Erste Norm für integriertes Risikomanagement: ONR 49000

< zurück

Basel II und die Rating-Praxis lassen kaum ein Unternehmen kalt. Am besten befriedigen lassen sich die Anforderungen durch ein systematisches Risikomanagement. Obwohl ihr Aufgabengebiet hier wesentliche Unterstützung leisten kann, sind Qualitätsmanager bislang nur in seltenen Fällen damit betraut. Eine neue Norm aus österreich kann dies ändern: Sie schafft die Verbindung zwischen Qualitäts- und Risikomanagement.

Sonderdruck aus QZ: Der auf dieser Seite veröffentlichte Artikel von Jörg Stottrop erschien erstmals in der Fachzeitschrift QZ (Qualität und Zuverlässigkeit), Jahrgang 50, (2005) 9.

Mitte der 90er Jahre wurde das Regelwerk Basel II von den G7-Finanzministern aus der Taufe gehoben. Danach müssen Banken ab 2007 die Kreditwürdigkeit eines jeden Kreditnehmers unter die Lupe nehmen und einen risikogerechten Eigenkapitalanteil zur Seite legen. Zur Erhöhung ihrer Kreditwürdigkeit sind Unternehmen daher gehalten, ein Risikomanagementsystem (RMS) einzuführen.Bereits im Jahre 1998 wurde in Deutschland dazu das „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich“ (KonTraG) erlassen.

Untergesetzliche Regelwerke dazu sind der Deutsche Rechnungslegungs-Standard Nr. 5 „Risikoberichterstattung“ sowie der Prüfungsstandard 340 des Instituts der Deutschen Wirtschaftsprüfer. Die erste wirklich umfassende Norm für Risikomanagement wurde von Australien und Neuseeland 1999 geschaffen: die AS/NZS 4360 „Risk Management“. Viele RMS weltweit – auch kleiner und mittlerer Unternehmen – sind danach aufgebaut. Diese Norm ist recht pragmatisch, doch gibt sie keinen Hinweis auf die Integration in vorhandene Managementsysteme.

Genau das jedoch gelingt dem vorläufig jüngsten Regelwerk. Es stammt aus österreich. Zusammen mit der Swiss Association for Quality hat das österreichische Normungsinstitut im ververgangenen Jahr die ONR 49001 „Elemente des Risikomanagement-Systems“ herausgegeben. Sie zeichnet sich durch Prozessorientierung, einen ganzheitlichen Ansatz und die Verträglichkeit mit anderen Managementsystemen aus.

Risiken genormt: Die Normenreihe ONR 49000 f. geht in ihrer Praktikabilität weit über die bestehenden deutschen Standards zur Risikoberichterstattung und Prüfung von Risikomanagementsystemen hinaus. Die Integration in bestehende Managementsysteme nach ISO 9001, ISO/TS 16949, ISO 14001 und andere bietet die Chance, die häufig als unüberwindlich geltenden Hürden zwischen Technikern und Kaufleuten in einer Organisation bei der Bewältigung der Risiken einer Organisation zu nehmen.

Ähnlichkeiten mit ISO 9001

Ein großer Vorteil der ONR 49001 liegt in der Verständlichkeit für Personen, die sich mit Managementsystemen auskennen. Bereits die überschriften der Normkapitel verraten die ähnlichkeit mit der ISO 9001:

  • Verantwortung der Leitung,
  • Management von Ressourcen,
  • (Risikomanagement-) Prozess,
  • Systemüberwachung.

Viele bekannte Elemente integrierter Managementsysteme tauchen auf: (Risiko-) Politik, Beauftragter der obersten Leitung, Lenkung der Dokumente, Management-Bewertung, interne Audits, ständige Verbesserung sowie Korrektur- und Vorbeugungsmaßnahmen. Weitere Grundlagen der Norm sind Prozessorientierung, der PDCA-Zyklus sowie die Balanced Scorecard von Kaplan und Norton. Somit ist diese Norm ein modernes Instrument für die Integration des Risikomanagements in bestehende Managementsysteme.

