ISO/IEC 31000: Unterschied zwischen den Versionen

Aus Foxwiki
K Textersetzung - „Risiko/Management“ durch „Risikomanagement“
 
(214 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
== Grundschutz und ISO/IEC 31000 ==
'''ISO/IEC 31000''' - [[Internationale Organisation für Normung|ISO-Norm]] zum [[Risikomanagement]]
In den internationalen Normen zum Risikomanagement und zur Risikobeurteilung, insbesondere der
 
ISO/IEC 31000, werden einige Begriffe anders belegt, als es im deutschen Sprachraum üblich ist. In der
== Beschreibung ==
nachfolgenden Tabelle sind die wesentlichen Begriffe aus ISO/IEC 31000 und dem BSI-Standard 200-3
; ''ISO 31000:2018'' ist eine [[Internationale Organisation für Normung|ISO-Norm]], die sich mit [[Risikomanagement]] beschäftigt
einander gegenübergestellt. Diese Gegenüberstellung dient der Zuordnung der Begriffe der ISO
: Leitlinien zum Umgang mit Risiken in [[Organisation]]en
31000 zu den Begriffen der BSI-Standards 200-2 und 200-3 (siehe Abbildung 7).
 
ISO/IEC 31000 und IT-Grundschutz
=== Allgemeines ===
ISO/IEC 31000:2009
; Übersetzungen
Establishing the Context, Kapitel 5.3
* Englisch, Französisch und Deutsch
Risk Assessment, Kapitel 5.4
* Risk Identification
* Risk Analysis
* Risk Evaluation
Risk Identification, Kapitel 5.4.2
Risk Analysis, Kapitel 5.4.3
Risk Evaluation, Kapitel 5.4.4
Risk Treatment, Kapitel 5.5
Communication and Consultation, Kapitel5.2
IT-Grundschutz
BSI-Standard 200-1 (siehe [BSI1]),
Managementprinzipien, Kapitel 4
Planung des Sicherheitsprozesses, Kapitel 7.1
BSI-Standard 200-2
Initiierung des Sicherheitsprozesses, Kapitel 3
BSI-Standard 200-3 Risikobeurteilung, Kapitel 1
* Erstellung einer Gefährdungsübersicht
* Risikoeinschätzung
* Risikobewertung
BSI-Standard 200-3
Erstellung einer Gefährdungsübersicht, Kapitel 4
BSI-Standard 200-3
Risikoeinschätzung, Kapitel 5.1
BSI-Standard 200-3, Risikobewertung, Kapitel 5.2
BSI-Standard 200-3, Risikobehandlung, Kapitel 6
BSI-Standard 200-1, Kommunikation und Wissen,
Kapitel 4.2
BSI-Standard 200-2
Informationsfluss im Informationssicherheitsprozess,
Kapitel 5.2


; <nowiki>ISO 31000:2018</nowiki> wurde in das deutsche [[DIN-Norm]]enwerk übernommen
* ISO/TC 262 „Risk Management“


ISO/IEC 31000:2009
; Zertifizierung
Monitoring and Review, Kapitel 5.6
Die ISO Norm 31000 ist ausdrücklich ''nicht'' zu Zertifizierungszwecken geschaffen
IT-Grundschutz
BSI-Standard 200-1
Aufrechterhaltung der Informationssicherheit, Kapi­
tel 7.4 Kontinuierliche Verbesserung der Informati­
onssicherheit, Kapitel 7.5
BSI-Standard 200-2
Aufrechterhaltung und kontinuierliche Verbesserung
der Informationssicherheit, Kapitel 10
BSI-Standard 200-3
Risiken unter Beobachtung, Kapitel 6.2
Tabelle 11: Gegenfberstellung der Begriffe aus ISO/IEC 31000 und dem BSI-Standard 200-3


[[Kategorie:Grundschutz/Standard/200-3]]
Vielmehr sagt die Norm, dass
: ''„die ISO 31000 Empfehlungen liefert, die an die spezifischen Organisationen angepasst werden können oder müssen und keine Anforderungen vorgibt.“''


= TMP =
In Österreich stellt ''ONR 49001'' (Österreichische Risikomanagement-Norm) eine gesetzliche Basis zur Zertifizierung.
Die '''ISO 31000:2018''' ist eine [[Internationale Organisation für Normung|ISO-Norm]], die sich mit [[Risikomanagement]] beschäftigt. Dabei legt die Norm Leitlinien fest, die den Umgang mit Risiken in einer [[Organisation]] beschreiben. Die spezielle Anwendung dieser Leitlinien kann an jedes Unternehmen in seiner spezifischen Umgebung angepasst werden. Der Standard liefert einen sehr allgemeinen Ansatz, der nicht industrie- oder sektorspezifisch ist und gleichzeitig für jegliche Art von [[Risiko|Risiken]] anwendbar ist. Darüber hinaus kann die Norm während der gesamten Lebensdauer eines Unternehmens verwendet werden und ist auf allen Unternehmensebenen sowie im Prozess der Entscheidungsfindung implementierbar.<ref>ISO Norm 31000:2018, Kapitel 1: Anwendungsbereich</ref>


== Allgemeines ==
=== Anwendung ===
Die Norm 31000 ist in drei Sprachen veröffentlicht: Englisch, Französisch und Deutsch. Die deutsche Übersetzung wurde von dem technischen Komitee ISO/TC 262 „Risk Management“ erarbeitet. Nach dem Beschluss von 12/2017 des NA 175-00-04 AA wird die ISO 31000:2018 in das deutsche [[DIN-Norm]]enwerk übernommen. Die Vorgängernorm wurde nach Ablauf des zweijährigen Norm-Entwurfs wieder ersatzlos zurückgezogen. Die ISO Norm 31000 ist ausdrücklich nicht zu Zertifizierungszwecken geschaffen. Vielmehr sagt die Norm aus, dass „die ISO 31000 Empfehlungen liefert, die an die spezifischen Organisationen angepasst werden können oder müssen und keine Anforderungen vorgibt.“<ref>ISO Norm 31000:2018 Kapitel: Nationales Vorwort</ref> Eine gesetzliche Basis zur Zertifizierung stellt die ONR49001.
; ISO 31000 liefert allgemeine Ansätze
* Nicht industrie- oder sektorspezifisch
* Für jegliche Art von [[Risiko|Risiken]] anwendbar
* Während der gesamten Lebensdauer eines Unternehmens verwendbar
* Auf allen Unternehmensebenen sowie im Prozess der Entscheidungsfindung implementierbar


== Ziele der Norm ==
; Die spezielle Anwendung dieser Leitlinien kann an jedes Unternehmen in seiner spezifischen Umgebung angepasst werden.
Reputations- oder Markenschäden, Cyberkriminalität, politische Risiken und Terrorismus sind nur einige Risiken, die private und öffentliche Organisationen aller Art und Größe auf der ganzen Welt mit zunehmender Häufigkeit befürchten müssen. Die neueste Version der ISO 31000 wurde vorgestellt, um bei dem Umgang mit diesen Unsicherheiten zu helfen. Die ISO 31000:2018 liefert eine klarere, kürzere und prägnantere Anleitung, die Organisationen dabei hilft, Risikomanagement-Prinzipien zu nutzen und um die Planung und Umsetzung zu verbessern, um somit bessere Entscheidungen treffen zu können. Die ISO 31000 unterstützt Organisationen dabei, eine Risikomanagementstrategie zu entwickeln, die effektiv Risiken identifiziert und abschwächt, und erhöht damit die Wahrscheinlichkeit, dass eine Organisation ihre Ziele erreicht und ihre Vermögenswerte schützen kann. Das übergeordnete Ziel ist die Entwicklung einer Risikomanagementkultur, in der Mitarbeiter und [[Stakeholder]] sich der Wichtigkeit des Risikomanagements bewusst sind. Die Implementierung von ISO 31000 hilft ebenfalls Organisationen, sowohl die positiven Chancen als auch die negativen Konsequenzen zu sehen, die mit Risiken verbunden sind, und ermöglicht eine fundiertere und damit effektivere Entscheidungsfindung bei der Zuteilung von [[Ressource]]n. Darüber hinaus kann es eine aktive Komponente bei der Verbesserung der Unternehmensführung und letztlich seiner Leistung sein.


== Besonderheiten ==
=== Ziele ===
Insgesamt lassen sich fünf Besonderheiten der ISO-Norm 31000:2018 beschreiben.
; Risiken weltweit zunehmend
Organisationen aller Art und Größe
* Reputations- oder Markenschäden
* Cyberkriminalität
* politische Risiken
* Terrorismus, ...


=== Top-down-Ansatz ===
; <nowiki>ISO 31000:2018</nowiki>
Das Risikomanagement folgt dem [[Top-down und Bottom-up|Top-down]]-Ansatz. Das bedeutet, dass die wesentlichen Risiken eines Unternehmens identifiziert, analysiert und behandelt werden, wobei die Details nicht von vornherein im Mittelpunkt stehen. Vielmehr geht es darum, die allgemeinen wichtigen Aspekte zu behandeln. Dieser Ansatz unterscheidet sich zu den Regulatoren der Finanzbranche, wie etwa [[Basel III]] oder Solvency II. Diese dienen auch dem Identifizieren von Risiken, sind jedoch eher als Bottom-up-Ansatz zu klassifizieren.<ref>{{Literatur |Autor=Brühwiler und Romeike |Titel=Praxisleitfaden Risikomanagement |Hrsg= |Sammelwerk= |Band= |Nummer= |Auflage= |Verlag=Erich Schmidt Verlag |Ort=Berlin |Datum=2010 |Seiten=83-87 |ISBN=}}</ref>
* klarere, kürzere und prägnantere Anleitung
* Risikomanagement-Prinzipien nutzen
* Planung und Umsetzung verbessern
* bessere Entscheidungen treffen


=== Risikomanagement ist eine umfassende Führungsaufgabe mit einem gegebenen Regelkreis===
; Risikomanagementstrategie entwickeln
Das Umgehen mit Risiken erfolgt iterativ und unterstützt Organisationen dabei, Strategien festzulegen, Ziele zu erreichen und fundierte Entscheidungen zu treffen. Das Umgehen mit Risiken ist Teil der Leitung und Führung und entscheidet darüber, wie diese Organisation auf allen Ebenen geführt wird. Es handelt sich um eine Verpflichtung der obersten Leitung, das Risikomanagementsystem zu implementieren. Dabei wird iterativ nach dem [[Demingkreis]] vorgegangen. Dieser lässt sich nach dem „Plan – Do – Check – Act“-Prinzip zusammenfassen.<ref>{{Literatur |Autor=Brühwiler Romeike |Titel=Praxisleitfaden Risikomanagement |Hrsg= |Sammelwerk= |Band= |Nummer= |Auflage= |Verlag=Erich Schmidt Verlag |Ort=Berlin |Datum=2010 |Seiten=84 |ISBN=}}</ref>
: Effektiv Risiken identifizieren und abschwächen


=== Branchenübergreifender Ansatz ===
; Ziele erreichen und Vermögenswerte schützen
Da Organisationen jeglicher Art und Größe externen und internen Faktoren und Einflüssen unterliegen, die das Erreichen ihrer Ziele ungewiss machen können, ist die ISO-Norm 31000 prinzipiell für alle Arten von Organisationen anwendbar. Sie lässt sich beispielhaft für Unternehmen der [[Verarbeitende Industrie|verarbeitenden Industrie]] sowie der [[Dienstleistungsbranche]] anwenden. Aber auch eine Implementierung für Unternehmen von öffentlichen Verwaltungen oder [[Nichtregierungsorganisation]]en ist möglich.
* ISO 31000 soll diese Wahrscheinlichkeit erhöhen


