Risikomanagement nach ISO 31000:2018 und ÖNORM-Reihe D 490x:2021

1.4 MORANDI-BRÜCKE

Am 14. August 2018 stürzte ein Teil der nach seinem Erbauer benannten Morandi-Brücke in Genova ein und riss 43 Menschen in den Tod. Die Schrägseilbrücke wurde zwischen 1962 und 1967 geplant und errichtet. Die Ursache des Einsturzes ist in den Stahlseilen zu finden, die nach 50 Jahren bis zur Hälfte durchgerostet waren. Es besteht die Vermutung, dass die Überwachung und der Unterhalt der Brücke nicht ordnungsgemäß stattgefunden haben. Die italienische Staatsanwaltschaft nahm deshalb involvierte Personen fest oder suspendierte sie zumindest von ihren Ämtern. Es wird den Beschuldigten der Autobahngesellschaft Dokumentenfälschung bei Sicherheitskontrollen sowie den Funktionären der Straßenverwaltungsgesellschaft Fahrlässigkeit vorgeworfen[6]. Ingenieure sollen bereits 2014 vor dem Einsturz der Brücke gewarnt haben[7].

1.5 PANDEMIE COVID-19

Pandemien, wie wir sie gegenwärtig mit COVID-19 erleben, sind keineswegs eine Überraschung. Im Dokument „Deutscher Bundestag – 17. Wahlperiode“[8] von 2013 wird das Szenario überraschend genau antizipiert. Auch das Schweizerische Bundesamt für Bevölkerungsschutz BABS hat bereits 2015 im „Gefährdungsdossier Epidemie/Pandemie“[9] mehrere Szenarien beschrieben, welche die heutigen Verhältnisse mit überraschender Vorstellungskraft frühzeitig darstellten.

In Österreich hingegen konzentrierten sich die Risikoanalysen zum Bevölkerungsschutz in den vergangenen Jahren schwerpunktmäßig auf Hochwasserschutz, Brandschutz, Geldwäsche und Terrorismusbekämpfung. Die Risiken durch SARS wurden zwar ebenfalls analysiert, jedoch betreffend Wahrscheinlichkeit und Auswirkung stark unterschätzt[10].

Mittlerweise – Stand Mitte Januar 2021 – sind weltweit rund 100 Millionen Infektionsfälle nachgewiesen, 55 Millionen Menschen davon wieder genesen und fast 2 Millionen Menschen daran verstorben[11]. Erst 9 Monate nach dem ersten Lockdown in Europa um Mitte März 2020 stehen getestete Impfstoffe bereit, um ab Januar 2021 zuerst die Risikogruppen in der Bevölkerung in großem Ausmaß zu impfen. Die wirtschaftlichen Schäden sind enorm und werden die Staatshaushalte noch über Jahre hinweg beschäftigen. Die Krise der Staatsverschuldung nach der Finanzkrise von 2009 ist kaum abgeschlossen, so steht nun eine noch dramatischere Situation an, welche die Stabilität des Finanzsystems wohl noch lange herausfordern wird.

1.6 ERKLÄRUNGEN

Für das Risikomanagement stehen angesichts der vorangehend aufgezeichneten Beispiele, die nur stellvertretend für viele andere Risiken stehen, einige Erkenntnisse im Mittelpunkt:

+Offensichtlich ist es heute u. a. durch wissenschaftliche Studien möglich, die Risiken in den Bereichen von Technologie, Bevölkerungsschutz, Volkswirtschaft, Unternehmen und öffentlichen Institutionen usw. ziemlich genau zu antizipieren. Es gibt kaum mehr „schwarze Schwäne“.

+Entscheidungsträger neigen dazu, Expertenwissen und Erkenntnisse aus dem Stand der Technik gering zu schätzen, wenn sie in Konflikt mit ihren eigenen Zielen und Ambitionen geraten. Strategie geht vor, Risiken müssen vermeintlich eingegangen werden, um den geplanten Erfolg zu erreichen.

