31000 versteht sich als Empfehlung und ist in der «Sollte»-Form geschrieben (demgegenüber z.B. die ISO 9001 als Anforderung in der «Muss»-Form). Die ONR geht nun einen dritten Weg, indem sie im Vollverb schreibt, also z.B. «die Organisation führt das Risikomanagementsystem ein» (nicht «sollte» und auch nicht «muss» einführen). Damit schafft die ONR eine Verbindlichkeit, obwohl sie als Regelwerk keine harten Anforderungen stellt.
• Im Anhang A (informativ) wird das «Audit des Risikomanagementsystems» beschrieben. Angelehnt an die ISO 19011 «Leitfaden zur Auditierung von Managementsystemen» ermöglicht die ONR 49001 eine Systembewertung. Diese erfolgt in Ergänzung zur ISO 31000. Die ONR 49001 begründet: «Viele Organisationen haben das Bedürfnis, die Wirksamkeit ihres Risikomanagementsystems intern überprüfen bzw. extern anerkennen zu lassen. Dazu ist eine Systematik erforderlich, welche die Elemente des Risikomanagementsystems nachvollziehbar und überprüfbar festlegt. Diese Elemente des Risikomanagementsystems sind in der vorliegenden ONR definiert und beschrieben» (ONR 2014, S. 3).
• Die ONR 49001 führt in Kapitel 4 im Rahmen der «Verbesserung des Risikomanagementsystems» das Reifegradmodell von James Reason ein (vgl. Abb. 1). Dabei soll die oberste Leitung einer Organisation anstreben, dass alle Elemente des Risikomanagementsystems in einem möglichst hohen Reifegrad erfüllt werden (ONR 49001, Ziff. 4.10, S. 16).
• In Kapitel 5 wird bei der Risikobewältigung eingehend auf die Humanfaktoren eingegangen (vgl. Abb. 2). Im Vordergrund stehen die Art und der Umgang mit menschlichen Fehlern (ONR 49001, Ziff. 5.5.3. «Risikobewältigung bei Organisationen»).
• Der ONR 49002-1, Leitfaden für die Einbettung des Risikomanagementsystems ins Managementsystem, wird ergänzt mit einem Kapitel «Risikomanagement in komplexen Organisationen». Darin wird aufgezeigt, wie Risiken konsolidiert und dabei Querschnittsrisiken behandelt werden.
• Schliesslich werden in der ONR 49002-2 die Methoden der Risikobeurteilung ergänzt mit der Schadenfallanalyse nach dem LondonProtokoll und weiteren Ergänzungen, die im klinischen Risikomanagement angewendet werden.
• Der informative Anhang zu den Methoden erweitert die Beispiele für die Risikokriterien, worunter vor allem die Parametrisierung der Eintrittswahrscheinlichkeit und der Auswirkung der Risiken verstanden wird.

Ausblick

Die ISO 31000 und ebenso die Serie ONR 49000 dürfen als zwei reife, stabile und sich ergänzende Regelwerke bezeichnet werden, die es den Unternehmen und Organisationen erlauben, das Risikomanagement auf einen den individuellen Erfordernissen entsprechenden Stand zu bringen. Dies ist insbesondere auch deshalb wichtig, weil andere bedeutende Normen wie die ISO 9001 ab 2015 risikobasiert gestaltet werden und damit ein Zugriff auf die Risikomanagementstandards und die praktische Anwendung der Risikomanagementtechniken einem verstärkten Bedürfnis entsprechen.

Literaturhinweis: Brühwiler, Bruno: Risikomanagement als Führungsaufgabe, 3. Aufl., Haupt, Bern, Stuttgart, Wien 2011.

Normen

• ISO 31000 Risk management – Principles and guidelines, 2009
• ISO 19011 Leitfaden zur Auditierung von Managementsystemen, 2011
• ONR-49000-Serie Risikomanagement für Organisationen und Systeme, Version 2014
• ISO/IEC Directives, Part 1: Consolidated ISO Supplement Procedures specific to ISO, Annex SL (normative), Proposals for management system standards, 2014, S. 115 ff.