20. Januar 2010 - Sichere Prozesse und Abläufe

Die Organisation sichern mit Risikomanagement

Risikomanagementsysteme nach ISO 31000 verringern das Risikopotenzial selbst. Unterzieht man Abläufe und Verfahren regelmäßig einer Bewertung und leitet daraus ständig Konsequenzen ab, so werden risikobehaftete Abläufe zunehmend durch diejenigen ausgetauscht, die ein geringeres Risiko bergen. Folgen dieser Risikoabsenkung sind beispielsweise ein verbesserter Datenschutz oder eine erhöhte IT-Sicherheit.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Mit Beginn der 1990er-Jahre hat eine Entwicklung begonnen, die mit dem Zeitalter der Managementsysteme beschrieben werden kann.

Struktur und Aufbau von Managementsystemen

Der Ursprung dieser Ideen ist auf den US-Amerikaner William Edwards Deming zurückzuführen. Bereits ab den 1940er-Jahren entwickelte er die prozessorientierte Sicht auf die Tätigkeiten eines Unternehmens, die später auch Eingang in die diversen Qualitätsnormen und Qualitätsmanagementlehren fanden. Eng verknüpft ist diese Entwicklung mit Deming und der nach ihm benannten Reaktionskette, des PDCA-Zyklus (Plan-Do-Check-Act). Dieser Zyklus ist Kernstück aller modernen Managementsysteme.

Dennoch herrschen in der Praxis meist mehrere Managementansätze als Insellösungen vor und werden nicht aktiv im Rahmen einer wertorientierten Unternehmenssteuerung integriert. Dadurch

  • steigt die Komplexität auf Managementebene,
  • Synergien können nicht realisiert werden und
  • die Verteilung von Zuständigkeiten und Verantwortlichkeiten ist unklar.

Zudem können Redundanzen in den Aktivitäten auftreten und die Reaktionsgeschwindigkeit des Managements wird verlangsamt.

Schutzfunktion der Managementsysteme

Managementsysteme haben mit dem PDCA-Zyklus einen im Grunde genommen vergleichbaren Aufbau. In einer Analyse werden die für die Politik und das Umfeld (Datenschutz, IT-Sicherheit, Arbeitsschutz, Umweltschutz etc.) wichtigen Aspekte identifiziert.

Hierbei werden, meist auf Basis vorhandener Erfahrungen, Abweichungen zu dem „normalen Betrieb“ festgestellt. Das sind z. B. Emissionen in die Luft. Weitere Beispiele sind Unfälle mit einer Relevanz für die Beeinträchtigung der Natur, fehlerhafte Produkte, Betriebsunterbrechungen, Auslaufen von Öl usw.

Um die Aufgaben der Managementsysteme für Umweltschutz (ISO 14000 ff.), Qualitätsmanagement (ISO 9000 ff.), Arbeitsschutz (OHSAS 18001), IT-Sicherheitsmanagement (ISO 27000 ff.) oder Brandschutzmanagement (VdS 2009 Leitfaden) und weitere Managementsysteme auf einer abstrakten Ebene zu beschreiben, bedeutet dies: Alle Managementsysteme beschäftigen sich mit der Zielabweichung.

Risikomanagement ist ein integraler Bestandteil aller organisatorischen Abläufe

Managementsysteme haben die Verbesserung der Prozesse zum Ziel. Treten aber unterschiedliche Risiken aus unterschiedlichen Sektoren auf, so sind die im Einzelnen erzielten Lösungen oft nicht vollständig miteinander vereinbar, zum Teil können sie auch gegenläufig sein.

Was z.B. den Datenschutz verbessert, kann die IT-Sicherheit vordergründig negativ verändern. Zunehmend versucht man in Arbeitsgruppen diesem Problem entgegenzuwirken und bei der Lösung eines Problems ein interdisziplinäres Team zu bilden. Dies hat jedoch immer noch den Nachteil, dass man mit verschiedenem Maß misst.


Risikomanagement nach ISO 31000:
System – Ist-Analyse – Methoden

Diese Praxislösung macht Sie mit den Anforderungen und Nutzen der neuen Norm vertraut. Sie hilft Ihnen, den Stand des Risikomanagements in Ihrem Unternehmen zu bewerten und stellt Ihnen einfache Risikomanagement-Methoden für den Einstieg vor.


