ISO-Norm 31010 zur Risikobewertung

Die Internationale Standardisierungsorganisation (ISO) hat in Zusammenarbeit mit der Internationalen Elektrotechnischen Kommission (IEC) eine neue Norm im Bereich Risikomanagement entwickelt. Die Norm „Risikomanagement – Techniken für die Risikobewertung“ (ISO/IEC 31010:2009) ergänzt den kürzlich veröffentlichten Risikomanagementstandard ISO 31000:2009. Die ISO stellt damit einen Werkzeugkasten zur Verfügung, mit dem Unternehmen gewarnt werden, wenn sie ihre Ziele nicht erreichen. Sie können so frühzeitig auf problematische Situationen reagieren.

Laut ISO können organisatorische Risiken Auswirkungen auf die Gesellschaft, Umwelt, Technik und Sicherheit haben; dies gelte auch für kommerzielle, finanzielle und wirtschaftliche Bereiche. Genauso kann es die soziale, kulturelle und politische Reputation von Unternehmen betreffen.

Wenn Risiken auftreten, sollten sich Organisationen demnach die folgende Frage stellen: „Ist die Höhe des Risikos erträglich beziehungsweise akzeptabel und muss man sich darüber hinaus mit der Thematik  befassen?“

Die Risikobewertung ist ein integraler Bestandteil des Risikomanagements. Sie ist ein strukturierter Prozess, mit dem Unternehmen herausfinden können, auf welche Art und Weise Unternehmensziele betroffen sein können. Die Risikobewertung wird dann verwendet, wenn das Risiko in Bezug auf seine Folgen und eintretenden Wahrscheinlichkeiten analysiert werden soll. Falls es erforderlich sein sollte, noch bevor die Organisation über das weitere Vorgehen entscheidet. Risikobewertung bedeutet für Entscheider und Führungskräfte ein verbessertes Verständnis der Risiken in Bezug auf die Verwirklichung der Unternehmensziele. Gleichzeitig kann die Angemessenheit und Effektivität bereits bestehender Kontrollen bewertet werden.

Der Standard schafft dabei eine Grundlage, um zu entscheiden, welches Konzept sich für den Umgang mit bestimmten Risiken und für die Wahl zwischen verschiedenen Optionen am besten eignet.

Die ISO/IEC 31010:2009 als neuer Standard soll Unternehmen bei der Umsetzung der Risikomanagement-Grundsätze und Leitlinien und bei der Einführung eines Risikomanagementsystems nach ISO 31000:2009 unterstützen. Ergänzend kommt die Norm ISO Guide 73:2009 zum Risikomanagement-Wortschatz hinzu. Der aktuelle Standard umfasst laut ISO folgende Bereiche:

• Konzepte der Risikobewertung
• Risikobewertung
• Auswahl der Techniken der Risikobewertung

Der Standard spiegelt den gegenwärtigen Stand der Praxis wieder und gibt Antworten auf folgende Fragen:

• Was kann passieren und warum?
• Was sind die Konsequenzen?
• Wie hoch ist die Wahrscheinlichkeit ihres Auftretens in der Zukunft?
• Gibt es Faktoren, die die Folgen des Risikos lindern oder die die Wahrscheinlichkeit verringern, dass das Risiko eintritt?

Risikobewertung sollte nach Angaben der ISO nicht als eigenständige, isolierte Tätigkeit betrachtet, sondern vollständig in die anderen Komponenten eines Risikomanagement-Prozess integriert werden. Eric Mahy, Projektleiter der Standard-Kommentare bei der ISO, sagt in der entsprechenden Pressemeldung:

„ISO/IEC 31010 wurde sowohl für den Risikomanagement-Einsteiger als auch für den professionellen und erfahrenen Anwender entwickelt. Die Norm ist Teil eines integrierten Risikomanagements und zielt darauf ab, einen Best-Practice-Ansatz zur Verfügung zu stellen.“

Hier können Sie den Text der Norm ISO/IEC 31010 "Risikomanagement - Verfahren zur Risikobeurteilung" finden und das Inhaltsverzeichnis einsehen: www.dke.din.de/...

[David Wolf; Bild: RTimages - Fotolia.com]