Donnerstag, 7. September 2017

Von COSO nach ISO und zurück

Die ISO Normen mit Anforderungen an Managementsysteme (nach der neuen high-level Struktur und auch nach den alten Strukturen) stellen Anforderungen aus den folgenden Perspektiven von Werten:

(1)       normativ (Governance)
(2)       rechtlich (Compliance)
(3)       strategisch (Potenziale)
(4)       operativ (Ressourcen)
(5)       finanziell (Bewertung)

Die Perspektiven (2) bis (5) stimmen im Wesentlichen mit den COSO Perspektiven nach dem farbigen Würfel des Unternehmensweiten Risikomanagements überein.

In der Praxis stecken z. B. in den Normen konkrete Anforderungen mit den Perspektiven (1) bis (5).

(1) z. B. Verantwortung der Obersten Leitung in ISO 9001:2015; Politik
(2) z. B. bindende Verpflichtungen in ISO 14001:2015
(3) z. B. Wissen in ISO 9001:2015; strategische Ziele in ISO 14001:2015
(4) z. B. Qualität des Produkts in ISO 9001:2015; operative Ziele in ISO 14001:2015 
(5) z. B. Energiekosten in ISO 50001:2011

In der Praxis stellen alle ISO Normen mit Anforderungen an Managementsysteme Anforderungen in diesen fünf Perspektiven. 

Die Perspektive (5) finanziell (Bewertung), die möglicherweise nicht explizit in der Norm gefordert wird, liegen durchaus implizite Forderungen vor. Es gibt kleinen Unternehmer, der nicht seine - wie auch immer definierten - Qualitätskosten kennen möchte, obwohl die Normanforderung (wewlch ein Schwachpunkt der Norm!) hier nicht explizit ist. Wobei in anderen Normen z. B. explizit etwas über Kosten steht!

ISO Norm mit Anforderungen an Managementsysteme (9001, 14001 u. a.) in einem Satz

In ISO Normen zu Managementsystemen nach der neuen High-Level Struktur ist die Systematik des Managements eines Sachverhalts präzise gefasst. Eine Sache oder ein Sachverhalt in ...

  • einer Organisation (Normkapitel 1 „Anwendungsbereich“),
  • unter Berücksichtigung weiterer Normen (Normkapitel 2 „Verweisungen“),
  • wird definiert (Normkapitel 3 „Begriffe“),
  • in einen Zusammenhang gestellt (Normkapitel 4 „Kontext“),
  • einer Verantwortung unterstellt (Normkapitel 5 „Führung“),
  • und dem PDCA Zyklus eines geregelten Managementprozesses unterzogen (Normkapitel 6 „Planung“, 8 „Betrieb“, 9 „Messung“, 10 „Verbesserung“),
  • wobei Ressourcen und Potentiale (Normkapitel 7 „Ressourcen“) zum Einsatz kommen.

Das sind einfach die 10 Kapitel der neuen Revision der ISO Managementsysteme auf einen einzigen Satz gebracht.

Sonntag, 20. August 2017

Über 300 Anforderungen der Norm DIN EN ISO 9001:2015

Anforderungen der ISO Normen an Managementsysteme (hier konkret DIN EN ISO 9001:2015 Qualitätsmanagementsysteme - Anforderungen) haben weit über 300 Anforderungen, was die Organisation machen muss.
Davon sind über 100 explizite Anforderungen, die mit dem Begriff muss eingeleitet werden. Diese werden teilweise vervielfacht, da ein muss mehrere Anforderungen in Form einer Aufzählung einleitet. Durch diese Multiplikation enthält die Norm über 300 explizite Anforderungen.
 

Donnerstag, 10. August 2017

MIL-Q-9858 (1959) - Der Urahn des ISO 9001:2015 Qualitätsmanagements

MIL-Q-9858 (1959) Military Specification: „Quality Program Requirements“
The US Dept. of Defense for Dept. of the Army, Navy, Air Force, Defense Supplies

Angesichts des syntaktischen, semantischen, inhaltlichen und strukturellen Verhaus der neuen Revision der ISO 9001:2015 ergötzen sich Nostalgiker an der MIL-Q-9858 von 1959. 8 Kapitel mit 12000 Zeichen auf 9 Seiten machten die Essenz eines Qualitätsmanagement Standards aus der das Ziel hatte, Qualitätsstandards bei der Beschaffung von Material für die US-amerikanischen Streitkräfte zu setzen. 

