Was will die Isonorm 31000?

Gegenstand der neuen ISO 31000 sind drei grundlegende Prinzipien:

Erstens wird das Risikomanagement als Führungsaufgabe verstanden, zweitens wird in der Norm versucht, einen sogenannten Top-down-Ansatz umzusetzen und drittens stellt die ISO 31000 eine sehr allgemein gehaltene Basis dar, die versucht, alle unterschiedlichen Risiken in einer Organisation zu berücksichtigen

ISO 31000 heißt, Risk Management als Führungsaufgabe. Das komplette Risikomanagementsystem basiert auf dem Prinzip des PDCA-Zyklus (Plan-Do-Check-Act):

Der erste Punkt "Plan" beinhaltet die Risikopolitik der Organisation, deren Auftrag und Verpflichtung.

Der zweite Punkt "Do" beinhaltet den eigentlichen Risikomanagementprozess bestehend aus dem groben Ablauf Risiko identifizieren – Risiko analysieren – Risiko bewerten – Risiko bewältigen. 

Der dritte Punkt "Check" dient der Überprüfung der umgesetzten Risikobewältigungsstrategien um bei festgestellten Planabweichungen nämlich:

der vierte Punkte "Act", um diese zu beseitigen.

Bisher existierten lediglich nur sehr spezifische Risikomanagementnormen, beispielsweise die ISO 27005 im Bereich Informationssicherheitsmanagement (ISMS).

So versucht die ISO 31000 in einem ganzheitlichen Top-down-Ansatz alle Risiken und deren Bewältigung in einer Organisation zu erfassen. Das bedeutet ein Risikomanagement nach ISO 31000 ist nicht ausschließlich auf strategischer Unternehmensebene anzusiedeln, sondern es beschäftigt sich auch mit den Risiken auf operationalen Führungsebenen im Unternehmen.