Risikobasierter Ansatz in ISO 9001

INHALT

• Was ist ein risikobasierter Ansatz?
• Wie regelt man Risiken und Chancen?
• Was fordert die ISO 9001:2015 zu den Chancen und Risiken?
• Dokumentierte Information als Nachweis
• Interessierte Parteien und deren relevante Anforderungen
• Unterscheidung Chancen und Risiken im Sinne von ISO 9001
• Weitere Tipps
• Fazit zum risikobasierten Ansatz in ISO 9001
• ISO 9001 – Mit Mehrwert auditiert

Was ist ein risikobasierter Ansatz?

Ausgangspunkt für das aufmerksame Betrachten von Chancen und Risiken ist der geschärfte Fokus von DIN EN ISO 9001:2015 auf das Erzielen „beabsichtigter Ergebnisse“. Dies gilt sowohl für das Qualitätsmanagementsystem (QMS) als auch der hierfür benötigten Prozesse.

Die beabsichtigten Ergebnisse hingegen ergeben sich aus dem Anwendungsbereich des Managementsystems mit dem Ziel, Produkte und Dienstleistungen zur Verfügung zu stellen, die durch Folgendes erfüllt werden müssen:

• Kundenerfordernisse
• gesetzliche und/ober behördliche Vorgaben
• unternehmenseigene Festlegungen

Wie regelt man Risiken und Chancen?

Der risikobasierte Ansatz zieht sich wie ein roter Faden durch die international anerkannte Norm ISO 9001. In Kapitel 6.1 (Planung) der bekannten ISO-Norm werden allgemeine Anforderungen zum Umgang mit Risiken und Chancen gestellt. Die Norm gibt aber lediglich vor, dass entsprechende Maßnahmen geplant, in das Qualitätsmanagementsystem integriert, umgesetzt und auf ihre Wirksamkeit hin bewertet werden müssen. Wie diese Anforderung umzusetzen ist, wird nicht vorgegeben.

Weder ist von einem umfassenden Risikomanagementsystem, zum Beispiel auf Basis der Norm ISO 31000, noch von einem formellen Risikomanagementprozess die Rede. Auch werden in ISO 9001 keine Anforderungen in Bezug auf konkrete anzuwendende Methoden zur Risikoermittlung oder Risikobewertung gestellt.

Ansonsten gilt:

• Risiken vermeiden,
• Risikoquellen beseitigen,
• Einfluss nehmen auf die Eintrittswahrscheinlichkeit,
• Einfluss nehmen auf die möglichen Konsequenzen oder aber
• Risiken durch eine fundierte Entscheidung gezielt eingehen, z.B. um eine Chance wahrzunehmen.

Was fordert die ISO 9001:2015 zu den Chancen und Risiken?

• Identifikation (Bestimmung) von Risiken und Chancen, um 
  – das Erreichen beabsichtigter Ergebnisse abzusichern,
  – erwünschte Auswirkungen zu verstärken – dies sind die Chancen,
  – unerwünschte Auswirkungen (Risiken) zu verhindern oder zu verringern und
  – Verbesserungen zu erreichen.
• Bewertung der erkannten, bestimmten Risiken und Chancen. Hier sind keine obligatorisch anzuwendenden Methoden genannt. Gängige, etablierte Werkzeuge sind aber durchaus empfehlenswert, zum Beispiel:
  – (Prozess-)FMEA
  – SWOT-Analysen
  – ABC-Analysen
  – Risikomatrix
• Maßnahmen aus den identifizierten Risiken und Chancen ableiten. Diese können
  – sich auf die Beseitigung bzw. Vermeidung des Risikos oder der Risikoquelle beziehen,
  – auf die Reduzierung des Risikos durch eine Veränderung der Eintrittswahrscheinlichkeit oder der Auswirkungen bzw. Konsequenzen ausgerichtet sein oder
  – die Akzeptanz des Risikos umfassen, zum Beispiel um eine Chance wahrzunehmen.
• Bewertung der Wirksamkeit der Maßnahmen, zum Beispiel anhand von
  – Nichteintritt eines identifizierten Risikos,
  – der Absenkung einer Eintrittswahrscheinlichkeit oder
  – der Verringerung der negativen Auswirkungen, zum Beispiel durch Versicherungen oder vertragliche Absicherungen in Kundenverträgen.

Dokumentierte Information als Nachweis 

Die Frage, in welcher Form oder in welchem Umfang hierüber dokumentierte Informationen als Nachweis erforderlich sind, kann wie folgt beantwortet werden: Es gibt hierzu keine konkrete, präzise Anforderung in den relevanten Kapiteln der Norm!

Stattdessen heißt es im ebenfalls lesenswerten Anhang A4 der QM-Norm DIN EN ISO 9001: „… ist die Organisation für die Anwendung des risikobasierten Denkens sowie für das Einleiten von Maßnahmen zur Behandlung eines Risikos verantwortlich, einschließlich der Beantwortung der Frage, ob dokumentierte Informationen als Nachweis für die Bestimmung von Risiken von ihr aufzubewahren sind oder nicht.“

Einfacher ausgedrückt: Das legt eine Organisation individuell für sich fest – nicht die Norm! Und: Dies legen auch nicht die Zertifizierungsgesellschaft oder deren Auditoren fest.