Risikomanagement ist nicht isoliert zu betrachten. Dabei wird deutlich, dass Risikomanagement nicht nur ein weiteres Managementsystem für Organisationen ist, sondern die Schutzansätze von bestehenden Managementsystemen zusammenfassen kann.

Mit Hilfe der Norm ISO 31000 kann beispielsweise ein Prozess ganzheitlich oder nur unter dem Gesichtspunkt der Risikoreduktion untersucht werden. Die Methodik ist einheitlich und das Risiko und die Risikobeurteilung inkl. der Bewertung führen zu einem Ergebnis. Dieses Ergebnis allerdings beinhaltet die optimale Lösung für das Unternehmen unter Berücksichtigung aller sektoralen Forderungen der einzelnen Schutzfunktionen. Es wird im Rahmen der Beurteilung also nicht mehr danach gesucht, welcher Weg die beste Qualität, den besten Umweltschutz, den besten Brandschutz und so weiter bringt, sondern es wird danach gesucht und auch gefunden: Was ist das Beste für das Unternehmen?

Die einzelnen Managementsysteme werden einander genähert und in Form der Verwendung der ISO 31000 praktisch korreliert.

Risikomanagementsysteme nach ISO 31000 verringern das Risikopotenzial selbst. Werden Abläufe und Verfahren regelmäßig einer Bewertung unterzogen und werden daraus Verbesserungen kontinuierlich abgeleitet, so wird sich die Organisation dahingehend wandeln, dass risikobehaftete Abläufe zunehmend durch diejenigen ausgetauscht werden, die ein geringeres Risiko bergen.

Folgen dieser Risikoabsenkung sind ein verbesserter Datenschutz, ein verbesserter Arbeits- und Gesundheitsschutz, eine bessere Schadensverhütung oder qualitätsbezogene Produktverbesserungen.

Alle diese genannten Verbesserungen führen zu einer robusten und belastbaren Organisation, die somit langfristig über ein stabiles Fundament für weitere Geschäftsaktivitäten verfügt.

Risikomanagement ist dynamisch, iterativ und auf Veränderungen reagierend

Risikomanagement ist ein iterativer Prozess, in dem schrittweise die Identifikation, Analyse und Bewertung durchgeführt werden. Mit der Behandlung schließen sich die Maßnahmen an, die wiederum zu einer Identifikation neuer Risiken führen können. Veränderungen können aufgenommen werden und hinsichtlich ihrer Wirkung auf die Zielerreichung und die damit verbundene Unsicherheit geprüft werden.

Risikomanagement ermöglicht die kontinuierliche Verbesserung der Organisation. Eine dauerhaft aktive Umsetzung von Risikomanagementbetrachtungen in der Organisation führt zur kontinuierlichen Verbesserung.


Risikomanagement als Bindeglied aller Managementsysteme

Vielleicht, und das wird die weitere Entwicklung erweisen, ist mit dem Risikomanagement das fehlende Bindeglied zur Integration aller Managementsysteme gefunden worden.

Die Liste der zu erwartenden Vorteile eines Risikomanagementsystems ist lang. Doch wird deutlich, dass hier viele Parallelen zu einem Managementsystem für Sicherheit, Qualität, Umweltschutz, Managementsystemen im Allgemeinen auftreten.

Ein weiterer Vorteil ist, dass das Vertrauen in die Leistungsfähigkeit und Verlässlichkeit der Organisation erhöht wird. Hierzu zählen die erhöhte Rechtssicherheit und die erhöhte Führungssicherheit innerhalb der Organisation.

Mit einem Risikomanagementsystem nach ISO 31000 ist es möglich, die Wahrscheinlichkeit der Zielerreichung zu erhöhen. Ein zielgerichtetes Management ist fähig, Risiken zu erkennen und Risiken zu steuern, um Chancen zu nutzen und die negativen Folgen von Risiken zu minimieren.

Hier erhalten Sie kostenlose Informationen zu Risikomanagement und der Norm ISO 31000:2009: www.risikomanagement-iso-31000.de


Prof. Dr. Udo Weis
Herausgeber „Risikomanagement nach ISO 31000“

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln