Was ist ISO-31010 ?
ISO 31010 steht in Ergänzung zur ISO 31000 und soll Nutzer bei der Auswahl und Anwendung von Techniken zur Risikoeinschätzung unterstützen. ISO 31010 soll inbesondere dabei eingesetzt werden, um tiefergehendes Verständnis für Risiken zu enwickeln, Risiken und deren Vermeidung bzw. Überwindung zu vergleichen oder um eine sich anbahnende Risikobehandlung zu unterstützen. Die in ISO 31010 beschriebenen Techniken zum Risiko Management sind allgemein anwendbar, stammen jedoch aus dem Technologieumfeld. Die Schritte zur Risikoeinschätzung nach ISO 31010 sind zunächst die Planung der Einschätzungsaktivitäten, Datensammlung und -analyse sowie Modelentwicklung, Tatsächliche Einschätzung des Risikos, Überwachung und Review der Ergebnisse, und Erfassung der Aktivitäten für zukünftige Vorhaben. Jeder Schritt besteht aus mehreren Teilschritten. Die Norm beinhaltet außerdem detaillierte Beschreibungen zu Methoden die in den jeweiligen Schritten eingesetzt werden können. Hierzu zählen u.a. Brainstorming, Delphi-Methode, Checklisten, FMEA, FMECA, SWIFT, Bow-Tie-Analysis, Business Impact Analyis, Event Tree Analysis, Fault Tree Analysis, Pareto-Charts, Entscheidungsbaum-Analysen und weitere. 36
Der ISO-31010 Prozess
Der Prozess für ISO 31010 folgt einem sechsstufigen Leitfaden.
1. Planen der Bewertung
Der erste Schritt der ISO 31010 ist die Planung der Risikobewertung durch die Festlegung des Umfangs und der Tiefe der Risikobewertung sowie die Bestimmung aller beteiligten Interessengruppen und der möglichen Folgen des Eintretens eines Risikoereignisses. Das Verständnis der internen und externen Umstände, die zu einem Risikoereignis oder dessen Folgen führen, sowie die Einbindung aller Beteiligten, um deren Sichtweisen in die Bewertung einzubeziehen, sind von entscheidender Bedeutung. Um ein Risiko und seine Auswirkungen besser zu verstehen, sollten die Ziele des gefährdeten Systems oder Prozesses definiert und dokumentiert sowie die Auswirkungen menschlicher, organisatorischer und sozialer Faktoren auf das Risiko und die Folgen des Eintritts berücksichtigt werden. Schließlich sollten in der Planungsphase die Kriterien für die Entscheidung über das Risiko überprüft werden.
2. Informationsmangement und Model Entwicklung
Für eine ordnungsgemäße Risikobewertung müssen alle für diese Bewertung relevanten Informationen eingeholt, gespeichert und verfügbar gemacht werden. Die Informationen können durch Literaturrecherchen, Beobachtungen, Expertenmeinungen, Messungen, Experimente, Befragungen oder Umfragen gewonnen werden. Neben der Informationsbeschaffung sollte auch die Qualität der Informationen bewertet werden. Daran schließt sich die Analyse der gewonnenen Informationen sowie die Anwendung oder Entwicklung von Modellen auf und aus diesen Informationen an.
3. Anwendung von Risiko Bewertungs Methoden
Die gesammelten Informationen und die gewonnenen Erkenntnisse werden dann genutzt, um die vorhandenen Risiken zu identifizieren und zu verstehen sowie ihre Quellen, Ursachen und Triebkräfte zu ermitteln. Um zu verstehen, was die derzeitigen Maßnahmen zur Bewältigung der vorhandenen Risiken bewirken, muss die Wirksamkeit der bestehenden Risikokontrolle untersucht werden, und es müssen die Wahrscheinlichkeit und die Folgen des Eintretens eines Risikos ermittelt werden. Schließlich müssen auch die Wechselwirkungen zwischen den verschiedenen Risiken und die Risikomessungen verstanden werden. Risikomaße sind Methoden, die einen besseren Vergleich und eine bessere Abschätzung von Risiken ermöglichen und in der Regel aus einer Kombination von Risikofolgen und deren Wahrscheinlichkeit bestehen.
4. Review der Analyse
Nachdem die Risiken bewertet und analysiert wurden, müssen dieser Prozess und die Ergebnisse überprüft werden. Zunächst werden die Ergebnisse mit den vorangegangenen Schritten (insbesondere der Planungsphase) oder früheren Erfahrungen abgeglichen und dann einer Unsicherheits- und Sensitivitätsanalyse unterzogen. Sobald dies abgeschlossen ist, kann die Überprüfung auf der Grundlage der erhaltenen Informationen und der vorangegangenen Schritte durchgeführt werden.