=== Funktionsübergreifend ===
; Entwicklung einer Risikomanagementkultur
Die ISO-Norm 31000:2018 geht über das Konzept des internen [[Kontrollsystem]]s hinaus und trägt vielmehr zu der Verbesserung von Managementsystemen bei. Das Umgehen mit Risiken ist Teil aller Aktivitäten einer Organisation und umfasst die Interaktion mit [[Stakeholder]]n. Zusätzlich berücksichtigt die Norm das Umgehen mit Risiken im externen und internen Kontext der Organisation einschließlich menschlichen [[Verhaltensökonomik|Verhaltens]] und kultureller Faktoren und ist somit funktionsübergreifend.
* Übergeordnetes Ziel
* Mitarbeiter und [[Stakeholder]] sollen sich der Wichtigkeit des Risikomanagements bewusst sein


=== International breit abgestütztes Konzept ===
; Chancen und Konsequenzen
Entwickelt durch die ISO-Vereinigung mit Sitz in Genf, an denen Experten aus Europa, Amerika und Asien mitwirkten, besitzt die Norm somit ein besonderes Gewicht sowie internationale Aufmerksamkeit.
Implementierung von ISO 31000
* Positive Chancen und negative Konsequenzen sehen
* Fundiertere und effektivere Entscheidungen bei der Zuteilung von [[Ressource]]n treffen


== Aufbau und Inhalte der Norm ==
; Unternehmensführung
Das Umgehen mit Risiken basiert auf den Grundsätzen, dem Rahmenwerk und dem Risikoprozess. Zusätzlich definiert die Norm noch wesentliche Begriffe des Risikomanagements.
:Ferner kann es eine aktive Komponente bei der Verbesserung der Unternehmensführung und letztlich seiner Leistung sein.


=== Begriffsdefinition ===
=== Besonderheiten ===
Insgesamt definiert die ISO-Norm 31000 acht Begriffe aus dem Kontext des Risikomanagements. Dabei handelt es sich lediglich um die wichtigsten Begriffe. In der vorhergehenden Norm waren noch 29 Begriffe definiert, womit durch die Überarbeitung eine deutliche Kürzung in diesem Bereich stattfand. Folgende Begriffe werden definiert und ggf. mit Anmerkungen versehen.<ref>ISO Norm 31000:2018, Kapitel 3: Begriffe</ref>
{| class="wikitable options"
|-
! Option !! Beschreibung
|-
| [[ISO/IEC 31000#Top-down-Ansatz|Top-down-Ansatz]] ||
|-
| [[ISO/IEC 31000#Führungsaufgabe|Führungsaufgabe]] ||
|-
| [[ISO/IEC 31000#Branchenübergreifend|Branchenübergreifend]] ||
|-
| [[ISO/IEC 31000#Breit abgestütztes Konzept|Breit abgestütztes Konzept]] ||
|}
 
==== Top-down-Ansatz ====
[[File:risikomanagementISO31000.png|mini|400px]]
; Risikomanagement folgt dem [[Top-down und Bottom-up|Top-down]]-Ansatz
* Risiken identifiziert, analysiert und behandeln, wobei die Details nicht von vornherein im Mittelpunkt stehen
* Allgemeine wichtigen Aspekte behandeln
 
; Bottom-up-Ansatz
* Der ISO/IEC 31000 Ansatz unterscheidet sich von den Regulatoren der Finanzbranche, wie [[Basel III]] oder Solvency II
* Diese dienen auch dem Identifizieren von Risiken, sind jedoch eher als Bottom-up-Ansatz zu klassifizieren
 
==== Führungsaufgabe ====
[[File:iso31000.png|mini|250px]]
; Risikomanagement ist eine umfassende Führungsaufgabe mit einem gegebenen Regelkreis
Das Umgehen mit Risiken erfolgt iterativ und unterstützt Organisationen dabei, Strategien festzulegen, Ziele zu erreichen und fundierte Entscheidungen zu treffen.
* Das Umgehen mit Risiken ist Teil der Leitung und Führung und entscheidet darüber, wie diese Organisation auf allen Ebenen geführt wird.
 
; Es handelt sich um eine Verpflichtung der obersten Leitung, das Risikomanagementsystem zu implementieren.
* Dabei wird iterativ nach dem [[Demingkreis]] vorgegangen.
* Dieser lässt sich nach dem „Plan – Do – Check – Act“-Prinzip zusammenfassen.


1.)   [[Risiko]] = „Auswirkung von Unsicherheit auf Ziele“. Eine Auswirkung stellt dabei sowohl eine Abweichung in positiver oder negativer Richtung als auch in beide Richtungen dar. Üblicherweise wird Risiko anhand der Risikoursache, der potenziellen Ereignisse, ihrer Auswirkungen und ihrer Wahrscheinlichkeit dargestellt.
==== Branchenübergreifend ====
; Branchenübergreifender Ansatz
Da Organisationen jeglicher Art und Größe externen und internen Faktoren und Einflüssen unterliegen, die das Erreichen ihrer Ziele ungewiss machen können, ist die ISO-Norm 31000 prinzipiell für alle Arten von Organisationen anwendbar.
* Sie lässt sich beispielhaft für Unternehmen der [[Verarbeitende Industrie|verarbeitenden Industrie]] sowie der [[Dienstleistungsbranche]] anwenden.
* Aber auch eine Implementierung für Unternehmen von öffentlichen Verwaltungen oder [[Nichtregierungsorganisation]]en ist möglich.


2.)   [[Risikomanagement]] = „Koordinierte Aktivität zur Lenkung und Steuerung einer Organisation in Bezug auf Risiken“.
==== Funktionsübergreifend ====
; <nowiki>ISO-Norm 31000:2018</nowiki> geht über das Konzept des internen [[Kontrollsystem]]s hinaus und trägt vielmehr zu der Verbesserung von Managementsystemen bei.
* Das Umgehen mit Risiken ist Teil aller Aktivitäten einer Organisation und umfasst die Interaktion mit [[Stakeholder]]n.
* Zusätzlich berücksichtigt die Norm das Umgehen mit Risiken im externen und internen Kontext der Organisation einschließlich menschlichen [[Verhaltensökonomik|Verhaltens]] und kultureller Faktoren und ist somit funktionsübergreifend.


3.)   [[Stakeholder]] = „Person oder Organisation, die eine Entscheidung oder Aktivität beeinflussen kann, von dieser beeinflusst werden kann oder den Eindruck haben kann, davon beeinflusst zu werden“. Alternativ kann der Begriff „interessierter Kreis“ verwendet werden.
==== Breit abgestütztes Konzept ====
; International breit abgestütztes Konzept
Die Norm besitzt ein besonderes Gewicht und internationale Aufmerksamkeit
* Entwickelt durch die [[ISO]]-Vereinigung
** mit Sitz in Genf
* Experten aus Europa, Amerika und Asien


4.)   Risikoquelle/Risikoursache = „Element, das alleine oder gemeinsam mit anderen Faktoren potenziell zu Risiken führt“.
== Aufbau und Inhalte ==
; Umgang mit Risiken
* Begriffe
* Grundsätze
* Rahmenwerk
* Risikoprozess


5.)   [[Ereignis]] = „Eintritt oder Veränderung einer bestimmten Kombination von Umständen“. Ein Ereignis kann einmal oder mehrmals eintreten und mehrere Ursachen sowie Auswirkungen haben.
=== Begriffsdefinition ===
; ISO-Norm 31000 definiert acht Begriffe aus dem Kontext des Risikomanagements
* Dabei handelt es sich lediglich um die wichtigsten Begriffe
* In der vorhergehenden Norm waren noch 29 Begriffe definiert
** womit durch die Überarbeitung eine deutliche Kürzung in diesem Bereich stattfand


6.)   [[Auswirkung]] = „Ergebnis eines Ereignisses, welches die Ziele betrifft“. Eine Auswirkung kann gewiss oder ungewiss sein und qualitativ oder quantitativ beschrieben werden.
Folgende Begriffe werden definiert und ggf.&nbsp;mit Anmerkungen versehen.
{| class="wikitable sortable options"
|-
! Begriff !! Beschreibung !! Erläuterung
|-
| [[Risiko]]||Auswirkung von Unsicherheit auf Ziele || Eine Auswirkung stellt dabei sowohl eine Abweichung in positiver oder negativer Richtung als auch in beide Richtungen dar. Üblicherweise wird Risiko anhand der Risikoursache, der potenziellen Ereignisse, ihrer Auswirkungen und ihrer Wahrscheinlichkeit dargestellt.
|-
| [[Risikomanagement]]|| Koordinierte Aktivität zur Lenkung und Steuerung einer Organisation in Bezug auf Risiken. ||
|-
| [[Stakeholder]]|| Person oder Organisation, die eine Entscheidung oder Aktivität beeinflussen kann, von dieser beeinflusst werden kann oder den Eindruck haben kann, davon beeinflusst zu werden. || Alternativ kann der Begriff interessierter Kreis verwendet werden.
|-
| Risikoquelle/Risikoursache || Element, das alleine oder gemeinsam mit anderen Faktoren potenziell zu Risiken führt. ||
|-
| [[Ereignis]]|| Eintritt oder Veränderung einer bestimmten Kombination von Umständen. || Ein Ereignis kann einmal oder mehrmals eintreten und mehrere Ursachen sowie Auswirkungen haben.
|-
| [[Auswirkung]]|| Ergebnis eines Ereignisses, welches die Ziele betrifft. || Eine Auswirkung kann gewiss oder ungewiss sein und qualitativ oder quantitativ beschrieben werden.
|-
| [[Wahrscheinlichkeit]]|| Möglichkeit, dass etwas geschieht. || Eine Wahrscheinlichkeit muss nicht nach mathematischen Begriffen beschrieben werden, sondern kann auch allgemein gekennzeichnet werden.
|-
| Steuerung || Maßnahme, die das Risiko aufrechterhält und/oder verändert. ||
|}


7.)   [[Wahrscheinlichkeit]] = „Möglichkeit, dass etwas geschieht“. Eine Wahrscheinlichkeit muss nicht nach mathematischen Begriffen beschrieben werden, sondern kann auch allgemein gekennzeichnet werden.
== Begriffe ==
{| class="wikitable sortable options"
|-
! Option !! Beschreibung
|-
| [[Risikoanalyse]] || Systematische Ermittlung und Gebrauch von Informationen, um ein Risiko zu verstehen und nach Eintrittswahrscheinlichkeit und Schadensauswirkung auf eine Organisation oder auf ein System einzuschätzen
|-
| [[Risikokommunikation]] || Andauernder oder wiederkehrender Prozess innerhalb einer Organisation, um Informationen bezüglich des Umgangs mit Risiken mit den interessierten Kreisen auszutauschen
|-
| [[Risikoszenario]] || Konkrete und bildhafte Darstellung eines Risikos mit Annahmen über mögliche Zusammenhänge von Ursachen und Abfolgen von Ereignissen oder Entwicklungen, die aufzeigt, wie sich Gefahren und Bedrohungen in einer Organisation oder in einem System darstellen und auswirken
|-
| [[Risikoszenario]] || Anzunehmen ist der schlimmst mögliche, aber dennoch glaubwürdige, Fall (credible worst case (cwc))
Frage: „Welcher Schaden kann im schlimmsten Fall eintreten?“ Ein Risikoszenario ist glaubwürdig, wenn es in der menschlichen Erfahrung bereits vorgekommen ist und ein erneutes Eintreten nicht ausgeschlossen werden kann. Des Weiteren kann ein Risikoszenario für möglich gehalten und begründet werden, auch wenn das Risikoszenario noch nie eingetroffen ist
|-
| [[Restrisiko]] || Beschreibt jenes Risiko, das nach der Umsetzung der Risikobehandlung verbleibt. Gegebenenfalls umfasst das
Restrisiko zudem nicht bewertete Risiken und bewusst eingegangene Risiken
|-
| [[Risikomanagementsystem]] (RMS) || Beschreibt die Gesamtheit aller Maßnahmen zur Erkennung, Analyse, Bewertung, Kommunikation, Überwachung und Steuerung von Risiken und sollte angemessen sein und kontinuierlich verbessert werden. Das Risikomanagement ist zentraler Bestandteil der gängigsten ISO Normen.
|-
| [[Risikomanagementhandbuch]] (RMH) || Dient der Dokumentation der Grundsätze eines Systems zur Erkennung und Überwachung geschäftsspezifischer Risiken einer Organisation (Dokumentation des Risikomanagementsystems)
* Beschreibung der vorhandenen Systeme zur
Risikofrüherkennung und Handhabung von Risiken
* Darstellung der relevanten Risiken für die Organisation.


