Risikomanagement nach der ISO 31000

Abbildungsverzeichnis

 

Abbildung 1: Risikomanagementprozess.

Abbildung 2: Risiko 1 - Fehlerbaumanalyse.

Abbildung 3: Risikodiagramm.

Abbildung 4: Risiko 2 - Fehlerbaumanalyse.

Abbildung 5: Risiko 3 - Fehlerbaumanalyse.

Tabellenverzeichnis

 

Tabelle 1: Einschätzung des Risikos.

Abkürzungsverzeichnis

 

1 Einleitung

 

1.1 Problemstellung

 

Für jeden Unternehmensentscheider und deren Mitarbeiter birgt die strategische Organisationsarbeit Risiken mit sich. Um die Organisation voranzubringen, ist das Eingehen von Risiken unausweichlich und notwendig zugleich.^{[1] [2]} Unternehmerische Entscheidungen haben immer Auswirkungen auf das ganze Unternehmen. Nicht identifizierte oder nicht angemessen behandelte Risiken können die erfolgreiche Weiterentwicklung eines Unternehmens gefährden und sogar in eine Krise stürzen. Hinter jedem Risiko verbirgt sich auch die Chance auf Erfolg, sei es durch eine Verbesserung beim nächsten Versuch oder durch die Entdeckung neuer Lösungen bei der präventiven Bearbeitung eines identifizierten Risikos.1 ^[3]Eine Planungskultur ist im Allgemeinen erforderlich, um unternehmerische Entscheidungen zu treffen und sicherzustellen, dass die Entwicklung des Unternehmens nicht dem Zufall überlassen wird oder das Mandat für Veränderungen nach außen verloren geht. Eine genaue Analyse der Organisationsumgebung und die Entwicklung und Umsetzung eigener Strategien sind ausschlaggebend für die erfolgreiche Einschätzung von Chancen und Risiken.1 Es ist wichtig, bei jeder strategischen Entscheidung vorausschauend zu handeln und dabei realistische Prognosen über zukünftige Entwicklungen zu berücksichtigen. Dies ist jedoch einfacher gesagt als getan, denn die tatsächlichen Folgen von Entscheidungen über die Zukunft lassen sich niemals mit Sicherheit vorhersagen. Daher birgt jede strategische Entscheidung (ebenso ihre Unterlassung) immer ein gewisses Risiko mit sich.^[4] Im Allgemeinen kann davon ausgegangen werden, dass nur wenige Entscheidungen, die von Menschen getroffen werden, wirklich rational sind. Aus diesem Grund empfiehlt es sich, ein Risikomanagement zu implementieren, um professionell mit eintretenden Risikofällen umgehen zu können und Fehlern in Zukunft gelassener gegenüberzutreten.^{[5] [6]}

 

1.2 Ziel der Arbeit

 

Das Hauptziel dieser Arbeit ist es, den Risikomanagement-Prozess nach der ISO 31000 an einem realen Beispiel mit den verwendeten Methoden zu illustrieren. Dazu sollen zunächst die Begriffe Risiko und Risikomanagement definiert und abgegrenzt werden. Darauf aufbauend sollen die Aktivitäten des Risikomanagement-Prozess nach der ISO 31000 beschrieben werden, die für die spätere Bearbeitung des Assignments von besonderer Bedeutung sein wird.

 

1.3 Aufbau der Arbeit

 

Nach erfolgter Kurzpräsentation des Themas in der Einleitung sowie der Zielsetzung im gleichnamigen Kapitel wird nun im folgenden Kapitel die Begriffe „Risiko“ und „Risikomanagement“ erklärt. Daraufhin wird in Kapitel 3 auf das Risikomanagement-Prozess nach der ISO 31000 eingegangen. Hier erfolgt zunächst in Kapitel 3.1 eine Einordnung des Prozesses, bevor in Kapitel 3.2 die einzelnen Aktivitäten des Risikomanagement-Prozesses beschrieben werden. Die Anwendung des Risikomanagement-Prozess nach der ISO 31000 auf ein reales Beispiel stellt den Schwerpunkt dieser Arbeit dar, die unter Berücksichtigung der erläuterten Aktivitäten in Kapitel 3.2 mit jeweils einer Methode illustriert werden. Abgeschlossen wird das Assignment in Kapitel 5 mit einem Fazit inkl. einer kritischen Reflexion.

