qualitaet-header-blog-dqs-bunte bausteine

Ri­si­ko­ba­sier­ter Ansatz in ISO 9001

Nadja Götz

DQS-Pro­dukt­ma­na­ge­rin für Qua­li­täts­ma­nage­ment
Nov. 08 , 2022
# Anforderungen an Qualitätsmanagement

Ein Un­ter­neh­men ist dann er­folg­reich, wenn es ei­ner­seits sys­te­ma­tisch Chancen erkennt, ana­ly­siert und ergreift und an­de­rer­seits die damit ver­bun­de­nen Risiken iden­ti­fi­ziert und ent­spre­chend handelt. Beim ri­si­ko­ba­sier­ten Ansatz in ISO 9001 geht es vor allem darum, die Aus­wir­kun­gen un­ter­neh­me­ri­scher Un­si­cher­hei­ten zu iden­ti­fi­zie­ren und die Risiken als Grund­la­ge zur Planung zu be­stim­men.

Nun ist das Thema „Risiko“ in einem Qualitätsmanagementsystem nicht gänzlich neu. In den alten Ver­sio­nen von ISO 9001 war es in den An­for­de­run­gen zu Vorbeugungsmaßnahmen ein­ge­bet­tet. Dieses Kapitel ist mit der Revision im Jahr 2015 ent­fal­len. Es wurde durch das Be­trach­ten von Risiken und Chancen er­setzt.

INHALT

Was ist ein risikobasierter Ansatz?

Ausgangspunkt für das aufmerksame Betrachten von Chancen und Risiken ist der geschärfte Fokus von ISO 9001 auf das Erzielen „beabsichtigter Ergebnisse“. Dies gilt sowohl für das Qualitätsmanagementsystem als auch bei der Planung und Verwirklichung der hierfür benötigten Prozesse.

Die Norm defi­niert Risiko als die „Auswirkung von Ungewissheiten“ auf ein er­war­te­tes Er­geb­nis.

DIN EN ISO 9001:2015 – Qualitätsmanagementsysteme – An­for­de­run­gen

Wie regelt man Risiken und Chancen?

Der risikobasierte Ansatz zieht sich wie ein roter Faden durch die international anerkannte Qualitätsnorm DIN EN ISO 9001, denn es ist eine Kernaufgabe eines Qualitätsmanagementsystems präventiv zu wirken.

In Kapitel 6.1 (Planung) der bekannten ISO-Norm werden allgemeine Anforderungen zum Umgang mit Risiken und Chancen gestellt. Die Norm gibt aber lediglich vor, dass entsprechende Maßnahmen geplant, in das Qualitätsmanagementsystem integriert, umgesetzt und auf ihre Wirksamkeit hin bewertet werden müssen. Wie diese Anforderung umzusetzen ist, wird nicht vorgegeben.

Weder ist von einem umfassenden Risikomanagementsystem, zum Beispiel auf Basis der Norm ISO 31000, noch von einem formellen Risikomanagementprozess die Rede. Auch stellt die Qualitätsnorm keine Anforderungen in Bezug auf konkrete anzuwendende Methoden zur Risikoermittlung oder Risikobewertung. Organisationen können selbst entscheiden, welche Vorgehensweise sie für das Risikomanagement entwickeln möchten.

In der Anmerkung 1 nennt die Norm aber folgende Möglichkeiten zum Umgang mit Risiken:

  • Risiken vermeiden
  • Risikoquellen beseitigen
  • Einfluss nehmen auf die Eintrittswahrscheinlichkeit
  • Einfluss nehmen auf die möglichen Konsequenzen
  • Risikoteilung
  • oder aber ein Risiko auf Basis einer fundierte Entscheidung gezielt eingehen, zum Beispiel um eine Chance wahrzunehmen

Die beabsichtigten Ergebnisse hingegen ergeben sich aus dem Anwendungsbereich des Managementsystems. Ziel dabei ist es, Produkte und Dienstleistungen zur Verfügung zu stellen, die durch Folgendes erfüllt werden müssen:

  • Kundenerfordernisse
  • gesetzliche und/ober behördliche Vorgaben
  • unternehmenseigene Festlegungen
Cover for German IROM White paper with pdf
Kostenfreies Whitepaper

Norm­ka­pi­tel 6.1 ge­stal­ten

Kos­ten­frei­es White­pa­per zum For­schungs­pro­jekt „Ri­si­ko 2.0“

Nur ein In­te­grier­tes Risiko- und Chan­cen­ma­nage­ment bietet eine verlässliche Möglichkeit, sich er­folg­reich an­ti­fra­gil auf­zu­stel­len. Das bedeutet: Risiken und Chancen und den Umgang damit neu den­ken. Diese Er­kennt­nis setzt sich langsam auch in der Normung durch. Ent­spre­chend ist die Einführung eines chan­cen­ba­sier­ten Denkens in Ergänzung zum ri­si­ko­ba­sier­ten Denken Be­stand­teil der ak­tu­el­len Re­vi­si­ons­agen­da für ISO 9000 und ISO 9001.