8.)   Steuerung = „Maßnahme, die das Risiko aufrechterhält und/oder verändert“.
Das RMH erfüllt im Hinblick auf die Einhaltung des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) folgende Funktionen
* Rechenschaftsfunktion
* Sicherungsfunktion
* Prüffunktion
|}


=== Grundsätze ===
=== Grundsätze ===
Die ISO-Norm 31000 legt Grundsätze fest, die helfen sollen, den Zweck des Risikomanagements (Werte zu schaffen und zu bewahren) zu erreichen. Dabei sollen die Grundsätze eine Grundlage dafür bilden, wie mit Risiken umzugehen ist, und sollten deshalb bei der Entwicklung des Rahmenwerkes und der Prozesse eines [[Risikomanagementsystem]]s berücksichtigt werden.
; Die ISO-Norm 31000 legt Grundsätze fest, die helfen sollen, den Zweck des Risikomanagements (Werte zu schaffen und zu bewahren) zu erreichen.  
* Dabei sollen die Grundsätze eine Grundlage dafür bilden, wie mit Risiken umzugehen ist, und sollten deshalb bei der Entwicklung des Rahmenwerkes und der Prozesse eines [[Risikomanagementsystem]]s berücksichtigt werden.


Unter Beachtung der Grundsätze sollte ein effektives Risikomanagement somit integriert, strukturiert, umfassend, maßgeschneidert, einbeziehend und dynamisch sein. Zusätzlich sollten die besten verfügbaren Informationen verwendet und menschliche sowie kulturelle Faktoren berücksichtigt werden und eine fortlaufende Verbesserung des Risikomanagements stattfinden.<ref>ISO Norm 31000:2018, Kapitel 4: Grundsätze</ref>
; Unter Beachtung der Grundsätze sollte ein effektives Risikomanagement somit integriert, strukturiert, umfassend, maßgeschneidert, einbeziehend und dynamisch sein.  
* Zusätzlich sollten die besten verfügbaren Informationen verwendet und menschliche sowie kulturelle Faktoren berücksichtigt werden und eine fortlaufende Verbesserung des Risikomanagements stattfinden.


=== Rahmenwerk ===
=== Rahmenwerk ===
Die Wirksamkeit des Risikomanagements hängt davon ab, wie erfolgreich es in die internen Aktivitäten einer Organisation, vor allem von der Organisationsleitung, implementiert wird. Das Risikomanagement-Rahmenwerk fördert die Integration des Risikomanagements in die bedeutenden Funktionen und Prozesse der Organisation. In einem Rahmenwerk werden auch die existierenden Risikomanagementverfahren und -prozesse samt bestehender Lücken erfasst, behandelt und bewertet.<ref>ISO Norm 31000:2018, Kapitel 5: Rahmenwerk</ref>
; Wirksamkeit des Risikomanagements
Die Wirksamkeit des Risikomanagements hängt davon ab, wie erfolgreich es in die internen Aktivitäten einer Organisation, vor allem von der Organisationsleitung, implementiert wird.  
* Das Risikomanagement-Rahmenwerk fördert die Integration des Risikomanagements in die bedeutenden Funktionen und Prozesse der Organisation.  
* In einem Rahmenwerk werden auch die existierenden Risikomanagementverfahren und -prozesse samt bestehender Lücken erfasst, behandelt und bewertet.
 
=== Komponenten des Risikomanagements ===
{| class="wikitable options"
|-
!  !! Komponente
|-
| 1 || [[#Integration|Integration]]
|-
| 2 || [[#Gestaltung|Gestaltung]]
|-
| 3 || [[#Implementierung|Implementierung]]
|-
| 4 || [[#Bewertung|Bewertung]]
|-
| 5 || [[#Verbesserung|Verbesserung]]
|}
 
==== Implementierung ====
; Komponenten an die Bedürfnisse der Organisation angepassen
Die Aufgaben der Organisationsführung und der internen Aufsichtsorgane sind die Integration des Risikomanagements in die Organisationsaktivitäten sowie der Nachweis einer erfolgreichen [[Implementierung]].
* Dies umfasst die Anpassung der Komponenten des Rahmenwerks an die Bedürfnisse der Organisation, die Festlegung eines Plans, der alle erforderlichen Ressourcen umfasst, und das Zuweisen der Aufgaben auf allen Ebenen der Organisation.
* Die Unternehmensleitung ist im Prinzip für die Festlegung der allgemeinen [[Strategie (Wirtschaft)|Strategie]] zum Umgehen mit Risiken verantwortlich, während sich die Aufsichtsorgane mehr mit der Überwachung des Risikomanagements beschäftigen.


Das Rahmenwerk umfasst folgende Komponenten des Risikomanagements:
=== Integration ===
; Integration des Risikomanagements
; Verständnis der internen Organisation
* Wichtige Voraussetzung für die erfolgreiche Integration des Risikomanagements
* Die Teile der Organisationsstruktur des Unternehmens unterscheiden sich nach Zwecken, Zielen und Komplexität.
* Mit Risiko wird aber in jedem Teil umgegangen.
* Die Unternehmensleitung legt die allgemeine Strategie zum Umgang mit Risiken, den einzelnen Leitlinien sowie der Rechenschafts- und Aufsichtspflicht fest.
* Die Integration des Risikomanagements ist ein dynamischer Prozess, der an die Ziele und Abläufe des Unternehmens ständig angepasst werden muss.


1)&nbsp;Integration<br>
=== Gestaltung ===
2)&nbsp;Gestaltung<br>
; Interne und externe unternehmensspezifische Faktoren
3)&nbsp;Implementierung<br>
: Bei der Gestaltung des Rahmenwerkes müssen sowohl interne als auch externe unternehmensspezifische Faktoren berücksichtigt werden.
4)&nbsp;Bewertung<br>
5)&nbsp;Verbesserung


Diese müssen an die Bedürfnisse der Organisation angepasst werden.
==== Externe Faktoren ====
; Externe Faktoren
* sozialen
* rechtlichen
* finanziellen
* wirtschaftlichen Auseinandersetzungen auf lokaler, nationaler und internationaler Ebene, die die Ziele der Organisation beeinflussen.  


Die Aufgaben der Organisationsführung und der internen Aufsichtsorgane sind die Integration des Risikomanagements in die Organisationsaktivitäten sowie der Nachweis einer erfolgreichen [[Implementierung]]. Dies umfasst die Anpassung der Komponenten des Rahmenwerks an die Bedürfnisse der Organisation, die Festlegung eines Plans, der alle erforderlichen Ressourcen umfasst, und das Zuweisen der Aufgaben auf allen Ebenen der Organisation. Die Unternehmensleitung ist im Prinzip für die Festlegung der allgemeinen [[Strategie_(Wirtschaft)|Strategie]] zum Umgehen mit Risiken verantwortlich, während sich die Aufsichtsorgane mehr mit der Überwachung des Risikomanagements beschäftigen.
; Schlüsselfaktoren und Trends
* Zusätzlich müssen externe Schlüsselfaktoren und Trends berücksichtigt werden.  
* Auch die Beziehungen zu externen Personen, vertragliche Verpflichtungen, die Komplexität der Netzwerke und Abhängigkeiten der Organisation sind zu den externen Faktoren zu zählen.


==== Integration ====
==== Interne Faktoren ====
Eine wichtige Voraussetzung für die erfolgreiche Integration des Risikomanagements ist das Verständnis der internen Organisation des Unternehmens. Die Teile der Organisationsstruktur des Unternehmens unterscheiden sich nach Zwecken, Zielen und Komplexität. Mit Risiko wird aber in jedem Teil umgegangen. Die Unternehmensleitung legt die allgemeine Strategie zum Umgang mit Risiken, den einzelnen Leitlinien sowie der Rechenschafts- und Aufsichtspflicht fest. Die Integration des Risikomanagements ist ein dynamischer Prozess, der an die Ziele und Abläufe des Unternehmens ständig angepasst werden muss.
; Interne Faktoren
* Vision
* Mission
* Werte
* Kultur der Organisation
* interne Struktur


==== Gestaltung ====
; Ebenfalls relevante interne Faktoren
Bei der Gestaltung des Rahmenwerkes müssen sowohl interne als auch externe unternehmensspezifische Faktoren berücksichtigt werden.
* Verteilung der Leitungs- und Aufsichtsfunktionen
* Übernommenen und angewandten Normen
* Leitlinien und Modelle
* Verfügbare Ressourcen und Kapital (auch Humankapital)


Externe Faktoren umfassen sämtliche sozialen, rechtlichen, finanziellen und wirtschaftlichen Auseinandersetzungen auf lokaler, nationaler und internationaler Ebene, die die Ziele der Organisation beeinflussen. Zusätzlich müssen externe Schlüsselfaktoren und Trends berücksichtigt werden. Auch die Beziehungen zu externen Personen, vertragliche Verpflichtungen, die Komplexität der Netzwerke und Abhängigkeiten der Organisation sind zu den externen Faktoren zu zählen.
; Zusätzlich
* Informations- und Datensysteme
* Beziehungen zu internen Stakeholdern
* Realisation der vertraglichen Beziehungen und Verpflichtungen


Interne Faktoren sind die Vision, Mission und Werte sowie die Kultur der Organisation und deren interne Struktur. Die Verteilung der Leitungs- und Aufsichtsfunktionen, die übernommenen und angewandten Normen, Leitlinien und Modelle sowie verfügbare Ressourcen und Kapital (auch Humankapital) sind ebenfalls relevante interne Faktoren. Zusätzlich nennt die Norm noch die Informations- und Datensysteme, die Beziehungen zu internen Stakeholdern sowie die Realisation der vertraglichen Beziehungen und Verpflichtungen.
==== Langfristiges Risikomanagement ====
; Organisationsleitung bzw.&nbsp;die Aufsichtsorgane müssen sich zu einem langfristigen Risikomanagement verpflichten
* Klar definierte Ziele
* Bedürfnisse
* Rechenschaftspflichten
* notwendige Ressourcen
* Vorgehensweisen sowie Maßnahmen zur Überprüfung und  
* weitere Verbesserungen des Risikomanagementsystems im Unternehmen


Die Organisationsleitung bzw. die Aufsichtsorgane müssen sich zum langfristigen Risikomanagement verpflichten, indem sie klar definierte Ziele, Bedürfnisse, Rechenschaftspflichten, notwendige Ressourcen, Vorgehensweisen sowie Maßnahmen zur Überprüfung und weitere Verbesserungen des Risikomanagementsystems im Unternehmen schriftlich verfassen und diese innerhalb der Organisation sowie mit den externen Unternehmenseignern kommunizieren.
; Schriftlich verfassen und innerhalb der Organisation sowie mit den externen Unternehmenseignern kommunizieren


