Zum Hauptinhalt springen

ONR 49001:2014

ONR 49001:2014

ONR 49001:2014 - Risikomanagement für Organisationen und Systeme

Die Wirksamkeit eines gelebten Risikomanagementsystems ist für Organisationen von entscheidender, oft existentieller Wichtigkeit, dazu ist eine Systematik erforderlich, die die geforderte Transparenz und Nachvollziehbarkeit sicherstellt. Risikomanagement stellt diese Systematik dar und ist ein zyklischer Prozess zur Identifikation, Bewertung und Steuerung der Unternehmensrisiken. Mit der Önorm ONR 49001 ist ein auch international anerkannter und inhaltlich sehr guter Managementsystemstandard geschaffen bzw. beschrieben, welcher die Elemente des Risikomanagementsystems nachvollziehbar und überprüfbar festlegt und nach dem auch zertifiziert werden kann.

Die ONR 49001 entspricht im Wesentlichen sinngemäß und auch inhaltlich der ISO 31000, geht aber in Zielsetzung und Inhalten darüber hinaus. Die Elemente des Risikomanagement-Systems sind differenzierter dargestellt, um eine objektive Überprüfbarkeit sicherzustellen.

Durch die Zertifizierung visualisiert ihr Unternehmen, dass es sich sowohl der Unternehmensrisiken wie auch der Risiken in den Prozessen bewusst ist und diese auch entsprechend managet. Neben bekannter Risiken in der Dienstleistungs- bzw. Produktrealisierung werden auch Risiken die im Kontext der Organisation stehen, identifiziert und beherrsch, wodurch eine kontinuierliche und nachhaltige Leistungserbringung sichergestellt werden soll.

Ein funktionierendes Risikomanagementsystem führt in weiterer Folge durch vorausschauendes Maßnahmenmanagement zu einer Kostenreduktion. Es soll dazu dienen, Informationen und Analysen auf der Grundlage von Beweisen zu erhalten, anhand derer nachvollziehbare Entscheidungen getroffen werden können, wie bestimmte Risiken zu behandeln sind und wie zwischen verfügbaren Optionen ausgewählt werden kann.

Zum Hauptsächlichen Nutzen gehören:

  • das Risiko verstehen und dessen mögliche Auswirkungen auf die Zielsetzungen begreifen
  • Informationen für Entscheider liefern
  • zum Verständnis der Risiken beitragen, um so besser die richtige Auswahl zwischen Behandlungsoptionen treffen zu können
  • die wichtigen Beiträger zu Risiken und Schwachstellen in Systemen und Organisationen ermitteln
  • die Risiken mit denjenigen alternativer Systeme, Technologien oder Vorgehensweisen vergleichen
  • Risiken und Ungewissheiten ermitteln und melden
  • bei der Aufstellung von Prioritäten mithelfen
  • nach Vorfällen die auslösenden Gründe ermitteln und zur Vermeidung neuer Vorfälle beitragen
  • verschiedene Formen der Risikobehandlung auswählen
  • behördliche Vorschriften erfüllen
  • Informationen liefern, anhand derer die Vertretbarkeit von Risiken gemäß vorgegebener Kriterien beurteilt werden kann
  • die Risiken für die Entsorgung am Lebensende beurteilen

Da durch ein zertifiziertes System nach ISO Standards (beispielsweise nach 9001 od. 14001) bereits das Zusammenwirken der Prozesse dokumentiert ist und wesentliche Prozesse der Planung, des Reportings und Maßnahmenmanagements designt sind, ist der Aufbau eines Risikomanagementsystems nach ONR 49001 erfahrungsgemäß mit überschaubarem Mehraufwand sehr effizient umsetzbar. Bestehende Prozesse werden in die Risikobeurteilung mit einbezogen, wodurch Synergien zwischen Risikomanagement und Managementsystemen nach üblichen Standards genutzt werden können. Das Risikomanagementsystem kann entlang des PDCA-Zyklus aufgebaut werden, wodurch eine bottom up Beurteilung der Prozessrisiken wesentlich vereinfacht wird und unterschiedliche Ausrichtungen der Prozesse in Richtung Qualität, Umwelt oder Arbeitssicherheit, optimal berücksichtigt werden können.