5. Ergebnisse verwenden um Entscheidungen zu Unterstützen
Aus den Ergebnissen der Überprüfung können dann die Maßnahmen für ein besseres Risikomanagement abgeleitet werden. Dabei müssen die Verantwortlichen zwischen der Akzeptanz oder der Behandlung eines Risikos wählen und zwischen diesen beiden Optionen auf der Grundlage der jeweiligen Vor- und Nachteile abwägen.
6. Aufzeichnug und Berichten des Risko Bewertungs Prozesses und der Ergebnisse
Sobald der Managementprozess auf der Grundlage der Analyse durchgeführt wurde, sollten der Prozess und die Empfehlungen dokumentiert und angemessen kommuniziert werden.
Quellen für den Prozess der ISO 31010: 45
1. Planen der Bewertung
Der erste Schritt der ISO 31010 ist die Planung der Risikobewertung durch die Festlegung des Umfangs und der Tiefe der Risikobewertung sowie die Bestimmung aller beteiligten Interessengruppen und der möglichen Folgen des Eintretens eines Risikoereignisses. Das Verständnis der internen und externen Umstände, die zu einem Risikoereignis oder dessen Folgen führen, sowie die Einbindung aller Beteiligten, um deren Sichtweisen in die Bewertung einzubeziehen, sind von entscheidender Bedeutung. Um ein Risiko und seine Auswirkungen besser zu verstehen, sollten die Ziele des gefährdeten Systems oder Prozesses definiert und dokumentiert sowie die Auswirkungen menschlicher, organisatorischer und sozialer Faktoren auf das Risiko und die Folgen des Eintritts berücksichtigt werden. Schließlich sollten in der Planungsphase die Kriterien für die Entscheidung über das Risiko überprüft werden.
2. Informationsmangement und Model Entwicklung
Für eine ordnungsgemäße Risikobewertung müssen alle für diese Bewertung relevanten Informationen eingeholt, gespeichert und verfügbar gemacht werden. Die Informationen können durch Literaturrecherchen, Beobachtungen, Expertenmeinungen, Messungen, Experimente, Befragungen oder Umfragen gewonnen werden. Neben der Informationsbeschaffung sollte auch die Qualität der Informationen bewertet werden. Daran schließt sich die Analyse der gewonnenen Informationen sowie die Anwendung oder Entwicklung von Modellen auf und aus diesen Informationen an.
3. Anwendung von Risiko Bewertungs Methoden
Die gesammelten Informationen und die gewonnenen Erkenntnisse werden dann genutzt, um die vorhandenen Risiken zu identifizieren und zu verstehen sowie ihre Quellen, Ursachen und Triebkräfte zu ermitteln. Um zu verstehen, was die derzeitigen Maßnahmen zur Bewältigung der vorhandenen Risiken bewirken, muss die Wirksamkeit der bestehenden Risikokontrolle untersucht werden, und es müssen die Wahrscheinlichkeit und die Folgen des Eintretens eines Risikos ermittelt werden. Schließlich müssen auch die Wechselwirkungen zwischen den verschiedenen Risiken und die Risikomessungen verstanden werden. Risikomaße sind Methoden, die einen besseren Vergleich und eine bessere Abschätzung von Risiken ermöglichen und in der Regel aus einer Kombination von Risikofolgen und deren Wahrscheinlichkeit bestehen.
4. Review der Analyse
Nachdem die Risiken bewertet und analysiert wurden, müssen dieser Prozess und die Ergebnisse überprüft werden. Zunächst werden die Ergebnisse mit den vorangegangenen Schritten (insbesondere der Planungsphase) oder früheren Erfahrungen abgeglichen und dann einer Unsicherheits- und Sensitivitätsanalyse unterzogen. Sobald dies abgeschlossen ist, kann die Überprüfung auf der Grundlage der erhaltenen Informationen und der vorangegangenen Schritte durchgeführt werden.
5. Ergebnisse verwenden um Entscheidungen zu Unterstützen
Aus den Ergebnissen der Überprüfung können dann die Maßnahmen für ein besseres Risikomanagement abgeleitet werden. Dabei müssen die Verantwortlichen zwischen der Akzeptanz oder der Behandlung eines Risikos wählen und zwischen diesen beiden Optionen auf der Grundlage der jeweiligen Vor- und Nachteile abwägen.
6. Aufzeichnug und Berichten des Risko Bewertungs Prozesses und der Ergebnisse
Sobald der Managementprozess auf der Grundlage der Analyse durchgeführt wurde, sollten der Prozess und die Empfehlungen dokumentiert und angemessen kommuniziert werden.
Quellen für den Prozess der ISO 31010: 45
German
English