Des-Integriertes Risikomanagement der ISO Normen zu Management / Managementsystemen

Des-Integriertes Risikomanagement ... des-aströs !!!

Was ist los mit dem ISO Risikomanagement?

Die Norm DIN ISO 31000:2018 „Risikomanagement - Leitlinien“ ist ein trauriges Kapitel, genauer ist traurige sieben Kapitel. Formal stellt die Norm keine Anforderung („muss“) an Risikomanagementsysteme, sondern gibt Leitlinien („sollte“) Risikomanagement. Von ISO Managementsystem keine Spur, beschreibt sie zwar (als Leitlinie ???) einen Risikomanagementprozess, welcher aber nicht ISO-typisch einer Regelung nach dem PDCA Konzept unterliegt. Daher kann sie auch nicht als Norm für ein Risikomanagementsystem in eine Norm für Wertemanagementsysteme (z. B. DIN EN ISO 9001:2015) integriert werden. Anforderungen sind etwas völlig anderes als Leitlinien.

Die Norm DIN ISO 9001:2015 „Qualitätsmanagementsysteme - Anforderungen“ enthält von Hause aus ein Integriertes Risikomanagement, welches aber kein vollständiges ISO Managementsystem ist sondern nur ein Fragment eines solchen. Das ist damit belegt, dass die Norm ISO 9001:2015 nicht in allen Kapiteln 5 bis 10 Anforderungen an den Umgang mit oder die Behandlung von Risiken (und Chancen) stellt, was gleichbedeutend ist, dass dieses Fragment eines Risikomanagementsystems nicht dem geregelten Prozess nach dem PDCA Paradigma der ISO folgt.

Die Normen DIN ISO 31000:2018 und DIN EN ISO 9001:2015 sind nicht auf gleicher Augenhöhe. Beide Normen zusammen beschreiben kein Integriertes, sondern ein Des-Integriertes Risikomanagement.

Was kann getan werden?

(i)     Die Norm DIN ISO 9001:2015 mit ein paar wenigen zusätzlichen Anforderungen an den Umgang mit Risiken (und Chancen) aufrüsten, sodass Risikomanagement ein vollständig integriertes vollständiges Risikomanagementsystem wird. Aber nur für den Themenbereich „Qualität“. Der erweiterte Normtext ist dann formal keine ISO Norm mehr. Er enthält aber den Text und die Struktur der Norm DIN ISO 9001:2015.

(ii)    Die Norm DIN ISO 31000:2018 aufrüsten und umbauen zu einer Norm mit Anforderungen an Risikomanagementsysteme. Der Themenbereich kann dann frei gewählt werden. Der erweiterte Normtext ist dann formal keine ISO Norm mehr. Er stammt lediglich vom Text der Norm DIN ISO 31000:2018 ab.

(iii)  Die Anforderungen der Norm DIN ISO 31000:2018 in die Norm DIN ISO 9001:2015 aufnehmen. Damit werden Anforderungen (Managementsystem: ISO 9001) um Leitlinien (Management: ISO 31000) erweitert. Das ist keine saubere Integration, sondern eine unsaubere Erweiterung.

Ein Quick-Fix der ISO ist nicht verfügbar.