Sonntag, 22. Juli 2012

Was ist ein Risikomanagement nach der Norm ISO 31000:2009?

Wäre die ISO 31000:2009 eine "Anforderungsnorm" (wie die ISO 9001:2008) deren Erfüllung durch eine Zertifizierung nachzuweisen wäre, wäre ein Risikomanagement nach der ISO 31000:2009 ein Risikomanagement, welches den Inhalten (insbesondere den Anforderungen") entspricht. Jetzt enthält die ISO 31000:2009 keine Anforderungen, sondern Grundsätze und Leitlinien (in Österreich: Richtlinien), und ist nicht zur Zertifizierung vorgesehen (... kann aber zertifiziert werden ...). Die ISO 31000:2009 ist aber eine "Leitliniennorm", die keine Anforderungen stellt, sondern Leitlinien gibt. Bei einem Risikomanagement kann man durchaus auf Inhalte und Strukturen der ISO 31000:2009 zurückgreifen, braucht dies aber nicht so unbedingt zu tun. So können in Anlehnung an Abschnitt 2 "Terms and Definitions" durchaus Begriffe eines individuellen Vokabulars genutzt werden. Die vorgegebenen Begriffe sind nicht generisch. Ebenfalls können in Anlehnung an Abschnitt 3 "Principles" eigene und individuelle Grundsätze formuliert werden und die vorgeschlagenen Grundsätze entweder modifiziert oder ersetzt, oder ersatzlos gestrichen werden. Die vorgegebenen Grundsätze sind nicht generisch. Die Leitlinien des Abschnitts 4 "Framework" und des Abschnitts 5 "Process" werden, da sie generisch sind, übernommen und gegebenenfalls modifiziert.

  

Risikomanagement - Grundsätze des Standards ISO 31000:2009

Der Risikomanagementstandard ISO 31000:2009 "Risk Management - Principles and Guidelines" bringt in seinem Abschnitt 3 "Principles" einen Satz von 11 Grundsätzen mit.

Diese Grundsätze bringen Verständnis und sorgen für Unverständnis gleichermassen!

Beispiel - Abschnitt 3 h: "Risk management takes human and cultural factors into accout."
Dazu der Kommentar eines Vorstands: "Kann ich nicht brauchen; bei uns geht es um Zahlen, Daten und Fakten."

Beispiel - Abschnitt 3 b: Risk management is an integral part of all organizational processes."
Dazu der Kommentar eines Beraters: "Macht klar, dass Risk Management nur "integriert" mit den Prozessen, insbesondere den wertschöpfenden und rechnungslegenden Prozessen des Unternehmens sinnvoll ist."

Über alle diese 11 Grundsätze lässt sich hervorragend diskutieren. Tatsache ist: Im Gegensatz zu den Abschnitten 4 "Framework" und 5: "Process", sind die Inhalte des Abschnitts 3 nicht generisch, sondern gehen von bestimmten grundlegenden Axiomen aus, die unternehmensspezifisch sind. Nicht jedes Unternehmen will "human and cultural factors" berücksichtigen. Es mag dazu gute Gründe haben. Nichts hindert es daran, als einen seiner eigenen Grundsätze z. B. "Risk management ist based on numbers, data and facts." zu formulieren und den nicht gewünschten Grundsatz der Norm zu streichen.