Die relevanten Rollen bezüglich des Risikomanagements müssen auf allen Ebenen in der Organisation verteilt und zu den verantwortlichen Beschäftigten klar kommuniziert werden. Die zum entsprechenden Umgehen mit den Risiken benötigten Ressourcen, Fähigkeiten, Kompetenzen, Prozesse, Methoden und Werkzeuge müssen auch auf der obersten Ebene unter Berücksichtigung der Ressourcenknappheit sichergestellt und zugeteilt werden.
==== Rollen ====
; Rollen bezüglich des Risikomanagements klar verteilen und kommunizieren
* auf allen Ebenen der Organisation
* zu verantwortlichen Beschäftigten


Um die Wirksamkeit des Risikomanagementsystems in der Organisation sicherzustellen, müssen die entsprechenden Kommunikations- und Konsultationswege eingerichtet werden, die die allgemeinen Informationen, konkreten Aufgaben sowie das Feedback und die Erwartungen der Stakeholder auf allen Ebenen der Organisation effizient und rechtzeitig zum Austausch bringen. Die Informationen, die innerhalb der Organisation effizient mitgeteilt, sortiert, verdichtet und analysiert werden, tragen dazu bei, dass alle Aktivitäten aneinander angepasst, mitgestaltet und verbessert werden können.
==== Ressourcen ====
; Benötigten Ressourcen müssen sichergestellt und zugeteilt werden
Auch auf oberster Ebene (unter Berücksichtigung der Ressourcenknappheit)
* Fähigkeiten
* Kompetenzen
* Prozesse
* Methoden
* Werkzeuge
 
==== Wirksamkeit ====
; Wirksamkeit des Risikomanagementsystems sicherstellen
 
; Kommunikations- und Konsultationswege einrichten
* Allgemeinen Informationen
* Konkreten Aufgaben
* Feedback und Erwartungen der [[Stakeholder]]
 
; Auf allen Ebenen der Organisation effizient und rechtzeitig zum Austausch bringen
 
; Anpassen, mitgestalten und verbessern
: Informationen, die innerhalb der Organisation effizient mitgeteilt, sortiert, verdichtet und analysiert werden, tragen dazu bei, dass alle Aktivitäten aneinander angepasst, mitgestaltet und verbessert werden können.


==== Implementierung ====
==== Implementierung ====
Die Implementierung des Risikomanagement-Rahmenwerks muss mit der Erarbeitung eines geeigneten Plans mit konkreten Maßnahmen und unter Berücksichtigung der notwendigen Ressourcen anfangen. Die wichtigsten Entscheidungen müssen festlegen, wann, wo, wie und von wem die anzuwendenden Prozesse geändert werden müssen.
Die Implementierung des Risikomanagement-Rahmenwerks muss mit der Erarbeitung eines geeigneten Plans mit konkreten Maßnahmen und unter Berücksichtigung der notwendigen Ressourcen anfangen.  
* Die wichtigsten Entscheidungen müssen festlegen, wann, wo, wie und von wem die anzuwendenden Prozesse geändert werden müssen.


Für die erfolgreiche Implementierung ist das Engagement der Stakeholder notwendig, damit das Auftreten von Unsicherheiten bei dem Entscheidungstreffen angesprochen werden kann.
Für die erfolgreiche Implementierung ist das Engagement der Stakeholder notwendig, damit das Auftreten von Unsicherheiten bei dem Entscheidungstreffen angesprochen werden kann.
Zeile 149: Zeile 303:


==== Bewertung ====
==== Bewertung ====
Um das Risikomanagement-Rahmenwerk möglichst nah an die Tätigkeiten und die internen und externen Faktoren der Organisation anzupassen, muss dessen Wirksamkeit regelmäßig bewertet werden. Die angebrachten Leistungen sind mit den geplanten Zwecken und Implementierungsplänen zu vergleichen, um danach zu ermitteln, ob das Rahmenwerk weiterhin zur Realisation der Organisationsziele geeignet ist oder ob eine Überarbeitung unter Berücksichtigung der veränderten Bedingungen stattfinden muss.
Um das Risikomanagement-Rahmenwerk möglichst nah an die Tätigkeiten und die internen und externen Faktoren der Organisation anzupassen, muss dessen Wirksamkeit regelmäßig bewertet werden.  
* Die angebrachten Leistungen sind mit den geplanten Zwecken und Implementierungsplänen zu vergleichen, um danach zu ermitteln, ob das Rahmenwerk weiterhin zur Realisation der Organisationsziele geeignet ist oder ob eine Überarbeitung unter Berücksichtigung der veränderten Bedingungen stattfinden muss.


==== Verbesserung ====
==== Verbesserung ====
Das Risikomanagement-Rahmenwerk muss fortlaufend überwacht und seine Eignung, Angemessenheit und Wirksamkeit an die externen und internen Veränderungen angepasst werden. Wenn wesentliche Lücken oder Verbesserungsmöglichkeiten bestehen, muss die Organisation zwecks Verbesserung neue konkrete Pläne und Aufgaben ausarbeiten sowie die für dessen Implementierung zuständigen Personen bestimmen. Nach der Verbesserung und Optimierung des Risikomanagementsystems muss dieses besser an die Bedürfnisse der Organisation angepasst werden und zur [[Risikobewältigung]] beitragen.
Das Risikomanagement-Rahmenwerk muss fortlaufend überwacht und seine Eignung, Angemessenheit und Wirksamkeit an die externen und internen Veränderungen angepasst werden.  
* Wenn wesentliche Lücken oder Verbesserungsmöglichkeiten bestehen, muss die Organisation zwecks Verbesserung neue konkrete Pläne und Aufgaben ausarbeiten sowie die für dessen Implementierung zuständigen Personen bestimmen.  
* Nach der Verbesserung und Optimierung des Risikomanagementsystems muss dieses besser an die Bedürfnisse der Organisation angepasst werden und zur [[Risikobewältigung]] beitragen.


=== Risikomanagementprozess ===
=== Risikomanagementprozess ===
==== Definition ====
==== Definition ====
Unter dem Risikomanagementprozess versteht man sowohl die systematische Anwendung von Grundsätzen, Verfahren und Prozessen auf die Aktivitäten der Kommunikation und Konsultation als auch das Einrichten des Kontextes sowie das Beurteilen, Behandeln, Überwachen, Überprüfen, Aufzeichnen und Berichten.<ref>ISO Norm 31000:2018, Kapitel 6: Risikomanagementprozess</ref>
Unter dem Risikomanagementprozess versteht man sowohl die systematische Anwendung von Grundsätzen, Verfahren und Prozessen auf die Aktivitäten der Kommunikation und Konsultation als auch das Einrichten des Kontextes sowie das Beurteilen, Behandeln, Überwachen, Überprüfen, Aufzeichnen und Berichten.


==== Kommunikation und Konsultation ====
==== Kommunikation und Konsultation ====
Während die Kommunikation der Förderung der Stakeholder bezüglich ihres Risikobewusstseins dient, erhalten Stakeholder durch Konsultation Informationen zur Unterstützung der Entscheidungsfindung. Durch Kommunikation und Konsultation lassen sich u.&nbsp;a. interdisziplinäre Fachkenntnisse in jedem Schritt des Risikomanagementprozesses vereinen sowie die unterschiedlichen Perspektiven bei der Definition der Risikokriterien und Bewertung der Risiken berücksichtigen.
; Förderung des Risikobewusstseins
Während die Kommunikation der Förderung der Stakeholder bezüglich ihres Risikobewusstseins dient, erhalten Stakeholder durch Konsultation Informationen zur Unterstützung der Entscheidungsfindung.  
* Durch Kommunikation und Konsultation lassen sich u.&nbsp;a.&nbsp;interdisziplinäre Fachkenntnisse in jedem Schritt des Risikomanagementprozesses vereinen sowie die unterschiedlichen Perspektiven bei der Definition der Risikokriterien und Bewertung der Risiken berücksichtigen.


==== Anwendungsbereich, Kontext und Kriterien ====
==== Anwendungsbereich, Kontext und Kriterien ====
Der Anwendungsbereich der Risikomanagementaktivitäten lässt sich durch die Organisation festlegen. Dabei spielen relevante Ziele und Anpassungen an die Ziele der Organisation eine wichtige Rolle, denn der Risikomanagementprozess ist auf unterschiedlichen Ebenen anzuwenden. Dementsprechend sind externe und interne Kontexte des Umfelds bei der Festlegung der Ziele zu berücksichtigen. Organisationen ist das Verstehen der beiden Kontexte und deren Verknüpfung mit ihrem Risikomanagementprozess wichtig, da der Zweck und Anwendungsbereich des Risikomanagementprozesses mit den Gesamtzielen der Organisation verbunden sein kann. Die Festlegung von Risikokriterien sollte auf das Risikomanagement-Rahmenwerk abgestimmt und an den jeweiligen Zweck und Anwendungsbereich der Aktivitäten angepasst werden. Außerdem sollten die Risikokriterien die Werte, Ziele und Ressourcen der Organisation wiedergeben, da sie unter der Verpflichtung der Organisation sowie der Sichtweisen der Stakeholder festzulegen sind.
; Der Anwendungsbereich der Risikomanagementaktivitäten lässt sich durch die Organisation festlegen.  
* Dabei spielen relevante Ziele und Anpassungen an die Ziele der Organisation eine wichtige Rolle, denn der Risikomanagementprozess ist auf unterschiedlichen Ebenen anzuwenden.  
* Dementsprechend sind externe und interne Kontexte des Umfelds bei der Festlegung der Ziele zu berücksichtigen.  
* Organisationen ist das Verstehen der beiden Kontexte und deren Verknüpfung mit ihrem Risikomanagementprozess wichtig, da der Zweck und Anwendungsbereich des Risikomanagementprozesses mit den Gesamtzielen der Organisation verbunden sein kann.  
* Die Festlegung von Risikokriterien sollte auf das Risikomanagement-Rahmenwerk abgestimmt und an den jeweiligen Zweck und Anwendungsbereich der Aktivitäten angepasst werden.  
* Außerdem sollten die Risikokriterien die Werte, Ziele und Ressourcen der Organisation wiedergeben, da sie unter der Verpflichtung der Organisation sowie der Sichtweisen der Stakeholder festzulegen sind.


