Unterschiedliche Gesetze und Normen fordern von Unternehmen ein funktionierendes
Risk Management-System

 

Die Übersicht hier gibt einen Abriss über relevante Gesetze und Normen

(sie kann allerdings aufgrund der vielen Grundlagen nur unvollständig bleiben):

Die Definitions-Normen

ISO 31000:2018 - ONR 49001

gilt für: alle Risk Management-Systeme

Diese deutsche ISO-Norm (bzw. das österreichische Pendant ONR dazu) ist die Basis für die Einführung von Risk Management-Systemen. Sie ist branchenneutral und sehr allgemein formuliert. Die Norm definiert die Leitlinien für Risk Management-Systeme. Die neue Version von 2018 stellt Risk Management mehr in den Zusammenhang der Gesamt-Organisation, hebt die Verantwortung des Managements hervor und legt einen gestiegenen Wert auf den iterativen Charakter des Systems.

IDW Prüfungsstandard 340

Die Richtlinie zur Prüfung des Prozesses "der Neuerkennung und kontinuierlichen Überwachung von Risiken" in Unternehmen durch Wirtschaftsprüfer. 

Gesetzliche Grundlagen für die Notwendigkeit eines Risk Management-Systems
2nd line of defense

KonTraG - Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

gilt für: Aktiengesellschaften und größere GmbHs

Im Jahre 1998 wurde dieses Artikel-Änderungs-Gesetz mit Auswirkungen auf das AktG und HGB beschlossen. Es verpflichtet das Management von Aktiengesellschaften und größeren GmbHs zur Vorhaltung eines Risk Management-Systems. In gleich mehreren Gerichtsentscheidungen der letzten Jahre haben nicht voll wirksame Risk Management-Systeme Auswirkungen auf die Urteilsfindung gehabt.

ISO 9000 ff.

gilt für: ISO 9000-zertifizierten Unternehmen

Seit dem Jahr 2015 enthalten diese Normen eine Forderung nach einem "risikobasiertem Denken" in Unternehmen. Besonders risikoträchtige Prozesse müssen gefiltert, analysiert und bewertet werden.

EN 9100

gilt für: Luftfahrtindustrie, der Raumfahrt- und der Verteidigungsindustrie

Beinhaltet verschärfte Formen der ISO 9000 bzgl. Risiko Management-Systemen

§91 AktG

gilt für: Aktiengesellschaften

(2) Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. 

(3) Der Vorstand einer börsennotierten Gesellschaft hat darüber hinaus ein im Hinblick auf den Umfang der Geschäftstätigkeit und die Risikolage des Unternehmens angemessenes und wirksames internes Kontrollsystem und Risikomanagementsystem einzurichten.

MaRisk (BA) - MaRisk (VA)

gilt für: deutsche Kreditinstitute, Versicherungen

Verwaltungsanweisungen, die die Bundesanstalt für

matt-artz-Fu2v5drnMBA-unsplash copy.jpg
hasan-almasi-nKNm_75lH4g-unsplash Copy.j

Risiken des Projektmanagements

Projekt Management-Methoden haben meist als Grundbestandteil das Thema Project Risk Management inkludiert, z.B. das PMBoK(r) des PMI(r). Im Gegensatz zum finanziellen und zum operativen Risk Management geht es hier um die Identifikation und die richtige Steuerung und Rangfolge bei der Umsetzung von Gegenmaßnahmen. In Projekten sind per Definition am Projektende alle Risiken gleich Null (aus Sicht des Projektes).

DSGVO - Datenschutz-Grundverordnung

gilt für: Alle Unternehmen, die personenbezogene Daten verarbeiten (ich kenne keins, dass nicht betroffen wäre)

Die DSGVO betrachtet das Thema Schutz von personenbezogenen Daten im Besonderen. Bei Verletzungen gegen diese Normen werden in dieser Dekade teilweise Millionenstrafen gegen Unternehmen ausgesprochen.

ISO 27001

gilt für: Alle Unternehmen mit IT (ich kenne keins...)

Diese Norm, aus dem Bereich IT spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung des Kontexts einer Organisation

Hochwasserrisikomanagement-Richtlinie 2007/60/EG

Es gibt auch ganz exotische Regelungen, wie z.B. diese Richtlinie, die einen einheitlichen Rahmen für den Umgang mit dem Hochwasserrisiko innerhalb der EU vorgibt.

Medizinproduktegesetz - EN ISO 14971

Oder auch Verordnungen im Rahmen des Medizinproduktegesetzes