Ich denke mal, da WRKOUTQ mittles PNLGRP arbeitet, gibts 2 Möglichkeiten:
a) es wird das Kommando CLROUTQ qualifiziert aus der QSYS aufgerufen
b) es wird direkt der API-Aufruf zum Löschen der Spools aufgerufen

Berechtigungskonzepte sind immer so eine Sache.
Spätestens wenn ein User oder sein Gruppenprofil oder eine übergeordnete Aufrufebene mittels Vererbung *ALLOBJ hat, ist sowieso alles vergebens.

Im USRPRF kann man per LMTCPB die Kommandozeilenaufrufe sowieso beschränken.
Werden spezielle Aufrufe benötigt, kann man das schnell per SDA-Menü o.ä. auch regeln.

An der QSYS rumzudrehen ist immer mit Vorsicht zu genießen.