Risikomanagement ISO 31000 · Praxisleitfaden

Compliance · ISO 31000

ISO 31000:2018 ist der internationale Standard für Risikomanagement. Er definiert Prinzipien, Rahmen und Prozess (identifizieren, analysieren, bewerten, behandeln).

Alle ISO-Managementsystem-Normen verlangen einen risikobasierten Ansatz. ISO 31000 liefert den allgemeinen Rahmen, um jede Art von Risiko in jeder Organisation zu managen, unabhängig von Größe oder Sektor. Sie ist nicht zertifizierbar, aber Referenz für ISO 9001, 14001, 45001 und 27001. Wer sie versteht und anwendet, erfüllt die Anforderungen all dieser Normen mit einem einzigen kohärenten Prozess.

Für das spezifische Risikomanagement der Informationssicherheit konsultieren Sie meinen Leitfaden zur Risikoanalyse mit MAGERIT.

Der Rahmen von ISO 31000:2018

ISO 31000 definiert Risikomanagement als „Wirkung der Unsicherheit auf Ziele“. Ein Risiko ist nicht nur Bedrohung – es kann auch Chance sein. Der Rahmen umfasst drei Komponenten:

Prinzipien: warum Risiken gemanagt werden.
Bezugsrahmen: wie das Risikomanagement in die Organisation integriert wird.
Prozess: welche Schritte zu folgen sind.

Der Risikomanagementprozess Schritt für Schritt

1. Kontext festlegen

Definieren Sie Geltungsbereich und Risikokriterien. Kriterien umfassen die akzeptablen Risikoniveaus (Risikoappetit), die Bewertungsskala (qualitativ oder quantitativ) und die Risikofaktoren (finanziell, operativ, rechtlich, reputationell, technologisch, sicherheitsbezogen).

2. Risikoidentifikation

Identifizieren Sie alle Risiken, die die Zielerreichung beeinträchtigen können. Praxisnahe Techniken für KMU:

Strukturiertes Brainstorming mit dem Leitungsteam.
PESTEL-Analyse für externe Risiken.
Rückschau vergangener Vorfälle und Probleme.
Interviews mit Prozessverantwortlichen.
Wertkettenanalyse: wo jedes Glied versagen kann.

Organisieren Sie Risiken nach Kategorien: strategisch, operativ, finanziell, rechtlich und regulatorisch, technologisch, personenbezogen, umweltbezogen und reputationell.

3. Risikoanalyse

Bewerten Sie für jedes Risiko Wahrscheinlichkeit (niedrig, mittel, hoch) und Impact (gering, moderat, schwer, katastrophal). Das Produkt beider ergibt das Risikoniveau. Die Risikomatrix (Wahrscheinlichkeit auf einer Achse, Impact auf der anderen) ist das praktischste Visualisierungswerkzeug. Risiken in der roten Zone (hohe Wahrscheinlichkeit, hoher Impact) erfordern sofortiges Handeln. Gelbe erfordern Überwachung und Notfallpläne. Grüne werden akzeptiert und beobachtet.

Beispiel: 5×5-Matrix für KMU

Impact / Wahrscheinlichkeit	Sehr niedrig (1)	Niedrig (2)	Mittel (3)	Hoch (4)	Sehr hoch (5)
Katastrophal (5)	5 (gelb)	10 (rot)	15 (rot)	20 (rot)	25 (rot)
Schwer (4)	4 (grün)	8 (gelb)	12 (rot)	16 (rot)	20 (rot)
Moderat (3)	3 (grün)	6 (gelb)	9 (gelb)	12 (rot)	15 (rot)
Gering (2)	2 (grün)	4 (grün)	6 (gelb)	8 (gelb)	10 (rot)
Unbedeutend (1)	1 (grün)	2 (grün)	3 (grün)	4 (grün)	5 (gelb)

4. Risikobehandlung

Für jedes handlungsbedürftige Risiko wählen Sie eine der vier Behandlungsoptionen:

Vermeiden: die generierende Aktivität einstellen.
Mitigieren: Wahrscheinlichkeit oder Impact mit Kontrollen reduzieren.
Transferieren: an Dritte weitergeben (Versicherungen, Subkontrahierung, Vertragsklauseln).
Akzeptieren: bewusst tragen, wenn Behandlungskosten den Nutzen übersteigen.

5. Register und Nachverfolgung

Führen Sie ein aktuelles Risikoregister mit jedem identifizierten Risiko, Bewertung, gewählter Behandlung, Verantwortlichem, Aktionsstatus und letztem Überprüfungsdatum. Überprüfen Sie mindestens halbjährlich und immer bei signifikanten Kontextänderungen.

