– Stand Mitte Januar 2021 – sind weltweit rund 100 Millionen Infektionsfälle nachgewiesen, 55 Millionen Menschen davon wieder genesen und fast 2 Millionen Menschen daran verstorben[11]. Erst 9 Monate nach dem ersten Lockdown in Europa um Mitte März 2020 stehen getestete Impfstoffe bereit, um ab Januar 2021 zuerst die Risikogruppen in der Bevölkerung in großem Ausmaß zu impfen. Die wirtschaftlichen Schäden sind enorm und werden die Staatshaushalte noch über Jahre hinweg beschäftigen. Die Krise der Staatsverschuldung nach der Finanzkrise von 2009 ist kaum abgeschlossen, so steht nun eine noch dramatischere Situation an, welche die Stabilität des Finanzsystems wohl noch lange herausfordern wird.
1.6 ERKLÄRUNGEN
Für das Risikomanagement stehen angesichts der vorangehend aufgezeichneten Beispiele, die nur stellvertretend für viele andere Risiken stehen, einige Erkenntnisse im Mittelpunkt:
+Offensichtlich ist es heute u. a. durch wissenschaftliche Studien möglich, die Risiken in den Bereichen von Technologie, Bevölkerungsschutz, Volkswirtschaft, Unternehmen und öffentlichen Institutionen usw. ziemlich genau zu antizipieren. Es gibt kaum mehr „schwarze Schwäne“.
+Entscheidungsträger neigen dazu, Expertenwissen und Erkenntnisse aus dem Stand der Technik gering zu schätzen, wenn sie in Konflikt mit ihren eigenen Zielen und Ambitionen geraten. Strategie geht vor, Risiken müssen vermeintlich eingegangen werden, um den geplanten Erfolg zu erreichen.
+Die Risikowahrnehmung wird ausgeblendet: „Think positive“ ist das oberflächliche Motto von angeblich erfolgreichen Machern.
+Risikomanagement ist nicht kostenfrei. Wer Risikomanagement betreibt, braucht dazu personelle und finanzielle Ressourcen. Diese fallen sicher an, der Eintritt von Risiken ist jedoch unsicher. Solange alles gut geht, scheint die Rechnung beim Sparen auf Kosten der Risiken aufzugehen.
Offensichtlich haben in den fünf dargestellten Fällen die Risikowahrnehmung und das Risikomanagement gefehlt oder versagt. Man muss sich deshalb erneut ernsthaft die Frage stellen, was die Anforderungen und die Merkmale eines wirksamen Risikomanagements sind und wie man dieses Führungsinstrument einsetzen muss, um sich darauf verlassen zu können. Angesichts der Tatsache, dass heute in sehr vielen Organisationen und Institutionen Elemente von Risikomanagement vorhanden sind, ist die Antwort nicht ganz einfach: Es braucht in unserer heutigen Welt nicht unbedingt mehr, sondern vor allem ein besseres, sprich verbindlicheres und durchgängigeres Risikomanagement, um damit ein zuverlässiges Führungsinstrument verfügbar zu haben.
3COSO Enterprise Risk Management Framework, Jersey City 2004, revidierte Fassung 2017
4https://www.faz.net/aktuell/wirtschaft/diesel-affaere/diesel-skandal-kosten-fuer-vw-steigen-auf-28-milliarden-euro-16028772.html [letzter Zugriff: Januar 2021]
5https://www.nzz.ch/wirtschaft/frueherer-vw-chef-winterkorn-im-dieselskandal-angeklagt-ld.1475388 [letzter Zugriff: Januar 2021]
6https://www.nzz.ch/panorama/einsturz-der-morandi-bruecke-in-genua-weitere-festnahmen-ld.1508480, vom 13. 9.2019 [letzter Zugriff: Januar 2021]
7https://www.nzz.ch/panorama/ingenieure-warnten-schon-2014-vor-dem-einsturz-der-bruecke-von-genua-ld.1523162 vom 20.11.2019 [letzter Zugriff: Januar 2021]
8Deutscher Bundestag – 17. Wahlperiode, Drucksache 17/12051 vom 3. 1. 2013: Unterrichtung durch die Bundesregierung, Bericht zur Risikoanalyse im Bevölkerungsschutz 2012, S. 5f
9Bundesamt für Bevölkerungsschutz: Nationale Gefährdungsanalyse – Gefährdungsdossier Epidemie / Pandemie vom 30. Juni 2015
10Beitrag zur gesamtstaatlichen Risikoanalyse für Österreich – Biologische, Chemische, Radiologische und Nukleare Bedrohungen, 2015-2016, KSÖ, BMI, BMLVS, BMASGK
11https://en.wikipedia.org/wiki/Template:COVID-19_pandemic_data [letzter Zugriff: Januar 2021]
2 WEITERENTWICKLUNG ONR 4900X ZUR ÖNORM-REIHE D 490X
2.1 REVISION HIN ZUR ISO 31000:2018
Es mag den Leser erstaunen, dass die erste Version der ONR-Reihe 4900x „Risikomanagement für Organisationen und Systeme“[12] schon weit vor der ISO 31000 „Risk Management – Principles and Guidelines“ geschaffen und im Jahr 2004 veröffentlicht wurde. Sie diente dann im Jahr 2005 als Input für den internationalen Standard, welcher in seiner ersten Ausgabe erst 2009 veröffentlicht wurde.
Der höchste Wert eines ISO-Standards besteht darin, dass er einen globalen Expertenkonsens darstellt und dadurch seine Anerkennung gewinnt. Der Konsens ist der Ertrag einer aufwendigen und zeitraubenden Entwicklung. Gerade das Thema Risikomanagement zeichnet sich auf der einen Seite durch einen hohen Abstraktionsgrad aus. Andererseits erfordert das Zusammentreffen von oft unterschiedlichen Meinungen in einer Arbeitsgruppe viel Diskussion und Austausch, um am Ende zu einem Kompromiss zu gelangen, der von den Entscheidungsgremien, das sind die nationalen Normungsorganisationen, akzeptiert wird.
Jeder ISO-Standard muss nach einigen Jahren auf Aktualität und Revisionsbedarf geprüft werden. Im Jahr 2013 startete die Arbeitsgruppe mit der Revision der ISO 31000. Es bestand ein großer Bedarf an redaktioneller Vereinfachung und inhaltlicher Präzisierung. Da die ISO 31000 inzwischen eine hohe internationale Anerkennung erhalten hatte, stellte sich die Frage nach einer technischen Überprüfung eigentlich (noch) nicht. So wurde im Frühjahr 2018 die revidierte Fassung der ISO 31000 „Risk Management – Guidelines“ veröffentlicht.
Die ISO 31000 enthält Empfehlungen, wie eine Organisation das Risikomanagement planen und umsetzen soll. Eine gewisse Anlehnung an die Managementsystem-Welt von ISO bestand bereits in der Version von 2009, in der die Elemente des Deming-Kreises Plan-Do-Check-Act enthalten sind. Die inzwischen von ISO entwickelte High Level Structure (HLS) für Managementsysteme sollte gemäß den Experten nicht vollständig übernommen werden. Dahinter verbarg sich ein Missverständnis und eine von den vielen Experten getragene Angst vor einer Zertifizierung des Risikomanagements, obwohl Zertifizierung und HLS einander nicht bedingen.
2.2 ERFOLGSGESCHICHTE DER ONR-REIHE 4900X
Seit der
