Diese Norm ist kein Werkzeuggebinde und kein Schweizermesser für Risikomanagement, sondern ein Wühltisch für Techniken, die man auch im Risikomanagement einsetzen kann (Ich sage bewusst nicht: "nutzen kann".). Weder die textliche Aufarbeitung noch die graphische Gestaltung sind aus einem Guss. Die Techniken sind in unterschiedlicher Tiefe beschrieben: Eine Anwendung der Technik in der Praxis ist mit der Darstellung zumeist nicht möglich. Die Techniken sind in verschiedener Weise bebildert: Eine Übertragung der Technik auf konkrete Fälle ist schwierig.
Zudem beschränkt sich diese Norm auf Techniken der Risikobeurteilung / Risk Assessment nach Kapitel 5.4 der Norm ISO 31000:2009. Wo sind die Techniken der Risikobewältigung / Risk Treatment nach Kapitel 5.5 der Norm ISO 31000:2009?
Es ist zuwenig, wenn FMEA (Abschnitt B.13) nur oberflächlich beschrieben wird.
Es ist zuwenig, wenn die klassische Risikomatrix (Abschnitt B.29) dürftig bebildert wird.
Es nett (was ist nicht alles nett :-), wenn die Einsatzbereiche von Monte Carlo (Abschnitt B.25) skizziert werden.
Es ist gefährlich, wenn nicht klar wird, ob mit Risk Indices (Abschnitt B.28) nun Kennzahlen gemeint sind oder nicht.
Bleibt der Trost, dass Brainstorming beschrieben ist (Abschnitt B.1) und man mit dieser Anleitung das Gehirn über diese Norm stürmen lassen kann.
Etwas Verständnis für die Unzulänglichkeiten dieser Norm habe ich durchaus: Es ist sehr schwer, generische Techniken für Risikomanagement zu beschreiben, wenn die aktuellen Risiken, die zu Schäden "materialisiert" sind, so verschieden sind, wie die folgenden Beispiele:
- Verlust und Schaden aus spekulativem Finanzgeschäft
- Verlust und Schaden infolge von Fehlern und mangelnder Qualität
- Verlust und Schaden aus Ereignissen infolge von Naturgefahren
- Verlust und Schaden infolge von Vorspiegelung falscher Tatsachen