Praxisbeispiel: ein Industrie-KMU mit 45 Mitarbeitenden

Ein Automobilzulieferer (45 Mitarbeitende, zwei Werke in Castilla y León) implementierte sein erstes strukturiertes Risikoregister nach ISO 31000 in Vorbereitung der Integration mit ISO 9001 und 14001.

47 identifizierte Risiken in 8 Kategorien gruppiert.
6 Risiken in roter Zone (3 finanzielle gebunden an einen Kunden mit 35 % Volumen, 2 operative wegen Abhängigkeit von einem einzigen kritischen Rohstofflieferanten, 1 Cybersicherheit wegen Server ohne Replik).
19 Risiken in gelber Zone, 22 in grüner Zone.

Maßnahmen in den ersten 12 Monaten:

Qualifizierung eines zweiten Lieferanten für kritischen Rohstoff.
Implementierung einer Cloud-Replik des produktiven Servers.
Cyber-Risiko-Versicherung und Forderungsausfallversicherung abgeschlossen.

Gesamtinvestition: 28.000 € im ersten Jahr. Verbleibendes Finanzrisiko schätzungsweise 60 % unter dem Ausgangswert. Das Register wurde später mit der Qualitäts- und Umweltrisikoanalyse bei der Zertifizierung in ISO 9001 + 14001 integriert.

Integration mit den ISO-Normen

Risikomanagement nach ISO 31000 erfüllt direkt die Anforderungen der Klausel 6.1 von ISO 9001, 14001 und 45001 (Maßnahmen zur Adressierung von Risiken und Chancen) und ist Grundlage der Risikoanalyse von ISO 27001 und dem ENS. Ein einziger Risikomanagementprozess mit verschiedenen Perspektiven (Qualität, Umwelt, Arbeitssicherheit, Informationssicherheit) ist effizienter und kohärenter als getrennte Prozesse für jede Norm.

Mini-Glossar

Risiko: Wirkung der Unsicherheit auf Ziele (ISO 31000).
Risikoappetit: Risikoniveau, das die Organisation zu akzeptieren bereit ist.
Risikotoleranz: akzeptable Abweichung vom Risikoappetit.
Restrisiko: verbleibendes Risiko nach Anwendung der Behandlungen.
Risikoeigentümer: Person mit Verantwortung und Autorität zur Steuerung eines Risikos.
KRI (Key Risk Indicator): Schlüsselindikator, der die Entwicklung eines Risikos überwacht.
Inhärentes Risiko: Risiko ohne Berücksichtigung existierender Kontrollen.

Häufig gestellte Fragen

Wie viele Risiken sollte ein KMU identifizieren?

Es gibt keine korrekte Zahl. Sinnvoll für eine erste Iteration: 30 bis 80 Risiken, organisiert nach Kategorien. Wichtig ist nicht die Anzahl, sondern dass die Liste in den Schlüsselkategorien erschöpfend ist (nicht 60 operative Risiken und kein einziges finanzielles oder rechtliches).

Qualitative oder quantitative Analyse?

Für KMU ohne Risk-Management-Team ist die qualitative Analyse (5×5-Matrix mit Labels) völlig valide und viel schneller. Die quantitative Analyse (Prozentwahrscheinlichkeiten, monetärer Impact, mathematischer Erwartungswert des Verlusts) ist sinnvoll für sehr spezifische Finanzrisiken oder wenn der Regulator es verlangt (Banken, Versicherungen, regulierte Sektoren).

Wer sollte Eigentümer jedes Risikos sein?

Der funktionale Verantwortliche des Prozesses, in dem sich das Risiko materialisiert. Risiko Zahlungsausfall: Finanzleitung. Risiko Informationsleck: IT-/Sicherheitsleitung. Risiko Arbeitsunfall: Betriebsleitung. Regel: Der Eigentümer hat reale Autorität zur Umsetzung der Behandlung.

Wie oft sollte das Register überprüft werden?

Mindestens halbjährlich für die Gesamtüberprüfung und sofort bei relevanten Veränderungen (neuer dominanter Kunde, regulatorische Änderung, Vorfall der ein Risiko materialisiert, Launch neues Produkt/Service). Jährlich empfiehlt sich eine umfassende Überprüfung mit der Geschäftsleitung zur Ausrichtung auf den Strategieplan.

Ist ISO 31000 zertifizierbar?

