Budgets einhalten, gesetzlichen Verpflichtungen nachkommen, Beschäftigte für neue Aufgaben qualifizieren, Gefährdungen ermitteln: Um solche Ziele zu erreichen, müssen Entscheidungen getroffen und die Ergebnisse der Entscheidungsfindung kommuniziert werden.
Wer sich Ziele setzt und diese aktiv verfolgt, ist erfahrungsgemäß mit Überraschungen und Unsicherheiten konfrontiert. Unsicherheiten und Risiken können dazu führen, dass ursprünglich anvisierte Ziele langsamer erreicht oder sogar verfehlt werden. Die gute Nachricht ist jedoch: Unsicherheiten und Risiken können aktiv gesteuert werden. Selbstverständlich könnte man Zielabweichungen auch im Nachhinein begründen – dies hilft allerdings nicht dabei, potenzielle Schäden zu vermeiden.
Mithilfe eines systematischen Risikomanagements können Zielabweichungen vorhergesehen und frühzeitig beeinflusst werden. Die Identifikation und Bewertung von Risiken ist Grundlage guter Entscheidungen – und damit Voraussetzung zur Erreichung der gesetzten Ziele. Die neue DIN ISO 31000 beschreibt ein Vorgehen, das mit definierten und standardisierten Schritten die tägliche Arbeit erleichtert und eine transparente Entscheidungsfindung ermöglicht.
Silo-Denken
Im Rahmen der Überarbeitung vieler Management-Normen – hier explizit die Normen zum Qualitäts‑, Umwelt- und Arbeitsschutzmanagement sowie weiterer Normen – wurde ein risikobasierter Ansatz eingeführt. Somit müssen sich alle Managementsysteme an diesem Gebot der Risikoorientierung ausrichten.
Bisher verfolgen die Fachleute der einzelnen Disziplinen (zum Beispiel Sicherheit, Gesundheit, Umwelt, Qualität) eigenständig diskutierte und in eigenständigen Systemen gemanagte Prozesse (Silo-Denken). Während die verschiedenen Managementsysteme in der Organisation nur geeignet sind, die jeweiligen Teilaspekte zu verbessern, gelingt es durch einen integralen Ansatz, der auf einem Risikomanagementprozess nach DIN ISO 31000 basiert, die Organisation als Ganzes zu optimieren.
Anwendung
Die neue Norm kann für jede Art von Risiko angewendet werden, also unabhängig davon, ob die Auswirkungen positiv oder negativ sind.
Das Risikomanagement ist auf den internen und externen Kontext ausgerichtet. Dies erfordert eine Anpassung an alle relevanten rechtlichen und regulatorischen Anforderungen sowie an alle allgemein anerkannten Grundsätzen von Sicherheit, Gesundheit und Umweltschutz.
Die Auswahl der am besten geeigneten Risiko-Behandlungsoption beinhaltet grundsätzlich die Abwägung der Kosten und des Implementierungsaufwands gegen die zu erwartenden Vorteile. Wenn allerdings einige Risiken keine Risikobehandlung aus rein ökonomischen Gründen rechtfertigen, ist dennoch ist eine Risikobehandlung zu erwägen, insbesondere wenn damit Rechtspflichten oder die Sicherheit, die Gesundheit oder der Umweltschutz betroffen sind. Des Weiteren sind unabhängig von der Höhe der Kosten Risiken zu betrachten, deren Auswirkungen hoch und somit von besonderer Bedeutung sind. Der Umgang mit Risiken wird eine zentrale Aufgabe des gesamten Unternehmens. Dies setzt ein solides Engagement des Top-Managements voraus.
Prozess
Ausgangspunkt für die Umsetzung des Risikomanagements nach DIN ISO 31000 ist der Risikomanagementrahmen, der auf strategischer Ebene entwickelt wird und die organisatorischen und sachlichen Grenzen berücksichtigt.
Wie lassen sich Risiken identifizieren, analysieren und bewerten? Im Rahmen der Risikobeurteilung werden diese Fragen beantwortet:
- Im ersten Schritt (Risikoidentifikation) werden potenzielle Risiken aufgelistet: Was kann passieren, wo können Risiken auftreten?
- Im zweiten Schritt (Risikoanalyse) wird die „Natur des Risikos“ betrachtet: Wie wirken sich die Risiken aus, wer kann davon betroffen sein?
- Im dritten Schritt (Risikobewertung) werden dann Prioritäten gesetzt und die Entscheidungen vorbereitet.
In Anbetracht aller Umstände können Entscheidungsträger die beste Lösung finden – transparent und nachvollziehbar. Dies ist wesentliche Voraussetzung für die Akzeptanz von Entscheidungen und daraus folgender Maßnahmen.
Fazit
Das Risikomanagement ist ein verbindendes Glied und Bestandteil aller Managementsysteme. Der Umgang mit Risiken hat eine zentrale Bedeutung in allen Unternehmensprozessen. Somit müssen alle Managementsysteme diesem Gebot der Risikoorientierung folgen. Zur Umsetzung dient als Werkzeug die ISO 31000 mit den darin dargestellten Prinzipien und dem standardisierten Risikomanagementprozess.
Risikomanagement wird keine Entscheidungen abnehmen. Risikomanagement unterstützt aber dabei, Entscheidungen schnell und sicher zu treffen. Die DIN ISO 31000 wird somit als unterstützende und verbindende Norm „Sprachgrenzen“ und „Silodenken“ überwindbar machen. Die verfügbaren Techniken zur Risikobeurteilung werden dabei das tägliche Werkzeug darstellen, für alle Akteure im Unternehmen. Fortbildungsmaßnahmen zur DIN ISO 31000 bietet unter anderem die Steinbeis Akademie an.
Glossar: DIN ISO 31000
In den Managementsystemnormen ist der risikobasierte Ansatz beschrieben. Die DIN ISO 31000 ist eine unterstützende Norm für diese Managementsystemnormen, um den risikobasierten Ansatz umzusetzen. Die Norm unterteilt sich in sechs Abschnitte: Anwendungsbereich, Normative Verweisungen, Begriffe, Grundsätze, Rahmenwerk und Prozess. Es geht in dieser Norm um eine fallgerechte Beurteilung von Risiken. Die DIN ISO 31000 gibt eine Anleitung dazu, wie Risiken identifiziert, analysiert und bewertet werden. Wie die DIN EN ISO 19011 (Anleitung für das Auditieren von Managementsystemen) kann auch die DIN ISO 31000 für alle Arten von Managementsystemen zur Beurteilung von Risiken genutzt werden.
Autor: Prof. Dr. Udo Weis
Vorsitzender des nationalen Normenausschusses Grundlagen des Risikomanagements,
Institutsleiter der Steinbeis Akademie STI IBRM
info@steinbeis-heidelberg.com