2 Theoretische Grundlagen

 

2.1 Risiko

 

Ständig müssen in allen Lebensbereichen Entscheidungen getroffen werden, welche allesamt mit Risiken verbunden sind. Organisationen stehen vor einer Vielzahl von Risiken, die sich auf ihre Ziele auswirken können. Sowohl im strategischen als auch im operativen Geschäft treten diese Risiken in jedem Prozess auf.^{[7] [8]} Unter dem Begriff "Risiko" wird im Allgemeinen eine Gefährdung oder ein Wagnis verstanden, die mit einem negativen Ergebnis verbunden sein kann.7 ^[9] In der DIN ISO 3100 wird der Begriff Risiko definiert als „Auswirkung von Unsicherheit auf Ziele.“^[10] Unter Auswirkungen wird hier die Abweichung vom erwarteten Ergebnis verstanden. Diese Abweichungen können „positiv, negativ oder beides sein“11 und durch Möglichkeiten und Bedrohungen verursacht oder hervorgerufen werden. Während Ziele auf verschiedenen Ebenen angewendet werden können und verschiedene Aspekte und Kategorien umfassen, werden Risiken durch Ursachen, Ereignissen, Auswirkungen und ihrer Wahrscheinlichkeit dargestellt. Risiken können durch Ursachen, Ereignisse, Auswirkungen und ihre Wahrscheinlichkeit dargestellt werden.^[11]

 

In seinem Leitfaden für Wirtschaftlichkeitsuntersuchungen nennt das Bundesministerium für Verkehr, Bau und Stadtverwaltung den Risikobegriff als „[…] die mögliche negative Abweichung von einer Annahme. Eine solche negative Abweichung kann zu einem Schaden oder zu einer Reduzierung eines positiven Effektes führen. Die Möglichkeit einer positiven Abweichung von einer Annahme nennt man Chance. Eine solche positive Abweichung kann zu einer Kostenminderung führen.“^[12] Neben dem Risikobegriff trifft auch hier der Begriff der Chance in den Vordergrund.11

 

Grundsätzlich bezeichnen Risiken alle Unklarheiten, die bei einer Entscheidungsfindung auftreten können. Alle Abhängigkeiten müssen bekannt sein, um eine Entscheidung mit großer Sicherheit treffen zu können. Jedoch können Unsicherheiten auftreten, wenn diese Abhängigkeiten unbekannt sind. Ein Teil der Unsicherheit besteht aus Ungewissheit oder Wagnis, während der andere Teil aus Risiken besteht, die sowohl als Gefahren (negative Zielerreichung) als auch als Chancen (positive Zielabweichung) auftreten können.^{[13] [14] [15]}

 

In dieser Arbeit wird der Begriff Risiko zusammenfassend als die mögliche Abweichung von zuvor festgelegten Projektzielen definiert, welche durch mögliche Ereignisse oder Entwicklungen (Risikofaktoren) hervorgerufen wird. Diese Abweichung kann sowohl negativ (Gefahr) als auch positiv (Chance) sein.13

 

2.2 Risikomanagement

 

Nachdem der grundlegende Begriff „Risiko“ systematisiert wurde, stellt sich nun die Frage, welche Aufgaben das Risikomanagement hat.^[16] Zusammenfassend kann das Risikomanagement als eine Abfolge von Prozessen betrachtet werden, die sich auf Grundsätze „zur Kontextbildung und der nachfolgenden Beurteilung, Behandlung, Steuerung, Überwachung und Dokumentation“17 zur Handhabung von Risiken stützt. Das Risikomanagement führt zu einem Verständnis für vorhandene Risiken und liefert Empfehlungen für den Umgang mit diesen. Der Auftraggeber erhält dadurch verschiedene Entscheidungsoptionen. Alle Aktivitäten im Rahmen des Risikomanagements sind nachvollziehbar und können dokumentiert werden.^{[17] [18] [19] [20]} Das Ziel des Risikomanagements besteht nicht darin, alle Risiken zu eliminieren, sondern vielmehr bewusst und zielgerichtet mit ihnen umzugehen. Dadurch kann die „Streuung und Schwankung der Zahlungsflüsse und Gewinne“21 reduziert werden, was letztendlich zu einer höheren Vorhersehbarkeit und Kontrollierbarkeit des Unternehmens führt.^[21]

 

Für ein erfolgreiches Risikomanagement sind eine Akzeptanz aller beteiligten Personen sowie Transparenz und eine effektive Kommunikationsfähigkeit unerlässlich. Der Prozess sollte bewusst und offen wahrgenommen werden.^{[22] [23]}

 

Es gibt keine einheitliche Vorgabe für die Umsetzung des Risikomanagements. Da jedes Unternehmen einzigartige Merkmale wie Branche, Mitarbeiter, Produkte, Prozesse und Liquidität aufweist, sind festgelegte Strukturen, Abläufe, Inhalte oder Organisationen nicht anwendbar. Es besteht die Möglichkeit, das Risikomanagement mithilfe von einfachen Checklisten oder auch durch den Einsatz von komplexen Rechenmodellen durchzuführen. Standardlösungen sind hierbei nicht vorhanden.^{[24] [25]}

 

Zur Einführung eines Risikomanagementsystems besteht grundsätzlich keine gesetzliche Verpflichtung. Allerdings wird bei der Realisierung von Investitionsprojekten für gewöhnlich die Implementierung eines Risikomanagementsystems gefordert.^{[26] [27]}

3 Risikomanagement-Prozess nach ISO 31000

 

Im nachstehenden Kapitel erfolgt eine detaillierte Einordnung und Erläuterung der ISO 31000. Darüber hinaus wird der Prozess des Risikomanagements samt seinen verschiedenen Phasen präzise erläutert.

