Risikomanagement für Organisationen und Systeme. Risk Management for Organisations and Systems. ASI:D Fachinformation 06. Technical Information

Transkript

1 Institute Risikomanagement für Organisationen und Systeme Risk Management for Organisations and Systems Executive Summary Zusammenstellung Compilation by: Austrian Standards Institute, Arbeitskreis W 1113 in Zusammenarbeit mit in cooperation with Netzwerk Risikomanagement (Risk Management Network) Deutsch: Seite 2 bis 11 English: pages 12 to 21 Komitee-Manager Dipl.-Ing. Josef Winkler josef.winkler@as-institute.at ASI 2010 ASI:D Fachinformation 06 Technical Information Fachinformation Risikomanagement 1

2 Inhalt Einleitung Einleitung 2 ON-Regel ONR Begriffe und Grundlagen 4 Grundlagen 5 Zusammenwirken mit anderen Führungsinstrumenten 5 ON-Regel ONR Risikomanagement 6 Systemischer Ansatz 6 Risikomanagement-System 6 Risikomanagement-Prozess 6 ON-Regel ONR Einbettung in das Managementsystem 7 Wechselwirkung mit Kernprozessen der Organisation 7 Nahtstellen zu anderen Management-Teilsystemen 7 ON-Regel ONR Methoden der Risikobeurteilung 8 ON-Regel ONR Krisen und Kontinuitätsmanagement 9 Notfall- und Krisen-Szenarien 9 Krisenstab und der Krisenmanagement-Prozess 9 Kontinuitätsmanagement 9 ON-Regel ONR Anforderungen an die Qualifikation des Risikomanagers 10» Gut zu wissen!«11 Die ON-Regeln zum Risikomanagement im Überblick 11 Bestellmöglichkeiten 11 Ausbildung zum Risikomanager 11 Risikomanagement hat zum Ziel, die Unsicherheit von Entscheidungen zu vermindern, die Zielerreichung von Organisationen zu verbessern und die Sicherheit von Systemen zu erhöhen. Die Anwendungsgebiete von Risikomanagement sind vielfältig: Die international anerkannten Grundsätze der Führung von Unternehmen und Organisationen (Corporate Governance) bezeichnen das Risikomanagement als Verantwortung der obersten Organe. Branchen- und sektorspezifische Gesetze und Normen verweisen auf das Risikomanagement, um die Sicherheit von exponierten Personengruppen wie Konsumenten, Patienten und Mitarbeitern zu gewährleisten und den internationalen Warenaustausch zu erleichtern. Die Aufsichtsgesetze für Banken und Versicherungen fordern, dass die Eigenmittel nach Maßgabe des gegebenen Gesamtrisikos der Geschäftstätigkeit bestimmt werden müssen. Für all diese Anwendungsgebiete sind umfangreiche Grundlagen, insbesondere terminologischer und konzeptioneller Art bereits erarbeitet worden. In der internationalen Normung sind Bestrebungen im Gang, ein gemeinsames Verständnis für die Anwendung und Umsetzung des Risikomanagements zu schaffen. Dazu sind nicht nur ein einheitlicher Prozess und anerkannte Methoden erforderlich, um die Risiken zu beurteilen, zu bewältigen und zu überwachen. Es ist auch darzulegen, wie das Risikomanagement als Verantwortung der obersten Leitung und der Führungskräfte von Organisationen wahrgenommen, getragen und in das Managementsystem eingebettet werden soll. Austrian Standards Institute hat 2004 mit der ersten Ausgabe der ON-Regeln ONR ff. Risikomanagement für Organisationen und Systeme die Initiative für ein umfassendes Regelwerk zum Risikomanagements ergriffen. Mit der dritten Ausgabe der ON-Regeln im Jahr 2010 werden die inzwischen international erfolgten Normungsarbeiten zum Risikomanagement integriert und die gewonnenen Erfahrungen in der Anwendung der ON-Regeln berücksichtigt. Zudem beinhaltet ein vollständiges Risikomanagement auch das Krisen- und Kontinuitätsmanagement. Die ON-Regeln Risikomanagement für Organisationen und Systeme bestehen aus folgenden Teilen: Risikomanagement für Organisationen und Systeme Begriffe und Grundlagen (ONR 49000) Risikomanagement für Organisationen und Systeme Risikomanagement (ONR 49001) Risikomanagement für Organisationen und Systeme Teil 1: Leitfaden für die Einbettung des Risikomanagements in das Managementsystem (ONR ) Risikomanagement für Organisationen und Systeme Teil 2: Leitfaden für die Methoden der Risikobeurteilungen (ONR ) Risikomanagement für Organisationen und Systeme Teil 3: Leitfaden für das Krisen- und Kontinuitätsmanagement (ONR ) Risikomanagement für Organisationen und Systeme Anforderungen an die Qualifikation des Risikomanagers (ONR 49003). ASI:D Fachinformation 06 2 ASI:D Technical Information 06

3 Institute Teile der ersten Ausgabe der ON-Regeln ONR 49000:2004ff. sind in den neuen Standard ISO Risk Management Principles and Guidelines for Implementation, eingeflossen. Dieser gibt generische Grundsätze und Richtlinien für die Anwendung des Risikomanagements vor. Die neuen ON-Regeln ONR 49000:2010 ff. sollen die Abstimmung mit dem neuen Standard ISO sicherstellen und insbesondere aufzeigen, wie er in der Praxis anzuwenden ist. Die ON-Regeln Risikomanagement für Organisationen und Systeme beabsichtigen im Besonderen, einen praxisbezogenen Rahmen für das Risikomanagement zu schaffen, um es auf Organisationen, Unternehmen, Systeme, Produkte, Prozesse, Dienstleistungen und Projekte anwenden zu können, Bild 1 ON-Regeln Risikomanagement ONR 49000:2008 ff. die Begriffe und Grundlagen (ONR 49000), welche auch die Ziele und die Grundsätze des Risikomanagements nach ISO enthalten, zu beschreiben, um ein möglichst einheitliches Verständnis von Risikomanagement zu schaffen, das Risikomanagement (ONR 49001) darzustellen, einerseits mit dem organisatorischen Rahmen als Risikomanagement-System, welches sich mit der Planung, der Umsetzung, der Bewertung und der andauernden Verbesserung befasst. Andererseits wird der Risikomanagement- Prozess als Grundlage für eine wirksame Risikobeurteilung und Risikobewältigung mit all seinen Besonderheiten und Anwendungen aufgezeigt. die Möglichkeiten zu schaffen, das Risikomanagement- System von einer externen Stelle begutachten bzw. anerkennen zu lassen, die Einbettung des Risikomanagements in ein vorhandenes Managementsystem (ONR ) aufzuzeigen und zu erleichtern oder die Schaffung eines gegebenenfalls eigenständigen Risikomanagement-Systems zu unterstützen, die Methoden der Risikobeurteilung (ONR ) für die konkrete Anwendung des Risikomanagement-Prozesses zu vermitteln, das Krisen- und Kontinuitätsmanagement (ONR ) als Bestandteil des Risikomanagements, bzw. der Risikobewältigung, vollständig zu integrieren und eine Grundlage für die Ausbildung und Zertifizierung des qualifizierten Risikomanagers (ONR 49003) zu schaffen. Die ON-Regeln selbst können keine Gewissheit geben, dass sämtliche Risiken einer Organisation erkennbar sind oder durch die Anwendung der Regeln tatsächlich erkannt worden sind. Die ON-Regel ONR 49000:2010 wurde vom Arbeitskreis W 1113 von Austrian Standards Institute in Zusammenarbeit mit dem Netzwerk Risikomanagement erstellt. ASI:D Fachinformation 06 3 ASI:D Technical Information 06

