Mittwoch, 16. März 2011

ISO 31000: Zertifizierung / Testierung oder nicht ?

Die Norm ISO 31000:2009 erklärt sich selbst im Normtext Kapitel 1 Anwendungsbereich als "Diese Internationale Norm dient nicht zum Zweck einer Zertifizierung.". Das ist die eine halbe Wahrheit. An anderer Stelle (in Kapitel 3 Grundsätze) erklärt sie Risikomanagement als "b. Risikomanagement ist Bestandteil aller Organisationsprozesse". Das ist die andere halbe Wahrheit.

Daraus ergeben sich für eine Zertifizierung die folgende Praktiken:

(1) Risikomanagement nach der Norm ISO 31000 wird in einem Integrierten Managementsystem z. B. zusammen mit dem Qualitätsmanagement nach der ISO 9001 (und ggfls. mit den weiteren üblichen Verdächtigen "14001" und "18001") zertifiziert. Dieses Verfahren wird im Mittelstand bei GmbHs häufig angewandt.

(2) Risikomanagement wird vom Wirtschaftsprüfer entsprechend den standardisierten Prüfverfahren testiert. Dieses Risikomanagement kann (und soll sinnvollerweise) nach den Grundsätzen und Richtlinien der Norm ISO 31000 umgesetzt werden und muss die entsprechenden Merkmale des Prüfungsstandards enthalten. Dieses Verfahren wird bei AGs, welche Risikomanagement aus Forderungen des Aktiengesetzes und des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich betreiben, angewandt. Die meisten dieser Umsetzungen von Risikomanagement in AGs sind konform zu den Grundsätzen und Richtlinien der Norm ISO 31000 ohne dies explizit zu erwähnen. Das gilt auch für viele Umsetzungen von Risikomanagement, die vor der Veröffentlichung der Norm ISO 31000 erfolgt sind.

Gegenwärtig prüfen viele Unternehmen, welche Impulse sie aus einem Risikomanagement nach den Grundsätzen und Richtlinien der Norm ISO 31000 erhalten und ob und wie eine Zertifizierung Sinn macht.

AGs müssen aufgrund gesetzlicher Forderungen ein Risikomanagement umsetzen, welches testiert wird. Dieses Risikomanagement muss nicht explizit der Norm ISO 31000 folgen.

GmbHs können ein Risikomanagement umsetzen, welches nicht unbedingt zertifiziert werden muss. Dieses Risikomanagement muss nicht explizit der Norm ISO 31000 folgen.

Zur Erinnerung: Ein Unternmehmen muss nicht (aufgrund gesetzlicher Forderungen), kann aber (aufgrund anderer Forderungen, z. B. Markt- und Kundenforderungen) ein Qualitätsmanagement umsetzen. Ein solches Qualitätsmanagement kann bzw. muss der Norm ISO 9001 und / oder anderen branchenspezifischen Standards folgen.