==== Risikobeurteilung ====
==== Risikobeurteilung ====
Die Risikobeurteilung umfasst den systematischen, iterativen und kollaborativen Prozess der Risikoidentifikation, Risikoanalyse und Risikobewertung unter Verwendung der Kenntnisse und Ansichten der Stakeholder. Die Risikoidentifizierung dient der Organisation dazu, eine möglichst vollständige Übersicht möglicher Risiken zur Verfügung stellen zu können. Jedes Risiko wird, abhängig vom jeweiligen Bereich, einem Risikoverantwortlichen zugeteilt. Die Identifizierung von Risiken geschieht in allen Bereichen und Prozessen einer Organisation. Bei der Risikoidentifizierung werden sowohl interne als auch externe Datenquellen verwendet. Dadurch, dass die Risikoanalyse eine ausführliche Betrachtung von Unsicherheiten, Risikoursachen, Auswirkungen, Wahrscheinlichkeit, Ereignissen, Szenarien, Steuerungen und deren Wirksamkeit durchführt, umfasst sie die Bestimmung der Art des Risikos, dessen Eigenschaften und ggf. die Risikohöhe. Die Risikoanalyse liefert einen Beitrag für die Risikobewertung und für Entscheidungen darüber, ob und wie Risiken zu behandeln sind. Die Risikobewertung ermöglicht eine Gewichtung der identifizierten Risiken und damit eine risikoorientierte Vorgehensweise: Bestandsgefährdende Risiken verlangen andere Steuerungsmaßnahmen als unwesentliche Risiken. Im Rahmen der Bewertung werden alle identifizierten Risiken analysiert und ihre Eintrittswahrscheinlichkeit sowie ihr Schadensausmaß bewertet.
; Die Risikobeurteilung umfasst den systematischen, iterativen und kollaborativen Prozess der Risikoidentifikation, Risikoanalyse und Risikobewertung unter Verwendung der Kenntnisse und Ansichten der Stakeholder.  
* Die Risikoidentifizierung dient der Organisation dazu, eine möglichst vollständige Übersicht möglicher Risiken zur Verfügung stellen zu können.  
* Jedes Risiko wird, abhängig vom jeweiligen Bereich, einem Risikoverantwortlichen zugeteilt.  
* Die Identifizierung von Risiken geschieht in allen Bereichen und Prozessen einer Organisation.  
* Bei der Risikoidentifizierung werden sowohl interne als auch externe Datenquellen verwendet.  
* Dadurch, dass die Risikoanalyse eine ausführliche Betrachtung von Unsicherheiten, Risikoursachen, Auswirkungen, Wahrscheinlichkeit, Ereignissen, Szenarien, Steuerungen und deren Wirksamkeit durchführt, umfasst sie die Bestimmung der Art des Risikos, dessen Eigenschaften und ggf.&nbsp;die Risikohöhe.  
* Die Risikoanalyse liefert einen Beitrag für die Risikobewertung und für Entscheidungen darüber, ob und wie Risiken zu behandeln sind.  
* Die Risikobewertung ermöglicht eine Gewichtung der identifizierten Risiken und damit eine risikoorientierte Vorgehensweise: Bestandsgefährdende Risiken verlangen andere Steuerungsmaßnahmen als unwesentliche Risiken.  
* Im Rahmen der Bewertung werden alle identifizierten Risiken analysiert und ihre Eintrittswahrscheinlichkeit sowie ihr Schadensausmaß bewertet.


==== Risikosteuerung ====
==== Risikosteuerung ====
Die Risikomitigation bzw. Risikosteuerung ergreift Maßnahmen, um die potentielle Schadenshöhe und/oder Eintrittswahrscheinlichkeit der Risiken zu reduzieren.
Die Risikomitigation bzw.&nbsp;Risikosteuerung ergreift Maßnahmen, um die potentielle Schadenshöhe und/oder Eintrittswahrscheinlichkeit der Risiken zu reduzieren.


Optionen zur Risikobehandlung bestehen aus:
; Optionen zur Risikobehandlung bestehen aus


# '''Vermeidung''': Ausstieg aus Aktivitäten, wenn Steuerungsmaßnahmen nicht kosteneffizient sind und/oder Nutzen in ungünstigem Verhältnis zum Risiko steht
{| class="wikitable options"
# '''Transfer''': Übertragung der Risikosteuerung und/oder der finanziellen Auswirkung des Risikos auf Dritte
|-
# '''Verminderung''': Frühzeitige Entwicklung und Ergreifung von Maßnahmen zur Reduktion der Eintrittswahrscheinlichkeit und/oder des Schadensausmaßes
! !! Risikobehandlung !! Beschreibung
# '''Akzeptanz''': Bewusstes Eingehen von Risiken
|-
| A || Vermeidung || Ausstieg aus Aktivitäten, wenn Steuerungsmaßnahmen nicht kosteneffizient sind und/oder Nutzen in ungünstigem Verhältnis zum Risiko steht
|-
| B || Verminderung || Frühzeitige Entwicklung und Ergreifung von Maßnahmen zur Reduktion der Eintrittswahrscheinlichkeit und/oder des Schadensausmaßes
|-
| C || Transfer || Übertragung der Risikosteuerung und/oder der finanziellen Auswirkung des Risikos auf Dritte
|-
| D || Akzeptanz || Bewusstes Eingehen von Risiken
|}


==== Risikoüberwachung ====
==== Risikoüberwachung ====
Durch eine regelmäßige Überwachung der Steuerungsmaßnahmen in allen Phasen des Prozesses wird die Wirksamkeit des Risiko-Managementsystems sichergestellt. Mithilfe risikospezifischer Frühwarnindikatoren können Risiken rechtzeitig Maßnahmen gegenübergestellt werden.
Durch eine regelmäßige Überwachung der Steuerungsmaßnahmen in allen Phasen des Prozesses wird die Wirksamkeit des Risiko-Managementsystems sichergestellt.  
* Mithilfe risikospezifischer Frühwarnindikatoren können Risiken rechtzeitig Maßnahmen gegenübergestellt werden.


==== Risikoberichterstattung ====
==== Risikoberichterstattung ====
Die Berichterstattung stellt sicher, dass relevante Risikoinformationen rechtzeitig an den richtigen Adressaten geleitet werden. Dies können interne oder externe Berichtsempfänger sein. Bei Organisationen finden sich verschiedene Formen der Berichterstattung. Diese lassen sich wie folgt einstufen:
; Berichterstattung stellt sicher, dass relevante Risikoinformationen rechtzeitig an den richtigen Adressaten geleitet werden
: Dies können interne oder externe Berichtsempfänger sein


# '''Basis-Berichterstattung''': einheitlicher Bericht, jedoch mit eingeschränkten Möglichkeiten zur Auswertung der Daten
; Formen der Berichterstattung
# '''Adressatengerechte Berichterstattung:''' hierarchieabhängige Berichterstattung mit Unterscheidung zwischen Vorstandsbericht und Bereichsreports
{| class="wikitable options"
# '''[[Integrierte Berichterstattung]]:''' individualisierte Berichte und mögliche quantitative Auswertung
|-
! Berichte !! Beschreibung
|-
| Basis-Berichterstattung || Einheitlicher Bericht, mit eingeschränkten Möglichkeiten zur Auswertung der Daten
|-
| Adressatengerechte Berichterstattung || hierarchieabhängige Berichterstattung mit Unterscheidung zwischen Vorstandsbericht und Bereichsreports
|-
| Integrierte Berichterstattung|| individualisierte Berichte und mögliche quantitative Auswertung
|}


== Überarbeitung der Norm und Unterschiede zu ISO 31000:2009 ==
== Grundschutz und ISO/IEC 31000 ==
Alle [[ISO-Standard]]s werden alle fünf Jahre überprüft und bei Bedarf überarbeitet. Dies hilft dabei, die Relevanz für den Markt sicherzustellen. Die Risikomanagement-Praktiken von gestern reichen nicht mehr aus, um mit den heutigen Bedrohungen umzugehen, weshalb sich diese weiterentwickeln müssen. Ein Beispiel dafür ist die erhöhte Komplexität von Wirtschaftssystemen und aufkommende Risikofaktoren, wie die digitale Währung. Beide können neue und verschiedene Arten von Risiken für eine Organisation darstellen.
ISO/IEC 31000 belegt einige Begriffe anders als im deutschen Sprachraum


Eine Überarbeitung zu ISO 31000 wurde Anfang 2018 veröffentlicht und ersetzt die erste Ausgabe (ISO 31000:2009). Die ISO 31000:2018 bietet mehr strategische Leitlinien und legt mehr Gewicht auf die Einbeziehung des Senior Managements und die Integration des Risikomanagements in die Organisation. Das übergeordnete Ziel ist die Entwicklung einer Risikomanagementkultur, in der sich Mitarbeiter und Stakeholder bewusst sind, wie wichtig es ist, Risiken zu überwachen und zu steuern. Der daraus resultierende Standard ist nicht nur eine neue Version von ISO 31000. Er geht über eine einfache Überarbeitung hinaus, denn es geht um die Art und Weise, wie morgen mit Risiken umgegangen wird.
[[File:iso31000-bsiProzess.png|700px]]


Die wichtigsten Änderungen im Vergleich zur letzten Ausgabe sind Folgende:<ref>{{Internetquelle |autor= |url=https://www.iso.org/news/ref2263.html |titel=ISO News |werk= |hrsg= |datum= |zugriff=2018-07-05 |sprache=}}</ref><ref>ISO Norm 31000:2018, Vorwort</ref>
; Begriffe aus ISO/IEC 31000 und BSI-Standard 200-3
{| class="wikitable sortable"
|-
! ISO/IEC 31000:2009 !! IT-Grundschutz
|-
| '''Establishing the Context'''<br>Kapitel 5.3 || '''[[BSI-Standard 200-1]]'''<br>Managementprinzipien, Kapitel 4<br>Planung des Sicherheitsprozesses, Kapitel 7.1
'''[[BSI-Standard 200-2]]'''<br>Initiierung des Sicherheitsprozesses, Kapitel 3
|-
| '''Risk Assessment'''<br>Kapitel 5.4
* Risk Identification
* Risk Analysis
* Risk Evaluation
|| '''[[BSI-Standard 200-3]]'''<br>Risikobeurteilung, Kapitel 1
* Erstellung einer Gefährdungsübersicht
* Risikoeinschätzung
* Risikobewertung
|-
| '''Risk Identification'''<br>Kapitel 5.4.2
| '''[[BSI-Standard 200-3]]''' <br> Erstellung einer Gefährdungsübersicht, Kapitel 4
|-
| '''Risk Analysis'''<br>Kapitel 5.4.3 || '''[[BSI-Standard 200-3]]'''<br>Risikoeinschätzung, Kapitel 5.1
|-
| '''Risk Evaluation'''<br>Kapitel 5.4.4|| '''[[BSI-Standard 200-3]]'''<br>Risikobewertung, Kapitel 5.2
|-
| '''Risk Treatment'''<br>Kapitel 5.5|| '''[[BSI-Standard 200-3]]'''<br>Risikobehandlung, Kapitel 6
|-
| '''Communication&nbsp;and&nbsp;Consultation'''<br>Kapitel 5.2
| '''[[BSI-Standard 200-1]]<br>'''Kommunikation und Wissen, Kapitel 4.2
'''[[BSI-Standard 200-2]]'''<br>Informationsfluss im Informationssicherheitsprozess, Kapitel 5.2
|-
| '''Monitoring and Review'''<br>Kapitel 5.6
| '''[[BSI-Standard 200-1]]'''<br>Aufrechterhaltung der Informationssicherheit, Kapitel 7.4<br>Kontinuierliche Verbesserung der Informationssicherheit, Kapitel 7.5<br>'''[[BSI-Standard 200-2]]'''<br>Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit, Kapitel&nbsp;10<br>'''[[BSI-Standard 200-3]]'''<br>Risiken unter Beobachtung, Kapitel 6.2
|}
 
<noinclude>
 
== Anhang ==
=== Versionen ===
{| class="wikitable options"
|-
! Jahr !! Beschreibung
|-
| 2009 || 1.&nbsp;Ausgabe
|-
| 2018 || 2.&nbsp;Ausgabe
|}
 
==== Unterschiede zu ISO 31000:2009 ====
; Alle [[ISO-Standard]]s werden alle fünf Jahre überprüft und bei Bedarf überarbeitet
* Dies hilft dabei, die Relevanz für den Markt sicherzustellen.
* Die Risikomanagement-Praktiken von gestern reichen nicht mehr aus, um mit den heutigen Bedrohungen umzugehen, weshalb sich diese weiterentwickeln müssen.
* Ein Beispiel dafür ist die erhöhte Komplexität von Wirtschaftssystemen und aufkommende Risikofaktoren, wie die digitale Währung.
* Beide können neue und verschiedene Arten von Risiken für eine Organisation darstellen.
 