Das von der DQS geförderte For­schungsprojekt „Risiko 2.0“ hält dazu ex­klu­si­ve Er­geb­nis­se für Sie bereit. 

Jetzt kostenfrei herunterladen

Was fordert ISO 9001:2015 zu den Chancen und Risiken?

Entsprechend den Normanforderungen ist das Unternehmen für die Anwendung des risikobasierten Denkens sowie für das Einleiten von Maßnahmen zur Behandlung eines Risikos verantwortlich. Dabei muss es die in Kapitel 4.1 und 4.2 genannten Themen berücksichtigen sowie die Risiken und Chancen bestimmen, bewerten, Maßnahmen ableiten und deren Wirksamkeit bewerten.   

  • Identifikation (Bestimmung) von Risiken und Chancen, um 
    – das Erreichen beabsichtigter Ergebnisse abzusichern,
    – erwünschte Auswirkungen zu verstärken – dies sind die Chancen,
    – unerwünschte Auswirkungen (Risiken) zu verhindern oder zu verringern und
    – Verbesserungen zu erreichen.
     
  • Bewertung von Risiken und Chancen. Hier sind keine obligatorisch anzuwendenden Methoden genannt. Gängige, etablierte Werkzeuge sind aber durchaus empfehlenswert, zum Beispiel:
    – (Prozess-)FMEA (Fehlermöglichkeits- und -Einflussanalyse)
    – SWOT-Analysen (Stärken und Schwächen, Chancen und Risiken)
    – Risikomatrix bzw. Risikodiagramm
    – ABC-Analysen
     
  • Maßnahmen aus den identifizierten Risiken und Chancen ableiten. Diese können ...
    – sich auf die Beseitigung beziehungsweise Vermeidung des Risikos oder der Risikoquelle beziehen,
    – auf die Reduzierung des Risikos durch eine Veränderung der Eintrittswahrscheinlichkeit oder der Auswirkungen beziehungsweise  Konsequenzen ausgerichtet sein oder
    – die Akzeptanz des Risikos umfassen, zum Beispiel um eine Chance wahrzunehmen.
     
  • Bewertung der Wirksamkeit der Maßnahmen, zum Beispiel anhand von
    – Nichteintritt eines identifizierten Risikos,
    – der Absenkung einer Eintrittswahrscheinlichkeit oder
    – der Verringerung der negativen Auswirkungen, zum Beispiel durch Versicherungen oder vertragliche Absicherungen in Kundenverträgen.

Dokumentierte Information als Nachweis 

Die Frage, in welcher Form oder in welchem Umfang hierüber dokumentierte Informationen als Nachweis erforderlich sind, kann wie folgt beantwortet werden: Es gibt hierzu keine konkrete, präzise Anforderung in den relevanten Kapiteln der Norm!

Stattdessen heißt es im ebenfalls lesenswerten Anhang A4 der QM-Norm DIN EN ISO 9001: „… ist die Organisation für die Anwendung des risikobasierten Denkens sowie für das Einleiten von Maßnahmen zur Behandlung eines Risikos verantwortlich, einschließlich der Beantwortung der Frage, ob dokumentierte Informationen als Nachweis für die Bestimmung von Risiken von ihr aufzubewahren sind oder nicht.“

Einfacher ausgedrückt: Das legt das Unternehmen individuell für sich selbst fest – nicht die Norm! Und: Dies legt auch nicht die Zertifizierungsgesellschaft oder der Auditor fest.

iso-9001-auditleitfaden-dqs-kostenfrei
Kostenfreies Whitepaper

ISO 9001 in der Praxis

Pro­fun­des Ex­per­ten­wis­sen zu

  • gu­ten Auditfragen
  • möglichen Nach­wei­sen und Kenn­zah­len
  • Um­set­zungs­bei­spie­len
Mehr als nur eine Checkliste! Jetzt kostenfrei herunterladen.

