Die Implementierung diverser ISO-Normen innerhalb einer Organisation scheint manchmal die Garantie für eine komplette Umsetzung eines Risikomanagements für alle von dieser Organisation eingegangenen Risiken zu bieten. Wie sieht es aber nun in Wirklichkeit aus? Unser Risikomanagement-Spezialist Grégoire Mottier, bietet Ihnen einen Überblick über dieses Thema, das permanent aktuell bleibt.
Folgen der Anwendung von ISO-Normen im Bereich Risikomanagement
Zu den am häufigsten angeführten Normen, um das Vorhandensein eines Risikomanagementsystems zu bestätigen, gehören:
• ISO 9001, die Qualitätsmanagement regelt;
• ISO 4001, in der es um Umweltmanagement geht;
• ISO 27001, in der es um die Sicherheit von Informationssystemen geht.
Diese Zertifizierungen schaffen ganz klar einen erheblichen Mehrwert für das Risikomanagement, das allen Unternehmen oder Körperschaften des öffentlichen Rechts gemein ist. In der Tat lässt sich feststellen, dass jede dieser drei Normen einen positiven Einfluss auf die Organisation hat: Qualitätsmanagement wirkt sich sehr positiv auf die wirtschaftliche Nachhaltigkeit aus. Durch ein gründliches Umweltmanagement kann sie ihre Reputation aufrechterhalten. Darüber hinaus ist die Kontrolle der IT-Sicherheit heute ein Muss angesichts der potenziellen neuen Risiken, die in den vergangenen Monaten exponentiell zugenommen haben.
Was sollte zuerst geschehen? Es müssen einige Entscheidungen getroffen werden!
Welche Strategie ist die beste? ? Sind die verschiedenen Zertifizierungsprozesse unbedingt erforderlich, bevor mit der globalen Risikoprüfung begonnen werden kann? Oder ist es umgekehrt? Abgesehen von der Tatsache, dass bestimmte Zertifizierungen auf dem Markt manchmal erforderlich werden, um Wettbewerbsvorteile zu schaffen, gehen wir davon aus, dass die Durchführung eines Risikomanagementprozesses im Vorfeld aus unterschiedlichen Gründen sinnvoll wäre:
- Als allumfassender Ansatz wird er zur gleichen Zeit Zertifizierungsprozesse als wirkungsvolle Lösungen für das Risikomanagement nutzen können.
- Mithilfe des „Bottom-up“-Risikomanagements hat man die Möglichkeit, alle Beteiligten einzubeziehen.Das Ergebnis wird eine Unternehmenskultur sein, die im Hinblick auf die allgemeine Sicherheit auf langfristige und robuste Lösungen ausgerichtet ist. Ferner ermöglicht sie eine auf komplett akzeptierte Nachhaltigkeit ausgerichtete Haltung.
- Ein echtes Enterprise Risk Management (ERM) versteht sich als definitionsgemäß ganzheitlich und befasst sich unweigerlich mit Themen, die nicht direkt mit der Zertifizierung zu tun haben. . Die Wahrung eines positiven sozialen Klimas, ein effizientes Projektmanagement und die Erhaltung intakter finanzieller Ressourcen gehören ebenfalls zu den Vorteilen von gutem Risikomanagement.
- Gute Risikomanagementrichtlinien stellen einen kritischen Vorbereitungsschritt für den Erhalt bestimmter Zertifizierungen dar. Auch hier beweist das Risikomanagement, dass es eine Investition ist, die sich lohnt und deren Vorteile häufig erst später ersichtlich werden.
Sich nicht hinter Normen verstecken
Die Organisationen, die bereit waren, Ressourcen zu opfern, um für ihre Tätigkeit bedeutsame Zertifizierungen zu erhalten, verdienen das höchste Lob. Dieser Ansatz ist ein Zeichen von Reife und Wettbewerbsfähigkeit und verdient unseren Respekt! Aber um es mit Voltaire auszudrücken: „Demut ist das Gegengift des Stolzes“.
Die Annahme aller Zertifizierungen sollte keine Vorwand dafür sein, alles zu ignorieren, was mit negativen Risiken und deren Folgen zu tun hat, die ggf. nur deswegen nicht identifiziert werden, weil sie nicht in den Geltungsbereich der ISO-Normen fallen. An dieser Stelle möchten wir kurz die Klassifizierungsweise anführen, die normalerweise von Risikomanagern angewandt wird, um sich davon zu überzeugen:
- Exogene Risiken;
- Finanzielle Risiken;
- Betriebliche Risiken;
- Personalbezogene Risiken;
- Strategische Risiken (Upstream und Downstream).
Durch die Berücksichtigung dieser Kategorien können Organisationen daher die Granularität bestimmen, mit der sie bei der Implementierung eines effektiven Risikomanagements vorgehen möchten, das die spätere Annahme konkreter ISO-Normen begünstigt.
Ihr Ansprechpartner
Grégoire Mottier
Head of Risk Management
gmottier@loyco.ch