+Die Risikowahrnehmung wird ausgeblendet: „Think positive“ ist das oberflächliche Motto von angeblich erfolgreichen Machern.

+Risikomanagement ist nicht kostenfrei. Wer Risikomanagement betreibt, braucht dazu personelle und finanzielle Ressourcen. Diese fallen sicher an, der Eintritt von Risiken ist jedoch unsicher. Solange alles gut geht, scheint die Rechnung beim Sparen auf Kosten der Risiken aufzugehen.

Offensichtlich haben in den fünf dargestellten Fällen die Risikowahrnehmung und das Risikomanagement gefehlt oder versagt. Man muss sich deshalb erneut ernsthaft die Frage stellen, was die Anforderungen und die Merkmale eines wirksamen Risikomanagements sind und wie man dieses Führungsinstrument einsetzen muss, um sich darauf verlassen zu können. Angesichts der Tatsache, dass heute in sehr vielen Organisationen und Institutionen Elemente von Risikomanagement vorhanden sind, ist die Antwort nicht ganz einfach: Es braucht in unserer heutigen Welt nicht unbedingt mehr, sondern vor allem ein besseres, sprich verbindlicheres und durchgängigeres Risikomanagement, um damit ein zuverlässiges Führungsinstrument verfügbar zu haben.

3COSO Enterprise Risk Management Framework, Jersey City 2004, revidierte Fassung 2017

4https://www.faz.net/aktuell/wirtschaft/diesel-affaere/diesel-skandal-kosten-fuer-vw-steigen-auf-28-milliarden-euro-16028772.html [letzter Zugriff: Januar 2021]

5https://www.nzz.ch/wirtschaft/frueherer-vw-chef-winterkorn-im-dieselskandal-angeklagt-ld.1475388 [letzter Zugriff: Januar 2021]

6https://www.nzz.ch/panorama/einsturz-der-morandi-bruecke-in-genua-weitere-festnahmen-ld.1508480, vom 13. 9.2019 [letzter Zugriff: Januar 2021]

7https://www.nzz.ch/panorama/ingenieure-warnten-schon-2014-vor-dem-einsturz-der-bruecke-von-genua-ld.1523162 vom 20.11.2019 [letzter Zugriff: Januar 2021]

8Deutscher Bundestag – 17. Wahlperiode, Drucksache 17/12051 vom 3. 1. 2013: Unterrichtung durch die Bundesregierung, Bericht zur Risikoanalyse im Bevölkerungsschutz 2012, S. 5f

9Bundesamt für Bevölkerungsschutz: Nationale Gefährdungsanalyse – Gefährdungsdossier Epidemie / Pandemie vom 30. Juni 2015

10Beitrag zur gesamtstaatlichen Risikoanalyse für Österreich – Biologische, Chemische, Radiologische und Nukleare Bedrohungen, 2015-2016, KSÖ, BMI, BMLVS, BMASGK

11https://en.wikipedia.org/wiki/Template:COVID-19_pandemic_data [letzter Zugriff: Januar 2021]

2 Weiterentwicklung ONR 4900x zur ÖNORM-Reihe D 490x

2 WEITERENTWICKLUNG ONR 4900X ZUR ÖNORM-REIHE D 490X
2.1 REVISION HIN ZUR ISO 31000:2018

Es mag den Leser erstaunen, dass die erste Version der ONR-Reihe 4900x „Risikomanagement für Organisationen und Systeme“[12] schon weit vor der ISO 31000 „Risk Management – Principles and Guidelines“ geschaffen und im Jahr 2004 veröffentlicht wurde. Sie diente dann im Jahr 2005 als Input für den internationalen Standard, welcher in seiner ersten Ausgabe erst 2009 veröffentlicht wurde.

Der höchste Wert eines ISO-Standards besteht darin, dass er einen globalen Expertenkonsens darstellt und dadurch seine Anerkennung gewinnt. Der Konsens ist der Ertrag einer aufwendigen und zeitraubenden Entwicklung. Gerade das Thema Risikomanagement zeichnet sich auf der einen Seite durch einen hohen Abstraktionsgrad aus. Andererseits erfordert das Zusammentreffen von oft unterschiedlichen Meinungen in einer Arbeitsgruppe viel Diskussion und Austausch, um am Ende zu einem Kompromiss zu gelangen, der von den Entscheidungsgremien, das sind die nationalen Normungsorganisationen, akzeptiert wird.