Besonders interessant und wichtig: In diesem Standard steht etwas über Finanzen. Was in den ISO Nachfolgerevisionen der Norm 9001 bis heute nicht drin steht. Was aber jeder vernünftige Unternehmer / "Oberste Leiter" zusätzlich in sein QM reinschreibt. Damit er weiß, was Qualität kostet, wenn sie gemacht wird und auch wenn sie nicht gemacht wird.
Übrigens: ISO 9001 ist ein Mindeststandard. Es spricht alles dafür, etwas mehr als die ungefähr 130 Forderungen im Sinne von ... muss / müssen ... in das QM reinzunehmen, wenn es sinnvoll ist. Das geschieht selten, was zu denken geben sollte. 

Diese Spezifikation wurde  zurückgezogen zugunsten der Norm ISO 9001 und analoger ANSI / ASQC Standards in 1995. Dazwischen war sie bereits ab 1968 internationalisiert als NATO-Standard.

ISO: International Organization for Standardization
ANSI: American National Standards Institute
ASQC: American Society for Quality Control

Mittwoch, 9. August 2017

Schadensymposium BAU Hochschule Karlsruhe am 1.12.2017

Die Hochschule Karlsruhe veranstaltet mit Kooperationspartnern ein eintägiges Symposium über Bauschäden am 1. Dezember 2017.
Angesichts der Meldungen über marode Infrastrukturen von Verkehrswegen (Strassen, Brücken, Tunnel) und Gebäuden ein höchst aktuelles Thema. Schwerpunkt des diesjährigen Symposiums sind Elementarrisiken aus der Umgebung von diesen Infrastrukturen.

Risikomanagement im Sinne von schadensvorbeugenden Aktivitäten findet diesmal einen größeren Raum durch mehrere Beiträge. Dabei geht es um Prävention statt Sanierung oder Reparatur.

https://www.hs-karlsruhe.de/schadensymposium/

Montag, 19. Juni 2017

DIN EN ISO 9001:2015, 14001:2015 - Risikomanagement geklärt

Es ist einfach, das ungeklärte Risikomanagement in der Normen DIN EN ISO 9001:2015, 14001:2015 zu klären. Ohne viel Aufwand lässt sich Das Risikomanagement im Qualitätsmanagement (bzw. im Umweltmanagement) einfach integrieren. Die Eckpunkte des Konzepts (das leider - sh. der vorangegangene Post - nicht konsequent erstellt ist) sieht wie folgt aus:



  • Gemäß Normkapitel 3 wird auf ISO-Definitionen von Risiko und Chancen referenziert. Dazu dienen die Normen ISO 9000:2015 und ISO 31000:2009. Das ist nichts Neues. 
  • Gemäß Normkapitel 4 werden Risiko und Chancen mit Qualität (bzw. Umwelt) in Beziehung gebracht. Damit wird das Risikomanagement in das Qualitätsmanagement (bzw. in das Umweltmanagement) integriert. Das steht nicht klar in den Normanforderungen.
  • Gemäß Normkapitel 5 wird die Verantwortung auch für Risiko und Chance festgestellt. Das steht indirekt in den Normanforderungen aus Kapitel 5. 
  • Gemäß Normkapitel 6 (entspricht dem P - Plan) werden Risiken in Bezug auf Ziele, Strategien und Maßnahmen geplant. Das geht etwas über die Normanforderungen aus Kapitel 6 hinaus. 
  • Gemäß Normkapitel 7 werden für Risikomanagement Ressourcen bereitgestellt und Potenziale entwickelt. Das steht indirekt in den Normanforderungen aus Kapitel 7. 
  • Gemäß Normkapitel 8 (entspricht dem D - Do) werden die gemäß Normkapitel 6 geplanten Massnahmen umgesetzt. Das steht nicht klar in den Normanforderungen aus Kapitel 8, wohl aber unklar in den Normanforderungen aus Kapitel 4.
  • Gemäß Normkapitel 9 (entspricht dem C - Check) wird in Bezug auf Risiko und Chance auditiert und bewertet.
  • Gemäß Normkapitel 10 (entspricht dem A - Act) werden entsprechend der Ergebnisse aus Kapitel 9 Veränderungen eingeleitet in Bezug auf die Strategien und die Massnahmen zu Risiken und Chancen.