Das richtige Maß finden – mit den Experten des TÜV AUSTRIA. Dokumentation um der Dokumentation willen? Ein RM-System funktioniert nur dann zweckmäßig, wenn es dem Unternehmen dient. Unsere Auditoren schaffen für Sie den größtmöglichen Nutzen aus Auditierung und Zertifizierung.

Vom mittelständischen Unternehmen bis zur Großindustrie, vom Dienstleister bis zum Produzenten, quer durch alle Branchen und unabhängig von der Unternehmensform kann auch Ihr Unternehmen nach der ONR 49001 zertifiziert werden. Jedes Unternehmen, dass über den risikobasierten Ansatz der Managementsystemnormen hinaus, ein vertieftes Risikomanagement betreiben möchte und dies dem Markt durch eine Zertifizierung visualisieren möchte, sollte sich für eine Zertifizierung nach ONR 49001 entscheiden.

Ein dokumentiertes und in der Organisation integriertes bzw. gelebtes Risikomanagementsystem.

Die tatsächliche Dauer, sowie Aufwand und Kosten legen wir mit Ihnen gemeinsam vor Beginn der Zertifizierung fest. Am Beginn jedes Zertifizierungsverfahrens steht daher ein Informationsgespräch.

1. Informationsgespräch
Bei einem unverbindlichen und kostenlosen Gespräch informieren wir Sie über die Vorgehensweise zur Erlangung Ihres Zertifikats. Weiters werden u.a. folgende Punkte geklärt:

  • Grundsätzliche Voraussetzungen für eine Zertifizierung
  • Ziele und Nutzen der Zertifizierung
  • Abgleich der Unternehmensdaten und Festlegung des Geltungsbereiches der Zertifizierung
  • Besprechung Ihrer spezifischen Anforderungen und Wünsche
  • Festlegung der nächsten erforderlichen Schritte in Richtung Zertifizierung

Auf Basis dieses Informationsgesprächs erhalten Sie ein individuelles und auf Ihre Organisation maßgeschneidertes Angebot.

2. Beauftragung
Sind Sie mit dem gestellten Angebot zufrieden, wird die Zertifizierungsstelle beauftragt. Nachdem Sie eine Auftragsbestätigung erhalten haben, beginnt der Zertifizierungsprozess mit einer gemeinsamen terminlichen Abstimmung mit dem/der verantwortlichen Auditor/in.

3. Voraudit (optional)
Auf Wunsch kann ein Voraudit durchgeführt werden. Dies ist aber keine notwendige Voraussetzung zur Zertifizierung. Anhand eines gemeinsam definierten Rahmens werden entweder spezielle Bereiche bzw. Prozesse oder die Gesamtsituation Ihrer Organisation auditiert. Dabei werden etwaige Schwachstellen in der Dokumentation und der Implementierung des Systems aufgezeigt. Ein Voraudit kann Ihnen auf Wunsch einen Statusbericht in Bezug auf die grundsätzliche Zertifizierungsfähigkeit, eine Detailexpertise zu einzelnen Prozessen oder der Konformität zu einzelnen Forderungspunkten der jeweiligen Norm geben. Die Auditmethodik entspricht dabei jener des Zertifizierungsaudits.

4. Zertifizierungsaudit Stufe 1
Das Stufe-1-Audit dient zur Feststellung Ihrer Zertifizierungsfähigkeit. Standortspezifische Bedingungen werden beurteilt und notwendige Informationen bezüglich des Geltungsbereichs gesammelt. Folgende Hauptpunkte werden vorwiegend in der Auditstufe 1 behandelt:

  • Prüfung der Dokumentation auf Konformität und Vollständigkeit im Abgleich mit den jeweiligen Normanforderungen.
  • Status der Implementierung des Managementsystems im Unternehmen: Lässt das vorhandene Management sowie der Implementierungsgrad des Managementsystems in der Organisation grundsätzlich eine Zertifizierung zu oder fehlen noch entscheidende Details?

Vor Durchführung der Auditstufe 2 wird mit dem erlangten Wissen zu Ihrer Organisation und dem Managementsystem eine Auditplanung für das eigentliche Zertifizierungsaudit erstellt und mit Ihnen abgestimmt.

