Risikomanagement in ISO9001:2015

Ab September 2015 soll der neue Qualitätsmanagement-Standard ISO9001:2015 veröffentlicht werden. Dieser Standard, der die jüngste Vorgängernorm ISO9001:2008 ablöst, erfordert Thema Risikomanagement. ISO9001-zertifizierte Unternehmen müssen sich mit der neuen Norm beschäftigen, damit ihre Zertifizierung erhalten bleibt beziehungsweise neu vergeben wird. Informationssicherheitsmanagementsysteme (ISMS) integrieren schon länger das Risikomanagement. Mit einem ISMS lässt sich das QM-System (Qualitätsmanagement) wirkungsvoll unterstützen.

Was wird die ISO9001:2015 konkret verlangen?

Der Norm-Entwurf für die ISO9001:2015 entlang der “high level structure” verbessert die jüngste Norm ISO9001, bei der schon die Struktur des Managementrahmens komplett überarbeitet worden war. Auch in der ISO27001:2013 gab es schon erhöhte Anforderungen an integrierte Managementsysteme, das ISMS wurde stärker definiert und musste die Anforderungen an relevante externe Beteiligte („interested parties“) klar beschreiben. Darüber hinaus wurde der Risikoansatz ISO27001:2013 schon geändert, die Risikobewertung und die Behandlung von Risiken sollten seither dem Risikomanagement-Standard ISO 31000 folgen. Zusätzliche Controls betrafen die Sicherheit im Projektmanagement, die Sicherheit von Entwicklungen und ihrer Umgebungen, Softwareinstallationen des Users, Tests und die Analyse sowie der Umgang mit Sicherheitsvorfällen. Am 18.07.2014 wurde erstmals der Entwurf der ins Deutsche übersetzten ISO9001:2015 veröffentlicht. Diese fokussiert nun absolut auf den risikobasierten Ansatz in Managementsystemen, auf die Bewertung relevanter Unternehmensrisiken sowie auf die Integration dieser Erkenntnisse in die Qualitätsplanung.

Was leisten integrierte Managementsysteme?

Mit einem ISMS können Unternehmen die neuen Anforderungen der ISO9001:2015 relativ leicht erfüllen. Diese Systeme, die auch das Risikomanagement stark beachten, fassen alle Methoden und Instrumente für das Qualitätsmanagement zusammen. Durch die entstehende, einheitliche Struktur wird die Corporate Governance gestärkt, also die Leitung und Überwachung der Organisationen. Integrierte Managementsysteme nutzen Synergien und bündeln Ressourcen, das Management wird gegenüber isolierten Managementsystemen schlanker und effizienter. Es ist auch möglich, ein ISMS neu einzuführen und damit alle bestehenden Einzelsysteme des Qualitätsmanagements zu subsumieren oder/und zu ersetzen. Das ist allerdings schwierig, ein generischer Übergang wird eher empfohlen. Für die Einführung eines ISMS gibt es verschiedene Modelle wie den prozessorientierten oder den operativen Ansatz, deren Einsatz von der Unternehmensstruktur abhängt.