Die Integration eines RMS in ein bestehendes Managementsystem etwa nach ISO 9001 ist formal denkbar einfach: Im Wesentlichen wird den vorhandenen Führungsprozessen ein weiteres Element (Risikomanagement) hinzugefügt. An den übrigen Ressourcen- und Systemüberwachungsprozessen sind kleinere änderungen notwendig. Dies betrifft beispielsweise die Bestimmungen über Dokumentenlenkung oder das Organigramm der Organisation, zum Beispiel hinsichtlich des Beauftragten der obersten Leitung. Alle übrigen Prozesse bleiben bis auf ein Detail unverändert: Dies betrifft mögliche Wechselwirkungen des einzelnen Prozesses mit dem Risikomanagementprozess. Dies kann sich zum Beispiel auf die Erhebung von Zahlen, Daten und Fakten sowie ihre Weiterleitung und Aufbereitung beziehen.

Der Risikomanagement-Prozess besteht aus den Teilprozessen Systemdefinition, Risikobeurteilung, Risikobewältigung und Risikoüberwachung. In der Praxis sind hier je nach Unternehmensgröße ein bis vier Verfahrensanweisungen mit einigen Formblättern und Arbeitsanweisungen erforderlich.

Stärken und Schwächen

Wesentliche Stärken der ONR 49001 sind ihre Einfachheit, ihre Verständlichkeit und ihre praktischen Anwendbarkeit. Sie ist ohne weiteres in allen möglichen Organisationen umfassend anwendbar. Insgesamt vier weitere ON-Regeln runden das Risikomanagement-Regelwerk ab. Die wichtigsten sind die ONR49002-1 und die ONR 49003. In der ON-Regel 49002-1 „Leitfaden für das Risikomanagement“ werden die einzelnen Schritte des Risikomanagement-Prozesses praxisnah dargestellt. Dabei wird auf alles überflüssige verzichtet, so dass der Praktiker eine brauchbare Hilfe für den Alltag hat. So werden brauchbare Hinweise für eine funktionierende Risikobeurteilung gegeben. Die auf der Balanced Scorecard beruhende Einteilung einer Gefahrenliste ist eine wertvolle Grundlage. Die Gefahrengebiete sind dabei:

  • strategische Gefahren – Kunden und Produkte,
  • Gefahren für operative Prozesse,
  • finanzielle Gefahren sowie
  • Management,Mitarbeiter, Know-how-Gefahren.

In einzelnen Bereichen könnte diese Einteilung sicherlich noch klarer und tiefgreifender aufbereitet werden.Dennoch ist sie eine erste brauchbare und umfassende Liste. Im Sinne von Vollständigkeit und Wesentlichkeit ist sie auf alle Fälle für jeden einzelnen Fall zu überarbeiten, zu vertiefen und zu ergänzen.

Die ON-Regel 49003 „Anforderungen an die Qualifikation des Risikomanagers“ legt großen Wert auf Methodenkompetenz. Jedoch werden überwiegend technisch orientierte Werkzeuge wie FTA oder HAZOP erwähnt. Szenarioanalyse, Delphi-Technik sowie Frühwarnsysteme und andere eher kaufmännisch orientierte Tools fehlen in der Aufzählung.

Zu kurz kommen in allen fünf Normen die Bewältigungsmaßnahmen. Eine Systematik und vertiefende Beispiele hierzu sind sicherlich für viele hilfreich. Ebenfalls fehlen eine Bibliographie bzw.Hinweise auf andere Normen, vor allem auch in Bezug auf Risikobewöltigungsmaßnahmen. So hätte man einen Verweis auf die ISO 17799 „IT-Sicherheit“ oder auf die australische HB 141 „Risk financing guidelines“ aufnehmen können. Letzteres wäre gerade für Deutschland interessant, weil hier einfachste Methoden zur Erhöhung des Eigenkapitals auf Grund des Universalbankenprinzips sogar bei Kaufleuten vielfach unbekannt sind.

Jörg Stottrop, Köln
QZ Jahrgang 50 (2005) 9

 

Akueller Hinweis in 2017:

Inzwischen gibt es die DIN EN ISO 31000 Risikomanagement.