4 ONR Begriffe und Grundlagen Nachstehend werden die wichtigsten Begriffe, die im ON-Regelwerk verwendet werden, zusammengefasst: Risiko Auswirkung von Unsicherheit auf Ziele. Der Begriff Risiko umfasst folgende Gesichtspunkte: die Auswirkungen können positiv oder negativ sein, die Unsicherheit bzw. Ungewissheit wird mit Wahrscheinlichkeiten geschätzt bzw. ermittelt, die Ziele der Organisation oder des Systems umfassen strategische, operationelle oder finanzielle Ziele, die Sicherheit von Menschen, Sachen und der Umwelt ( safety, security ) genauso wie andere Ziele und Risiko ist eine Folge von Ereignissen oder von Entwicklungen. Auswirkung Ausgang eines Ereignisses oder einer Entwicklung, welcher die Ziele beeinträchtigt Ein Ereignis oder eine bestimmte Veränderung von Umständen (Entwicklung) kann zu vielfältigen Auswirkungen führen. Eine Auswirkung kann gewiss oder ungewiss sein und sich positiv (Gewinn, Vorteil, Nutzen) oder negativ (Verlust, Nachteil, Schaden) auf Ziele einer Organisation auswirken. Auswirkungen können quantitativer oder qualitativer Art sein. Zu den besonderen Auswirkungen von Risiken zählen Personen-, Sach- und Vermögensschäden, unabhängig davon ob und wie sie versichert werden können. Krisenmanagement Koordinierte Tätigkeiten, die eine Organisation ausführen muss, um drohende oder bereits eingetretene Krisen zu bewältigen In der englischen Sprache wird für das Krisenmanagement auch der Begriff response verwendet, um darzustellen, dass die Organisation schnell auf die eingetretenen Notfälle reagieren muss. Kontinuitätsmanagement Teilbereich des Risikomanagements mit der Aufgabe, die operationellen Betriebsfunktionen bei Unterbrechung oder Verlust möglichst rasch wieder zu erlangen. In der englischen Sprache wird für das Kontinuitätsmanagement auch der Begriff recovery verwendet, um darzustellen, dass die durch ein Risiko verlorenen Betriebsfunktionen wieder erlangt werden müssen. Risikomanagement-System Elemente des Managementsystems einer Organisation mit der Aufgabe, Risiken zu bewältigen. Wahrscheinlichkeit Relative Häufigkeit zukünftiger Ereignisse oder Entwicklungen (objektives, statistisches Verständnis) Unsicherheit von Aussagen, bei denen kausale Zusammenhänge und Hintergründe nur unvollständig bekannt sind bzw. Grad an persönlicher Überzeugung betreffend den Eintritt eines Ereignisses oder einer Entwicklung (subjektives Verständnis). Die Wahrscheinlichkeit eines Risikos kann sich auf eine Periode (zb Jahreswahrscheinlichkeit) oder auf eine Anzahl von Fällen (Fall-Wahrscheinlichkeit) beziehen. Oft wird an Stelle der Wahrscheinlichkeit eines Risikos die Häufigkeit verwendet, zb einmal in 100 Jahren. Die Wahrscheinlichkeit dient dazu, Unsicherheit bzw. Ungewissheit zu messen bzw. zu schätzen. Der englische Begriff likelihood, wie er in ISO verwendet wird, umfasst sowohl das objektive als auch das subjektive Verständnis. Risikomanagement Prozesse und Verhaltensweisen, die darauf ausgerichtet sind, eine Organisation bezüglich Risiken zu steuern. Die Umsetzung des Risikomanagements führt zu einer Risikokultur in der Organisation. ASI:D Fachinformation 06 4 ASI:D Technical Information 06