Jeder ISO-Standard muss nach einigen Jahren auf Aktualität und Revisionsbedarf geprüft werden. Im Jahr 2013 startete die Arbeitsgruppe mit der Revision der ISO 31000. Es bestand ein großer Bedarf an redaktioneller Vereinfachung und inhaltlicher Präzisierung. Da die ISO 31000 inzwischen eine hohe internationale Anerkennung erhalten hatte, stellte sich die Frage nach einer technischen Überprüfung eigentlich (noch) nicht. So wurde im Frühjahr 2018 die revidierte Fassung der ISO 31000 „Risk Management – Guidelines“ veröffentlicht.

Die ISO 31000 enthält Empfehlungen, wie eine Organisation das Risikomanagement planen und umsetzen soll. Eine gewisse Anlehnung an die Managementsystem-Welt von ISO bestand bereits in der Version von 2009, in der die Elemente des Deming-Kreises Plan-Do-Check-Act enthalten sind. Die inzwischen von ISO entwickelte High Level Structure (HLS) für Managementsysteme sollte gemäß den Experten nicht vollständig übernommen werden. Dahinter verbarg sich ein Missverständnis und eine von den vielen Experten getragene Angst vor einer Zertifizierung des Risikomanagements, obwohl Zertifizierung und HLS einander nicht bedingen.

2.2 ERFOLGSGESCHICHTE DER ONR-REIHE 4900X

Seit der Veröffentlichung der ersten Version der ONR-Reihe 4900x „Risikomanagement für Organisationen und Systeme“ begleitet eine beispiellose Erfolgswelle das Regelwerk im deutschen Sprachraum. Es wurden Tausende von Risikomanagern in mehrtägigen Lehrgängen ausgebildet und nach Bestehen von zwei anspruchsvollen Qualifikationsschritten zertifiziert. Zwei Ausprägungen bildeten sich heraus: Der „Business Risikomanager“ auf der einen und der „klinische Risikomanager“ auf der anderen Seite. In Österreich wurde der Business Risikomanager ab 2004 bis etwa 2010 intensiv geschult und zertifiziert, der klinische Risikomanager ab 2005 bis etwa 2018 fast flächendeckend über das ganze Land verbreitet.

In der Schweiz stieß der Business Risikomanager ab 2004 bis etwa 2015 auf großes Interesse. Der klinische Risikomanager wurde hier jedoch kaum wahrgenommen.

In Deutschland fand umgekehrt der Business Risikomanager kaum Interesse. Ab 2010 wurden jedoch Hunderte von klinischen Risikomanagern ausgebildet und zertifiziert. Das Interesse am Regelwerk ging über die Ausbildung hinaus. Das in der ONR-Reihe 4900x niedergeschriebene Risikomanagementkonzept ist in den Beschluss des Gemeinsamen Bundesausschusses (G-BA Beschluss)[13] und in viele Publikationen des Aktionsbündnisses Patientensicherheit[14] eingeflossen.

Die ONR-Reihe 4900x war aber auch die grundlegende Konzeption für die Planung, Umsetzung, Bewertung und Verbesserung von Risikomanagement in Organisationen.

2.3 ISO HIGH LEVEL STRUCTURE ALS ORIENTIERUNG

Die internationale Standardisierung hat sich in den vergangenen Jahren ebenfalls bewegt. Der Standard ISO 9001 erreichte weltweit eine Spitzenstellung und wurde inzwischen mehr als eine Million Mal zertifiziert. Diese Harmonisierung hat einen unschätzbaren Beitrag zum internationalen Güteraustausch und zur Globalisierung geleistet. Vom ursprünglich einfachen Deming-Kreis Plan-Do-Check-Act (P-D-C-A) bildete sich ein Managementsystem-Standard heraus, der sich inzwischen auf eine 10-Punkte-Struktur mit vereinheitlichter Terminologie erweiterte, welche sich zunehmend auf andere ISO-Standards ausdehnt. Alle Managementsystem-Standards sollen nun auf der gleichen Terminologie und Struktur basieren, eben der High Level Structure (HLS), welche in den ISO Directives festgelegt worden sind.[15]

