„Drei Schritte zum effektiven und effizienten Risikomanagement nach DIN ISO 31000“

Anfang des Jahres wurde die ISO 31000:2018, die Norm für Risikomanagement, veröffentlicht. Dr. Frank Herdmann, Managing Partner von Auxilium Management Service in Berlin und Autor des druckfrischen Buches „Drei Schritte zum effektiven und effizienten Risikomanagement nach DIN ISO 31000“ erklärt im Interview mit Quality Austria, warum der Begriff Risiko so spannend in seiner Konnotation ist, warum Risikomanagement in jeder Abteilung und Hierarchieebene ungemein wichtig ist und welche drei Schritte vor allem die KMUs zu einem effektiven und effizienten Risikomanagement führen.

Quality Austria (QA): Als Unternehmer ist es unvermeidbar, sich auf Situationen einzulassen, deren Einflussfaktoren zum Teil unbekannt sind. Das Eingehen eines Risikos ist mit einem Wagnis verbunden, wodurch der Begriff Risiko als ein eher negativ konnotierter Begriff gesehen wird. Konnte die Veröffentlichung der ISO 31000 im Februar 2018 hier zu einem Umdenken anregen?

Dr. Frank Herdmann (FH): Meiner Erfahrung nach, gibt es nach wie vor zwei Lager bei den Experten:

• das Lager derer, die sich als die Fortschrittlichen begreifen und es als unumgänglich ansehen, Risiko ausschließlich als Janusköpfig wie in der Definition in ISO 31000 (positive, negative or both) zu beschreiben, und
• das Lager derjenigen, die aus dem natürlichen Sprachgebrauch heraus lieber zur Dualität von Risiken und Chancen (risks and opportunities in vielen Managementsystemnormen der ISO) „zurückwollen“.

Daran hat sich durch die Revision und die Veröffentlichung der Neufassung der ISO 31000 nichts geändert, denn auch die Fassung aus dem Jahr 2009 arbeitete bereits mit dem zweiseitigen Risikobegriff. Es gibt nun mal Bereiche, in denen es schwerfällt, positive Abweichungen von dem Erwarteten mit dem Wort Risiko zu belegen. Der generische Ansatz der ISO 31000 erlaubt es aber, auch in diesen Bereichen mit ihr zu arbeiten. Diese Erkenntnis ist viel wichtiger als der Richtungsstreit unter Experten und ich hoffe, dass der Fokus zukünftig auf die Gemeinsamkeiten statt der Differenzen gelegt wird. Manche Diskussion in der jüngsten Vergangenheit lassen hier eine positive Entwicklung erwarten.

QA: Risikomanagement soll von jedem Mitarbeiter als Teil ihrer Aufgaben verstanden sein – warum ist es nicht ausreichend, dass sich die oberste Ebene mit den Gefahren- und Chancenperspektiven im Unternehmen auseinandersetzt?

FH: Der große – schon 2009 vollzogene – Schritt der ISO 31000 lag darin, Risikomanagement aus seiner Isolierung in einem Silo zu befreien und als eines der wichtigsten Prinzipien, die Integration in alle organisatorischen Prozesse zu postulieren. Das wurde in der letzten Revision noch einmal besonders betont. Auch wenn sie dort zumeist besonders brisant sind, finden Risiken (und zwar in dem janusköpfigen Sinn) eben nicht nur auf der obersten Ebene statt, sondern im alltäglichen Geschäft auf allen Ebenen und bei allen Aktivitäten der Organisation.

Es ist daher ein absolutes Muss, dass jeder in der Organisation für den Umgang mit den Risiken in seinem Bereich verantwortlich ist. Den Risikomanager gibt es nicht – die ISO 31000 kennt nur den Risikoeigner. Das ist in der Welt der Geschäftsprozesse im Regelfall der Prozesseigner.

QA: In Ihrem Buch „Drei Schritte zum effektiven und effizienten Risikomanagement nach DIN ISO 31000“ – erschienen 2018 im Beuth Verlag – beschreiben Sie, wie der Name schon sagt, drei Schritte zur Implementierung eines Risikomanagements. Wie schauen diese drei Schritte in der Praxis aus, die vor allem den Kleinunternehmer überzeugen sollen.

FH: Die drei Schritte bestehen aus dem Etablieren des Rahmenwerks, dem Etablieren des Prozesses und der Implementierung und Ausführung des Prozesses. Ähnlich der zwei Lager in Bezug auf den Risikobegriff gibt es auch zwei Lager im Hinblick darauf, wie komplex man Risikomanagement gestalten muss oder sollte, damit es effektiv ist. Aus dem Blickwinkel von kleinen und mittleren Unternehmen mit begrenzten Ressourcen ist es aber überlebenswichtig, ihnen einen einfachen Zugang zum Risikomanagement zu verschaffen.

Als erste Maßnahme empfehle ich einen einfachen und schnellen Zugang mit dem Schwerpunkt auf dem dritten Schritt, der Implementierung und Ausfüh­rung des zuvor etablierten und maßgeschneiderten Risikomanagementprozesses. Dazu schlage ich vor, die häufig auch von KMUs schon beim Prozessdesign verwendete Ereignis gesteuerte Prozesskette (EPK) anzuwen­den. Ohne Darstellung der iterativen Natur des Risikomanagementprozesses kann man mit einem solchen Prozessdesign diesen Prozess als Schleife darstellen.

Diese Schleife sollte immer dann zur Anwendung kommen, wenn der Hauptprozess durch eine Information oder Einschätzung der Situation gestartet oder beeinflusst wird. Dann muss nämlich das Risiko beurteilt (identifiziert, analysiert und bewertet – sowie ggf. behandelt) werden, das sich aus etwaigen Unsicherheiten ergibt. Es ist unerheblich, ob es sich bei dem Hauptprozess um einen strategischen Prozess, einen Prozess der Planung, einen Geschäftsprozess oder den formfreien »Prozess« einer sonstigen Aktivität handelt.

QA: Wie kann das Unternehmen sicher sein, dass der implementierte Risikomanagementprozess auch effektiv ist?

FH: Alle Aktivitäten des Unternehmens unterliegen den internen Kontrollen und dazu gehört natürlich, wie in dem Buch dargestellt, auch die Interne Revision. Mit dieser findet ein wechselseitiger Abgleich statt: Die Interne Revision prüft die Anwendung der Risikomanagementschleife und alle damit verbundenen Aktivitäten im Rahmen ihrer Prüfung der Geschäftshandlungen.