5 Institute Grundlagen In den vergangenen Jahren kam das Risikomanagement vor allem im Zusammenhang mit Arbeitssicherheit, Umweltsicherheit, Produktsicherheit und Produkthaftung (bzw. deren Versicherung) zur Anwendung. Die Sicherheit der Menschen, der Umwelt, der technischen Systeme und der Prozesse steht dabei im Vordergrund des Interesses. Diese einzelnen Anwendungen von Risikomanagement beschränken sich jedoch auf Teilgebiete innerhalb einer Organisation, die meist weder in einen Gesamtrahmen integriert noch untereinander abgestimmt sind. Die Risikobeurteilung und Risikobewältigung in den einzelnen Teilbereichen erfolgen nach dem Bottom-up Ansatz. In jüngster Zeit kommt dem Risikomanagement als Verpflichtung der obersten Leitung und der Führungskräfte im Rahmen der Grundsätze der Führung der Organisation (Corporate Governance) neue Bedeutung zu. Primäre Aufgabe des Risikomanagements ist es, zur Zielerreichung der Organisation beizutragen. Dazu gehören strategische, operationelle, finanzielle Ziele genauso wie Ziele im Bereich der Sicherheit von Menschen und der Umwelt. Das Risikomanagement erfolgt nach dem Top-down Ansatz. Ein integriertes Risikomanagement verbindet und koordiniert den Top-down und den Bottom-up Ansatz. Dadurch wird Risikomanagement zu einem kraftvollen Instrument für die Führung von Organisationen, um die zunehmende Komplexität zu bewältigen. Zusammenwirken mit anderen Führungsinstrumenten Die Führung einer Organisation (Corporate Governance) erfolgt durch die oberste Leitung und durch die Führungskräfte auf verschiedenen Ebenen, die dazu geeignete Instrumente einsetzen. Um die Tätigkeiten aller Führungskräfte und Mitarbeitenden auf gemeinsame Ziele und Verhaltensweisen auszurichten, wird i.d.r. eine Politik der Organisation entwickelt, kommuniziert und umgesetzt. Sie beinhaltet und beschreibt die Ziele, die Strategien, die Instrumente, die Vorgehensweisen, die Bewirtschaftung von Ressourcen und das Verhalten der Mitarbeitenden usw. Managementsysteme ordnen die Steuerungs- und Kontrollmechanismen. Sie betreffen entweder einzelne Teilgebiete zb das Qualitäts-Managementsystem (zb nach ISO 9001ff.), das Umwelt-Managementsystem (zb nach ISO 14001ff.), das Sicherheits- bzw. Arbeitsschutz-Managementsystem (zb nach OHSAS 18001ff.) und das Informationstechnologie-Managementsystem (ISO 27001ff.). Oder sie sollen als integriertes Managementsystem alle Aspekte der Führung ganzheitlich betrachten und die verschiedenen Anforderungen in einer gemeinsamen Struktur zusammenfassen, um Synergien zu nutzen und Ressourcen zu bündeln. Die Management-Informationssysteme haben die Aufgabe, die Tätigkeiten einer Organisation zu messen und die Ergebnisse mit quantitativen/finanziellen Größen darzustellen. Die Finanzplanung und die Finanzkontrolle stellen eine besondere Aufgabe der obersten Leitung der Organisation dar. Dazu werden risikobasierte Interne Kontrollsysteme eingesetzt. Sie bestehen aus systematisch gestalteten organisatorischen Maßnahmen und Kontrollen in der Organisation zur Einhaltung von Richtlinien und zur Abwehr von Schäden. Die Maßnahmen beruhen auf technischen und organisatorischen Aktivitäten und Einrichtungen der internen Kontrolle. Alle Führungstätigkeiten und Aktivitäten der Organisation müssen den gesetzlichen Grundlagen und normativen Anforderungen entsprechen. Bild 2 Risikomanagement umfasst den Top-down- und den Bottom-up-Ansatz Die Anwendung des Risikomanagement erstreckt sich auf Organisationen und Systeme. Organisationen umfassen kleine, mittlere und größere Unternehmen des privaten und öffentlichen Sektors, einschließlich Behörden und Institutionen. Es ist nicht erheblich, ob sie gewinnorientiert ausgerichtet sind oder nicht (zb Non-Profit- Organisationen, Einrichtungen des Gesundheitswesens). Systeme umfassen technische Systeme wie Produkte und Dienstleistungen, Produktionsanlagen, Fabrikationsprozesse, Informationssysteme, Infrastrukturen, Großprojekte usw. Auch soziale Systeme können Gegenstand des Risikomanagements sein. Aufgabe eines integrierten Risikomanagements ist es, einen übergeordneten, offenen und flexiblen Rahmen für seine Anwendung in den verschiedenen Gebieten und Ebenen in Organisationen zu schaffen. Bild 3 Führungsinstrumente einer Organisation Das Risikomanagement-System hat die Aufgabe, Unsicherheiten in allen Bereichen der Organisation zu identifizieren und zu vermindern. Dadurch sollen die Pläne, die Ziele und die Strategien abgesichert werden, indem Fehlentwicklungen und Störpotentiale frühzeitig erkannt und beeinflusst werden können. ASI:D Fachinformation 06 5 ASI:D Technical Information 06

6 ONR Risikomanagement Systemischer Ansatz Viele Organisationen haben das Bedürfnis, die Wirksamkeit ihres Risikomanagement-Systems intern zu überprüfen und/ oder extern anerkennen zu lassen. Dazu ist eine Systematik erforderlich, die die Elemente des Risikomanagement-Systems nachvollziehbar und überprüfbar festlegt. Diese Elemente des Risikomanagement-System sind in der ON-Regel ONR definiert und beschrieben. Voraussetzung für ein wirksames Risikomanagement ist die Ausrichtung auf die Politik, das heißt auf die Ziele und Strategien der Organisation sowie der Auftrag und die Verpflichtung der obersten Leitung und der Führungskräfte, den Risikomanagement-Prozess bei der Führungstätigkeit anzuwenden. Ein wirksames Risikomanagement erfordert das Vorhandensein eines Risikomanagement-Systems, welches den organisatorischen Rahmen und die Tätigkeit des Managements für den Umgang mit den Risiken festlegt. Das Risikomanagement-System schließt den Risikomanagement-Prozess ein. Risikomanagement-System Das Risikomanagement-System umfasst die Elemente des Management-Systems einer Organisation mit der Aufgabe, die Risiken zu bewältigen. Es beschreibt die Führungsaufgabe in einer Organisation und umfasst die Planung, die Umsetzung, die Leistungsbewertung und die laufende Verbesserung, was auch mit den Kurzbegriffen Plan-Do-Check-Act beschrieben werden kann. Die Planung des Risikomanagement-Systems umfasst die Verpflichtung der obersten Leitung und der Führungskräfte, die Risikopolitik, die Rollen und Verantwortungen von Risikoeigener und Risikomanager sowie das Management der Ressourcen im Risikomanagement. Die Umsetzung des Risikomanagements umfasst seine Einbindung in die Entscheidungsprozesse der Organisation sowie die interne und externe Kommunikation des Risikomanagement-Systems. Die Überwachung des Risikomanagement-Systems erfolgt durch interne und externe Audits, welche die Wirksamkeit des Risikomanagements zuhanden der obersten Leitung und der Führungskräfte bewerten. Die Verbesserung führt zu Korrekturund Vorbeugemaßnahmen des Risikomanagement-Systems, um dieses Veränderungen anzupassen oder in der Organisation zu optimieren. Bild 4 Risikomanagement-System Die individuelle Ausprägung der Elemente des Risikomanagement-Systems hängt von der Größe, von der Komplexität, von der Risikoexposition und von der Führung der betrachteten Organisation ab. Die jeweiligen Bedürfnisse der Organisation bezüglich der Ausgestaltung des Risikomanagement-Prozesses und eines Risikomanagement-Systems sind vorgängig abzuklären. Risikomanagement-Prozess Der Risikomanagement-Prozess umfasst die Tätigkeiten, die darauf ausgerichtet sind, eine Organisation bezüglich Risiken zu steuern und zu überwachen. Der Risikomanagement-Prozess besteht aus dem Kernprozess (Zusammenhang erstellen, Risiken identifizieren, Risiken analysieren, Risiken bewerten und Risiken bewältigen) und aus den begleitenden Prozessen (Risiken überwachen, Risiken überprüfen sowie Risiken kommunizieren und Informationen austauschen). Die Umsetzung des Risikomanagement-Prozesses erfolgt mit verschiedenen Methoden der Risikobeurteilung, welche sich in verschiedenen Anwendungsgebieten anwenden lassen, um das Risikomanagement zu verwirklichen. ASI:D Fachinformation 06 6 ASI:D Technical Information 06