; Eine Überarbeitung zu ISO 31000 wurde Anfang 2018 veröffentlicht und ersetzt die erste Ausgabe <nowiki>(ISO 31000:2009)</nowiki>
* Die ISO 31000:2018 bietet mehr strategische Leitlinien und legt mehr Gewicht auf die Einbeziehung des Senior Managements und die Integration des Risikomanagements in die Organisation.
* Das übergeordnete Ziel ist die Entwicklung einer Risikomanagementkultur, in der sich Mitarbeiter und Stakeholder bewusst sind, wie wichtig es ist, Risiken zu überwachen und zu steuern.
* Der daraus resultierende Standard ist nicht nur eine neue Version von ISO 31000.
* Er geht über eine einfache Überarbeitung hinaus, denn es geht um die Art und Weise, wie morgen mit Risiken umgegangen wird.
 
; Die wichtigsten Änderungen im Vergleich zur letzten Ausgabe sind Folgende


'''„Überprüfung der Grundsätze des Risikomanagements, welche die wichtigsten Kriterien für dessen Erfolg sind.“'''
'''„Überprüfung der Grundsätze des Risikomanagements, welche die wichtigsten Kriterien für dessen Erfolg sind.“'''


Der überarbeitete Standard empfiehlt nun, dass das Risikomanagement Teil der [[Organisationsstruktur]], Prozesse, Ziele, [[Strategie (Wirtschaft)|Strategie]] und Aktivitäten sein sollte. Es konzentriert sich mehr auf die Schaffung von Werten als Schlüsseltreiber des Risikomanagements und andere verwandte Prinzipien, wie kontinuierliche Verbesserung, der Einbezug von Stakeholdern, Anpassung an die Organisation und Berücksichtigung von Mensch und kulturellen Faktoren.
Der überarbeitete Standard empfiehlt nun, dass das Risikomanagement Teil der [[Organisationsstruktur]], Prozesse, Ziele, [[Strategie (Wirtschaft)|Strategie]] und Aktivitäten sein sollte.  
* Es konzentriert sich mehr auf die Schaffung von Werten als Schlüsseltreiber des Risikomanagements und andere verwandte Prinzipien, wie kontinuierliche Verbesserung, der Einbezug von Stakeholdern, Anpassung an die Organisation und Berücksichtigung von Mensch und kulturellen Faktoren.


'''„Hervorhebung der Führung durch die oberste Leitung und der Integration des Risikomanagements, beginnend mit der Leitung der Organisation.“'''
'''„Hervorhebung der Führung durch die oberste Leitung und der Integration des Risikomanagements, beginnend mit der Leitung der Organisation.“'''


Dies schließt die Empfehlung ein, eine Politik zu entwickeln, die ein Engagement für Risikomanagement unterstützt. Dabei geht es um die Zuweisung von [[Autorität]], Verantwortung und Rechenschaftspflicht auf den entsprechenden Ebenen innerhalb der Organisation und die Sicherstellung, dass die notwendigen Ressourcen für das Risikomanagement bereitgestellt werden.
Dies schließt die Empfehlung ein, eine Politik zu entwickeln, die ein Engagement für Risikomanagement unterstützt.  
* Dabei geht es um die Zuweisung von [[Autorität]], Verantwortung und Rechenschaftspflicht auf den entsprechenden Ebenen innerhalb der Organisation und die Sicherstellung, dass die notwendigen Ressourcen für das Risikomanagement bereitgestellt werden.


'''„Stärkere Betonung des iterativen Charakters des Risikomanagements.“'''
'''„Stärkere Betonung des iterativen Charakters des Risikomanagements.“'''
Zeile 210: Zeile 462:
Das Hauptziel besteht darin, die Dinge klarer und einfacher zu machen, wobei eine einfache Sprache verwendet wird, um die Grundlagen des Risikomanagements in einer Weise zu definieren, die der Leser leichter nachvollziehen kann.
Das Hauptziel besteht darin, die Dinge klarer und einfacher zu machen, wobei eine einfache Sprache verwendet wird, um die Grundlagen des Risikomanagements in einer Weise zu definieren, die der Leser leichter nachvollziehen kann.


== Geschichte ==
=== Siehe auch ===
{|class = "wikitable" Schriftgröße = 95%; width = 50%; background-color = transparent
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
!Jahr
----
!Beschreibung
|-
|align = "center" | 2009 || ISO 31000 (1. Ausgabe) ||
|-
|align = "center" | 2018 || ISO 31000 (2. Ausgabe) ||
|}
 
== Literatur ==
 
* ISO Norm 31000:2018.
*Werner Gleißner: Grundlagen des Risikomanagements. 3. Auflage. Vahlen, 2017, ISBN 978-3-8006-3767-6.
 
== Siehe auch ==
 
* [[Risikomanagement]]
* [[Risikomanagement]]
* [[Risikocontrolling]]
* [[Risikocontrolling]]
*[[Risikomanagement-Standard]]
* [[Risikomanagement/Standards]]
*[[Risikobewältigung]]
* [[Risikobewältigung]]
 
== Einzelnachweise ==
<references />
 
[[Kategorie:ISO-Norm|31000]]
[[Kategorie:Risikomanagement]]


==== Links ====
===== Weblinks =====
# https://de.wikipedia.org/wiki/ISO_31000
# https://en.wikipedia.org/wiki/List_of_ISO_standards_30000%E2%80%9399999


[[Kategorie:Risikomanagement/Standards]]
[[Kategorie:ISO 31000]]
[[Kategorie:ISO]]
[[Kategorie:ISO]]
[[Kategorie:IEC]]
[[Kategorie:IEC]]
</noinclude>

Aktuelle Version vom 16. November 2024, 23:26 Uhr

ISO/IEC 31000 - ISO-Norm zum Risikomanagement

Beschreibung

ISO 31000:2018 ist eine ISO-Norm, die sich mit Risikomanagement beschäftigt
Leitlinien zum Umgang mit Risiken in Organisationen

Allgemeines

Übersetzungen
  • Englisch, Französisch und Deutsch
ISO 31000:2018 wurde in das deutsche DIN-Normenwerk übernommen
  • ISO/TC 262 „Risk Management“
Zertifizierung

Die ISO Norm 31000 ist ausdrücklich nicht zu Zertifizierungszwecken geschaffen

Vielmehr sagt die Norm, dass

„die ISO 31000 Empfehlungen liefert, die an die spezifischen Organisationen angepasst werden können oder müssen und keine Anforderungen vorgibt.“

In Österreich stellt ONR 49001 (Österreichische Risikomanagement-Norm) eine gesetzliche Basis zur Zertifizierung.

Anwendung

ISO 31000 liefert allgemeine Ansätze
  • Nicht industrie- oder sektorspezifisch
  • Für jegliche Art von Risiken anwendbar
  • Während der gesamten Lebensdauer eines Unternehmens verwendbar
  • Auf allen Unternehmensebenen sowie im Prozess der Entscheidungsfindung implementierbar
Die spezielle Anwendung dieser Leitlinien kann an jedes Unternehmen in seiner spezifischen Umgebung angepasst werden.

Ziele

Risiken weltweit zunehmend

Organisationen aller Art und Größe

  • Reputations- oder Markenschäden
  • Cyberkriminalität
  • politische Risiken
  • Terrorismus, ...
ISO 31000:2018
  • klarere, kürzere und prägnantere Anleitung
  • Risikomanagement-Prinzipien nutzen
  • Planung und Umsetzung verbessern
  • bessere Entscheidungen treffen
Risikomanagementstrategie entwickeln
Effektiv Risiken identifizieren und abschwächen
Ziele erreichen und Vermögenswerte schützen
  • ISO 31000 soll diese Wahrscheinlichkeit erhöhen
Entwicklung einer Risikomanagementkultur
  • Übergeordnetes Ziel
  • Mitarbeiter und Stakeholder sollen sich der Wichtigkeit des Risikomanagements bewusst sein
Chancen und Konsequenzen

Implementierung von ISO 31000

  • Positive Chancen und negative Konsequenzen sehen
  • Fundiertere und effektivere Entscheidungen bei der Zuteilung von Ressourcen treffen
Unternehmensführung
Ferner kann es eine aktive Komponente bei der Verbesserung der Unternehmensführung und letztlich seiner Leistung sein.

Besonderheiten

Option Beschreibung
Top-down-Ansatz
Führungsaufgabe
Branchenübergreifend
Breit abgestütztes Konzept

Top-down-Ansatz

Risikomanagement folgt dem Top-down-Ansatz
  • Risiken identifiziert, analysiert und behandeln, wobei die Details nicht von vornherein im Mittelpunkt stehen
  • Allgemeine wichtigen Aspekte behandeln
Bottom-up-Ansatz
  • Der ISO/IEC 31000 Ansatz unterscheidet sich von den Regulatoren der Finanzbranche, wie Basel III oder Solvency II
  • Diese dienen auch dem Identifizieren von Risiken, sind jedoch eher als Bottom-up-Ansatz zu klassifizieren

Führungsaufgabe

Risikomanagement ist eine umfassende Führungsaufgabe mit einem gegebenen Regelkreis

Das Umgehen mit Risiken erfolgt iterativ und unterstützt Organisationen dabei, Strategien festzulegen, Ziele zu erreichen und fundierte Entscheidungen zu treffen.

  • Das Umgehen mit Risiken ist Teil der Leitung und Führung und entscheidet darüber, wie diese Organisation auf allen Ebenen geführt wird.
Es handelt sich um eine Verpflichtung der obersten Leitung, das Risikomanagementsystem zu implementieren.
  • Dabei wird iterativ nach dem Demingkreis vorgegangen.
  • Dieser lässt sich nach dem „Plan – Do – Check – Act“-Prinzip zusammenfassen.

Branchenübergreifend

Branchenübergreifender Ansatz

Da Organisationen jeglicher Art und Größe externen und internen Faktoren und Einflüssen unterliegen, die das Erreichen ihrer Ziele ungewiss machen können, ist die ISO-Norm 31000 prinzipiell für alle Arten von Organisationen anwendbar.

Funktionsübergreifend

ISO-Norm 31000:2018 geht über das Konzept des internen Kontrollsystems hinaus und trägt vielmehr zu der Verbesserung von Managementsystemen bei.
  • Das Umgehen mit Risiken ist Teil aller Aktivitäten einer Organisation und umfasst die Interaktion mit Stakeholdern.
  • Zusätzlich berücksichtigt die Norm das Umgehen mit Risiken im externen und internen Kontext der Organisation einschließlich menschlichen Verhaltens und kultureller Faktoren und ist somit funktionsübergreifend.

Breit abgestütztes Konzept

International breit abgestütztes Konzept

Die Norm besitzt ein besonderes Gewicht und internationale Aufmerksamkeit

  • Entwickelt durch die ISO-Vereinigung
    • mit Sitz in Genf
  • Experten aus Europa, Amerika und Asien

Aufbau und Inhalte

Umgang mit Risiken
  • Begriffe
  • Grundsätze
  • Rahmenwerk
  • Risikoprozess

Begriffsdefinition

ISO-Norm 31000 definiert acht Begriffe aus dem Kontext des Risikomanagements
  • Dabei handelt es sich lediglich um die wichtigsten Begriffe
  • In der vorhergehenden Norm waren noch 29 Begriffe definiert
    • womit durch die Überarbeitung eine deutliche Kürzung in diesem Bereich stattfand

Folgende Begriffe werden definiert und ggf. mit Anmerkungen versehen.