Interessierte Parteien und deren relevante Anforderungen

Ein Aspekt, der nicht übersehen werden sollte, ist die Betrachtung der wesentlichen Anforderungen der für das Qualitätsmanagementsystem (QMS) relevanten interessierten Parteien (Kap. 4.2).

Dabei ist „Relevanz“ folgendermaßen auszulegen:
Auswirkung auf die Fähigkeit der Organisation, fortlaufend konforme, also den Kundenerwartungen und gesetzlichen, behördlichen Anforderungen entsprechende Produkte und Dienstleistungen zur Verfügung zu stellen. Damit sind im Kontext des risikobasierten Ansatzes auch diese zu berücksichtigen (Kap. 6.1.1 Planung).

Unterscheidung Chancen und Risiken im Sinne von ISO 9001 

Die Anforderung der Norm geht neben der Betrachtung von Risiken auch auf die der Chancen ein, die sich aus Risiken ergeben können. Allerdings stehen viele Unternehmen vor der Frage, was konkret Chancen sein können. Nicht gemeint ist mit einer Chance die Erreichung beabsichtigter Ergebnisse. Dies ist eine grundlegende Anforderung an das Managementsystem und seine Prozesse.

Die Chance wird in der internationalen Norm als „Möglichkeit bzw. Gelegenheit“ (opportunities) verstanden, die sich ergeben kann, wenn ein Unternehmen ein beherrschbares Risiko eingeht.

Gute Hinweise dazu gibt das Kapitel 0.3.3 von ISO 9001. Dort sind folgende Möglichkeiten für Chancen aufgeführt:

• Kundengewinnung
• Entwicklung neuer Produkte und Dienstleistungen
• Verringerung von Ausschuss bzw. Abfall
• Verbesserung der Produktivität

Weitere Hinweise, was unter einer Chance verstanden werden kann, finden sich in den Anmerkungen zum Kapitel 6.1.2:

• Übernahme neuer Praktiken und Einsatz neuer Techniken
• Markteinführung neuer Produkte
• Erschließung neuer Märkte
• Neukundengewinnung und Aufbau von Partnerschaften
• Einsatz neuer Techniken etc.

Weitere Tipps

Kapitel 0.3.3 von DIN ISO 9001 bietet gute und ergänzende Erläuterungen zum Umgang mit dem risikobasierten Ansatz. Unter anderem wird dort ausgeführt, dass risikobasiertes Denken für ein wirksames Qualitätsmanagementsystem (QMS) unerlässlich ist und zum Erreichen verbesserter Ergebnisse und dem Vermeiden von negativen Auswirkungen eingesetzt werden soll.

Darüber hinaus bietet der Leitfaden ISO 31000 einen umfassenden, systematischen Ansatz zum Umgang mit Risiken, der deutlich über die Anforderungen an ein QMS hinaus geht.

Auch sind zwei durch das zuständige ISO-Komitee veröffentlichte Dokumente wirklich empfehlenswert, die in kurzer und prägnanter Form erläutern, worum es beim risikobasierten Ansatz tatsächlich geht. Dies ist zum einen ein Foliensatz („ISO 9001 and Risk Based Thinking“) und zum anderen das Dokument „Risk Based Thinking in ISO 9001:2015“.

Fazit zum risikobasierten Ansatz in ISO 9001

Risiken sind „Auswirkungen von Unsicherheiten“. Damit können sich aus Risiken auch Chancen ergeben. Chancen können z.B. zur Neukundengewinnung und Erschließung neuer Märkte führen, was aber auch bedeutet, dass sich aus Chancen wiederum Unsicherheiten und damit verbundene Risiken ergeben können.

Lassen Sie durch risikobasiertes Denken Vorbeugungsmaßnahmen zum Teil Ihrer täglichen Routine werden. Setzen Sie Ihre „Risiko- und Chancenbrille“ auf und überprüfen Sie Ihre Prozesse. Betrachten Sie dabei auch den Kontext Ihrer Organisation, interne und externe Rahmenbedingungen, unterschiedliche Produkte und Dienstleistungen oder besondere organisatorische Abläufe.

Alles in allem empfehlen wir, mit der gleichen Intensität, mit der Risiken bestimmt, bewertet und daraus Maßnahmen abgeleitet werden, mit den möglichen Chancen umzugehen. Auch sie sind zu bestimmen und zu bewerten – und Maßnahmen zu deren Ergreifung abzuleiten. So lässt sich durch den richtigen Umgang mit Risiken ein Nutzen ziehen.

ISO 9001 – Mit Mehrwert auditiert

Das erste ISO 9001-Zertifikat in Deutschland stellte die DQS am 28. August 1986 aus – auf Basis einer Entwurfsfassung. Die Erstveröffentlichung der ISO 9000-Normenreihe (ISO 9001/2/3) erfolgte im Jahr 1987 als Modell für Qualitätssicherungssysteme. 1991 wurden wir als erste Zertifizierungsstelle in Deutschland durch die damalige TGA GmbH (heute: DAkkS) akkreditiert.

Heute zählen knapp 20 der 30 DAX-notierten Unternehmen zu unseren langjährigen Kunden. Erwarten auch Sie von einer Zertifizierung mehr als einen Konformitätsnachweis!

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.