7 ONR Einbettung in das Managementsystem Institute Die Organisation muss sicherstellen, dass das Risikomanagement mit ihren Zielen in Einklang steht und möglichst ins bestehende Führungssystem integriert wird. Wo kein formalisiertes Führungssystem vorhanden ist, kann Risikomanagement auch als eigenständiges Teilsystem ausgestaltet werden. Bei dieser Einbettung des Risikomanagement-Systems in die Führung ist der Größe der Organisation, der Risikoexposition, der Führungskultur und den bestehenden Führungsinstrumenten Rechnung zu tragen. Um möglichst viele Synergien zwischen dem Risikomanagement, der Führungstätigkeit und bereits bestehenden Führungsinstrumenten zu schaffen und zu nutzen, sollte der Risikomanagement-Prozess als Führungsprozess verbindlich dargestellt und so angesiedelt werden, dass er übergreifend wirksam sein und auf die möglichen Anwendungsgebiete direkt Bezug nehmen kann. Die Einbettung des Risikomanagements in das Management-System wird anhand des Qualitäts- und Management- Systems nach der Normenfamilie von ISO 9000 ff. dargestellt (Bild 5). Unabhängig davon, ob das Risikomanagement integriert oder selbständig aufgebaut wird, ist es in jedem Fall zweckmäßig, die Anwendung des Risikomanagements in allen relevanten Gebieten, einschließlich der strategischen, operationellen, finanziellen und führungsspezifischen Tätigkeiten, zu berücksichtigen. Zu einem umfassenden Risikomanagement einer Organisation gehören auch das Notfall-, Krisen- und das Kontinuitätsmanagement. Nahtstellen zu anderen Management-Teilsystemen Zwischen dem Risikomanagement und anderen Teilgebieten des Managementsystems sind entsprechenden Verbindungen zu schaffen. Diese erstrecken sich insbesondere auf das Qualitätsmanagement, auf das Umweltmanagement, auf das Arbeitssicherheitsmanagement, auf das Securitymanagement, auf das IT-Sicherheitsmanagement, auf interne Überwachungs- und Kontrollsysteme sowie auf das Versicherungsmanagement. Bild 6 Nahtstellen Risikomanagement zu anderen Teilsystemen Die Verbindungen zwischen dem Risikomanagement und anderen Teilgebieten des Management-Systems bezwecken, die jeweiligen Besonderheiten gegenseitig nutzbar zu machen, um den Gesamtwert des Managementsystems zu erhöhen. Bild 5 Einbettung des Risikomanagements in ISO 9000 ff. Wechselwirkung mit Kernprozessen der Organisation Der Risikomanagement-Prozess kann nicht für sich allein, sondern nur in enger Wechselwirkung mit den Kernprozessen der Organisation bestehen und von den jeweiligen Risikoeignern getragen werden. Die ON-Regel ONR zeigt anhand des Strategie- Entwicklungsprozesses, des Produkt-Entstehungsprozesses und des Projektmanagement-Prozesses auf, wie das Risikomanagement darin konkret zu berücksichtigen und anzuwenden ist. ASI:D Fachinformation 06 7 ASI:D Technical Information 06

8 ONR Methoden der Risikobeurteilung Um den Risikomanagement-Prozess praktisch anzuwenden, steht eine Vielzahl von Methoden zur Verfügung. Dieser Teil des ON-Regelwerks gibt einen Überblick, in dem die jeweilige Methode kurz dargestellt, das Vorgehen bei der Anwendung beschrieben und die Anwendungsgebiete aufgeführt sind. Die Methoden der Risikobeurteilung können in fünf verschiedenen Gruppen eingeteilt werden: Kreativitätstechniken (Brainstorming, Delphi-Technik), Szenario-Analysen (Schadensfall-Analyse, Fehlerbaumund Ablaufanalyse, Szenario-Analyse), Indikatoren-Analysen (Critical Incidents Reporting, Change Based Risk Management), Funktions-Analysen (FMEA; Gefährdungsanalysen, HAZOP, HACCP) und statistische Methoden (Standardabweichung, Konfidenzintervall und Monte Carlo Simulation). Es wird zudem aufgezeigt, wie die Methoden den Risikomanagement-Prozess unterstützen: Methode Prozess Risikomanagement Identifikation Bewertung Bewältigung Auswir- Wahrschein- Risikokungen lichkeit höhe Brainstorming Delphi-Technik Schadensfall-Analyse Fehlerbaum- und Ablaufanalyse Szenario-Analyse CIRS 1) CBRM 2) FMEA 3) Gefährdungsanalyse HAZOP 4) HACCP 5) Standardabweichung Konfidenzintervall Monte Carlo Simulation 1) Critical incident reporting system (CIRS) 2) Change-based risk management (CBRM) 3) Failure mode and effects analysis (FMEA) 4) Hazard and operability study (HAZOP) 5) Hazard analysis and critical control points (HACCP) ASI:D Fachinformation 06 8 ASI:D Technical Information 06

