Das Rad ist erfunden.
Risikomanager auf der ganzen Welt können auf bekannte und bewährte Standards für unternehmensweites Risikomanagement («URM») zurückgreifen. Wir brauchen also das Rad nicht neu zu erfinden, sondern können uns auf die Implementierung und die metaphorische Ernte unserer URM-Arbeit konzentrieren. Trotz dieser angenehmen Ausgangslage, erreicht die Megrow Website eine konstante Flut an «Treffern», wenn es um die Frage «ISO oder COSO?» geht. Die Frage und Diskussion, bzw. Kontroverse nach dem und über den besten Standard für URM ist auch auf sozialen Medien, z.B. LinkedIn, ein Dauerbrenner.
!! Es spielt keine Rolle, ob Sie ISO oder COSO für Ihr unternehmensweites Risikomanagement verwenden. Hauptsache, Sie setzten den Standard effizient, effektiv und korrekt um !!
same, same but different
Beide Methoden haben Vor- und Nachteile. Ein weiterer «Review» soll nicht Gegenstand dieser Folge sein; das habe ich bereits in Ausgabe 6 des Megrow Podcasts und einem älteren Blogpost gemacht. Im Kern der Sache sind sich die Standards sehr ähnlich: Prinzipien-basiert und fokussiert auf die Verknüpfung von ERM mit Strategie und Unternehmenszielen. Beide Standards wurden vor etwa fünf Jahren überarbeitet, ergo kann das Alter nicht als Argument pro oder contra des einen Standards herangenommen werden.
Falls Ihre Organisation keinen externen Vorschriften, die Ihnen einen bestimmten Standard vorschreiben, unterworfen ist, haben Sie die freie Wahl.
Eine Wahl treffen
Wählen Sie einen Standard aus, nehmen Sie moderate Anpassungen vor, kommunizieren Sie Ihre Wahl den relevanten Interessengruppen und dann: «los geht’s».
Ein Wort zum Thema «Modifikationen»: moderate Anpassungen an die spezifische Umgebung, in welcher Ihre Organisation tätig ist, sind oft nötig und sehr sinnvoll. Ich rate jedoch davon ab, derart viele Mutationen vorzunehmen, dass der Standard zur Unkenntlichkeit verwässert, sprich unbrauchbar, wird.
Anpassen: JA; zur Unkenntlichkeit verwässern: NEIN!
Es ist auch sinnvoll, die Standards unvermischt zu verwenden. Versuche, beispielsweise die Vorgaben von ISO und COSO durchmischen zu wollen, scheitern meist kläglich. Die Idee, das Beste aus mehreren Welten herauszudestillieren, mag attraktiv erscheinen. Aufwand und Ertrag stehen jedoch äusserst selten in einem guten Verhältnis zueinander.
Es ist wichtig, dass Sie die Grundsätze, das Rahmenwerk und den Prozess in ihrer Gänze einführen, dokumentieren, ausführen und kontinuierlich auf dem neuesten Stand halten. Vermeintliche Effizienzgewinne durch “Abkürzungen” ziehen allermeist signifikante Qualitätseinbussen nach sich.
Umgekehrt formuliert: “zwei Drittel COSO” nützen genauso wenig wie “66.6% ISO 31000:2018”.
Weg vom sinkenden Schiff?
Kunden fragen uns bisweilen, ob sie z.B. von ISO nach COSO wechseln sollen. Es gibt sicher Umstände, unter denen ein Wechsel sinnvoll sein kann. Mehr Erfolg verspricht eine Analyse, die eruiert, warum die momentan verwendete Methode nicht die gewünschten Resultate liefert. Es empfiehlt sich, diese Analyse von einer neutralen, kompetenten Stelle verfassen zu lassen – ähnlich wie wenn Sie eine Zweitmeinung bei einer anderen Ärztin einholen.
Suchen Sie eine unabhängige, professionelle Zweitmeinung zu Ihrem URM und der ISO oder COSO Frage? Dann nehmen Sie mit uns Kontakt auf. Wir unterstützen Sie dabei, das Maximum aus Ihrem URM herauszuholen.
PS:
Weder die Megrow Consulting GmbH noch ich erhalten von der ISO oder dem COSO in irgendeiner Form Unterstützung.