 

3.1 Einordnung

 

Ursprünglich stammt die Norm ISO 31000 aus dem australischen bzw. neuseeländischen Standard AS/NZS 4360:2004, welcher im Jahr 2004 veröffentlicht wurde, sowie der österreichischen Norm ONR 4900x "Risikomanagement für Organisationen und Systeme".28 Es sei besonders zu erwähnen, dass die ONR-49000er-Reihe nicht nur eine Übersetzung der ISO 31000 ins Deutsche darstellt, sondern auch als praktischer Leitfaden verwendet wird. Die Zertifizierung eines Risikomanagementsystems nach ISO 31000:2009 ist nicht möglich, da die Norm lediglich Grundsätze und Vorgehensweisen des Risikomanagements beschreibt und keine direkten Anforderungen an ein solches System stellt. Die Anwendbarkeit dieser Grundsätze und Verfahren ist allgemein gültig und kann daher in verschiedenen Branchen und Anwendungsbereichen angewendet werden, in denen Risiken auftreten.^[28]

 

In der Norm ISO 31000:2009 werden grob drei Teile behandelt: „die Grundsätze des Risikomanagements, die Gestaltung des Rahmens eines Risikomanagementsystems und den Risikomanagementprozess.“29 Einige der Grundsätze des Risikomanagements umfassen: Die Integration des Risikomanagements in die Organisationsprozesse, die ausdrückliche Auseinandersetzung mit Unsicherheit, die systematische, strukturierte und zeitnahe Herangehensweise an das Risikomanagement, die Transparenz des Risikomanagements, die dynamische und interaktive Reaktion auf Veränderungen sowie die kontinuierliche Verbesserung durch das Risikomanagement.^[29]

 

Der Deming-Kreis oder PDCA-Zyklus mit den vier Phasen "Plan-Do-Check-Act" bildet die Basis für einen kontinuierlichen Verbesserungsprozess im Qualitätsmanagement.^[30] Die Festlegung der Risikopolitik und die Ziele des Risikomanagements erfolgt in der P-Phase durch das Management der Organisation. In der Do-Phase erfolgt dann anschließend die Umsetzung mittels des Risikomanagement-Prozesses. In der Check-Phase werden die erzielten Ergebnisse ausgewertet und analysiert. Die Act-Phase definiert abschließend den neuen Standard des Risikomanagementsystems, der erreicht wurde.^[31] Ein neuer Regelkreis wird im Rahmen der kontinuierlichen Verbesserung an einen bestehenden angeschlossen und kontinuierlich durchlaufen.^[32]

 

3.2 Risikomanagement-Prozess

 

Der Mittelpunkt des unternehmensweiten Risikomanagementsystems bildet der Risikomanagementprozess, welcher sich mit der systematischen Verwaltung der Risiken befasst.^[33] Um zusätzlich als integraler Bestandteil des Managements zu fungieren, ist es notwendig, dass er in die Kultur und Praktiken der Organisation eingebunden und an die Geschäftsprozesse entsprechend angepasst wird.^[34] Es gibt mehrere Prozessschritte im Risikomanagementprozess. Die allgemeine Prozessstruktur wird in der DIN ISO 31000 beschrieben und umfasst sieben Prozesse. Eine Darstellung dieser Prozesse ist in Abbildung 1 dargestellt.^[35]

 

 

 

Abbildung 1: Risikomanagementprozess.^[36]

 

Durch die Herstellung des Zusammenhangs definiert die Organisation nicht nur ihre Ziele, sondern legt auch interne und externe Parameter fest, die beim Risikomanagement zu berücksichtigen sind. Darüber hinaus wird der Umfang des Risikomanagement-Prozesses sowie die Risikokriterien für den restlichen Prozess festgelegt. Obwohl einige dieser Parameter ähnlich sind wie bei der Konstruktion des Risikomanagement-Rahmens, müssen sie bei der Festlegung des Kontextes für den Risikomanagement-Prozess detaillierter untersucht werden, insbesondere hinsichtlich des Ausmaßes des jeweiligen Risikomanagement-Prozesses.^[37]