
Dipl. oec. Frank Moritz
Interim Risk Manager, Task Force Lead
Projektleiter, IT Service Manager, Auditor, Coach
Unterschiedliche Gesetze und Normen fordern von Unternehmen ein funktionierendes
Risk Management-System
Die Übersicht hier gibt einen Abriss über relevante Gesetze und Normen
(sie kann allerdings aufgrund der vielen Grundlagen nur unvollständig bleiben):
Die Definitions-Normen
ISO 31000:2018 - ONR 49001
gilt für: alle Risk Management-Systeme
Diese deutsche ISO-Norm (bzw. das österreichische Pendant ONR dazu) ist die Basis für die Einführung von Risk Management-Systemen. Sie ist branchenneutral und sehr allgemein formuliert. Die Norm definiert die Leitlinien für Risk Management-Systeme. Die neue Version von 2018 stellt Risk Management mehr in den Zusammenhang der Gesamt-Organisation, hebt die Verantwortung des Managements hervor und legt einen gestiegenen Wert auf den iterativen Charakter des Systems.
IDW Prüfungsstandard 340
Die Richtlinie zur Prüfung des Prozesses "der Neuerkennung und kontinuierlichen Überwachung von Risiken" in Unternehmen durch Wirtschaftsprüfer.
Gesetzliche Grundlagen für die Notwendigkeit eines Risk Management-Systems
2nd line of defense
KonTraG - Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
gilt für: Aktiengesellschaften und größere GmbHs
Im Jahre 1998 wurde dieses Artikel-Änderungs-Gesetz mit Auswirkungen auf das AktG und HGB beschlossen. Es verpflichtet das Management von Aktiengesellschaften und größeren GmbHs zur Vorhaltung eines Risk Management-Systems. In gleich mehreren Gerichtsentscheidungen der letzten Jahre haben nicht voll wirksame Risk Management-Systeme Auswirkungen auf die Urteilsfindung gehabt.
ISO 9000 ff.
gilt für: ISO 9000-zertifizierten Unternehmen
Seit dem Jahr 2015 enthalten diese Normen eine Forderung nach einem "risikobasiertem Denken" in Unternehmen. Besonders risikoträchtige Prozesse müssen gefiltert, analysiert und bewertet werden.
EN 9100
gilt für: Luftfahrtindustrie, der Raumfahrt- und der Verteidigungsindustrie
Beinhaltet verschärfte Formen der ISO 9000 bzgl. Risiko Management-Systemen
§91 AktG
gilt für: Aktiengesellschaften
(2) Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.
(3) Der Vorstand einer börsennotierten Gesellschaft hat darüber hinaus ein im Hinblick auf den Umfang der Geschäftstätigkeit und die Risikolage des Unternehmens angemessenes und wirksames internes Kontrollsystem und Risikomanagementsystem einzurichten.
MaRisk (BA) - MaRisk (VA)
gilt für: deutsche Kreditinstitute, Versicherungen
Verwaltungsanweisungen, die die Bundesanstalt für Finanzdienstleistungsaufsicht erlassen hat.


Regelungen zur 1st-Line of defense
Innerhalb der 1st of defense gibt es vielfältige eigene Risk Management-Anforderungen, die sinnvollerweise in das Risk Management-System integriert werden sollten.
Risiken des Projektmanagements
Projekt Management-Methoden haben meist als Grundbestandteil das Thema Project Risk Management inkludiert, z.B. das PMBoK(r) des PMI(r). Im Gegensatz zum finanziellen und zum operativen Risk Management geht es hier um die Identifikation und die richtige Steuerung und Rangfolge bei der Umsetzung von Gegenmaßnahmen. In Projekten sind per Definition am Projektende alle Risiken gleich Null (aus Sicht des Projektes).
DSGVO - Datenschutz-Grundverordnung
gilt für: Alle Unternehmen, die personenbezogene Daten verarbeiten (ich kenne keins, dass nicht betroffen wäre)
Die DSGVO betrachtet das Thema Schutz von personenbezogenen Daten im Besonderen. Bei Verletzungen gegen diese Normen werden in dieser Dekade teilweise Millionenstrafen gegen Unternehmen ausgesprochen.
ISO 27001
gilt für: Alle Unternehmen mit IT (ich kenne keins ohne ...)
Diese Norm, aus dem Bereich IT spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung des Kontexts einer Organisation
Hochwasserrisikomanagement-Richtlinie 2007/60/EG
Es gibt auch ganz exotische Regelungen, wie z.B. diese Richtlinie, die einen einheitlichen Rahmen für den Umgang mit dem Hochwasserrisiko innerhalb der EU vorgibt.
Medizinproduktegesetz - EN ISO 14971
Oder auch Verordnungen im Rahmen des Medizinproduktegesetzes
u.s.w.
Die Aufzählung kann man noch beliebig erweitern (das werde ich im Laufe der Zeit auch noch gerne tun) ohne jemals vollständig werden zu können.