9 ONR Krisen und Kontinuitätsmanagement Institute Das Risikomanagement muss sich mit denjenigen Risiken, die eine Organisation trotz präventiven Maßnahmen plötzlich, unerwartet und schwer treffen können, auseinandersetzen. Dies erfolgt mit dem Notfall- und Krisenmanagement, um bei entsprechenden Ereignissen schnell und richtig zu reagieren. In der englischen Sprache spricht man auch von Response. Auf Notfälle und Krisen muss nicht nur schnell und richtig reagiert werden. Im Vordergrund steht die unverzügliche Wiederherstellung der verlorenen Betriebsfunktionen, um die Wertschöpfung der Organisation sicherzustellen. Man spricht dabei vom Kontinuitätsmanagement (Business Continuity Management, BCM) oder in der englischen Sprache auch von Recovery. Bild 7 Notfall-, Krisen- und Kontinuitätsmanagement Notfall- und Krisen-Szenarien Eine Organisation, die ein Krisen- und Kontinuitätsmanagement einrichtet, muss zuerst die relevanten Notfall- und Krisenszenarien ermitteln und beurteilen. Dazu gehören alle möglichen Schadenereignisse mit schweren Auswirkungen auf die Zielerreichung bis hin zur Existenzsicherung. Die Beurteilung der Schadenereignisse nach Ihrer Auswirkung und Wahrscheinlichkeit erfolgt mit der sogenannten Business Impact Analysis, die eine spezielle Anwendung des Risikomanagement-Prozesses darstellt. Krisenstab und Krisenmanagement-Prozess Da sich in Notfall- und Krisensituationen spezielle Führungs-, Koordinations- und Informationsaufgaben ergeben und ein ungewöhnlicher Zeitdruck herrscht, sollte die oberste Leitung die Vorbereitung und die Reaktion in der Chaosphase dem Notfall-Einsatzleiter und dem Krisenstab delegieren. Für die Vorbereitung trägt indes die oberste Leitung die Verantwortung. Der Notfall- und Krisenorganisation kommt die Aufgabe zu, die relevanten Notfall- und Krisenszenarien zu identifizieren, zu analysieren mögliche Maßnahmen und Verhaltensweisen zu planen und einzuüben. Dadurch sollte im Notfall und in der Krise Zeit gewonnen und Orientierung geschaffen werden. Der Krisenstab arbeitet immer als unterstützendes Führungsgremium. Das Notfall- und Krisenmanagement muss auch funktionieren, wenn die oberste Leitung der Organisation nicht innerhalb angemessener Zeit verfügbar ist. Der Krisenkommunikation kommt bei der Arbeit des Krisenstabs eine besondere Bedeutung zu. In der ON-Regel werden die Grundsätze dargestellt, die in der Krisenkommunikation besonders wichtig sind. Dabei geht es nicht nur im die Kommunikation nach außen, sondern auch um die interne Kommunikation gegenüber den Mitarbeitenden und den Geschäftspartnern. Die Arbeit des Krisenstabs kann nur erfolgreich verlaufen, wenn er regelmäßig, unter Einbezug auch von externen Rettungskräften und evtl. Behörden trainiert und verbessert wird. Kontinuitätsmanagement Das Kontinuitätsmanagement ist Ergebnis vorausgehender Planungen für die Wiedererlangung von verlorenen Betriebsfunktionen und umfasst insbesondere die Ersatzbeschaffung. Ziel ist es, die Leistungserstellung bzw. der Wertschöpfung möglichst rasch wieder zu erlangen. Die Maßnahmen des Kontinuitätsmanagements betreffen Menschen und Mitarbeitende, Räumlichkeiten und Infrastruktur, Anlagen und Einrichtungen, Informationen, Energie und Rohstoffe sowie Lieferanten. Die Risikobewältigung stellt eine Kombination möglicher Maßnahmen zur Erhaltung der Produktionskapazität, zur Sicherung von Lagerbeständen und zum Ersatz betroffener Anlagen und Infrastrukturen dar. ASI:D Fachinformation 06 9 ASI:D Technical Information 06

10 ONR Anforderungen an die Qualifikation des Risikomanagers Organisationen, die das Risikomanagement einführen, betreiben, aufrecht erhalten und verbessern wollen, benötigen dazu Mitarbeitende oder externe Fachleute, die in der Lage sind, die vielfältigen Risiken zu beurteilen und das Risikomanagement in die Organisation einzubetten. Fachleute mit diesen Fähigkeiten werden als qualifizierte Risikomanager bezeichnet, wenn sie diese objektiv nachgewiesen haben. Damit qualifizierte Risikomanager in der Praxis erfolgreich sind, müssen die oberste Leitung und die Führungskräfte der Organisation als Risikoeigener ihre Verpflichtung wahrnehmen und Unterstützung gewähren, um die Wirksamkeit und Nachhaltigkeit des Risikomanagements zu erreichen. Der zertifizierte Risikomanager ist befähigt, in verschiedenen Organisationen wie Unternehmen, Behörden und Verwaltungen, Einrichtungen des Gesundheitswesens u.a.m. die Risiken der Gesamtorganisation sowie die Risiken aus Teilbereichen und Systemen zu erkennen, zu analysieren, zu bewerten, darzustellen und zu dokumentieren. Der Risikomanager muss die Begriffe und Grundlagen des Risikomanagements (ON-Regel ONR 49000), das Risikomanagement-System und den Risikomanagement-Prozess (ON- Regel ONR 49001), die Einbettung in das Managementsystem (ON-Regel ONR ), die Methoden der Risikobeurteilung (ON-Regel ONR ) sowie das Krisen- und Kontinuitätsmanagement (ON-Regel ONR ) verstehen und mitgestalten können. Zudem kann der Risikomanager die Risikoeigner sowie alle Mitarbeitenden der Organisation überzeugen, dass es sich lohnt, Risikomanagement systematisch zu betreiben, die Ergebnisse von Risikobeurteilungen umzusetzen und das Risikomanagement im Managementsystem zu etablieren. ASI:D Fachinformation ASI:D Technical Information 06

