Risikomanagement Vorgaben durch internationale und europäische Normen FH-Prof. Martin Langer, FH Campus Wien Wien, 30. November 2010
Fragestellungen ISO 31000
Was ist Risiko?
Beispiele aus der Praxis
Hintergründe Normung
Eine Norm ist eine qualifizierte Empfehlung kein Gesetz ist öffentlich zugänglich wird im Konsens nach international anerkannten Verfahren erstellt beruht auf Ergebnissen von Wissenschaft, Technik & Praxis zielt auf größtmöglichen Nutzen für alle wird von einer anerkannten Normungsorganisation zur allgemeinen und wiederkehrenden Anwendung angenommen
Wieviele Normen gibt es Europäische Normen haben heute unter den knapp 22 000 in Österreich gültigen ÖNORMEN bereits einen Anteil von mehr als drei Viertel. Europäische Normen müssen grundsätzlich in die nationalen Normenwerke der Mitgliedsorganisationen des CEN (Europäisches Komitee für Normung) übernommen werden. Damit gelten dann in 30 Ländern zu einem Thema die gleichen Bestimmungen, Anforderungen oder Prüfverfahren. Im Rahmen der Erweiterung der Europäischen Union wächst auch die Zahl der CEN Mitglieder, womit sich die Zahl der Staaten, in denen europäische Normen zur Anwendung kommen, laufend erhöht.
ÖNormen sind bundesweit geltende Empfehlungen die Einhaltung ist zwar nicht zwingend erforderlich - wenn nicht durch die Behörde verpflichtend vorgeschrieben (gesetzlich, per Bescheid) oder von Vertragspartnern vertraglich festgelegt aber auf Grund des darin enthaltenen Wissens und des demokratisch legitimierten Verfahrens bei ihrer Erstellung dringend empfohlen
Normen ein weltumspannendes Netz Europäisch CEN Europäisches Komitee für Normung www.cenorm.be CENELEC Europäisches Komitee für elektrotechnische Normung www.cenelec.org International ISO Internationale Organisation für Normung www.iso.org IEC Internationale Elektrotechnische Kommission www.iec.ch
Wer macht Normen Normen macht nicht das Österreichische Normungsinstitut Normen kommen nicht aus Brüssel oder Genf Normen werden von jenen erarbeitet, die sie benötigen - Wirtschaft - Verwaltung - Wissenschaft/Prüfstellen - Verbraucher Erreichung der Ziele durch Harmonisierung
Wer ist in Österreich für Normung im Bereich Chancen- und Risikomanagement zuständig?
Eine Rückschau ONK 246 (2003) Komittee AG01 Terminologie AG02 Human Factor AG03 Wirtschaft AG04 Technik AG05 Einsatzorganisationen
Heutige Struktur (2010)
Aufgabenbereich ONK 252 Aufgabe ist die Erarbeitung von ÖNORMEN für die Bereiche: Risk Management Corporate Security Policy Security Management Safety Management Business Continuity Management Corporate Intelligence und die Wahrnehmung der Funktion als Spiegelgremium für ISO/TMB WG Risk Management und CEN/BT WG 160 Risk Assessment.
Mitwirkende ONK 252 Bundeskanzleramt (Ö) OMV Mondi Business Paper AG Krankenanstaltenverband Post Wirtschaftskammer Österreich Linz AG Salzburg AG Verbund AG Bank Austria Unicredit FH Campus Wien Flughafen Wien AG Raiffeisen Ware Austria Raiffeisen Holding Arbeiterkammer Bundesministerium für Landesverteidigung und Sport Siegl, Füreder und Partner Erste Bank Grazer Stadtwerke AG Etc.
Normen im Risikomanagement
Normen, für die das ONK 252 verantwortlich ist ONR 49000:2010 ff. Risikomanagement für Organisationen und Systeme - Begriffe und Grundlagen - Anwendung von ISO/DIS 31000 in der Praxis (Österreich 2010) ÖNorm S2410:2010 Chancen- und Risikomanagement, Analyse und Maßnahmen zur Sicherung der Ziele von Unternehmen und Organisationen (Österreich 2010) ISO 31000:2010 Risk Management Guidelines for principles and implementation of risk management (ISO 2010)
Weitere Normen (Auszug) IEC Guide 73:2009 Risk Management Vocabulary - Guidelines for use in standards (international 13. November 2009) COSO ERM Enterprise Risk Management - Integrated Framework (USA 2004) AS/NZS 4360:2004 Risk Management (Australien, Neuseeland 2004) ISO/IEC 27005 - Information security risk management (international, 30. Juni 2008)
COSO Committee of Sponsoring Organizations of the Treadway Commission (COSO) Wirtschaftsprüfer USA Ziel: Verbesserung der Finanzberichterstattung durch ethisches Handeln, wirksame interne Kontrollen, gute Unternehmensführung Berufständische Leitlinien, angelehnt an COSO Internal Control Framework, 2004 Veröffentlichung COSO ERM - Enterprise Risk Management Framework stark Corporate Governance- bzw. revisions- & wirtschaftsprüfungsorientiert 125 Seiten
AS/NZS 4360:2004 Risk Management Ältester RM-Standard, universell anwendbar branchenunabhängig Erstmals 1995 veröffentlicht Richtet sich vor allem auf Organisationen, aber auch auf Systeme (technische Systeme = komplexe Produkte und Anlagen) Hoher Bekanntheitsgrad außerhalb der USA, besonders auch in Fernost systematischer und pragmatischer Ansatz konzentriert sich auf den Prozess Risikomanagement 28 Seiten
ONR 49000:2010 Mehrteilige Normenfamilie Integration als Managementsystem System- & Personenzertifizierung möglich Nunmehr Anwendungsleitfaden für ISO 31000 Erweiterung um Thema Krisenmanagement und Business Continuity Management im Gegensatz zu ISO 31000 90 Seiten
ÖNorm S2410:2010 Angelehnt an die ONR 49000 und ISO 31000 Fokus KMU bis hin zu EPU Trennung allgemeinen Risikobegriff in Chance und Risiko und damit erstmals bewusstes Auseinandersetzen mit Potentialen und Chancen 36 Seiten
ISO 31000:2010 Allgemeiner Ansatz für systematisches, transparentes und glaubwürdiges Risikomanagement - Jede Art von Risiko - Jeder Anwendungsbereich - Jeder Kontext Die Rolle und Verantwortung des Managements wird in der ISO 31000 besonders hervorgehoben. ISO 31000 ist eine Guideline, soll also nicht zertifiziert werden (hier gab es große Widerstände). ISO 31000 ist Best Practice und damit Benchmark für Organisationen, die ein ERM einführen und betreiben wollen. 42 Seiten
Ausbildungen, Herausforderungen und Zusammenfassung
Zusammenfassung Risikomanagement entwickelt als Begriff aus der Finanzwirtschaft zum allgemeinen Begriff Wir leben in einer Risikogesellschaft Wird sich die ISO 31000 etablieren und durchsetzen? Wie können wir unsere Systeme verbessern? (z.b. Truthahnproblem)
Herzlichen Dank für Ihre Aufmerksamkeit
Kontakt FH-Prof. DI Martin Langer Studiengangsleiter Leiter Fachbereich Risikound Sicherheitsmanagement Fachhochschule FH Campus Wien Favoritenstrasse 226 1100 Wien T: +43 1 606 6877 2150 F: +43 1 606 6877 2159 E: martin.langer@fh-campuswien.ac.at