Begriff Beschreibung Erläuterung
Risiko Auswirkung von Unsicherheit auf Ziele Eine Auswirkung stellt dabei sowohl eine Abweichung in positiver oder negativer Richtung als auch in beide Richtungen dar. Üblicherweise wird Risiko anhand der Risikoursache, der potenziellen Ereignisse, ihrer Auswirkungen und ihrer Wahrscheinlichkeit dargestellt.
Risikomanagement Koordinierte Aktivität zur Lenkung und Steuerung einer Organisation in Bezug auf Risiken.
Stakeholder Person oder Organisation, die eine Entscheidung oder Aktivität beeinflussen kann, von dieser beeinflusst werden kann oder den Eindruck haben kann, davon beeinflusst zu werden. Alternativ kann der Begriff interessierter Kreis verwendet werden.
Risikoquelle/Risikoursache Element, das alleine oder gemeinsam mit anderen Faktoren potenziell zu Risiken führt.
Ereignis Eintritt oder Veränderung einer bestimmten Kombination von Umständen. Ein Ereignis kann einmal oder mehrmals eintreten und mehrere Ursachen sowie Auswirkungen haben.
Auswirkung Ergebnis eines Ereignisses, welches die Ziele betrifft. Eine Auswirkung kann gewiss oder ungewiss sein und qualitativ oder quantitativ beschrieben werden.
Wahrscheinlichkeit Möglichkeit, dass etwas geschieht. Eine Wahrscheinlichkeit muss nicht nach mathematischen Begriffen beschrieben werden, sondern kann auch allgemein gekennzeichnet werden.
Steuerung Maßnahme, die das Risiko aufrechterhält und/oder verändert.

Begriffe

Option Beschreibung
Risikoanalyse Systematische Ermittlung und Gebrauch von Informationen, um ein Risiko zu verstehen und nach Eintrittswahrscheinlichkeit und Schadensauswirkung auf eine Organisation oder auf ein System einzuschätzen
Risikokommunikation Andauernder oder wiederkehrender Prozess innerhalb einer Organisation, um Informationen bezüglich des Umgangs mit Risiken mit den interessierten Kreisen auszutauschen
Risikoszenario Konkrete und bildhafte Darstellung eines Risikos mit Annahmen über mögliche Zusammenhänge von Ursachen und Abfolgen von Ereignissen oder Entwicklungen, die aufzeigt, wie sich Gefahren und Bedrohungen in einer Organisation oder in einem System darstellen und auswirken
Risikoszenario Anzunehmen ist der schlimmst mögliche, aber dennoch glaubwürdige, Fall (credible worst case (cwc))

Frage: „Welcher Schaden kann im schlimmsten Fall eintreten?“ Ein Risikoszenario ist glaubwürdig, wenn es in der menschlichen Erfahrung bereits vorgekommen ist und ein erneutes Eintreten nicht ausgeschlossen werden kann. Des Weiteren kann ein Risikoszenario für möglich gehalten und begründet werden, auch wenn das Risikoszenario noch nie eingetroffen ist

Restrisiko Beschreibt jenes Risiko, das nach der Umsetzung der Risikobehandlung verbleibt. Gegebenenfalls umfasst das

Restrisiko zudem nicht bewertete Risiken und bewusst eingegangene Risiken

Risikomanagementsystem (RMS) Beschreibt die Gesamtheit aller Maßnahmen zur Erkennung, Analyse, Bewertung, Kommunikation, Überwachung und Steuerung von Risiken und sollte angemessen sein und kontinuierlich verbessert werden. Das Risikomanagement ist zentraler Bestandteil der gängigsten ISO Normen.
Risikomanagementhandbuch (RMH) Dient der Dokumentation der Grundsätze eines Systems zur Erkennung und Überwachung geschäftsspezifischer Risiken einer Organisation (Dokumentation des Risikomanagementsystems)
  • Beschreibung der vorhandenen Systeme zur

Risikofrüherkennung und Handhabung von Risiken

  • Darstellung der relevanten Risiken für die Organisation.

Das RMH erfüllt im Hinblick auf die Einhaltung des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) folgende Funktionen

  • Rechenschaftsfunktion
  • Sicherungsfunktion
  • Prüffunktion

Grundsätze

Die ISO-Norm 31000 legt Grundsätze fest, die helfen sollen, den Zweck des Risikomanagements (Werte zu schaffen und zu bewahren) zu erreichen.
  • Dabei sollen die Grundsätze eine Grundlage dafür bilden, wie mit Risiken umzugehen ist, und sollten deshalb bei der Entwicklung des Rahmenwerkes und der Prozesse eines Risikomanagementsystems berücksichtigt werden.
Unter Beachtung der Grundsätze sollte ein effektives Risikomanagement somit integriert, strukturiert, umfassend, maßgeschneidert, einbeziehend und dynamisch sein.
  • Zusätzlich sollten die besten verfügbaren Informationen verwendet und menschliche sowie kulturelle Faktoren berücksichtigt werden und eine fortlaufende Verbesserung des Risikomanagements stattfinden.

Rahmenwerk

Wirksamkeit des Risikomanagements

Die Wirksamkeit des Risikomanagements hängt davon ab, wie erfolgreich es in die internen Aktivitäten einer Organisation, vor allem von der Organisationsleitung, implementiert wird.

  • Das Risikomanagement-Rahmenwerk fördert die Integration des Risikomanagements in die bedeutenden Funktionen und Prozesse der Organisation.
  • In einem Rahmenwerk werden auch die existierenden Risikomanagementverfahren und -prozesse samt bestehender Lücken erfasst, behandelt und bewertet.

Komponenten des Risikomanagements

Komponente
1 Integration
2 Gestaltung
3 Implementierung
4 Bewertung
5 Verbesserung

Implementierung

Komponenten an die Bedürfnisse der Organisation angepassen

Die Aufgaben der Organisationsführung und der internen Aufsichtsorgane sind die Integration des Risikomanagements in die Organisationsaktivitäten sowie der Nachweis einer erfolgreichen Implementierung.

  • Dies umfasst die Anpassung der Komponenten des Rahmenwerks an die Bedürfnisse der Organisation, die Festlegung eines Plans, der alle erforderlichen Ressourcen umfasst, und das Zuweisen der Aufgaben auf allen Ebenen der Organisation.
  • Die Unternehmensleitung ist im Prinzip für die Festlegung der allgemeinen Strategie zum Umgehen mit Risiken verantwortlich, während sich die Aufsichtsorgane mehr mit der Überwachung des Risikomanagements beschäftigen.

Integration

Integration des Risikomanagements
Verständnis der internen Organisation
  • Wichtige Voraussetzung für die erfolgreiche Integration des Risikomanagements
  • Die Teile der Organisationsstruktur des Unternehmens unterscheiden sich nach Zwecken, Zielen und Komplexität.
  • Mit Risiko wird aber in jedem Teil umgegangen.
  • Die Unternehmensleitung legt die allgemeine Strategie zum Umgang mit Risiken, den einzelnen Leitlinien sowie der Rechenschafts- und Aufsichtspflicht fest.
  • Die Integration des Risikomanagements ist ein dynamischer Prozess, der an die Ziele und Abläufe des Unternehmens ständig angepasst werden muss.

Gestaltung

Interne und externe unternehmensspezifische Faktoren
Bei der Gestaltung des Rahmenwerkes müssen sowohl interne als auch externe unternehmensspezifische Faktoren berücksichtigt werden.

Externe Faktoren

Externe Faktoren
  • sozialen
  • rechtlichen
  • finanziellen
  • wirtschaftlichen Auseinandersetzungen auf lokaler, nationaler und internationaler Ebene, die die Ziele der Organisation beeinflussen.
Schlüsselfaktoren und Trends
  • Zusätzlich müssen externe Schlüsselfaktoren und Trends berücksichtigt werden.
  • Auch die Beziehungen zu externen Personen, vertragliche Verpflichtungen, die Komplexität der Netzwerke und Abhängigkeiten der Organisation sind zu den externen Faktoren zu zählen.

Interne Faktoren

Interne Faktoren
  • Vision
  • Mission
  • Werte
  • Kultur der Organisation
  • interne Struktur
Ebenfalls relevante interne Faktoren
  • Verteilung der Leitungs- und Aufsichtsfunktionen
  • Übernommenen und angewandten Normen
  • Leitlinien und Modelle
  • Verfügbare Ressourcen und Kapital (auch Humankapital)
Zusätzlich
  • Informations- und Datensysteme
  • Beziehungen zu internen Stakeholdern
  • Realisation der vertraglichen Beziehungen und Verpflichtungen

Langfristiges Risikomanagement

Organisationsleitung bzw. die Aufsichtsorgane müssen sich zu einem langfristigen Risikomanagement verpflichten
  • Klar definierte Ziele
  • Bedürfnisse
  • Rechenschaftspflichten
  • notwendige Ressourcen
  • Vorgehensweisen sowie Maßnahmen zur Überprüfung und
  • weitere Verbesserungen des Risikomanagementsystems im Unternehmen
Schriftlich verfassen und innerhalb der Organisation sowie mit den externen Unternehmenseignern kommunizieren

Rollen

Rollen bezüglich des Risikomanagements klar verteilen und kommunizieren
  • auf allen Ebenen der Organisation
  • zu verantwortlichen Beschäftigten

Ressourcen

Benötigten Ressourcen müssen sichergestellt und zugeteilt werden

Auch auf oberster Ebene (unter Berücksichtigung der Ressourcenknappheit)

  • Fähigkeiten
  • Kompetenzen
  • Prozesse
  • Methoden
  • Werkzeuge

Wirksamkeit

Wirksamkeit des Risikomanagementsystems sicherstellen
Kommunikations- und Konsultationswege einrichten
  • Allgemeinen Informationen
  • Konkreten Aufgaben
  • Feedback und Erwartungen der Stakeholder
Auf allen Ebenen der Organisation effizient und rechtzeitig zum Austausch bringen
Anpassen, mitgestalten und verbessern
Informationen, die innerhalb der Organisation effizient mitgeteilt, sortiert, verdichtet und analysiert werden, tragen dazu bei, dass alle Aktivitäten aneinander angepasst, mitgestaltet und verbessert werden können.

Implementierung

Die Implementierung des Risikomanagement-Rahmenwerks muss mit der Erarbeitung eines geeigneten Plans mit konkreten Maßnahmen und unter Berücksichtigung der notwendigen Ressourcen anfangen.

  • Die wichtigsten Entscheidungen müssen festlegen, wann, wo, wie und von wem die anzuwendenden Prozesse geändert werden müssen.

Für die erfolgreiche Implementierung ist das Engagement der Stakeholder notwendig, damit das Auftreten von Unsicherheiten bei dem Entscheidungstreffen angesprochen werden kann.

Das richtig geplante und implementierte Risikomanagement-Rahmenwerk stellt sicher, dass der Risikomanagementprozess zum Teil der Aktivitäten der gesamten Organisation wird und an die Änderungen des internen und externen Kontext angepasst werden kann.

Bewertung

Um das Risikomanagement-Rahmenwerk möglichst nah an die Tätigkeiten und die internen und externen Faktoren der Organisation anzupassen, muss dessen Wirksamkeit regelmäßig bewertet werden.

  • Die angebrachten Leistungen sind mit den geplanten Zwecken und Implementierungsplänen zu vergleichen, um danach zu ermitteln, ob das Rahmenwerk weiterhin zur Realisation der Organisationsziele geeignet ist oder ob eine Überarbeitung unter Berücksichtigung der veränderten Bedingungen stattfinden muss.

Verbesserung

Das Risikomanagement-Rahmenwerk muss fortlaufend überwacht und seine Eignung, Angemessenheit und Wirksamkeit an die externen und internen Veränderungen angepasst werden.