11 Gut zu wissen Institute Die ON-Regeln zum Risikomanagement (ONR bis 49003) wurden erstmals mit 1. Jänner 2004 veröffentlicht. Die aktualisierte Neufassung erscheint mit 1. Jänner ONR Risikomanagement für Organisationen und Systeme Begriffe und Grundlagen ONR Risikomanagement für Organisationen und Systeme Risikomanagement ONR Risikomanagement für Organisationen und Systeme Teil 1: Leitfaden für die Einbettung des Risikomanagements in das Managementsystem Teil 2: Leitfaden für die Methoden der Risikobeurteilungen Teil 3: Leitfaden für das Notfall-, Krisen- und Kontinuitätsmanagement ONR Risikomanagement für Organisationen und Systeme Anforderungen an die Qualifikation des Risikomanagers Diese ON-Regeln sind auch in englischer Sprache verfügbar. Bestellung/Info: Austrian Standards plus Publishing Heinestraße 38, 1020 Wien Online: Fax: Tel.: Ausbildung zum qualifizierten Risikomanager Sie wollen Risikomanagement erfolgreich in Ihrem Unternehmen anwenden?»austrian Standards plus Trainings«(AS+T) bietet Ihnen dazu kompetente Ausbildung zum qualifizierten und zertifizierten Risikomanager. Die Absolventen dieses Lehrgangs sind in der Lage Risikomanagement methodisch und inhaltlich umzusetzen, die Risikobeurteilung vorzubereiten, zu moderieren und zu dokumentieren, die Vielfalt der Methoden und Anwendungen der Risikobeurteilung zu überblicken, den Prozess Risikomanagement zu beherrschen, das Risikomanagement-System einzuführen, bedürfnisgerecht zu betreiben, aufrechtzuerhalten und ständig zu verbessern, das Notfalls- und Krisenmanagement zu integrieren, das Kontinuitätsmanagement anzuwenden, das Risikomanagement in das Managementsystem zu integrieren oder als eigenständiges Risikomanagement- System zu betreiben. Für nähere Informationen zu den Lehrgängen und die nächsten Termine stehen Ihnen die Mitarbeiterinnen und Mitarbeiter der»austrian Standards plus Trainings«(AS+T) gerne zur Verfügung: Information und Anmeldung: Austrian Standards plus Trainings Heinestraße 38, 1020 Wien trainings@as-plus.at Online: Fax: Tel.: Außerdem bietet AS+T auch spezielle Lehrgänge für die Ausbildung zum klinischen Risikomanager. ASI:D Fachinformation ASI:D Technical Information 06

12 Content Preface Preface 12 ONR Terms and basics 14 Fundamentals 15 Interaction with other management tools 15 ONR Risk management 16 Systemic approach 16 Risk management system 16 Risk management process 16 ONR Guidelines for embedding risk management in the management system 17 Interaction with core processes of the organisation 17 Relationship to other parts of the management system 17 ONR Guidelines for methodologies in risk assessment 18 ONR Guidelines for emergency, crisis and business continuity management 19 Emergency and crisis scenarios 19 Crisis management and crisis management process 19 Continuity management 19 ONR Requirements for the qualification of the risk manager 20» Good to know!«21 Overview: the ON Rules on risk management 21 Risk management aims at reducing uncertainty in decision making, improving the achievement of objectives by organisations and raising the safety of systems The fields in which risk management is applied are manifold: Internationally recognised principles of corporate governance state that risk management is the responsibility of top management. Industry- and sector-specific legislation and standards refer to risk management to guarantee the protection of exposed groups, such as consumers, patients and employees, and to facilitate international trade in goods. Supervisory legislation for banks and insurance companies stipulates that their capital requirement has to be calculated as a function of the overall risk of business activities. For all those fields of application, comprehensive basic documents, in particular related to terminology and concepts, have already been prepared. In international standardisation, work is under way to create a common understanding for the application and implementation of risk management. This requires not only a harmonised process and recognised methods for assessing, treating and controlling risks, but also specifications on how risk management is to be handled and supported as a responsibility of the top management and executives of organisations and how it is to be embedded into the management system. Austrian Standards Institute took the initiative for preparing a comprehensive body of rules on risk management by issuing the ON Rule series ONR 4900x:2004 Risk management for organisations and systems. The present edition of those ON Rules is to integrate the results of international standardisation work carried out meanwhile and to take account of experiences gained in practical application. Moreover, overall risk management also includes crisis and business continuity management. The ON Rule series on Risk management for organisations and systems is made up of the following parts (see also Figure 1): ONR Risk management for organisations and systems Terms and basics (the present ON Rule) ONR Risk management for organisations and systems Risk management ONR Risk management for organisations and systems Part 1: Guidelines for embedding risk management in the management system ONR Risk management for organisations and systems Part 2: Guidelines for methodologies in risk assessment ONR Risk management for organisations and systems - Part 3: Guidelines for emergency, crisis and business continuity management ONR Risk management for organisations and systems Requirements for the qualification of the risk manager Information and orders 21 Training courses 21 ASI:D Fachinformation ASI:D Technical Information 06

13 Institute Parts from the first edition of the ON Rule series on Risk management for organisations and systems issued in 2004 provided input to the Draft International Standard ISO Risk Management Principles and guidelines for implementation that defines generic principles and guidelines for the application of risk management. The new ON Rule series Risk management for organisations and systems ensures the harmonisation of the ON Rules with ISO and highlights, in particular, its application in practice. In particular, the series of ON Rule on Risk management for organisations and systems intends: to draw up a practice-oriented framework for risk management so that it can be applied to organisations, companies, systems, products, processes, services and projects; to describe the terms and basics (according Figure 1 The ON Rules on Risk management for organisations and systems to ONR 49000) that also cover the objectives and principles of risk management defined in ISO in order to create, as much as possible, a common understanding or risk management; to present risk management (according to ONR 49001), on the hand, within the organisational setting of risk management that covers planning, implementation, assessment and continuous improvements. On the other hand, the risk management process, including all its special features and applications, is highlighted as the basis for effective risk assessment and risk treatment; to open up opportunities for having risk management systems evaluated and certified by a third party; to describe and facilitate the integration of risk management into an existing management system (according to ONR ) or, if appropriate, to support the establishment of an independent risk management system; to present the methods of risk assessment (according to ONR ) for the concrete application of the risk management process; to ensure the complete integration of emergency, crisis and business continuity management (according to ONR ) as an element of risk management and risk treatment; and to create the basis for training and certifying qualified risk managers (according to ONR 49003). These ON Rules alone cannot guarantee that all the risks of an organisation can be recognised or have been actually identified in the application of these Rules. The ON Rule series Risk management for organisations and systems was prepared by the workshop ON-W 1113 of Austrian Standards Institute in cooperation with the Netzwerk Risikomanagement (Risk Management Network). ASI:D Fachinformation ASI:D Technical Information 06