Dieses einfache und klare Vorgehen beschreibt ein Management von Qualitäts- (bzw. Umweltrisiken) integriert im Qualitäts- (bzw. Umweltmanagement). Es ordnet das Vorgehen systematischer im PDCA-Konzept der ISO-Normen für Managementsysteme als es in den entsprechenden Normen ISO 9001:2015 und ISO 14001:2015 formuliert ist.



 


Sonntag, 18. Juni 2017

DIN EN ISO 9001:2015, 14001:2015 - Risikomanagement ungeklärt

Nach nunmehr einem Jahr mit ersten Erfahrungen im Rollout der aktuellen Revision ...


... die Deutungshoheit für die Botschaft der Norm verbleibt auch in dieser Revision bei den Schriftgelehrten der normtragenden Organisationen und ihren Meinungsmultiplikatoren. Aber die Deutung ist nicht eindeutig. Es git keine Wahrheit, sondern nur Interpretationen der Wahrnehmung. 
Strittiger Punkt ist das Risikomanagement, welches in der Norm ISO 9001:2015 mit dem Begriff "Risikomanagement" nur ein einziges Mal und nur im Anhang genannt ist. Ansonsten steht im Normtext in den Kapiteln mit Anforderungen an das Qualitätsmanagementsystem nur etwas von "Behandlung von ... " und "Umgang mit ..." Risiken und Chancen, ohne diese Aktivitäten irgendwo im Normbereich zu definieren oder erklären.



  • So gibt es noch immer Stimmen, die im Qualitätsmanagementsystem das Management aller möglicher Risiken verschiedener Kategorien verlangen. Dabei steht bereits im Titel der Normen der Normen ihr jeweiliger Anwendungsbereich und das ist die Qualität (ISO 9001) und die Umwelt (ISO 14001) und nichts anderes. Und im Normtext der ISO 9001:2015 wird explizit ausgeführt, dass diese Norm nur Anforderungen an das Qualitätssystem stellt und nicht an Managementsysteme mit anderen Themen.
  • So wird von anderen Stimmen verlangt, dass das Risikomanagement (integriert im Qualitätsmanagement nach der Norm ISO 9001:2015) die Risiken wie die Qualität im ISO-üblichen PDCA-Zyklus abgearbeitet werden müssen. Auch dieses Verlangen ist nicht aus dem Normtext heraus zu begründen. So wird im gesamten Normkapitel 8 "Betrieb", dem Kapitel des Betriebs des Qualitätsmanagements kein einziges Mal das Wort "Risiko" oder das Wort "Risiken" erwähnt. 
  • Eine Anforderung zur Behandlung von Risiken und Chancen findet sich in Normkapitel 4.4.1.f) ausserhalb des PDCA Zyklus. Dort wird auf die im Normkapitel 6.1 bestimmten Risiken und Chancen verwiesen.
  • Andererseits soll nach Normkapitel 9 die Bewertung der Wirksamkeit durchgeführter Maßnahmen zum Umgang mit Risiken und Chancen erfolgen.
  • Und zu guter letzt wird im Anhang versetzt der Anhang A4 Risikobasiertes Denken mit der Aussage "Obwohl in 6.1 festgelegt ist, dass die Organisation Maßnahmen zur Behandlung von Risiken planen muss, sind keine formellen Methoden für das Risikomanagement oder ein dokumentierter Risikomanagementprozess erforderlich." dem Risikomanagement im Qualitätsmanagement den Dolchstoß. Dem widersprechen Auditoren wiederum mit der Aussage, dass Anforderungen der Normkapitel nicht durch Erklärungen informativer Art im Anhang aufgehoben werden könne.


Das kommt heraus, wenn ein Normtext nicht in logischer Kapitel und Aussagenfolge geschrieben ist: Chaos.