Entwurf der DIN ISO 31000 wird zurückgezogen

Die ISO 31000:2009 ist nun schon seit einiger Zeit als ISO-Norm veröffentlicht. Die Österreicher waren besonders schnell bei der Erstellung der nationalen Norm, schon im Frühjahr 2010 lag die ÖNORM ISO 31000 vor.

Auf die deutsche DIN ISO 31000 werden wir dagegen vergeblich warten. Das entsprechende Gremium beim DIN (der Arbeitsausschuss 095-04-02 AA des Normenausschuss Sicherheitstechnische Grundsätze – NASG) fällte am 1. September 2011 den Beschluss, dass der Norm-Entwurf   „nicht zur Norm fortgeschrieben werden soll. Die ersatzlose Zurückziehung wird nach Laufzeitende im Januar 2013 eingeleitet.“

Gründe hierfür waren unter anderem Bedenken auf Seiten der Industrie, dass die Norm als Zertifizierungsgrundlage verwendet werden könnte, also zusätzliche Anforderungen auf die Unternehmen zu kommen und aufwändige Zertifizierungen durchgeführt werden müssen. Erste Tendenzen in diese Richtung gibt es bereits, obwohl die ISO 31000:2009 explizit nicht für die Zertifizierung gedacht ist. Sie ist für eine Zertifizierung auch in keinster Weise geeignet, da sie einen sehr bereiten, allgemeingültigen Anspruch hat. Die ISO 31000:2009 nimmt für sich in Anspruch für alle Risikomanagement-Bereiche zu gelten also beispielsweise

  • für betriebswirtschaftliches Risikomanagement (ERM), wie auch
  • für Projekt Risikomanagement,
  • für Risikomanagement im Bereich Arbeitssicherheit,
  • für technisches Risikomanagement in der Produktentwicklung,
  • für finanzielles Risikomanagement (z. B. bei Banken und bei Investmentprodukten),
  • für Risikomanagement im Umweltschutz,
  • für IT-Risikomanagement,
  • für Risikomanagement bei Medizinprodukten und
  • für Risikomanagement im Bereich Nanotechnologie (Emerging Risks).

In all diesen Bereichen gibt es sehr spezifische Anforderungen und oft auch schon sehr detailliert ausgearbeitete Best-Practices, Vorgehensweisen oder Managementsysteme, die oft schon seit Jahren eingesetzt und zertifiziert werden. Deswegen gibt die ISO 31000 diesen spezifischen Regularien ja auch explizit Vorrang. Trotzdem ist es natürlich so, dass einer Norm, besonders einer „großen“ 1000der Norm schon von sich aus ein großes Gewicht zukommt. Und es gibt natürlich von Seiten einiger Zertifizierer und Berater ein Interesse, auch Geschäft mit der ISO 31000 zu machen. Bei der ISO hat sich ein neuer Arbeitskreis (ein TC, meiner Erinnerung nach) gebildet, der jetzt einen Guide für die ISO 31000 erarbeiten soll, sozusagen den Guide für den Guide. Im Gespräch ist die Nummerierung als ISO 31004, allein dies betont schon die Ähnlichkeit mit der ISO 9004:2009, die ein „Guide zur Einführung von einem Managementsystem nach 9000:2005“ ist, oder auch mit der ISO 14004 (Umweltmanagement). Dabei stellt die 9000:2005 eine genau spezifizierte Zertifizierungsgrundlage da. Für eine solche ist ein eher beschreibender, weicher Guide sicherlich hilfreich. Dagegen stellt sich bei der ISO 31004, die noch ganz am Anfang steht – der Ausschuss bei der ISO wurde gerade erst gegründet – die Frage, wofür man einen Guide für den Guide braucht und auf welches Anwendungsgebiet man sich dann bezieht. Eine ganz allgemeine Anleitung, die in all den oben aufgezählten Anwendungsgebieten hilfreich sein soll, kann man sich schlecht vorstellen.

Das wollte die ISO 31000 ja auch – nach „eigenen Angaben“, siehe folgendes Zitat – nie sein. Sie möchte vielmehr die Begrifflichkeiten und das allgemeine Vorgehen beim Risikomanagement in  verschiedenen Anwendungsgebieten vereinheitlichen.

Abstract ISO 31000:2009

ISO 31000:2009 provides principles and generic guidelines on risk management.