Hinweis zu DIN EN ISO 9001

Alle in dieser internationalen Norm festgelegten Anforderungen sind allgemeiner Natur und auf alle Unternehmen und Organisationen zutreffend, unabhängig von deren Größe und Komplexität sowie der Art der von ihr bereitgestellten Produkte und Dienstleistungen. Dieser  Anforderungen basieren auf den sieben Grundsätzen des Qualitätsmanagements.

Die Norm fördert die Umsetzung eines prozessorientierten Ansatzes zur Erfüllung von Kundenanforderungen. Die Steuerung der Prozesse und des Managementsystems als Ganzes kann durch den PDCA-Zyklus erreicht werden. Dabei steht die kontinuierliche Verbesserung der Prozesse im Vordergrund.

Die deutschsprachige Fassung der Qualitätsnorm wird vom Deutschen Institut für Normung (DIN) herausgegeben, die internationale ISO 9001:2015-09 von der ISO (Internationale Organisation für Normung). Beide Normen sind bei DIN Media erhältlich.

ISO 9001 – zer­ti­fi­zier­tes Qua­li­täts­ma­nage­ment

Zer­ti­fi­zie­rung nach DIN EN ISO 9001 gesucht? Die DQS bietet über 35 Jahre Er­fah­rung ★ Pro­fi­tie­ren Sie von unserem Ex­per­ten­wis­sen ★

Mehr erfahren

Weitere Tipps

Kapitel 0.3.3 von DIN ISO 9001 bietet gute und ergänzende Erläuterungen zum Umgang mit dem risikobasierten Ansatz. Unter anderem wird dort ausgeführt, dass risikobasiertes Denken für ein wirksames Qualitätsmanagementsystem unerlässlich ist und zum Erreichen verbesserter Ergebnisse und dem Vermeiden von negativen Auswirkungen eingesetzt werden soll.

Darüber hinaus bietet der internationale Leitfaden ISO 31000 einen umfassenden, systematischen Ansatz zum Umgang mit Risiken, der deutlich über die Anforderungen der Qualitätsnorm hinaus geht.

Auch sind zwei durch das zuständige ISO-Komitee veröffentlichte Dokumente wirklich empfehlenswert, die in kurzer und prägnanter Form erläutern, worum es beim risikobasierten Ansatz tatsächlich geht. Dies ist zum einen ein Foliensatz („ISO 9001 and Risk Based Thinking“) und zum anderen das Dokument „Risk Based Thinking in ISO 9001:2015“.

risk

Revision ISO 9001:2025

On­line-Dis­kus­si­on zum Thema Risiko

Ex­per­ten des ISO-Gre­mi­ums TC 176 TG 4 "Risk" aus den USA, Deutsch­land, Israel und Mexiko dis­ku­tie­ren das Konzept von Risiko in ISO 9001 (Video in eng­li­scher Spra­che). Mit dabei: Prof. Dr. Patricia Adam, DQS-Au­di­to­rin und Mitglied der Task Group 4 „Risk”.

Jetzt ansehen

Fazit zum risikobasierten Ansatz in ISO 9001

Risiken sind „Auswirkungen von Unsicherheiten“. Damit können sich aus Risiken auch Chancen ergeben. Chancen können zum Beispiel zur Neukundengewinnung und Erschließung neuer Märkte führen, was aber auch bedeutet, dass sich aus Chancen wiederum Unsicherheiten und damit verbundene Risiken ergeben können.

Lassen Sie durch risikobasiertes Denken Vorbeugungsmaßnahmen zum Teil Ihrer täglichen Routine werden. Setzen Sie Ihre „Risiko- und Chancenbrille“ auf und überprüfen Sie Ihre Prozesse. Betrachten Sie dabei auch den Kontext Ihrer Organisation, interne und externe Rahmenbedingungen, unterschiedliche Produkte und Dienstleistungen oder besondere organisatorische Abläufe.

Alles in allem empfehlen wir, mit der gleichen Intensität, mit der Risiken bestimmt, bewertet und daraus Maßnahmen abgeleitet werden, mit den möglichen Chancen umzugehen. Auch sie sind zu bestimmen und zu bewerten – und Maßnahmen zu deren Ergreifung abzuleiten. So lässt sich durch den richtigen Umgang mit Risiken ein Nutzen ziehen.