14 ONR Terms and basics For the purposes of this ON Rule, the following definitions apply: Risk Impact of uncertainty on objectives The term risk involves the following aspects: the consequences may be positive or negative; uncertainty is estimated or determined by means of probabilities; the objectives of the organisation or system include strategic, operational or financial objectives, the safety and security of people, objects and the environment as well as other objectives; and risk is a consequence of events or changes of circumstances. Business continuity management Part of risk management with the task of restoring operational functions in case of interruptions or losses as quickly as possible. In English, the term recovery is also used for business continuity management in order to point out that operational functions lost on account of a risk needed to be restored. Risk management system Elements of an organisation s management system concerned with managing risk. Consequence Outcome of an event or change of circumstances that affects the objectives An event or a certain change of circumstances (development) may have manifold consequences. Consequences may be certain or uncertain and affect the objectives of an organisation in a positive (profits, advantages, benefits) or negative way (loss, disadvantage, damage). Consequences may be quantitative or qualitative in nature. The consequences of risks include, in particular, personal injury and material damage irrespective of the fact whether and how these can be covered by taking out insurance. Probability Relative frequency of future events or changes of circumstances (objective, statistical meaning) Uncertainty of statements for which causal relationships and background information are not fully known or the extent of personal conviction with regard to the occurrence of an event or a change of circumstances (subjective meaning). The probability of a risk may be related to a period of time (e.g. annual probability) or to a number of cases (incident probability). Instead of probability, frequency is often used, e.g. once in 100 years. Probability serves for measuring or estimating uncertainty. The English term likelihood used in ISO covers both the objective and subjective meaning. Risk management Processes and practices to direct and control an organisation with regard to risk The implementation of risk management results into the risk culture of the organisation. Crisis management Co-ordinated activities to be performed by an organisation in order to cope with crises that are imminent or that already occurred In English, the term response is also used for crisis management in order to point out that the organisation has to react quickly to a crisis that occurred. ASI:D Fachinformation ASI:D Technical Information 06

15 Institute Fundamentals In past years, risk management was mainly applied in the context of safety at work, environmental safety, product safety and product liability (and related insurance). Here, the focus is on the safety of people, the environment, technical systems and processes. These individual applications of risk management, however, are restricted to sub-fields within an organisation and, in most cases, are neither integrated into an overall framework nor co-ordinated among each other. In these individual sub-fields, risk evaluation and risk treatment is performed in a bottom-up approach. More recently, risk management has gained new importance as an obligation of the top management and executives within the framework of corporate governance. The primary task of risk management is to contribute to the achievement of an organisation s objectives. These include strategic, operational and financial objectives as well as objectives related to the safety of people and environment. A top-down approach is used for risk evaluation and risk treatment. Integrated risk management combines and co-ordinates the top-down approach and the bottom-up approach (according to Figure 2). Thereby, risk management, becomes a Interaction with other management tools The corporate governance of an organisation (according to Figure 3) is implemented by the top management and executives at various levels who use appropriate tools for that purpose. As a rule, the organisation develops, communicates and implements a policy to align the activities of all executives and employees to common objectives and practices. This policy specifies and describes the objectives, strategies, tools, procedures, management of resources, conduct of employees, etc. Management systems regulate controls. They either relate to individual sub-fields, e.g. a quality management system (see also ÖNORM EN ISO 9001), an environmental management system (see also ÖNORM EN ISO 14001), an occupational health and safety management system (see also OH- SAS 18001) and an information technology management system (see ISO 27001), or they are integrated management systems that have the purpose of providing an integral view of all aspects of management and of summarising the different requirements in a common structure in order to exploit synergies and pool resources. Management information systems have the task of measuring the activities of an organisation and presenting the results by means of quantitative/financial indicators. Financial planning and financial control are a special task of an organisation s top management. Risk-based internal control systems are used for that purpose. They consist of systematically designed organisational measures and controls within the organisation to ensure compliance with guidelines and to prevent damage. The measures are based on technical and organisational activities and facilities of international control. All the management and other activities of the organisation have to be in line with the legal bases and normative requirements. Figure 2 Risk management covers the top-down and the bottom-up approach powerful tool for managing organisations in order to cope with increasing complexity. Risk management is applied to organisations and systems. Organisations include small, medium-sized and bigger enterprises of the private and public sectors, including public authorities and institutions. It is irrelevant whether they are profit-oriented or not (e.g. non-profit organisations, health care institutions). Systems include technical systems, such as products and services, production facilities, manufacturing processes, information systems, infrastructure, large-scale projects, etc. Risk management may also be applied to social systems. The task of integrated risk management is to create a highlevel, open and flexible framework for its application in various fields and at different levels in organisations. In this context, harmonised terminology and defined processes support the top management, executives and all employees concerned. Figure 3 Management tools of an organisation The risk management system is to identify and reduce uncertainty in all spheres of an organisation. This is to safeguard the plans, objectives and strategies by recognising and influencing negative developments and failure potentials at an early stage. ASI:D Fachinformation ASI:D Technical Information 06

16 ONR Risk management Systematic approach Many organisations have a need to check internally the effectiveness of their risk management system or have it certified by external bodies. This requires a scheme that defines the elements of the risk management system in a traceable and verifiable way. These elements of the risk management system are laid down and described in the ON Rule (ONR 49001). Effective risk management requires orientation to policy, i.e. to the objectives and strategies of the organisation, a mandate and commitment of the top management and executives to applying the risk management process in management activities. An effective risk management demands the availability of a risk management system, which determines the organisational framework and the action of the management concerning the handling of risks. Risk management system The risk management system is made up of the elements of the management system of an organisation having the task of treating risks. It describes the management function in an organisation and planning, implementation, performance assessment and continuous improvement, which can also be described by the concise model of Plan-Do-Check- Act. The planning of risk management systems enfolds the commitment of the top leadership and of the senior management, policy towards risk, parts and responsibility of risk owner and risk manager as well as the management of the resources at risk management. The implementation of risk management enfolds the integration in the decision process of organisations as well as the internal and external audits, which estimate the effectiveness of risk management for the attention of top leadership and senior management. The improvement leads to corrective and preventive measures of risk management systems, for customising the variances or to optimise it in the organisation. Figure 4 Risk management systems The actual from of the elements of a risk management system depends on the size, complexity, risks exposure and management of the organisation concerned. The relevant need of the organisation related to the design of the risk management process and risk management system have to be clarified in advance. Risk management process The risk management process includes those activities designed to direct and control an organisation with regard to risks. Here, the focus is on establishing the context, risk identification, risk analysis, risk evaluation and risk treatment accompanied by risk communication and risk control. The realisation of the risk management process results with different methods of risk evaluation, which may be adopted in various application areas, to implement risk management. ASI:D Fachinformation ASI:D Technical Information 06