Die ONR 49001 hat bereits in ihrer Ausgabe 2014 die HLS angewendet, allerdings noch nicht in gänzlicher formeller Übereinstimmung mit den ISO-Vorgaben. Dies wurde nun mit dem Übergang von der ONR-Reihe 4900x zur ÖNORM-Reihe D 490x abschließend vollzogen. Damit könnte die ÖNORM D 4901 als vollwertiges Familienmitglied in den ISO-Managementsystemen bezeichnet werden.

Der große Vorteil dieser Harmonisierung besteht darin, dass nun Managementsysteme ineinander integriert werden können, ohne dabei Doppelgleisigkeiten zu schaffen. Es drängt sich geradezu auf, die ISO 9001 „Qualitätsmanagementsysteme – Anforderungen“ mit der ÖNORM D 4901 „Anforderungen an das Risikomanagementsystem“ abzugleichen bzw. gegenüberzustellen. Bei einer solchen Synopse können auch andere Managementsysteme einbezogen werden.

2.4 ANFORDERUNGEN STATT EMPFEHLUNGEN

Die Anwendung von Standards ist grundsätzlich freiwillig. Niemand kann eine Organisation dazu zwingen, einen Standard anzuwenden, außer es gibt dazu eine gesetzliche Forderung.

Innerhalb der Welt der Standards wird eine weitere Unterscheidung vorgenommen: Standards mit nur empfehlendem Charakter (Typus B) und Standards, die Anforderungen festschreiben (Typus A). Nur letztere können durch eine akkreditierte Organisation zertifiziert werden, wenn die betriebliche Wirklichkeit zeigt, dass die Systemgestaltung mit den formulierten wesentlichen Anforderungen des Standards übereinstimmt. Man spricht dabei auch von einer „Konformitätserklärung“.

Ein Standard, der Anforderungen festschreibt, muss diese präzise formulieren, damit die Konformität eindeutig festgestellt werden kann. Demgegenüber bieten empfehlende Standards einen viel größeren Spielraum für Erklärungen und Beschreibungen.

In der neuen ÖNORM-Reihe D 490x wurde der Weg gewählt, dass nur im normativen Kerntext der ÖNORM D 4901 überprüfbare Anforderungen stehen. Alle erklärenden und empfehlenden Aussagen wurden in den Leitfäden aufgenommen.

Braucht es für das Risikomanagement Anforderungen? Ja natürlich! Nicht nur Corporate Governance, sondern auch dessen konkrete Umsetzung in Gesetzen (z. B. Aktiengesetze) verlangt verbindlich von bestimmten Organisationen die Umsetzung eines wirksamen Risikomanagements. Es besteht ein dringender Bedarf für eine Festlegung der Komponenten eines Risikomanagementsystems, damit auch verbindlich festgestellt werden kann, ob eine Organisation die dazu notwendigen Anforderungen erfüllt.

Es unterstützt das Risikomanagement, wenn es gesetzlich direkt oder indirekt verlangt wird. Viel wichtiger hingegen ist die Feststellung, dass Risikomanagement Führungsaufgabe ist. Dazu mehr in den folgenden Ausführungen.

2.5 NEUERUNGEN AUF EINEN BLICK

Fassen wir die Neuerungen zusammen, die der ÖNORM-Reihe D 490x zugrunde liegen:

+Die Begriffe in ÖNORM D 4900 werden erweitert durch „Sicherheitskultur“ und „Risikotragfähigkeit“.

+Das neue Konzept des Organisations-Risikomanagements lehnt sich an das englischsprachige Enterprise Risk Management (ERM) an.

