Montag, 19. Juni 2017

DIN EN ISO 9001:2015, 14001:2015 - Risikomanagement geklärt

Es ist einfach, das ungeklärte Risikomanagement in der Normen DIN EN ISO 9001:2015, 14001:2015 zu klären. Ohne viel Aufwand lässt sich Das Risikomanagement im Qualitätsmanagement (bzw. im Umweltmanagement) einfach integrieren. Die Eckpunkte des Konzepts (das leider - sh. der vorangegangene Post - nicht konsequent erstellt ist) sieht wie folgt aus:



  • Gemäß Normkapitel 3 wird auf ISO-Definitionen von Risiko und Chancen referenziert. Dazu dienen die Normen ISO 9000:2015 und ISO 31000:2009. Das ist nichts Neues. 
  • Gemäß Normkapitel 4 werden Risiko und Chancen mit Qualität (bzw. Umwelt) in Beziehung gebracht. Damit wird das Risikomanagement in das Qualitätsmanagement (bzw. in das Umweltmanagement) integriert. Das steht nicht klar in den Normanforderungen.
  • Gemäß Normkapitel 5 wird die Verantwortung auch für Risiko und Chance festgestellt. Das steht indirekt in den Normanforderungen aus Kapitel 5. 
  • Gemäß Normkapitel 6 (entspricht dem P - Plan) werden Risiken in Bezug auf Ziele, Strategien und Maßnahmen geplant. Das geht etwas über die Normanforderungen aus Kapitel 6 hinaus. 
  • Gemäß Normkapitel 7 werden für Risikomanagement Ressourcen bereitgestellt und Potenziale entwickelt. Das steht indirekt in den Normanforderungen aus Kapitel 7. 
  • Gemäß Normkapitel 8 (entspricht dem D - Do) werden die gemäß Normkapitel 6 geplanten Massnahmen umgesetzt. Das steht nicht klar in den Normanforderungen aus Kapitel 8, wohl aber unklar in den Normanforderungen aus Kapitel 4.
  • Gemäß Normkapitel 9 (entspricht dem C - Check) wird in Bezug auf Risiko und Chance auditiert und bewertet.
  • Gemäß Normkapitel 10 (entspricht dem A - Act) werden entsprechend der Ergebnisse aus Kapitel 9 Veränderungen eingeleitet in Bezug auf die Strategien und die Massnahmen zu Risiken und Chancen.

Dieses einfache und klare Vorgehen beschreibt ein Management von Qualitäts- (bzw. Umweltrisiken) integriert im Qualitäts- (bzw. Umweltmanagement). Es ordnet das Vorgehen systematischer im PDCA-Konzept der ISO-Normen für Managementsysteme als es in den entsprechenden Normen ISO 9001:2015 und ISO 14001:2015 formuliert ist.



 


Sonntag, 18. Juni 2017

DIN EN ISO 9001:2015, 14001:2015 - Risikomanagement ungeklärt

Nach nunmehr einem Jahr mit ersten Erfahrungen im Rollout der aktuellen Revision ...


... die Deutungshoheit für die Botschaft der Norm verbleibt auch in dieser Revision bei den Schriftgelehrten der normtragenden Organisationen und ihren Meinungsmultiplikatoren. Aber die Deutung ist nicht eindeutig. Es git keine Wahrheit, sondern nur Interpretationen der Wahrnehmung. 
Strittiger Punkt ist das Risikomanagement, welches in der Norm ISO 9001:2015 mit dem Begriff "Risikomanagement" nur ein einziges Mal und nur im Anhang genannt ist. Ansonsten steht im Normtext in den Kapiteln mit Anforderungen an das Qualitätsmanagementsystem nur etwas von "Behandlung von ... " und "Umgang mit ..." Risiken und Chancen, ohne diese Aktivitäten irgendwo im Normbereich zu definieren oder erklären.



  • So gibt es noch immer Stimmen, die im Qualitätsmanagementsystem das Management aller möglicher Risiken verschiedener Kategorien verlangen. Dabei steht bereits im Titel der Normen der Normen ihr jeweiliger Anwendungsbereich und das ist die Qualität (ISO 9001) und die Umwelt (ISO 14001) und nichts anderes. Und im Normtext der ISO 9001:2015 wird explizit ausgeführt, dass diese Norm nur Anforderungen an das Qualitätssystem stellt und nicht an Managementsysteme mit anderen Themen.
  • So wird von anderen Stimmen verlangt, dass das Risikomanagement (integriert im Qualitätsmanagement nach der Norm ISO 9001:2015) die Risiken wie die Qualität im ISO-üblichen PDCA-Zyklus abgearbeitet werden müssen. Auch dieses Verlangen ist nicht aus dem Normtext heraus zu begründen. So wird im gesamten Normkapitel 8 "Betrieb", dem Kapitel des Betriebs des Qualitätsmanagements kein einziges Mal das Wort "Risiko" oder das Wort "Risiken" erwähnt. 
  • Eine Anforderung zur Behandlung von Risiken und Chancen findet sich in Normkapitel 4.4.1.f) ausserhalb des PDCA Zyklus. Dort wird auf die im Normkapitel 6.1 bestimmten Risiken und Chancen verwiesen.
  • Andererseits soll nach Normkapitel 9 die Bewertung der Wirksamkeit durchgeführter Maßnahmen zum Umgang mit Risiken und Chancen erfolgen.
  • Und zu guter letzt wird im Anhang versetzt der Anhang A4 Risikobasiertes Denken mit der Aussage "Obwohl in 6.1 festgelegt ist, dass die Organisation Maßnahmen zur Behandlung von Risiken planen muss, sind keine formellen Methoden für das Risikomanagement oder ein dokumentierter Risikomanagementprozess erforderlich." dem Risikomanagement im Qualitätsmanagement den Dolchstoß. Dem widersprechen Auditoren wiederum mit der Aussage, dass Anforderungen der Normkapitel nicht durch Erklärungen informativer Art im Anhang aufgehoben werden könne.


Das kommt heraus, wenn ein Normtext nicht in logischer Kapitel und Aussagenfolge geschrieben ist: Chaos.