„Risiko“ verstehen alle gleich
Es gibt für ein Unternehmen unterschiedliche Risikoarten, zu denen verschiedene ISO-Normen und Empfehlungen erarbeitet wurden. Hierbei kommt es darauf an, aus welcher Perspektive man den Umgang mit Risiken betrachtet. Verschiedene Funktionsbereiche haben eine unterschiedliche Sichtweise auf die „Risiken“ und diese gilt es zusammenzubringen und ein gemeinsames Verständnis dafür zu entwickeln. Im Zusammenhang mit den Managementsystemen und den damit verbundenen Risiken wurden bestimmte ISO-Normen geschaffen, die den Umgang mit den Anforderungen abdecken.
Die Definition von Risiko nach ISO-Normen
In den aktuellen Anforderungen der ISO-Normen für Risikomanagementsysteme wird Risiko als „Auswirkung von Unsicherheit“ definiert. Unsicherheit wird durch bestimmte Sachverhalte oder Ursachen erzeugt, die sich auf die Organisation auswirken. Der Leitfaden für Risikomanagement, die ISO-Norm 31000 definiert „Risiko“, ergänzend dazu, als „Auswirkung von Unsicherheit auf Ziele“ und gibt an, dass „eine Auswirkung eine Abweichung vom Erwarteten darstellt“. Die Auswirkung kann auch hier sowohl negativ, als auch positiv sein und verschiedene Kategorien, Aspekte und Ebenen umfassen.
Andere Managementsystemnormen beschreiben ebenfalls Anforderungen an das Risikomanagement, es greift das Erfordernis das Risiken und Chancen in der Informationssicherheit betrachtet werden müssen. Hier gibt es sogar eine ergänzende Norm, die ISO 27005, die sich ausschließlich mit dem Risikomanagement und der Informationssicherheit befasst.
Die ISO 27001 beinhaltet ein internationales Regelwerk zum Thema Informationssicherheit. In der ISO Norm 9001 wird auf das Konzept eines risikobasierten Ansatzes und Denkens eingegangen, welches unerlässlich für das Erreichen eines wirksamen Qualitätsmanagementsystems ist. Damit die Anforderung erfüllt werden können, muss die Organisation Maßnahmen planen und umsetzen, mit denen Risiken und Chancen bearbeitet werden. In ISO 9001 wird festgelegt, dass die Organisation ihren Kontext verstehen sollte und die Risiken als Planung bestimmt.
Organisationsrisiken in der Führungsebene
Nun ist natürlich noch die Frage zu klären, wie die Organisationsrisiken grundsätzlich und in der Führungsabteilung gehandhabt werden. Es gibt normalweise einen Verantwortlichen für die Risken in einem Unternehmen, das wäre in der Regel die Geschäftsführung. Hierzu definiert die Norm ISO 31000-2018 das „Risikomanagement“ als „koordinierte Aktivität zur Lenkung und Steuerung einer Organisation in Bezug auf Risiken“. Weiterhin besagt die Norm, dass das Risikomanagement als Führungsaufgabe verstanden wird und mit einem Top-Down Ansatz betrachtet werden sollte.
Welches Ziel verfolgt eigentlich das Risikomanagement? Es dient dazu, Werte zu schaffen und diese durch Vorgaben zu schützen. Das Risikomanagement steuert den gezielten und planvollen Umgang mit möglichen Risiken in einem Unternehmen. Dabei beinhaltet dies alle Tätigkeiten und Maßnahmen, die darauf ausgelegt sind, das Risiko zu minimieren und im Fall der Fälle das Schadensausmaß zu regulieren.
Damit überhaupt klar wird, welche Risiken Ihr Unternehmen ausgesetzt ist, sollten Sie zunächst mit einer Kontextanalyse beginnen.
In dieser Kontextanalyse betrachten Sie interne und externe Themen für Ihr Unternehmen und ermitteln gleichfalls, die damit verbundenen Risiken und deren Einfluss auf Ihr Unternehmen und seine Geschäftsprozesse. In ISO 31000 Abschnitt 5.4 bekommen Sie Hilfestellung zu der Durchführung Ihrer Kontextanalyse.
Fazit
Um einen umfassenden Schutz zu gewährleisten sollten die Risiken in allen Ebenen der Organisation betrachtet werden. So kann jeder, der für einen bestimmten Bereich verantwortlich ist, die Vorgaben in die Prozesse einarbeiten, bewerten und dokumentieren. Mit Hilfe von ISO-Normen lässt sich ein gemeinsames Verständnis herstellen und das Vorgehen der Risikobeurteilung abstimmen. Als Leitfaden für die Umsetzung kann die ISO Norm 31000 dienen.
Bildnachweis: (C) Gino Crescoli, CC0 v1.0, Pixabay