+Das in ÖNORM D 4901 dargestellte Risikomanagementsystem folgt der ISO High Level Structure (HLS) und enthält nur noch überprüfbare Anforderungen.

+Der Leitfaden – Teil 1: Einbettung des Risikomanagements ins Managementsystem (ÖNORM D 4902-1) wird um das Thema Organisationskultur ergänzt.

+Der Leitfaden – Teil 2: Methoden der Risikobeurteilung (ÖNORM D 4902-2) wird um die Methode des „Horizon Scanning“ für die Früherkennung von Risiken ergänzt.

+Der Leitfaden – Teil 3: Notfall-, Krisen- und Kontinuitätsmanagement (ÖNORM D 4902-3) wird durch die Krisenstabsorganisation für kritische Infrastrukturen ergänzt.

ABBILDUNG 1

STRUKTUR DER ÖNORM-REIHE D 490X:2021

(QUELLE: ÖNORM D 4900:2021, VORWORT)

12Eine ONR (ON-Regel) ist ein Dokument, aus dessen Anwendung Erfahrungen für eine mögliche spätere Normung gesammelt werden sollen oder das den Stand einer neuen oder sich schnell verändernden Entwicklung dokumentiert.

13Beschluss des Gemeinsamen Bundesauschusses über eine Qualitätsmanagement-Richtlinie, BAnz AT 15.11.2016 B2

14APS Handlungsempfehlung: Anforderungen an klinische Risikomanagementsysteme im Krankenhaus, Berlin 2016

15ISO/IEC Directives, Part 1: Consolidated ISO Supplement – Procedures specific to ISO, 9. Auflage, 2018; https://www.iso.org/management-system-standards.html [letzter Zugriff: Januar 2021]

3 Risikomanagement ist Führungsaufgabe

3 RISIKOMANAGEMENT IST FÜHRUNGSAUFGABE
3.1 RISIKOMANAGEMENT IN GOVERNANCE VERANKERT
3.1.1 Verantwortungsvolle Unternehmensführung

Unternehmen und Organisationen haben sich seit jeher mit Risiken befasst. Dies erfolgte auf verschiedenen Ebenen, in mehreren Anwendungsgebieten und mit abwechselnder Intensität und Systematik. Besonders für die Lösung von technischen Risikofragen wurde eine Vielzahl von Methoden geschaffen. Man spricht dabei von „Risk Engineering“ oder von „Risk Assessment“.

Heute wird dem Aspekt „Führung/Management“ die meiste Aufmerksamkeit geschenkt. Risikomanagement ist mehr als nur eine Methode oder eine Risikoanalyse. Es handelt sich um eine Führungsaufgabe, ja sogar um eine der wichtigsten Anforderungen an eine gute und verantwortungsvolle Führung von Organisationen und Unternehmen. „Governance“ als der Inbegriff von guter und verantwortungsvoller Führung fordert ein wirksames Risikomanagement.

Die Begriffe „Corporate Governance“ für private Unternehmen und „Public Governance“ für öffentliche Organisationen umfassen die Grundsätze verantwortungsvoller Führung. Corporate Governance (dt: Grundsätze der Unternehmensführung) ist der rechtliche und faktische Ordnungsrahmen für die Leitung und Überwachung von Unternehmen zum Wohlwollen aller relevanten Anspruchsgruppen.[16]

3.1.2 Corporate Governance – Grundsätze der OECD

Die OECD als Organisation der Industriestaaten hat in Kooperation mit der G20 im Jahre 2015 die „G20/OECD-Grundsätze von Corporate Governance“[17] neu herausgegeben. Darin wird zu den Themen Offenlegung und Transparenz ein Mindestumfang in der Unternehmensführung gefordert, der die Risiken und das Risikomanagement betrifft:

+Vorhersehbare Risikofaktoren: „Die Nutzer der Finanzinformationen wie auch die Marktteilnehmer benötigen Informationen über in der Regel vorhersehbare wesentliche Risiken; dazu zählen spezifische Risiken der Branchen oder Regionen, in denen das Unternehmen tätig ist, die Abhängigkeit von bestimmten Rohstoffen, Finanzmarktrisiken einschließlich Zins- oder Währungsrisiken, Risiken im Zusammenhang mit Derivaten und nicht bilanzwirksamen Transaktionen, Risiken im Zusammenhang mit dem Geschäftsverhalten sowie Umweltrisiken“[18].