ISO 9001 – Mit Mehrwert auditiert

Das erste ISO 9001-Zertifikat in Deutschland stellte die DQS am 28. August 1986 aus – auf Basis einer Entwurfsfassung. Die Erstveröffentlichung der ISO 9000-Normenreihe (ISO 9001/2/3) erfolgte im Jahr 1987 als Modell für Qualitätssicherungssysteme. 1991 wurden wir als erste Zertifizierungsstelle in Deutschland durch die damalige TGA GmbH (heute: DAkkS) akkreditiert.

Heute zählen knapp 20 der 30 DAX-notierten Unternehmen zu unseren langjährigen Kunden. Erwarten auch Sie von einer Zertifizierung mehr als einen Konformitätsnachweis!

gerber-hermsdorf-werner-korall-audit dqs

Gerne helfen wir Ihnen bei der Zer­ti­fi­zie­rung nach ISO 9001

In einem un­ver­bind­li­chen Termin in­for­mie­ren wir Sie über den Ablauf und die Kosten einer Zer­ti­fi­zie­rung. Ganz un­ver­bind­lich und kos­ten­frei.

Wir freuen uns auf das Gespräch mit Ihnen.

Interessierte Parteien und deren relevante Anforderungen

Ein Aspekt, der nicht übersehen werden sollte, ist die Betrachtung der wesentlichen Anforderungen der für das Qualitätsmanagementsystem (QMS) relevanten interessierten Parteien (Kap. 4.2).

Dabei ist „Relevanz“ folgendermaßen auszulegen:
Auswirkung auf die Fähigkeit der Organisation, fortlaufend konforme, also den Kundenerwartungen und gesetzlichen, behördlichen Anforderungen entsprechende Produkte und Dienstleistungen zur Verfügung zu stellen. Damit sind im Kontext des risikobasierten Ansatzes auch diese zu berücksichtigen (Kap. 6.1.1 Planung).

 

Unterscheidung Chancen und Risiken im Sinne von ISO 9001 

Die Anforderung der Norm geht neben der Betrachtung von Risiken auch auf die der Chancen ein, die sich aus Risiken ergeben können. Allerdings stehen viele Unternehmen vor der Frage, was konkret Chancen sein können. Nicht gemeint ist mit einer Chance die Erreichung beabsichtigter Ergebnisse. Dies ist eine grundlegende Anforderung an das Managementsystem und seine Prozesse.

Die Chance wird in der internationalen Norm als „Möglichkeit bzw. Gelegenheit“ (opportunities) verstanden, die sich ergeben kann, wenn ein Unternehmen ein beherrschbares Risiko eingeht.

Gute Hinweise dazu gibt das Kapitel 0.3.3 von ISO 9001. Dort sind folgende Möglichkeiten für Chancen aufgeführt:

  • Kundengewinnung
  • Entwicklung neuer Produkte und Dienstleistungen
  • Verringerung von Ausschuss bzw. Abfall
  • Verbesserung der Produktivität

Weitere Hinweise, was unter einer Chance verstanden werden kann, finden sich in den Anmerkungen zum Kapitel 6.1.2:

  • Übernahme neuer Praktiken und Einsatz neuer Techniken
  • Markteinführung neuer Produkte
  • Erschließung neuer Märkte
  • Neukundengewinnung und Aufbau von Partnerschaften
  • Einsatz neuer Techniken etc.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.

Autor
Nadja Götz

Pro­dukt­ma­na­ge­rin ISO 9001 sowie DQS-Expertin für Ge­sund­heits­ma­nage­ment­sys­te­me und BSI-KRITIS-Prüfungen, Au­di­to­rin und Pro­dukt­ma­na­ge­rin für diverse Qualitätsstandards der Re­ha­bi­li­ta­ti­on sowie der stationären und am­bu­lan­ten Ver­sor­gung.

Re­le­van­te Artikel und Ver­an­stal­tun­gen

Das könnte Sie auch in­ter­es­sie­ren.
Blog
An open umbrella offers protection from the rain

Kri­sen­ma­nage­ment im Un­ter­neh­men: re­si­li­en­te Ma­nage­ment­sys­te­me

Weiterlesen
Blog
Little girl with her father running on the beach

Zu­kunfts­si­cher au­di­tie­ren – Be­trach­tun­gen zum Kontext der Or­ga­ni­sa­ti­on

Weiterlesen
Blog
Erwin Halder KG (Bronnen, Germany) Aerial view | (c) Erwin Halder KG

Qua­li­täts­ma­nage­ment im Mit­tel­stand: Erwin Halder KG

Weiterlesen

Sie haben Fragen?

Wir sind für Sie da.
Kontaktieren Sie uns