  • Wenn wesentliche Lücken oder Verbesserungsmöglichkeiten bestehen, muss die Organisation zwecks Verbesserung neue konkrete Pläne und Aufgaben ausarbeiten sowie die für dessen Implementierung zuständigen Personen bestimmen.
  • Nach der Verbesserung und Optimierung des Risikomanagementsystems muss dieses besser an die Bedürfnisse der Organisation angepasst werden und zur Risikobewältigung beitragen.

Risikomanagementprozess

Definition

Unter dem Risikomanagementprozess versteht man sowohl die systematische Anwendung von Grundsätzen, Verfahren und Prozessen auf die Aktivitäten der Kommunikation und Konsultation als auch das Einrichten des Kontextes sowie das Beurteilen, Behandeln, Überwachen, Überprüfen, Aufzeichnen und Berichten.

Kommunikation und Konsultation

Förderung des Risikobewusstseins

Während die Kommunikation der Förderung der Stakeholder bezüglich ihres Risikobewusstseins dient, erhalten Stakeholder durch Konsultation Informationen zur Unterstützung der Entscheidungsfindung.

  • Durch Kommunikation und Konsultation lassen sich u. a. interdisziplinäre Fachkenntnisse in jedem Schritt des Risikomanagementprozesses vereinen sowie die unterschiedlichen Perspektiven bei der Definition der Risikokriterien und Bewertung der Risiken berücksichtigen.

Anwendungsbereich, Kontext und Kriterien

Der Anwendungsbereich der Risikomanagementaktivitäten lässt sich durch die Organisation festlegen.
  • Dabei spielen relevante Ziele und Anpassungen an die Ziele der Organisation eine wichtige Rolle, denn der Risikomanagementprozess ist auf unterschiedlichen Ebenen anzuwenden.
  • Dementsprechend sind externe und interne Kontexte des Umfelds bei der Festlegung der Ziele zu berücksichtigen.
  • Organisationen ist das Verstehen der beiden Kontexte und deren Verknüpfung mit ihrem Risikomanagementprozess wichtig, da der Zweck und Anwendungsbereich des Risikomanagementprozesses mit den Gesamtzielen der Organisation verbunden sein kann.
  • Die Festlegung von Risikokriterien sollte auf das Risikomanagement-Rahmenwerk abgestimmt und an den jeweiligen Zweck und Anwendungsbereich der Aktivitäten angepasst werden.
  • Außerdem sollten die Risikokriterien die Werte, Ziele und Ressourcen der Organisation wiedergeben, da sie unter der Verpflichtung der Organisation sowie der Sichtweisen der Stakeholder festzulegen sind.

Risikobeurteilung

Die Risikobeurteilung umfasst den systematischen, iterativen und kollaborativen Prozess der Risikoidentifikation, Risikoanalyse und Risikobewertung unter Verwendung der Kenntnisse und Ansichten der Stakeholder.
  • Die Risikoidentifizierung dient der Organisation dazu, eine möglichst vollständige Übersicht möglicher Risiken zur Verfügung stellen zu können.
  • Jedes Risiko wird, abhängig vom jeweiligen Bereich, einem Risikoverantwortlichen zugeteilt.
  • Die Identifizierung von Risiken geschieht in allen Bereichen und Prozessen einer Organisation.
  • Bei der Risikoidentifizierung werden sowohl interne als auch externe Datenquellen verwendet.
  • Dadurch, dass die Risikoanalyse eine ausführliche Betrachtung von Unsicherheiten, Risikoursachen, Auswirkungen, Wahrscheinlichkeit, Ereignissen, Szenarien, Steuerungen und deren Wirksamkeit durchführt, umfasst sie die Bestimmung der Art des Risikos, dessen Eigenschaften und ggf. die Risikohöhe.
  • Die Risikoanalyse liefert einen Beitrag für die Risikobewertung und für Entscheidungen darüber, ob und wie Risiken zu behandeln sind.
  • Die Risikobewertung ermöglicht eine Gewichtung der identifizierten Risiken und damit eine risikoorientierte Vorgehensweise: Bestandsgefährdende Risiken verlangen andere Steuerungsmaßnahmen als unwesentliche Risiken.
  • Im Rahmen der Bewertung werden alle identifizierten Risiken analysiert und ihre Eintrittswahrscheinlichkeit sowie ihr Schadensausmaß bewertet.

Risikosteuerung

Die Risikomitigation bzw. Risikosteuerung ergreift Maßnahmen, um die potentielle Schadenshöhe und/oder Eintrittswahrscheinlichkeit der Risiken zu reduzieren.

Optionen zur Risikobehandlung bestehen aus
Risikobehandlung Beschreibung
A Vermeidung Ausstieg aus Aktivitäten, wenn Steuerungsmaßnahmen nicht kosteneffizient sind und/oder Nutzen in ungünstigem Verhältnis zum Risiko steht
B Verminderung Frühzeitige Entwicklung und Ergreifung von Maßnahmen zur Reduktion der Eintrittswahrscheinlichkeit und/oder des Schadensausmaßes
C Transfer Übertragung der Risikosteuerung und/oder der finanziellen Auswirkung des Risikos auf Dritte
D Akzeptanz Bewusstes Eingehen von Risiken

Risikoüberwachung

Durch eine regelmäßige Überwachung der Steuerungsmaßnahmen in allen Phasen des Prozesses wird die Wirksamkeit des Risiko-Managementsystems sichergestellt.

  • Mithilfe risikospezifischer Frühwarnindikatoren können Risiken rechtzeitig Maßnahmen gegenübergestellt werden.

Risikoberichterstattung

Berichterstattung stellt sicher, dass relevante Risikoinformationen rechtzeitig an den richtigen Adressaten geleitet werden
Dies können interne oder externe Berichtsempfänger sein
Formen der Berichterstattung
Berichte Beschreibung
Basis-Berichterstattung Einheitlicher Bericht, mit eingeschränkten Möglichkeiten zur Auswertung der Daten
Adressatengerechte Berichterstattung hierarchieabhängige Berichterstattung mit Unterscheidung zwischen Vorstandsbericht und Bereichsreports
Integrierte Berichterstattung individualisierte Berichte und mögliche quantitative Auswertung

Grundschutz und ISO/IEC 31000

ISO/IEC 31000 belegt einige Begriffe anders als im deutschen Sprachraum

Begriffe aus ISO/IEC 31000 und BSI-Standard 200-3
ISO/IEC 31000:2009 IT-Grundschutz
Establishing the Context
Kapitel 5.3
BSI-Standard 200-1
Managementprinzipien, Kapitel 4
Planung des Sicherheitsprozesses, Kapitel 7.1

BSI-Standard 200-2
Initiierung des Sicherheitsprozesses, Kapitel 3

Risk Assessment
Kapitel 5.4
  • Risk Identification
  • Risk Analysis
  • Risk Evaluation
BSI-Standard 200-3
Risikobeurteilung, Kapitel 1
  • Erstellung einer Gefährdungsübersicht
  • Risikoeinschätzung
  • Risikobewertung
Risk Identification
Kapitel 5.4.2
BSI-Standard 200-3
Erstellung einer Gefährdungsübersicht, Kapitel 4
Risk Analysis
Kapitel 5.4.3
BSI-Standard 200-3
Risikoeinschätzung, Kapitel 5.1
Risk Evaluation
Kapitel 5.4.4
BSI-Standard 200-3
Risikobewertung, Kapitel 5.2
Risk Treatment
Kapitel 5.5
BSI-Standard 200-3
Risikobehandlung, Kapitel 6
Communication and Consultation
Kapitel 5.2
BSI-Standard 200-1
Kommunikation und Wissen, Kapitel 4.2

BSI-Standard 200-2
Informationsfluss im Informationssicherheitsprozess, Kapitel 5.2

Monitoring and Review
Kapitel 5.6
BSI-Standard 200-1
Aufrechterhaltung der Informationssicherheit, Kapitel 7.4
Kontinuierliche Verbesserung der Informationssicherheit, Kapitel 7.5
BSI-Standard 200-2
Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit, Kapitel 10
BSI-Standard 200-3
Risiken unter Beobachtung, Kapitel 6.2


Anhang

Versionen

Jahr Beschreibung
2009 1. Ausgabe
2018 2. Ausgabe

Unterschiede zu ISO 31000:2009

Alle ISO-Standards werden alle fünf Jahre überprüft und bei Bedarf überarbeitet
  • Dies hilft dabei, die Relevanz für den Markt sicherzustellen.
  • Die Risikomanagement-Praktiken von gestern reichen nicht mehr aus, um mit den heutigen Bedrohungen umzugehen, weshalb sich diese weiterentwickeln müssen.
  • Ein Beispiel dafür ist die erhöhte Komplexität von Wirtschaftssystemen und aufkommende Risikofaktoren, wie die digitale Währung.
  • Beide können neue und verschiedene Arten von Risiken für eine Organisation darstellen.
Eine Überarbeitung zu ISO 31000 wurde Anfang 2018 veröffentlicht und ersetzt die erste Ausgabe (ISO 31000:2009)
  • Die ISO 31000:2018 bietet mehr strategische Leitlinien und legt mehr Gewicht auf die Einbeziehung des Senior Managements und die Integration des Risikomanagements in die Organisation.
  • Das übergeordnete Ziel ist die Entwicklung einer Risikomanagementkultur, in der sich Mitarbeiter und Stakeholder bewusst sind, wie wichtig es ist, Risiken zu überwachen und zu steuern.
  • Der daraus resultierende Standard ist nicht nur eine neue Version von ISO 31000.
  • Er geht über eine einfache Überarbeitung hinaus, denn es geht um die Art und Weise, wie morgen mit Risiken umgegangen wird.
Die wichtigsten Änderungen im Vergleich zur letzten Ausgabe sind Folgende

„Überprüfung der Grundsätze des Risikomanagements, welche die wichtigsten Kriterien für dessen Erfolg sind.“

Der überarbeitete Standard empfiehlt nun, dass das Risikomanagement Teil der Organisationsstruktur, Prozesse, Ziele, Strategie und Aktivitäten sein sollte.

  • Es konzentriert sich mehr auf die Schaffung von Werten als Schlüsseltreiber des Risikomanagements und andere verwandte Prinzipien, wie kontinuierliche Verbesserung, der Einbezug von Stakeholdern, Anpassung an die Organisation und Berücksichtigung von Mensch und kulturellen Faktoren.

„Hervorhebung der Führung durch die oberste Leitung und der Integration des Risikomanagements, beginnend mit der Leitung der Organisation.“

Dies schließt die Empfehlung ein, eine Politik zu entwickeln, die ein Engagement für Risikomanagement unterstützt.

  • Dabei geht es um die Zuweisung von Autorität, Verantwortung und Rechenschaftspflicht auf den entsprechenden Ebenen innerhalb der Organisation und die Sicherstellung, dass die notwendigen Ressourcen für das Risikomanagement bereitgestellt werden.

„Stärkere Betonung des iterativen Charakters des Risikomanagements.“

Dabei wird darauf hingewiesen, dass neue Erfahrungen, Kenntnisse und Analysen in jeder Phase des Prozesses zu einer Überarbeitung der Prozesselemente, Aktionen und Steuerungen führen können.

„Straffung des Inhalts mit stärkerem Fokus auf die Aufrechterhaltung eines offenen Systemmodells, das mehreren Bedürfnissen und Kontexten gerecht wird.“

Das Hauptziel besteht darin, die Dinge klarer und einfacher zu machen, wobei eine einfache Sprache verwendet wird, um die Grundlagen des Risikomanagements in einer Weise zu definieren, die der Leser leichter nachvollziehen kann.

Siehe auch


Links

Weblinks
  1. https://de.wikipedia.org/wiki/ISO_31000
  2. https://en.wikipedia.org/wiki/List_of_ISO_standards_30000%E2%80%9399999