17 Institute ONR Guidelines for embedding risk management in the management system The top management and executives of an organisation have to make sure that risk management is effective, in line with the objectives of the organisation and integrated into the existing management system or established as a separate sub-system. When embedding the risk management system in the management, account has to be taken of the size of the organisation, its risk exposure, management culture and existing management tools. To create and exploit as many synergies as possible among risk management, management activities and existing management tools, the risk management process should be presented as a binding management process and positioned in such a way that it can function in a horizontal fashion and directly refer to possible fields of application. The guidelines for embedding risk management in the management-system are illustrated by the quality- and management system of ISO 9000 (Figure 5). No matter whether risk management is integrated or independent, it is useful at any rate to take account of its application in all relevant areas, including strategic, operational, financial and managerial activities. Comprehensive risk management also involves emergency, crisis and business continuity management in an organisation. Relationship to other parts of the management system Appropriate links have to be established between risk management and other parts of the management system. In particular, these relate to quality management, environmental management, occupational safety management, security Figure 6 Interface between risk management and other management systems management, IT security management, internal monitoring and control systems as well as insurance management. The purpose of these links between risk management and other parts of the management system is to derive mutual benefits from their specific strengths in order to raise the overall value of the management system. Figure 5 Risk management as a management responsibility in the process model of ISO 9000 Interaction with core processes of the organisation The risk management process can not alone, but only in close interaction with core processes of the organisation exist and has to be carried by the risk owners. The ON-Rule ONR shows with the strategydevelopment process, product origination process and project-management process, how risk management therein has to be considered and used. ASI:D Fachinformation ASI:D Technical Information 06

18 ONR Guideline for methodologies in risk assessment To apply the risk management process in practice, there is a variety of methods available. This part of the ON rules gives an overview, in which each method is presented briefly, the procedure is described in the application and the applications are listed. The methods can be divided into five groups: creativity techniques (Brainstorming, Delphi method), scenario analyses (Root cause analysis, Fault tree- and event tree analysis, scenario analysis), indicator analyses (Critical Incident Reporting System Chance Based Risk Management) functional analyses (FMEA; Hazard analysis, HAZOP; HACCP) and statistical methods (Standard deviation, Confidence interval and Monte Carlo Simulation). Also it is shown, how individual methods support this process. Method Risk management process Identification Evaluation Treatment Conse- Proba- Level of quences bility risk Brainstorming Delphi method Root cause analysis Fault tree & event tree analysis Scenario Analysis CIRS 1) CBRM 2) FMEA 3) Hazard analysis HAZOP 4) HACCP 5) Standard deviation Confidence interval Monte Carlo simulation 1) Critical incident reporting system (CIRS) 2) Change-based risk management (CBRM) 3) Failure mode and effects analysis (FMEA) 4) Hazard and operability study (HAZOP) 5) Hazard analysis and critical control points (HACCP) ASI:D Fachinformation ASI:D Technical Information 06

19 ONR Guidelines for emergency, crisis and business continuity management Institute Risk management has to deal with those risks that may suddenly, unexpectedly and severely hit an organisation in spite of preventive measures. This is done in emergency and crisis management in order to ensure that an organisation adequately and quickly responds to emergencies and crises. However, an adequate and quick response to emergencies and crises is not enough. The focus is on restoring the operational functions without delay to ensure the organisation s value creation. This is the task of business continuity management (BCM) and recovery. Figure 7 Emergency, crisis and business continuity management Emergency and crisis scenarios An organisation that set ups a crisis and business continuity management has at first to determine and to judge the relevant emergency and crisis scenarios. That means all kinds of loss events with great impact to the target achievement up to the point of preventive existential measures. The evaluation of the loss events after their influence and probability results with the Business Impact Analysis, which is a special implementation of the risk management process. Crisis management and crisis management process The top management and executives of the organisation are responsible for preparing for emergency and crisis management as well as for coping with concrete emergency and crisis situations within the framework of risk management. As special leadership, co-ordination and information tasks arise in emergency and crisis situations and as pressure of time is extraordinarily high, the top management should delegate preparations and response in the chaos phase to an emergency operation leader and a crisis management team. The top management bears the responsibility for preparations. The emergency and crisis organisation has the task to identify and analyse the relevant emergency and crisis scenarios, to plan possible measures and to conduct exercises. This should save time and provide for orientation in emergencies and crises. The crisis management team always works as a leading body supporting the top management. Emergency and crisis management also has to function when the top management is not available within a reasonable period of time. Crisis communication has a specific relevance in the work of the crisis management. In the ON-Rule fundamentals are illustrated, which are very important for crisis communication. Thereby it s not just about communication towards external, but also about the internal communication compared to employees and to business partners. The work of the crisis management can only be successful, if it is trained and improved regularly, considering external rescue teams and optionally public authorities. Continuity management Business continuity management is the result of forward planning for restoring lost operational functions and, in particular, involves replacement procurement. The objective is to restore production and value creation as quickly as possible. The measures of business continuity management relate to people and employees, premises and infrastructure, plants and equipment, information, energy and raw materials as well as suppliers. Risk treatment is a combination of possible measures to maintain production capacity, to secure stocks and to replace plants and infrastructures affected. ASI:D Fachinformation ASI:D Technical Information 06

20 ONR Requirements for the qualification of the risk manager Organisations wishing to introduce, implement, maintain and improve risk management need employees or external experts who are able to assess manifold risks and embed risk management into the organisation. Experts who demonstrably have these skills and competence are referred to as qualified risk managers. For qualified risk managers to be successful in practice, the organisation s top management and executives, being risk owners, have to comply with their commitment and provide support. A certified risk manager is capable of identifying, analysing, evaluating, representing and documenting the risks of an entire organisation as well as its parts and systems in diverse organisations such as companies, public authorities and administrations, health care institutions, etc. A risk manager shall understand and be able to contribute to: the terms and principles of risk management (according to ONR 49000), the risk management system and the risk management process (according to ONR 49001), the embedding into the management system (according to ONR ), the methods of risk assessment (according to ONR ), and emergency, crisis and business continuity management (according to ONR ). Moreover, the risk manager should convince the risk owners and all employees of the organisation that it is worthwhile to engage systematically in risk management, to implement the results of risk assessments and to introduce risk management into the general management system. ASI:D Fachinformation ASI:D Technical Information 06