ISO 31000:2009 can be used by any public, private or community enterprise, association, group or individual. Therefore, ISO 31000:2009 is not specific to any industry or sector.

ISO 31000:2009 can be applied throughout the life of an organization, and to a wide range of activities, including strategies and decisions, operations, processes, functions, projects, products, services and assets.

ISO 31000:2009 can be applied to any type of risk, whatever its nature, whether having positive or negative consequences.

Although ISO 31000:2009 provides generic guidelines, it is not intended to promote uniformity of risk management across organizations. The design and implementation of risk management plans and frameworks will need to take into account the varying needs of a specific organization, its particular objectives, context, structure, operations, processes, functions, projects, products, services, or assets and specific practices employed.

It is intended that ISO 31000:2009 be utilized to harmonize risk management processes in existing and future standards. It provides a common approach in support of standards dealing with specific risks and/or sectors, and does not replace those standards.

ISO 31000:2009 is not intended for the purpose of certification.

Siehe http://www.iso.org/iso/catalogue_detail?csnumber=43170

 

Weil der Arbeitsausschuss des DIN einer ISO 31004 eher kritisch gegenüber stand, war man zunächst bewusst nicht in der Projektgruppe vertreten. Da nun aber über 30 Länder, darunter auch die USA, China und viele europäische Länder Interesse gezeigt haben und in dem Ausschuss bei der ISO mitarbeiten, wurde beschlossen, dass dar DIN-Ausschuss Beobachter-Status bei der ISO Projektgruppe beantragt. Man kann nur dort Einfluss nehmen, wo man man mit dabei ist. Um Einfluss zu nehmen, müsste man natürlich entscheiden, die Mitgliedschaft vom Status des beobachtenden Mitglieds zum mitarbeitenden Mitglied zu erweitern. Dies kann aber jederzeit geschehen, wenn der Ausschuss beim DIN diesen Beschluss fällen sollte.

Zu dem Beschluss, keine DIN-SIO 31000 zu veröffentlichen, möchte ich an dieser Stelle noch soviel sagen: Es gab unterschiedliche Positionen im dem Ausschuss. Wichtig war allen Teilnehmen, dass man bei der Entwicklung der ISO 31000 mitgearbeitet hat. Ob die ISO jetzt als DIN-ISO veröffentlicht wird, erschien nicht so entscheidend, da

  • sie sowieso eher nur einen anleitenden Charakter hat,
  • als ISO schon veröffentlicht ist und
  • mit der ÖNORM 31000 auch schon eine deutschsprachige Fassung vorliegt.

Die Bedenken einiger Interessensgruppen lassen sich sehr gut aus dem nationalen Vorwort des veröffentlichen Entwurfs der DIN ISO 31000 ableiten.

Was bedeutet dies? Ich denke für Vertreter von Großunternehmen oder Industrieverbänden könnte es interessant sein, jetzt beim DIN mitzuarbeiten, um Einfluss auf die Entwicklung der ISO 31004 nehmen zu können.  Der Ausschuss beim DIN hat schon bei der Entwicklung der ISO 31000 signifikanten Einfluss genommen, in der Hinsicht, dass die ISO 31000 Hilfestellung geben soll „to harmonize risk management porcesses in existing and future standards“ aber selber eben keine Zertifizierungsgrundlage darstellt. Eine Mitarbeit bei der ISO könnte jetzt in der Hinsicht Früchte tragen, dass die ISO 31000 (bzw. 31004) nicht oder weniger als Zertifizierungsgrundlage für bestimmte Bereiche, wie etwa das ERP (Enterprise Risk Management) missbraucht werden kann, oder national bereits etablierte Standards relativiert werden. Wobei dies der natürlich ISO 31004 schon tendenziell etwas unterstellt, obwohl die Arbeit bei des ISO-Gremiums erst ganz am Anfang steht.

Dieser Artikel stellt in keinster Weise die Meinung des DIN dar, noch ist er dem DIN bekannt oder mit dem DIN abgesprochen. Das was ich geschrieben habe, ist meine persönliche Interpretation der Ergebnisse der Sitzung des Ausschusses. Ich habe selber als Einsprecher bei dem Treffen teilgenommen. Da ich denke, dass die aktuellen Entwicklungen zu der ISO 31000 durchaus von allgemeinem Interesse sind, habe ich diesen Artikel geschrieben.

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s