Sonntag, 18. Juni 2017

DIN EN ISO 9001:2015, 14001:2015 - Risikomanagement ungeklärt

Nach nunmehr einem Jahr mit ersten Erfahrungen im Rollout der aktuellen Revision ...


... die Deutungshoheit für die Botschaft der Norm verbleibt auch in dieser Revision bei den Schriftgelehrten der normtragenden Organisationen und ihren Meinungsmultiplikatoren. Aber die Deutung ist nicht eindeutig. Es git keine Wahrheit, sondern nur Interpretationen der Wahrnehmung. 
Strittiger Punkt ist das Risikomanagement, welches in der Norm ISO 9001:2015 mit dem Begriff "Risikomanagement" nur ein einziges Mal und nur im Anhang genannt ist. Ansonsten steht im Normtext in den Kapiteln mit Anforderungen an das Qualitätsmanagementsystem nur etwas von "Behandlung von ... " und "Umgang mit ..." Risiken und Chancen, ohne diese Aktivitäten irgendwo im Normbereich zu definieren oder erklären.



  • So gibt es noch immer Stimmen, die im Qualitätsmanagementsystem das Management aller möglicher Risiken verschiedener Kategorien verlangen. Dabei steht bereits im Titel der Normen der Normen ihr jeweiliger Anwendungsbereich und das ist die Qualität (ISO 9001) und die Umwelt (ISO 14001) und nichts anderes. Und im Normtext der ISO 9001:2015 wird explizit ausgeführt, dass diese Norm nur Anforderungen an das Qualitätssystem stellt und nicht an Managementsysteme mit anderen Themen.
  • So wird von anderen Stimmen verlangt, dass das Risikomanagement (integriert im Qualitätsmanagement nach der Norm ISO 9001:2015) die Risiken wie die Qualität im ISO-üblichen PDCA-Zyklus abgearbeitet werden müssen. Auch dieses Verlangen ist nicht aus dem Normtext heraus zu begründen. So wird im gesamten Normkapitel 8 "Betrieb", dem Kapitel des Betriebs des Qualitätsmanagements kein einziges Mal das Wort "Risiko" oder das Wort "Risiken" erwähnt. 
  • Eine Anforderung zur Behandlung von Risiken und Chancen findet sich in Normkapitel 4.4.1.f) ausserhalb des PDCA Zyklus. Dort wird auf die im Normkapitel 6.1 bestimmten Risiken und Chancen verwiesen.
  • Andererseits soll nach Normkapitel 9 die Bewertung der Wirksamkeit durchgeführter Maßnahmen zum Umgang mit Risiken und Chancen erfolgen.
  • Und zu guter letzt wird im Anhang versetzt der Anhang A4 Risikobasiertes Denken mit der Aussage "Obwohl in 6.1 festgelegt ist, dass die Organisation Maßnahmen zur Behandlung von Risiken planen muss, sind keine formellen Methoden für das Risikomanagement oder ein dokumentierter Risikomanagementprozess erforderlich." dem Risikomanagement im Qualitätsmanagement den Dolchstoß. Dem widersprechen Auditoren wiederum mit der Aussage, dass Anforderungen der Normkapitel nicht durch Erklärungen informativer Art im Anhang aufgehoben werden könne.


Das kommt heraus, wenn ein Normtext nicht in logischer Kapitel und Aussagenfolge geschrieben ist: Chaos.