Swiss Infosec AG - Newsfaelle: ISO 31000 – Was ist das denn jetzt?, Ein Standard für das Risikomanagement in Ihrem Unternehmen!

ISO 31000 – Was ist das denn jetzt?

Ein Standard für das Risikomanagement in Ihrem Unternehmen!

Risikomanagementsysteme nach ISO 31000 verringern das Risikopotenzial selbst. Unterzieht man Abläufe und Verfahren regelmässig einer Bewertung und leitet daraus ständig Konsequenzen ab, so werden risikobehaftete Abläufe zunehmend durch diejenigen ausgetauscht, die ein geringeres Risiko bergen. Folgen dieser Risikoabsenkung sind beispielsweise ein verbesserter Datenschutz oder eine erhöhte IT-Sicherheit.
Anfangs der Neunziger des letzten Jahrhunderts hat eine Entwicklung begonnen, die mit dem Zeitalter der Managementsysteme beschrieben werden kann.

Struktur und Aufbau von Managementsystemen
Der Ursprung dieser Ideen ist auf den US-Amerikaner William Edwards Deming zurückzuführen. Bereits in den 1940er-Jahren entwickelte er die prozessorientierte Sicht auf die Tätigkeiten eines Unternehmens, die später auch Eingang in die diversen Qualitätsnormen und Qualitätsmanagementlehren fanden.
Eng verknüpft ist diese Entwicklung mit Deming und der nach ihm benannten Reaktionskette des PDCA-Zyklus (Plan-Do-Check-Act). Dieser Zyklus ist Kernstück aller modernen Managementsysteme. Dennoch herrschen in der Praxis meist mehrere Managementansätze als Insellösungen vor und werden nicht aktiv im Rahmen einer wertorientierten Unternehmenssteuerung integriert. Dadurch steigt die Komplexität auf Managementebene, Synergien können nicht realisiert werden und die Verteilung von Zuständigkeiten und Verantwortlichkeiten ist unklar. Zudem können Redundanzen in den Aktivitäten auftreten und die Reaktionsgeschwindigkeit des Managements wird verlangsamt.

Schutzfunktion der Managementsysteme
Managementsysteme haben mit dem PDCA-Zyklus einen im Grunde genommen vergleichbaren Aufbau. In einer Analyse werden die für die Politik und das Umfeld (Datenschutz, IT-Sicherheit, Arbeitsschutz, Umweltschutz etc.) wichtigen Aspekte identifiziert. Hierbei werden, meist auf Basis vorhandener Erfahrungen, Abweichungen zu dem „normalen Betrieb“ festgestellt.
Um die Aufgaben der Managementsysteme für Umweltschutz (ISO 14000 ff.), Qualitätsmanagement (ISO 9000 ff.), Arbeitsschutz (OHSAS 18001) oder IT-Sicherheitsmanagement (ISO 27000 ff.) und weitere Managementsysteme auf einer abstrakten Ebene zu beschreiben, bedeutet dies: Alle Managementsysteme beschäftigen sich mit der Zielabweichung.

Risikomanagement ist ein integraler Bestandteil aller organisatorischen Abläufe
Managementsysteme haben die Verbesserung der Prozesse zum Ziel. Treten aber unterschiedliche Risiken aus unterschiedlichen Sektoren auf, so sind die im Einzelnen erzielten Lösungen oft nicht vollständig miteinander vereinbar, zum Teil können sie auch gegenläufig sein. Was z.B. den Datenschutz verbessert, kann die IT-Sicherheit vordergründig negativ verändern. Zunehmend versucht man in Arbeitsgruppen diesem Problem entgegenzuwirken und bei der Lösung eines Problems ein interdisziplinäres Team zu bilden. Dies hat jedoch immer noch den Nachteil, dass man mit verschiedenem Mass misst.

Risikomanagement ist nicht isoliert zu betrachten. Dabei wird deutlich, dass Risikomanagement nicht nur ein weiteres Managementsystem für Organisationen ist, sondern die Schutzansätze von bestehenden Managementsystemen zusammenfassen kann. Mit Hilfe der Norm ISO 31000 kann beispielsweise ein Prozess ganzheitlich oder nur unter dem Gesichtspunkt der Risikoreduktion untersucht werden. Die Methodik ist einheitlich und das Risiko und die Risikobeurteilung inkl. der Bewertung führen zu einem Ergebnis. Dieses Ergebnis allerdings beinhaltet die optimale Lösung für das Unternehmen unter Berücksichtigung aller sektoralen Forderungen der einzelnen Schutzfunktionen.
Es wird im Rahmen der Beurteilung also nicht mehr danach gesucht, welcher Weg die beste Qualität, den besten Umweltschutz, den besten Brandschutz und so weiter bringt, sondern es wird danach gesucht und auch gefunden: Was ist das Beste für das Unternehmen? Die einzelnen Managementsysteme werden einander genähert und in Form der Verwendung der ISO 31000 praktisch korreliert.

Risikomanagementsysteme nach ISO 31000 verringern das Risikopotenzial selbst
Werden Abläufe und Verfahren regelmässig einer Bewertung unterzogen und werden daraus Verbesserungen kontinuierlich abgeleitet, so wird sich die Organisation dahingehend wandeln, dass risikobehaftete Abläufe zunehmend durch diejenigen ausgetauscht werden, die ein geringeres Risiko bergen. Folgen dieser Risikoabsenkung sind ein verbesserter Datenschutz, ein verbesserter Arbeits- und Gesundheitsschutz, eine bessere Schadensverhütung oder qualitätsbezogene Produktverbesserungen. Alle diese genannten Verbesserungen führen zu einer robusten und belastbaren Organisation, die somit langfristig über ein stabiles Fundament für weitere Geschäftsaktivitäten verfügt.
Risikomanagement ist ein iterativer Prozess, in dem schrittweise die Identifikation, Analyse und Bewertung durchgeführt werden. Mit der Behandlung schliessen sich die Massnahmen an, die wiederum zu einer Identifikation neuer Risiken führen können. Veränderungen können aufgenommen werden und hinsichtlich ihrer Wirkung auf die Zielerreichung und die damit verbundene Unsicherheit geprüft werden.

Risikomanagement als Bindeglied aller Managementsysteme
Vielleicht, und das wird die weitere Entwicklung erweisen, ist mit dem Risikomanagement das fehlende Bindeglied zur Integration aller Managementsysteme gefunden worden. Die Liste der zu erwartenden Vorteile eines Risikomanagementsystems ist lang. Doch wird deutlich, dass hier viele Parallelen zu einem Managementsystem für Sicherheit, Qualität, Umweltschutz, Managementsystemen im Allgemeinen auftreten. Ein weiterer Vorteil ist, dass das Vertrauen in die Leistungsfähigkeit und Verlässlichkeit der Organisation erhöht wird.

Quelle: datenschutz-praxis.de; Udo Weis; 20.01.2010

Zurück