16
Mittelständische, überwiegend eigentümerge-
führte Unternehmen stehen bei dem Vorhaben,
ein effizientes Risikomanagement-System zu
implementieren, oft ohne einen Bezugs- oder
Orientierungsrahmen da. Anders als bei stark
gesetzlich reglementierten Rechtsformen, wie
der Aktiengesellschaft, besteht für die Unter-
nehmen keine explizite gesetzliche Pflicht zur
Einrichtung eines Risikofrüherkennungs- oder
Risikomanagementsystems.
1
Mindestanforde-
rungen können sich allenfalls aus den Sorg-
faltspflichten der Geschäftsführung oder der
Ausstrahlungswirkung von Regelungen des
AktG oder des HGB ergeben.
Qual der Wahl
Als Bezugs- oder Orientierungsrahmen zur Im-
plementierung eines Risikomanagementsys-
tems bieten sich daher nationale wie internatio-
nale Risikomanagementstandards an. In der Ri-
sikomanagement-Literatur vielfach diskutiert
werden die von nationalen Standardsettern ent-
wickelten US-amerikanischen Standards COSO
Enterprise Risk Management, der australisch/
neuseeländische Risikomanagementstandard
AS/NZS 4360 oder die österreichische Norm
ONR 49000.
2
Seit 2010 hat sich in diesem
Kontext die internationale Normenfamilie
„ISO 31000 Risk Management“ etabliert
,
und – trotz fehlender Zertifizierbarkeit – als in-
ternational akzeptierter Standard für die Gestal-
tung von Risikomanagementsystemen durchge-
setzt.
3
Der Rückgriff auf eine ISO-Norm bei der
Gestaltung eines Risikomanagementsystems
bietet den Vorteil einer weltweiten Verbreitung
und Anerkennung des Risikomanagement-Stan-
dards, der bei international agierenden Maschi-
nen- und Anlagenbauern einen Argumentations-
vorteil gegenüber ihren Geschäftspartnern mit
sich bringen kann.
Ein Risikomanagement-
System nach ISO 31000
soll zudem kein
weiteres isoliertes Managementsystem in
der Organisation sein, sondern in bestehen-
de Managementsysteme integriert werden.
4
Mit der aktuellen Revision der ISO 9001 Rev.
2015 leistet die Normungsorganisation selbst ei-
nen Beitrag zu dieser stärkeren Integration, in-
dem Qualitäts- und Risikomanagementsysteme
enger verknüpft werden.
5
Die ISO 31000 bein-
haltet darüber hinaus einen systematischen An-
satz zur Einführung eines Risikomanagement-
Systems.
6
Beide Aspekte sind gerade für mittel-
ständische Unternehmen weitere Vorteile bei der
Einführung eines neuen Risikomanagement-
Systems. Ihr systematischer Risikomanage-
mentprozess wird dabei ganz überwiegend in
den operativen Geschäftsprozessen stattfinden
müssen, da der Aufbau mehrerer Verteidigungs-
linien im Sinne eines Three-Lines-of-Defence-
Konzeptes an den zu geringen personellen Ka-
pazitäten, der damit einhergehenden geringeren
Dokumentationsdichte und den in der Regel
nicht mehr wirtschaftlich darstellbaren Kosten
scheitern wird. Kritisch an der Norm 31000 wird
Ganzheitliches Risikomanagement nach ISO 31000
im mittelständischen Maschinen- und Anlagenbau
von Stephan Bartelt und Hans-Jürgen Wieben
Ganzheitliches Risikomanagement nach ISO 31000