+Bestehende Risikomanagementsysteme: „Die Offenlegung von Risiken ist dann am wirksamsten, wenn sie auf das betreffende Unternehmen und die entsprechende Branche zugeschnitten ist. Die Offenlegung von Informationen über die Risikoüberwachungs- und Risikomanagementsysteme des Unternehmens wird zunehmend als empfehlenswerte Praxis angesehen“[19].

+Zu den Schlüsselfunktionen des Boards gehören die Überprüfung und Ausrichtung der Unternehmensstrategie einschließlich der Risikomanagementpolitik und -verfahren. „Das Risikomanagement des Unternehmens […] beinhaltet die Aufsicht über die Rechenschaftspflichten und Zuständigkeiten für die Risikosteuerung unter Bestimmung von Art und Umfang der Risiken, die das Unternehmen bei der Verfolgung seiner Ziele einzugehen bereit ist, sowie der Methoden zur Steuerung der Risiken, die sich aus der Geschäftstätigkeit und den Beziehungen des Unternehmens ergeben. Damit wird eine entscheidende Richtschnur für die Geschäftsführung vorgegeben, die die Risiken so steuern muss, dass sie dem gewünschten Risikoprofil des Unternehmens entsprechen“[20].

+Das Risikomanagement wird auch im Zusammenhang mit der Gewährleistung der Integrität der Rechnungslegungs- und Buchführungssysteme der Organisation erwähnt, wobei auf finanzielle und operative Kontrollen sowie auf die Beachtung der relevanten Gesetze und geltenden Standards hingewiesen wird[21].

Diese Grundsätze von Corporate Governance betreffend die Offenlegung und Transparenz für die Risiken und das Risikomanagement waren in den vergangenen Jahren die Entwicklungsrichtungen für nationale Corporate-Governance-Kodizes und für die Gesetzgebung im unternehmensrechtlichen Bereich. Auch wenn die Regeln von Corporate Governance am Beispiel von Kapitalgesellschaften bzw. von Aktiengesellschaften dargestellt werden, haben sie inzwischen auch eine ausstrahlende Wirkung auf andere Gesellschaftsformen sowie für Organisationen öffentlichen Rechts und für die öffentliche Verwaltung.

3.1.3 Risikomanagement im deutschen Aktienrecht

Wegweisend für die rechtliche und faktische Entwicklung des Risikomanagements als Führungsinstrument war die Einführung des KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich). Am 30. April 1998 wurde das deutsche Aktienrecht um den § 91 (2) ergänzt, dessen Wortlaut folgender ist:

„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“[22].

Die Erweiterung des Aktiengesetzes spiegelt sich in der Ergänzung von § 317 (4) des Handelsgesetzbuches (HGB) wider: „Der Abschlussprüfer hat zu untersuchen, ob die geforderten Maßnahmen zur Früherkennung von bestandsgefährdenden Entwicklungen vom Vorstand getroffen wurden“[23].

Bei börsennotierten Gesellschaften ist das Risikomanagement im Rahmen des Jahresabschlusses zu prüfen. Dazu heißt es in § 322 (3) HGB: „Im Bestätigungsvermerk ist auch darauf einzugehen, ob der Lagebericht und der Konzernlagebericht insgesamt nach der Beurteilung des Abschlussprüfers eine zutreffende Vorstellung von der Lage des Unternehmens oder des Konzerns vermittelt. Dabei ist auch darauf einzugehen, ob die Risiken der zukünftigen Entwicklung zutreffend dargestellt sind“[24].

Damit hat die deutsche Gesetzgebung das Risikomanagement schon sehr früh als Aufgabe des Vorstandes in das Aktienrecht, mit Ausstrahlung auch auf andere Kapitalgesellschaften, übernommen.