5. Zertifizierungsaudit Stufe 2
Im Rahmen der Stufe 2 wird in Ihrem Unternehmen die Wirksamkeit des eingeführten Managementsystems überprüft. Dabei werden in Abteilungen bzw. Organisationseinheiten und entlang der Prozessketten Stichproben zu allen Anforderungen gezogen.

Grundlagen der Auditierung sind:

  • Auditplanung
  • die jeweilige Zertifizierungsnorm bzw. darin festgelegte einzelne Normforderungen
  • organisationsspezifische Dokumente
  • allgemeine und branchenspezifische Grundlagen (Gesetze, weiterführende, branchenspezifische, erforderliche Normierungen,..)

Nach Auswertung und Bewertung der Ergebnisse werden Ihnen im Rahmen des Abschlussgesprächs bereits das Auditergebnis sowie eventuelle Mängel bzw. Abweichungen mitgeteilt. Bei Abweichungen werden Korrekturmaßnahmen festgelegt. In weiterer Folge werden eine Ursachenanalyse und eine jeweilig nachgewiesene Maßnahme nochmals durch das Auditteam verifiziert.

6. TÜV AUSTRIA-Zertifikat
Die tatsächliche Zertifizierung wird nach erfolgter Auditierung und Berichtslegung auf Basis des Auditberichtes durch die Zertifizierungsstelle des TÜV AUSTRIA ausgesprochen. Sind die folgenden Zertifizierungsvoraussetzungen erfüllt, steht einem rasch ausgestellten Zertifikat nichts mehr im Wege:

  • Dokumentation und Implementierung des Managementsystems
  • Zertifizierungsübereinkommen (Bestätigung des Zertifizierungsangebots, der Zertifizierordnung und der AGBs)
  • positiv absolviertes Audit und damit eine entsprechende Empfehlung Ihres Auditteams an die Zertifizierungsstelle

Ein Zertifikat wird für eine Laufzeit von 3 Jahren ausgestellt. Um die Gültigkeit des Zertifikates über die gesamte Laufzeit aufrecht zu erhalten, ist die jährliche Durchführung bzw. der jeweils positive Abschluss eines Überwachungsaudits (12 Monate und 24 Monate nach Ausstellung des Zertifikates) erforderlich.

7. Überwachungsaudits
Beim jährlich durchzuführenden Überwachungsaudit werden die Wirksamkeit und die Weiterentwicklung des Managementsystems stichprobenartig überprüft. Überwachungsaudits sind in Bezug auf den Auditumfang kürzer und umfassen neben den aufgezeigten Mängeln aus dem letzten Audit auch verschiedene Schwerpunkte aus den Normenforderungen.

8. Re-Zertifizierungsaudit
Dieses muss vor Ablauf der Gültigkeit des Zertifikats (i. d. Regel nach drei Jahren) durchgeführt werden. In einem Re-Zertifizierungsaudit (oft auch Wiederholungsaudits genannt) werden wie bei einem Zertifizierungsaudits alle Forderungspunkte stichprobenartig überprüft. Der Aufwand dieses wiederholenden Zertifizierungsverfahrens ist gegenüber einem Erstzertifizierungsverfahren verkürzt (ca. 2/3 der Auditzeit eines Erstzertifizierungsverfahrens).

Nach positiver Zertifizierungsentscheidung wird erneut ein Zertifikat mit einer Gültigkeit von drei Jahren ausgestellt, welches abermals über jährliche Überwachungsaudits bestätigt wird.

Ihr Zertifikat besitzt eine Gültigkeitsdauer von drei Jahren und darf von Ihnen entsprechend der Zertifizierordnung zu Werbezwecken verwendet werden.

Werfen Sie einen Blick auf ein Muster-Zertifikat!


Das Zertifizierungslogo kann sehr gerne beispielsweise auf Ihrem Briefpapier, Ihrer Website (jeweils im Zusammenhang mit Ihrer Organisation) verwendet werden. Die Ihrerseits jeweilig geplante Verwendung muss aus rechtlichen Gründen durch die Zertifizierungsstelle freigegeben/bestätigt werden.

  •  | Drucken
to top