Nein. ISO 31000 ist eine Leitliniennorm, nicht zertifizierbar. Zertifizierbar sind ISO 9001, 14001, 45001, 27001 oder das Spanische Nationale Sicherheitsgrundgesetz (ENS), die alle Risikomanagement-Anforderungen enthalten, die durch Anwendung von ISO 31000 erfüllt werden.

Wie manage ich Chancen, nicht nur Bedrohungen?

Wenden Sie denselben Prozess auf Chancen an: identifizieren Sie mögliche positive Ereignisse (Markteintritt, Technologieadoption, Allianz, günstige Regulierung), bewerten Sie Wahrscheinlichkeit und Impact und entscheiden Sie die Behandlung (verstärken, erkunden, beobachten). Ein Unternehmen, das nur Bedrohungen managt, bleibt zurück: ungemanagte Chancen sind ebenso teuer wie unkontrollierte Bedrohungen.

Checkliste: 10 Schritte zur Implementierung von ISO 31000

Geltungsbereich definieren: gesamtes Unternehmen oder ein bestimmter Bereich?
Kriterien für Wahrscheinlichkeit und Impact mit der Geschäftsleitung vereinbaren.
Risikomatrix entwerfen (qualitativ 5×5 zum Start).
4-Stunden-Workshop mit dem Führungskomitee zur Risikoidentifikation.
Mit Interviews mit Schlüsselführungskräften ergänzen.
Jedes Risiko nach Wahrscheinlichkeit und Impact bewerten.
Eigentümer für jedes Risiko in gelber und roter Zone zuweisen.
Behandlung für jedes Risiko definieren (vermeiden, mitigieren, transferieren, akzeptieren).
Alles in einem einzigen Register erfassen (einfaches Excel oder ERP-Modul).
Halbjährliche Überprüfung in der Komitee-Agenda fixieren.

Autor: Ángel Ortega Castro · unabhängiger Berater für Strategie, Qualität und Digitalisierung für KMU.

Brauchen Sie Unterstützung?

Arbeiten Sie mit mir an Implementierung und ISO-Zertifizierung

Maßgeschneiderte Beratung zur Implementierung und Zertifizierung. Erstgespräch kostenfrei.

Termin vereinbaren →

Häufig gestellte Fragen

Wie wirkt sich das auf mein KMU aus?

Es gilt, sobald Sie spanische Kunden bedienen oder spanische Daten verarbeiten; der Rahmen ist oberhalb der in der Tabelle zusammengefassten Schwellenwerte verbindlich.

Wie hoch sind die Kosten 2026?

Richtwerte für KMU mit 10-50 Mitarbeitenden: 2.500-12.000 EUR für die Dokumentation + Auditorenhonorare AENOR / BV / SGS / LRQA.

Welche spanische Regelung gilt?

Die BOE verweist auf RD 311/2022 (ENS), Verordnung EU 2016/679 (DSGVO), LOPDGDD, NIS2, DORA und EU AI Act 2024/1689 je nach Umfang.

Wie lange dauert die Implementierung?

Durchschnittlich 4-7 Monate pro ISO. Ein integriertes SGI (9001+14001+27001) dauert in der Regel 8-12 Monate.

Kann es über Kit Digital oder Kit Consulting kofinanziert werden?

Ja, Kit Consulting 2026 deckt bis zu 24.000 EUR Beratungsstunden ab; Kit Digital deckt Werkzeuge (CRM, ERP, Cybersicherheit) bis zu 29.000 EUR ab.

El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro

Risikomanagement ISO 31000 in der Praxis

Der Rahmen von ISO 31000:2018

Der Risikomanagementprozess Schritt für Schritt

1. Kontext festlegen

2. Risikoidentifikation

3. Risikoanalyse

Beispiel: 5×5-Matrix für KMU

4. Risikobehandlung

5. Register und Nachverfolgung

Praxisbeispiel: ein Industrie-KMU mit 45 Mitarbeitenden

Integration mit den ISO-Normen

Mini-Glossar

Checkliste: 10 Schritte zur Implementierung von ISO 31000

Weiterlesen zu Compliance

Arbeiten Sie mit mir an Implementierung und ISO-Zertifizierung

Häufig gestellte Fragen

Wie wirkt sich das auf mein KMU aus?

Wie hoch sind die Kosten 2026?

Welche spanische Regelung gilt?

Wie lange dauert die Implementierung?

Kann es über Kit Digital oder Kit Consulting kofinanziert werden?